Upgrade to Pro — share decks privately, control downloads, hide ads and more …

何が嬉しい?S3 Object ACL無効化 - 聞いた後、速攻で忘れていい知識をお届けします -

Avatar for takashi takashi
December 09, 2021
Technology
4.2k
0

何が嬉しい?S3 Object ACL無効化 - 聞いた後、速攻で忘れていい知識をお届けします -

2021/12/7に開催されたre:Growth ONLINE 2021で
re:Invent 2021で発表されたAmazon S3 Object ACLの無効化について
登壇しました。

Avatar for takashi

takashi

December 09, 2021

More Decks by takashi

See All by takashi
新卒研修に仕掛ける 学びのサイクル / Implementing Learning Cycles in New Graduate Training
Avatar for takashi takashi_toyosaki
1
360
組織拡大における マネージャーオンボーディング / Manager Onboarding in Organizational Expansion
Avatar for takashi takashi_toyosaki
2
580
アウトプット文化による第一想起を育てる
Avatar for takashi takashi_toyosaki
6
1.4k
キャリアと組織の成長塾#1 アスリートからエンジニアの道へ
Avatar for takashi takashi_toyosaki
3
1.8k
AWS認定資格取得に向けたクラスメソッドの組織的支援と正攻法の学習
Avatar for takashi takashi_toyosaki
0
5.6k
Amazon WorkSpaces事例 NTTドコモ様
Avatar for takashi takashi_toyosaki
0
1.8k
AWSのVDI WorkSpacesを使って テレワーク環境を実装するときの勘所
Avatar for takashi takashi_toyosaki
0
6.2k
AWS Outposts サービス概要とユースケース
Avatar for takashi takashi_toyosaki
0
2.4k
AWSに超詳しいエンジニアが 育つ環境をつくる方法
Avatar for takashi takashi_toyosaki
6
29k

Other Decks in Technology

See All in Technology
"まず試す"ためのDatabricks Apps活用法 / Databricks Apps for Early Experiments and Validation
Avatar for NTT docomo Business nttcom
1
230
Strands Agents × Amazon Bedrock AgentCoreで パーソナルAIエージェントを作ろう
Avatar for yoko / Naoki Yokomachi yokomachi
2
260
さくらのAI Engineから始める クラウドネイティブ意識
Avatar for Melonps melonps
0
130
今年60歳のおっさんCBになる
Avatar for Hiroo Katoh kentapapa
1
360
ふりかえりを 「あそび」にしたら、 学習が勝手に進んだ / Playful Retros Drive Learning
Avatar for katoaz katoaz
0
440
AIがコードを書く時代の ジェネレーティブプログラミング
Avatar for polidog polidog
PRO
3
670
自己組織化を試される緑茶ハイを求めて、今日も全力であそんで学ぼう / Self-Organization and Shochu Green Tea
Avatar for naiban naitosatoshi
0
340
数案件を同時に進行するためのコンテキスト整理術
Avatar for sutetotanuki sutetotanuki
1
170
Hello UUID
Avatar for mimifuwacc mimifuwacc
0
130
シン・リスコフの置換原則 〜現代風に考えるSOLIDの原則〜
Avatar for Watanabe Jin jinwatanabe
0
180
システムは「動く」だけでは足りない 実装編 - 非機能要件・分散システム・トレードオフをコードで見る
Avatar for nwiizo nwiizo
2
310
Kubernetes基盤における開発者体験 とセキュリティの両⽴ / Balancing developer experience and security in a Kubernetes-based environment
Avatar for mekka chmikata
0
230

Featured

See All Featured
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
254
22k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
672
58k
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
408
66k
State of Search Keynote: SEO is Dead Long Live SEO
Avatar for Ryan Jones ryanjones
0
170
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
Avatar for Aleyda Solis aleyda
2
10k
Jess Joyce - The Pitfalls of Following Frameworks
Avatar for Tech SEO Connect techseoconnect
PRO
1
130
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
249
1.3M
The SEO Collaboration Effect
Avatar for Kristina Bergwall kristinabergwall1
0
420
sira's awesome portfolio website redesign presentation
Avatar for ElsiraPls elsirapls
0
210
Designing Experiences People Love
Avatar for Jonathan Moore moore
143
24k
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
234
18k
Fireside Chat
Avatar for paigeccino paigeccino
42
3.9k

Transcript

  1. 何が嬉しい︖S3 Object ACL無効化 2021/12/7 コンサルティング部 豊崎 隆 聞いた後、速攻で忘れていい知識をお届けします

  2. 2 自己紹介 豊﨑 隆 AWS 事業本部 コンサルティング部 マネージャー 2021 APN

    ALL AWS Certifications Engineers

  3. 3 re:Invent 2021 S3関連アップデート

  4. 4 S3関連Update たくさんS3のアップデートがありました。

  5. 5 S3関連Update たくさんS3のアップデートがありました。

  6. 6 S3関連Update

  7. 7 これについて話します Amazon S3 Object OwnershipでACL無効化

  8. 8 どういうUpdate? S3 Object ACLを無効化(BacketOwnerEnforced)が可能に なりました →設定することでS3バケット内のオブジェクトは全てS3 バケットを所有しているアカウントのものになります

  9. 9 どゆこと? ???

  10. 10 1つ目の前提 S3には歴史的背景から複数の制御方法が存在します。 • Object ACL • Bucket ACL •

    User Policy(IAM) • Bucket Policy • Trust Policy アクセスコントロールリスト ポリシー

  11. 11 1つ目の前提 S3には歴史的背景から複数の制御方法が存在します。 • Object ACL • Bucket ACL •

    User Policy(IAM) • Bucket Policy • Trust Policy アクセスコントロールリスト ポリシー ここが無効化できるようにな りました!

  12. 12 2つ目の前提 S3には所有者という考え方が存在 • バケット所有者 = AWSアカウントA • オブジェクト所有者 =

    AWSアカウントB Amazon Simple Storage Service (Amazon S3) Object AWSアカウント A AWSアカウント B

  13. 13 具体的な例 アカウントB配下のオブジェクトをAのS3にPutしても • バケット所有者 • オブジェクト所有者 Amazon Simple Storage

    Service (Amazon S3) Object AWSアカウント A AWSアカウント B アカウントBの許可がないと アカウントAはオブジェクトへ アクセスできません

  14. 14 具体的な例 Amazon Simple Storage Service (Amazon S3) Object AWSアカウント

    A AWSアカウント B バケット所有者への フルアクセス権を オブジェクトに付与する Object ACL バケット所有者(=A)にフルア クセス許可を付与しないとBか らバケットを使わせない Bucket Policy

  15. 15 まだ所有者はこのまま • バケット所有者 = AWSアカウントA • オブジェクト所有者 = AWSアカウントB

    Amazon Simple Storage Service (Amazon S3) Object AWSアカウント A AWSアカウント B バケット所有者(=A)にフルア クセス許可を付与しないとBから バケットを使わせない Bucket Policy バケット所有者への フルアクセス権を オブジェクトに付与する Object ACL

  16. 16 2020年Update オブジェクトオーナーシップ設定 オブジェクトが既定ACLの bucket-owner-full-control を指定してアップロ ードされた場合、バケット所有者がオブジェクトを所有する Amazon Simple Storage

    Service (Amazon S3) Object AWSアカウント A AWSアカウント B バケット所有者(=A)にフルア クセス許可を付与しないとBから バケットを使わせない Bucket Policy バケット所有者への フルアクセス権を オブジェクトに付与する Object ACL

  17. 17 オブジェクト所有者が変わった! • バケット所有者 = AWSアカウントA • オブジェクト所有者 = AWSアカウントA

    Amazon Simple Storage Service (Amazon S3) Object AWSアカウント A AWSアカウント B バケット所有者(=A)にフルア クセス許可を付与しないとBから バケットを使わせない Bucket Policy バケット所有者への フルアクセス権を オブジェクトに付与する Object ACL

  18. 18 でもまだややこしい Amazon Simple Storage Service (Amazon S3) Object AWSアカウント

    A AWSアカウント B バケット所有者(=A)にフルア クセス許可を付与しないとBから バケットを使わせない Bucket Policy バケット所有者への フルアクセス権を オブジェクトに付与する Object ACL

  19. 19 そこで今回のUpdateの登場! Amazon S3 Object OwnershipでACL無効化

  20. 20 シンプル! S3 Object ACLを無効化(BacketOwnerEnforced)すること でバケットに入れたオブジェクトは強制的にバケット所 有者のものとする!!となりました Amazon Simple Storage

    Service (Amazon S3) Object AWSアカウント A AWSアカウント B Amazon S3 Object Ownership = BucketOwnerEnforced 設定不要! ACLの設定してたとしても BOEに負ける!

  21. 21 シンプル! シンプルに別AWSアカウントからのオブジェクトが利用 できる!嬉しい! Amazon Simple Storage Service (Amazon S3)

    Object AWSアカウント A AWSアカウント B Amazon S3 Object Ownership = BucketOwnerEnforced

  22. 22 今までありがとうS3 Object ACL 本UpdateにてS3 Object ACLのユースケースがなくなった

  23. 23 まとめ • S3 には複数の権限制御と所有者という考え方がある • S3 Object所有者に対するACL無効が可能になったこと でS3 Object

    ACLが役目を終えた • 今後はポリシーだけ考えて管理すればOK
  24. None