Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
S3からオブジェクトをCMKで暗号化して沼にハマった話
Search
Kento Suzuki
August 24, 2022
Technology
0
74
S3からオブジェクトをCMKで暗号化して沼にハマった話
JAWS-UG 名古屋 LT未経験者にも登壇して貰いたいLT会の資料
Kento Suzuki
August 24, 2022
Tweet
Share
More Decks by Kento Suzuki
See All by Kento Suzuki
バッドプラクティスから学ぶ ハワイアン航空で行く re:Invent
kentosuzuki
0
250
上流工程に挑戦!「俺の考えた最強サーバレス構成」が一瞬で敗北した件
kentosuzuki
2
310
S3から始めるAWS 〜S3の簡単なユースケースの紹介〜
kentosuzuki
1
620
AWS のポリシー言語 “Cedar” で実現するアクセス制御
kentosuzuki
0
390
探せぇ! お薦めAWSセキュリティワークショップ!!〜 怒涛のワークショップ 48 連戦 〜
kentosuzuki
1
690
SIEM って何? 〜 Amazon OpenSearch で始める SIEM 〜
kentosuzuki
0
880
Verified Accessから始めるゼロトラストセキュリティ
kentosuzuki
1
670
復活のAWS DeepComposer 〜 古代兵器から始める生成系AI 〜
kentosuzuki
0
350
新卒入社が考える 『AWSではじめるクラウドセキュリティ』を読むタイミング
kentosuzuki
0
700
Other Decks in Technology
See All in Technology
比起獨自升級 我更喜歡 DevOps 文化 <3
line_developers_tw
PRO
0
140
Securing your Lambda 101
chillzprezi
0
260
"SaaS is Dead" は本当か!? 生成AI時代の医療 Vertical SaaS のリアル
kakehashi
PRO
3
190
2025/6/21 日本学術会議公開シンポジウム発表資料
keisuke198619
0
180
(非公式) AWS Summit Japan と 海浜幕張 の歩き方 2025年版
coosuke
PRO
1
210
AI技術トレンド勉強会 #1 MCPの基礎と実務での応用
nisei_k
1
180
「どこにある?」の解決。生成AI(RAG)で効率化するガバメントクラウド運用
toru_kubota
2
380
型システムを知りたい人のための型検査器作成入門
mame
14
3.7k
評価の納得感を2段階高める「構造化フィードバック」
aloerina
1
160
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
7.2k
Workflows から Agents へ ~ 生成 AI アプリの成長過程とアプローチ~
belongadmin
2
140
TODAY 看世界(?) 是我們在看扣啦!
line_developers_tw
PRO
0
150
Featured
See All Featured
Being A Developer After 40
akosma
90
590k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
1.8k
Optimizing for Happiness
mojombo
379
70k
Raft: Consensus for Rubyists
vanstee
139
7k
The Pragmatic Product Professional
lauravandoore
35
6.7k
Gamification - CAS2011
davidbonilla
81
5.3k
Bash Introduction
62gerente
614
210k
Art, The Web, and Tiny UX
lynnandtonic
299
21k
Product Roadmaps are Hard
iamctodd
PRO
53
11k
GraphQLとの向き合い方2022年版
quramy
46
14k
Unsuck your backbone
ammeep
671
58k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
47
2.8k
Transcript
S3からオブジェクトをCMKで暗号化して沼に ハマった話 Kento Suzuki 2022/08/24 (水) JAWS-UG 名古屋 LT未経験者にも登壇して貰いたいLT会
自己紹介 名前:鈴木健斗 (@k_suzuki_pnx) 所属:アイレット株式会社 経歴: ・東京都在住 ・新卒3年目(エンジニア歴 = 社会人歴) ・2022
APN ALL AWS Certifications Engineer ・2022 APN AWS Top Engineer
本題 ある日のこと、 特定のIAMでS3のオブジェクトをダウンロードしようとすると The ciphertext refers to a customer master
key that does not exist, does not exist in this region, or you are not allowed to access. 訳)このリージョンに存在していない、 もしくはアクセス許可のないカスタマーマスターキー(CMK)で暗号化されています というエラーが発生
実際の構成 アクセス制限をしている箇所 ・IAMユーザ ・KMS ・S3
どこが原因か分からねぇーよ!!
1つずつポリシードキュメントを紐解く その後
犯人を特定
解説 IAMへの接続元IPを制限したい場合、 IAMポリシーへ「aws:SourceIp」を用いたCondition句を設定
ドキュメントにはこのような記載がある https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip
解決策 Condition句に "Null": {"kms:ViaService": "true"} を追加
図示するとこうなる
まとめ AWSの権限まわりは本当に沼 「aws:SourceIp」を用いたCondition句を使うときは要注意!
kentosuzuki
line_developers_tw
chillzprezi
kakehashi
keisuke198619
coosuke
nisei_k
toru_kubota
mame
.PNG){kind=avatar}
aloerina
fullkaiten
belongadmin
akosma
bluesmoon
mojombo
vanstee
lauravandoore
davidbonilla
62gerente
lynnandtonic
iamctodd
quramy
ammeep
tammyeverts
