Lock in $30 Savings on PRO—Offer Ends Soon! ⏳
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
S3からオブジェクトをCMKで暗号化して沼にハマった話
Search
Kento Suzuki
August 24, 2022
Technology
0
81
S3からオブジェクトをCMKで暗号化して沼にハマった話
JAWS-UG 名古屋 LT未経験者にも登壇して貰いたいLT会の資料
Kento Suzuki
August 24, 2022
Tweet
Share
More Decks by Kento Suzuki
See All by Kento Suzuki
バッドプラクティスから学ぶ ハワイアン航空で行く re:Invent
kentosuzuki
0
440
上流工程に挑戦!「俺の考えた最強サーバレス構成」が一瞬で敗北した件
kentosuzuki
2
340
S3から始めるAWS 〜S3の簡単なユースケースの紹介〜
kentosuzuki
1
720
AWS のポリシー言語 “Cedar” で実現するアクセス制御
kentosuzuki
0
440
探せぇ! お薦めAWSセキュリティワークショップ!!〜 怒涛のワークショップ 48 連戦 〜
kentosuzuki
1
760
SIEM って何? 〜 Amazon OpenSearch で始める SIEM 〜
kentosuzuki
0
980
Verified Accessから始めるゼロトラストセキュリティ
kentosuzuki
1
760
復活のAWS DeepComposer 〜 古代兵器から始める生成系AI 〜
kentosuzuki
0
420
新卒入社が考える 『AWSではじめるクラウドセキュリティ』を読むタイミング
kentosuzuki
0
780
Other Decks in Technology
See All in Technology
計算機科学をRubyと歩む 〜DFA型正規表現エンジンをつくる~
ydah
3
230
ガバメントクラウド利用システムのライフサイクルについて
techniczna
0
190
Playwrightのソースコードに見る、自動テストを自動で書く技術
yusukeiwaki
13
5.2k
Gemini でコードレビュー知見を見える化
zozotech
PRO
1
240
生成AI活用の型ハンズオン〜顧客課題起点で設計する7つのステップ
yushin_n
0
130
非CUDAの悲哀 〜Claude Code と挑んだ image to 3D “Hunyuan3D”を EVO-X2(Ryzen AI Max+395)で動作させるチャレンジ〜
hawkymisc
1
170
OCI Oracle Database Services新機能アップデート(2025/09-2025/11)
oracle4engineer
PRO
1
110
AWS re:Invent 2025で見たGrafana最新機能の紹介
hamadakoji
0
320
AWS Bedrock AgentCoreで作る 1on1支援AIエージェント 〜Memory × Evaluationsによる実践開発〜
yusukeshimizu
6
380
Challenging Hardware Contests with Zephyr and Lessons Learned
iotengineer22
0
180
LLM-Readyなデータ基盤を高速に構築するためのアジャイルデータモデリングの実例
kashira
0
230
ログ管理の新たな可能性?CloudWatchの新機能をご紹介
ikumi_ono
1
640
Featured
See All Featured
The Straight Up "How To Draw Better" Workshop
denniskardys
239
140k
Become a Pro
speakerdeck
PRO
31
5.7k
Building Applications with DynamoDB
mza
96
6.8k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
31
9.8k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
12
970
We Have a Design System, Now What?
morganepeng
54
7.9k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
32
2.7k
The Pragmatic Product Professional
lauravandoore
37
7.1k
Building Flexible Design Systems
yeseniaperezcruz
330
39k
Designing for Performance
lara
610
69k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
17k
Transcript
S3からオブジェクトをCMKで暗号化して沼に ハマった話 Kento Suzuki 2022/08/24 (水) JAWS-UG 名古屋 LT未経験者にも登壇して貰いたいLT会
自己紹介 名前:鈴木健斗 (@k_suzuki_pnx) 所属:アイレット株式会社 経歴: ・東京都在住 ・新卒3年目(エンジニア歴 = 社会人歴) ・2022
APN ALL AWS Certifications Engineer ・2022 APN AWS Top Engineer
本題 ある日のこと、 特定のIAMでS3のオブジェクトをダウンロードしようとすると The ciphertext refers to a customer master
key that does not exist, does not exist in this region, or you are not allowed to access. 訳)このリージョンに存在していない、 もしくはアクセス許可のないカスタマーマスターキー(CMK)で暗号化されています というエラーが発生
実際の構成 アクセス制限をしている箇所 ・IAMユーザ ・KMS ・S3
どこが原因か分からねぇーよ!!
1つずつポリシードキュメントを紐解く その後
犯人を特定
解説 IAMへの接続元IPを制限したい場合、 IAMポリシーへ「aws:SourceIp」を用いたCondition句を設定
ドキュメントにはこのような記載がある https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip
解決策 Condition句に "Null": {"kms:ViaService": "true"} を追加
図示するとこうなる
まとめ AWSの権限まわりは本当に沼 「aws:SourceIp」を用いたCondition句を使うときは要注意!
kentosuzuki
ydah
techniczna
yusukeiwaki
zozotech
yushin_n
hawkymisc
oracle4engineer
hamadakoji
yusukeshimizu
iotengineer22
kashira
ikumi_ono
denniskardys
speakerdeck
mza
eileencodes
tammyeverts
morganepeng
bluesmoon
lauravandoore
yeseniaperezcruz
lara
samlambert
afnizarnur
