Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
S3からオブジェクトをCMKで暗号化して沼にハマった話
Search
Kento Suzuki
August 24, 2022
Technology
0
87
S3からオブジェクトをCMKで暗号化して沼にハマった話
JAWS-UG 名古屋 LT未経験者にも登壇して貰いたいLT会の資料
Kento Suzuki
August 24, 2022
Tweet
Share
More Decks by Kento Suzuki
See All by Kento Suzuki
コミュニティが変えるキャリアの地平線:コロナ禍新卒入社のエンジニアがAWSコミュニティで見つけた成長の羅針盤
kentosuzuki
0
170
バッドプラクティスから学ぶ ハワイアン航空で行く re:Invent
kentosuzuki
0
480
上流工程に挑戦!「俺の考えた最強サーバレス構成」が一瞬で敗北した件
kentosuzuki
2
380
S3から始めるAWS 〜S3の簡単なユースケースの紹介〜
kentosuzuki
1
770
AWS のポリシー言語 “Cedar” で実現するアクセス制御
kentosuzuki
0
470
探せぇ! お薦めAWSセキュリティワークショップ!!〜 怒涛のワークショップ 48 連戦 〜
kentosuzuki
1
800
SIEM って何? 〜 Amazon OpenSearch で始める SIEM 〜
kentosuzuki
0
1k
Verified Accessから始めるゼロトラストセキュリティ
kentosuzuki
2
810
復活のAWS DeepComposer 〜 古代兵器から始める生成系AI 〜
kentosuzuki
0
460
Other Decks in Technology
See All in Technology
【社内勉強会】新年度からコーディングエージェントを使いこなす - 構造と制約で引き出すClaude Codeの実践知
nwiizo
1
170
【Oracle Cloud ウェビナー】【入門編】はじめてのOracle AI Data Platform - AIのためのデータ準備&自社用AIエージェントをワンストップで実現
oracle4engineer
PRO
1
180
中央集権型を脱却した話 分散型をやめて、連邦型にたどり着くまで
sansantech
PRO
1
110
Tebiki Engineering Team Deck
tebiki
0
27k
Keycloak を使った SSO で CockroachDB にログインする / CockroachDB SSO with Keycloak
kota2and3kan
0
170
(Test) ai-meetup slide creation
oikon48
3
470
OCI技術資料 : コンピュート・サービス 概要
ocise
4
54k
詳解 強化学習 / In-depth Guide to Reinforcement Learning
prinlab
0
320
Everything Claude Code を眺める
oikon48
13
8.3k
今のWordPress の制作手法ってなにがあんねん?(改) / What’s the Deal with WordPress Development These Days?
tbshiki
0
520
内製AIチャットボットで学んだDatadog LLM Observability活用術
mkdev10
0
140
Cortex Code CLI と一緒に進めるAgentic Data Engineering
__allllllllez__
0
490
Featured
See All Featured
Raft: Consensus for Rubyists
vanstee
141
7.4k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
31
3.1k
エンジニアに許された特別な時間の終わり
watany
106
240k
WENDY [Excerpt]
tessaabrams
9
37k
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
sarafernandez
1
1.3k
How to train your dragon (web standard)
notwaldorf
97
6.6k
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
twada
PRO
118
110k
Claude Code のすすめ
schroneko
67
220k
Building the Perfect Custom Keyboard
takai
2
710
Art, The Web, and Tiny UX
lynnandtonic
304
21k
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
250
Avoiding the “Bad Training, Faster” Trap in the Age of AI
tmiket
0
100
Transcript
S3からオブジェクトをCMKで暗号化して沼に ハマった話 Kento Suzuki 2022/08/24 (水) JAWS-UG 名古屋 LT未経験者にも登壇して貰いたいLT会
自己紹介 名前:鈴木健斗 (@k_suzuki_pnx) 所属:アイレット株式会社 経歴: ・東京都在住 ・新卒3年目(エンジニア歴 = 社会人歴) ・2022
APN ALL AWS Certifications Engineer ・2022 APN AWS Top Engineer
本題 ある日のこと、 特定のIAMでS3のオブジェクトをダウンロードしようとすると The ciphertext refers to a customer master
key that does not exist, does not exist in this region, or you are not allowed to access. 訳)このリージョンに存在していない、 もしくはアクセス許可のないカスタマーマスターキー(CMK)で暗号化されています というエラーが発生
実際の構成 アクセス制限をしている箇所 ・IAMユーザ ・KMS ・S3
どこが原因か分からねぇーよ!!
1つずつポリシードキュメントを紐解く その後
犯人を特定
解説 IAMへの接続元IPを制限したい場合、 IAMポリシーへ「aws:SourceIp」を用いたCondition句を設定
ドキュメントにはこのような記載がある https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip
解決策 Condition句に "Null": {"kms:ViaService": "true"} を追加
図示するとこうなる
まとめ AWSの権限まわりは本当に沼 「aws:SourceIp」を用いたCondition句を使うときは要注意!
kentosuzuki
nwiizo
oracle4engineer
sansantech
tebiki
kota2and3kan
oikon48
ocise
prinlab
tbshiki
mkdev10
__allllllllez__
vanstee
danielanewman
watany
tessaabrams
sarafernandez
notwaldorf
twada
schroneko
takai
lynnandtonic
szymonslowik
tmiket
