S3の削除をさせないバケットポリシー
code:json
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:Delete*",
"Resource": [
"arn:aws:s3:::(BucketName)",
"arn:aws:s3:::(BucketName)/*"
]
}
]
}
削除系の操作をさせないバケットポリシー
誤って管理者権限を持ったユーザーで削除してしまわない対策
ルートアカウントはもちろん削除できるけど、制限できないのでここはしょうがない。
そもそもルートアカウントでの作業は、本当にいざというとき以外使わないようにしたほうが良い。
バケットポリシーは更新できる
あくまで事故防止が目的削除してしまわない対策なので
より強力にするならバケットポリシー自体の操作も拒否すると良さそう
ルートアカウント以外は操作できなくなるので、ルートアカウントが気軽に使えない場合はかなり慎重に設定が必要