Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
S3からオブジェクトをCMKで暗号化して沼にハマった話
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
Kento Suzuki
August 24, 2022
Technology
90
0
Share
S3からオブジェクトをCMKで暗号化して沼にハマった話
JAWS-UG 名古屋 LT未経験者にも登壇して貰いたいLT会の資料
Kento Suzuki
August 24, 2022
More Decks by Kento Suzuki
See All by Kento Suzuki
コミュニティが変えるキャリアの地平線:コロナ禍新卒入社のエンジニアがAWSコミュニティで見つけた成長の羅針盤
kentosuzuki
0
230
バッドプラクティスから学ぶ ハワイアン航空で行く re:Invent
kentosuzuki
0
500
上流工程に挑戦!「俺の考えた最強サーバレス構成」が一瞬で敗北した件
kentosuzuki
2
390
S3から始めるAWS 〜S3の簡単なユースケースの紹介〜
kentosuzuki
1
790
AWS のポリシー言語 “Cedar” で実現するアクセス制御
kentosuzuki
0
480
探せぇ! お薦めAWSセキュリティワークショップ!!〜 怒涛のワークショップ 48 連戦 〜
kentosuzuki
1
810
SIEM って何? 〜 Amazon OpenSearch で始める SIEM 〜
kentosuzuki
0
1.1k
Verified Accessから始めるゼロトラストセキュリティ
kentosuzuki
2
840
復活のAWS DeepComposer 〜 古代兵器から始める生成系AI 〜
kentosuzuki
0
490
Other Decks in Technology
See All in Technology
知ってた?JavaScriptの"正しさ"を検証するテストが5万以上もあること(Test262)
riyaamemiya
1
170
AI時代に、 データアナリストがデータエンジニアに異動して
jackojacko_
0
530
試作とデモンストレーション / Prototyping and Demonstrations
ks91
PRO
0
200
Anthropic「Long-running a gents」をGeminiで再現してみた
tkikuchi
0
800
[Oracle TechNight#99] 生成AI時代のAI/ML入門 ~ AIとオラクルデータベースの関係 (後半)
oracle4engineer
PRO
3
250
Purview Endpoint DLP 動かしてみた
kozakigh
0
120
Tachikawa.any 運営挨拶
daitasu
0
130
ボトムアップの改善の火を灯し続けろ!〜支援現場で学んだ、消えないための3つの打ち手〜 / 20260509 Kazuki Mori
shift_evolve
PRO
2
600
『生成AI時代のクレデンシャルとパーミッション設計 — Claude Code を起点に』の執筆企画
takuros
3
2.3k
(きっとたぶん)人材育成や教育のような何かの話
sejima
0
670
React 19×Rustツール 進化の「ズレ」を設計で埋める
remrem0090
1
110
生成AIはソフトウェア開発の革命か、ソフトウェア工学の宿題再提出なのか -ソフトウェア品質特性の追加提案-
kyonmm
PRO
2
870
Featured
See All Featured
How to Align SEO within the Product Triangle To Get Buy-In & Support - #RIMC
aleyda
2
1.5k
HTML-Aware ERB: The Path to Reactive Rendering @ RubyCon 2026, Rimini, Italy
marcoroth
1
33
The SEO identity crisis: Don't let AI make you average
varn
0
460
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
kimpetersen
PRO
0
320
Exploring the relationship between traditional SERPs and Gen AI search
raygrieselhuber
PRO
2
3.9k
Stewardship and Sustainability of Urban and Community Forests
pwiseman
0
190
The Spectacular Lies of Maps
axbom
PRO
1
740
Effective software design: The role of men in debugging patriarchy in IT @ Voxxed Days AMS
baasie
0
340
16th Malabo Montpellier Forum Presentation
akademiya2063
PRO
0
120
Kristin Tynski - Automating Marketing Tasks With AI
techseoconnect
PRO
0
240
Chasing Engaging Ingredients in Design
codingconduct
0
180
Efficient Content Optimization with Google Search Console & Apps Script
katarinadahlin
PRO
1
540
Transcript
S3からオブジェクトをCMKで暗号化して沼に ハマった話 Kento Suzuki 2022/08/24 (水) JAWS-UG 名古屋 LT未経験者にも登壇して貰いたいLT会
自己紹介 名前:鈴木健斗 (@k_suzuki_pnx) 所属:アイレット株式会社 経歴: ・東京都在住 ・新卒3年目(エンジニア歴 = 社会人歴) ・2022
APN ALL AWS Certifications Engineer ・2022 APN AWS Top Engineer
本題 ある日のこと、 特定のIAMでS3のオブジェクトをダウンロードしようとすると The ciphertext refers to a customer master
key that does not exist, does not exist in this region, or you are not allowed to access. 訳)このリージョンに存在していない、 もしくはアクセス許可のないカスタマーマスターキー(CMK)で暗号化されています というエラーが発生
実際の構成 アクセス制限をしている箇所 ・IAMユーザ ・KMS ・S3
どこが原因か分からねぇーよ!!
1つずつポリシードキュメントを紐解く その後
犯人を特定
解説 IAMへの接続元IPを制限したい場合、 IAMポリシーへ「aws:SourceIp」を用いたCondition句を設定
ドキュメントにはこのような記載がある https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip
解決策 Condition句に "Null": {"kms:ViaService": "true"} を追加
図示するとこうなる
まとめ AWSの権限まわりは本当に沼 「aws:SourceIp」を用いたCondition句を使うときは要注意!
SiteGround - Reliable hosting with speed, security, and support you can count on.
kentosuzuki
riyaamemiya
jackojacko_
ks91
tkikuchi
oracle4engineer
kozakigh
daitasu
shift_evolve
takuros
sejima
remrem0090
kyonmm
aleyda
marcoroth
varn
kimpetersen
raygrieselhuber
pwiseman
axbom
baasie
akademiya2063
techseoconnect
codingconduct
katarinadahlin
