Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
S3からオブジェクトをCMKで暗号化して沼にハマった話
Search
Kento Suzuki
August 24, 2022
Technology
0
84
S3からオブジェクトをCMKで暗号化して沼にハマった話
JAWS-UG 名古屋 LT未経験者にも登壇して貰いたいLT会の資料
Kento Suzuki
August 24, 2022
Tweet
Share
More Decks by Kento Suzuki
See All by Kento Suzuki
バッドプラクティスから学ぶ ハワイアン航空で行く re:Invent
kentosuzuki
0
450
上流工程に挑戦!「俺の考えた最強サーバレス構成」が一瞬で敗北した件
kentosuzuki
2
360
S3から始めるAWS 〜S3の簡単なユースケースの紹介〜
kentosuzuki
1
730
AWS のポリシー言語 “Cedar” で実現するアクセス制御
kentosuzuki
0
450
探せぇ! お薦めAWSセキュリティワークショップ!!〜 怒涛のワークショップ 48 連戦 〜
kentosuzuki
1
780
SIEM って何? 〜 Amazon OpenSearch で始める SIEM 〜
kentosuzuki
0
1k
Verified Accessから始めるゼロトラストセキュリティ
kentosuzuki
1
770
復活のAWS DeepComposer 〜 古代兵器から始める生成系AI 〜
kentosuzuki
0
430
新卒入社が考える 『AWSではじめるクラウドセキュリティ』を読むタイミング
kentosuzuki
0
800
Other Decks in Technology
See All in Technology
技術選定、下から見るか?横から見るか?
masakiokuda
0
190
Contract One Engineering Unit 紹介資料
sansan33
PRO
0
12k
ハッカソンから社内プロダクトへ AIエージェント ko☆shi 開発で学んだ4つの重要要素
leveragestech
0
610
松尾研LLM講座2025 応用編Day3「軽量化」 講義資料
aratako
15
4.9k
複雑さを受け入れるか、拒むか? - 事業成長とともに育ったモノリスを前に私が考えたこと #RSGT2026
murabayashi
1
1.6k
Master Dataグループ紹介資料
sansan33
PRO
1
4.2k
Introduction to Sansan Meishi Maker Development Engineer
sansan33
PRO
0
330
わが10年の叡智をぶつけたカオスなクラウドインフラが、なくなるということ。
sogaoh
PRO
1
380
純粋なイミュータブルモデルを設計してからイベントソーシングと組み合わせるDeciderの実践方法の紹介 /Introducing Decider Pattern with Event Sourcing
tomohisa
1
840
国井さんにPurview の話を聞く会
sophiakunii
1
350
業務の煩悩を祓うAI活用術108選 / AI 108 Usages
smartbank
9
20k
Claude Codeを使った情報整理術
knishioka
20
12k
Featured
See All Featured
HDC tutorial
michielstock
1
310
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
cargoodrich
2
78
Ethics towards AI in product and experience design
skipperchong
1
170
Scaling GitHub
holman
464
140k
Mozcon NYC 2025: Stop Losing SEO Traffic
samtorres
0
110
Crafting Experiences
bethany
0
26
Leo the Paperboy
mayatellez
1
1.3k
First, design no harm
axbom
PRO
1
1.1k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
231
22k
So, you think you're a good person
axbom
PRO
0
1.9k
Ecommerce SEO: The Keys for Success Now & Beyond - #SERPConf2024
aleyda
1
1.8k
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
uxyall
0
130
Transcript
S3からオブジェクトをCMKで暗号化して沼に ハマった話 Kento Suzuki 2022/08/24 (水) JAWS-UG 名古屋 LT未経験者にも登壇して貰いたいLT会
自己紹介 名前:鈴木健斗 (@k_suzuki_pnx) 所属:アイレット株式会社 経歴: ・東京都在住 ・新卒3年目(エンジニア歴 = 社会人歴) ・2022
APN ALL AWS Certifications Engineer ・2022 APN AWS Top Engineer
本題 ある日のこと、 特定のIAMでS3のオブジェクトをダウンロードしようとすると The ciphertext refers to a customer master
key that does not exist, does not exist in this region, or you are not allowed to access. 訳)このリージョンに存在していない、 もしくはアクセス許可のないカスタマーマスターキー(CMK)で暗号化されています というエラーが発生
実際の構成 アクセス制限をしている箇所 ・IAMユーザ ・KMS ・S3
どこが原因か分からねぇーよ!!
1つずつポリシードキュメントを紐解く その後
犯人を特定
解説 IAMへの接続元IPを制限したい場合、 IAMポリシーへ「aws:SourceIp」を用いたCondition句を設定
ドキュメントにはこのような記載がある https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip
解決策 Condition句に "Null": {"kms:ViaService": "true"} を追加
図示するとこうなる
まとめ AWSの権限まわりは本当に沼 「aws:SourceIp」を用いたCondition句を使うときは要注意!
kentosuzuki
masakiokuda
sansan33
leveragestech
.jpg){kind=avatar}
aratako
murabayashi
sogaoh
tomohisa
sophiakunii
smartbank
knishioka
michielstock
cargoodrich
skipperchong
holman
samtorres
bethany
mayatellez
axbom
danielanewman
aleyda
uxyall
