Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
S3からオブジェクトをCMKで暗号化して沼にハマった話
Search
Kento Suzuki
August 24, 2022
Technology
91
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
S3からオブジェクトをCMKで暗号化して沼にハマった話
JAWS-UG 名古屋 LT未経験者にも登壇して貰いたいLT会の資料
Kento Suzuki
August 24, 2022
More Decks by Kento Suzuki
See All by Kento Suzuki
コミュニティが変えるキャリアの地平線:コロナ禍新卒入社のエンジニアがAWSコミュニティで見つけた成長の羅針盤
kentosuzuki
0
280
バッドプラクティスから学ぶ ハワイアン航空で行く re:Invent
kentosuzuki
0
510
上流工程に挑戦!「俺の考えた最強サーバレス構成」が一瞬で敗北した件
kentosuzuki
2
410
S3から始めるAWS 〜S3の簡単なユースケースの紹介〜
kentosuzuki
1
820
AWS のポリシー言語 “Cedar” で実現するアクセス制御
kentosuzuki
0
500
探せぇ! お薦めAWSセキュリティワークショップ!!〜 怒涛のワークショップ 48 連戦 〜
kentosuzuki
1
830
SIEM って何? 〜 Amazon OpenSearch で始める SIEM 〜
kentosuzuki
0
1.1k
Verified Accessから始めるゼロトラストセキュリティ
kentosuzuki
2
860
復活のAWS DeepComposer 〜 古代兵器から始める生成系AI 〜
kentosuzuki
0
520
Other Decks in Technology
See All in Technology
AI-DLCを活用した高品質・安全なAI駆動開発実践 / AI Driven Development with AI-DLC
yoshidashingo
0
170
200個のGitHubリポジトリを横断調査したかった
icck
0
110
LLMにもCAP定理があるという話
harukasakihara
0
310
2026TECHFRESH畢業分享會 - Lightning Talk - 資料也要 CI/CD? 用 Airbyte 自動化資料同步
line_developers_tw
PRO
0
850
AIはどのように 組織のアジリティを変えるのか?
junki
1
470
日本 Fintech 未来予測レポート 2027〜2028年(オリジナル版)
8maki
0
2k
MCP Appsを作ってみよう
iwamot
PRO
4
560
RSA暗号を手計算したくなること、ありますよね?? (20260615_orestudy6_rsa)
thousanda
0
280
AGENTS.mdとSkillsで始めるAIエージェント活用
sonoda_mj
3
200
スキルと MCP ツール、責務をどう分けるか? AI が迷わないインターフェース設計の戦略
cdataj
1
970
機械学習を「社会実装」するということ 2026年夏版 / Social Implementation of Machine Learning June 2026 Version
moepy_stats
4
1.6k
Djangoユーザが知っ得なPostgreSQL機能 - 設計の選択肢を増やす / Djang-use-PostgreSQL
soudai
PRO
1
230
Featured
See All Featured
sira's awesome portfolio website redesign presentation
elsirapls
0
280
VelocityConf: Rendering Performance Case Studies
addyosmani
333
25k
Google's AI Overviews - The New Search
badams
0
1k
Test your architecture with Archunit
thirion
1
2.3k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
10
1.2k
<Decoding/> the Language of Devs - We Love SEO 2024
nikkihalliwell
1
240
Learning to Love Humans: Emotional Interface Design
aarron
275
41k
B2B Lead Gen: Tactics, Traps & Triumph
marketingsoph
0
140
Making Projects Easy
brettharned
120
6.7k
Neural Spatial Audio Processing for Sound Field Analysis and Control
skoyamalab
0
330
16th Malabo Montpellier Forum Presentation
akademiya2063
PRO
0
140
The Curious Case for Waylosing
cassininazir
1
380
Transcript
S3からオブジェクトをCMKで暗号化して沼に ハマった話 Kento Suzuki 2022/08/24 (水) JAWS-UG 名古屋 LT未経験者にも登壇して貰いたいLT会
自己紹介 名前:鈴木健斗 (@k_suzuki_pnx) 所属:アイレット株式会社 経歴: ・東京都在住 ・新卒3年目(エンジニア歴 = 社会人歴) ・2022
APN ALL AWS Certifications Engineer ・2022 APN AWS Top Engineer
本題 ある日のこと、 特定のIAMでS3のオブジェクトをダウンロードしようとすると The ciphertext refers to a customer master
key that does not exist, does not exist in this region, or you are not allowed to access. 訳)このリージョンに存在していない、 もしくはアクセス許可のないカスタマーマスターキー(CMK)で暗号化されています というエラーが発生
実際の構成 アクセス制限をしている箇所 ・IAMユーザ ・KMS ・S3
どこが原因か分からねぇーよ!!
1つずつポリシードキュメントを紐解く その後
犯人を特定
解説 IAMへの接続元IPを制限したい場合、 IAMポリシーへ「aws:SourceIp」を用いたCondition句を設定
ドキュメントにはこのような記載がある https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip
解決策 Condition句に "Null": {"kms:ViaService": "true"} を追加
図示するとこうなる
まとめ AWSの権限まわりは本当に沼 「aws:SourceIp」を用いたCondition句を使うときは要注意!
kentosuzuki
yoshidashingo
icck
harukasakihara
line_developers_tw
junki
8maki
iwamot
thousanda
sonoda_mj
cdataj
moepy_stats
soudai
elsirapls
addyosmani
badams
thirion
nikkihalliwell
aarron
marketingsoph
brettharned
skoyamalab
akademiya2063
cassininazir
