Bucket Policy

2013年の記事

GPT-4.icon

バケットポリシーは、バケットやオブジェクトなどのS3リソースに適用され、アクセスを許可または拒否する条件を定義します。

バケットポリシーの基本構成要素は以下の通りです：

Resource

ポリシーが適用されるS3バケット、オブジェクト、アクセスポイント、またはジョブ。Amazonリソースネーム（ARN）を使用してリソースを特定します。

Actions

: 各リソースに対してAmazon S3がサポートする一連の操作を特定します。アクションキーワードを使用して、許可（または拒否）するリソース操作を特定します。

Effect

ユーザーが特定のアクションを要求したときの効果を指定します。これは「許可（Allow）」または「拒否（Deny）」のいずれかになります。

Principal

ステートメント内のアクションとリソースにアクセスを許可されるアカウントやユーザーです。

Condition

ポリシーが有効となる条件を指定します。AWS全体のキーとAmazon S3固有のキーを使用して、Amazon S3アクセスポリシー内の条件を指定できます。

バケットポリシーは、クロスアカウントパーミッションの付与、オブジェクトタグを使用したオブジェクトアクセスの管理、組織内のIAMプリンシパルにのみアクセスを許可するなど、さまざまなシナリオに対応できます。

具体的な例として、特定のAWSアカウントに対してオブジェクトのアップロードを許可しながら、バケットオーナーがアップロードされたオブジェクトを完全に制御するためのポリシーがあります。このポリシーでは、bucket-owner-full-controlというキャンドACLをアップロード時に含める必要があります。

また、特定のタグキーと値を持つオブジェクトのみを読むことを許可するポリシーの例もあります。このポリシーでは、s3:ExistingObjectTag条件キーを使用して、特定のタグキーと値を指定します。

バケットポリシーは20KBまでのサイズに制限されています。これらのポリシーを使用すると、バケットやオブジェクトへのアクセスを効果的に管理し、セキュリティを強化できます。