Bucket Policy
2013年の記事
GPT-4.icon
バケットポリシーは、バケットやオブジェクトなどのS3リソースに適用され、アクセスを許可または拒否する条件を定義します。
バケットポリシーの基本構成要素は以下の通りです:
Resource
ポリシーが適用されるS3バケット、オブジェクト、アクセスポイント、またはジョブ。Amazonリソースネーム(ARN)を使用してリソースを特定します。
Actions
: 各リソースに対してAmazon S3がサポートする一連の操作を特定します。アクションキーワードを使用して、許可(または拒否)するリソース操作を特定します。
Effect
ユーザーが特定のアクションを要求したときの効果を指定します。これは「許可(Allow)」または「拒否(Deny)」のいずれかになります。
Principal
ステートメント内のアクションとリソースにアクセスを許可されるアカウントやユーザーです。
Condition
ポリシーが有効となる条件を指定します。AWS全体のキーとAmazon S3固有のキーを使用して、Amazon S3アクセスポリシー内の条件を指定できます。
バケットポリシーは、クロスアカウントパーミッションの付与、オブジェクトタグを使用したオブジェクトアクセスの管理、組織内のIAMプリンシパルにのみアクセスを許可するなど、さまざまなシナリオに対応できます。
具体的な例として、特定のAWSアカウントに対してオブジェクトのアップロードを許可しながら、バケットオーナーがアップロードされたオブジェクトを完全に制御するためのポリシーがあります。このポリシーでは、bucket-owner-full-controlというキャンドACLをアップロード時に含める必要があります。
また、特定のタグキーと値を持つオブジェクトのみを読むことを許可するポリシーの例もあります。このポリシーでは、s3:ExistingObjectTag条件キーを使用して、特定のタグキーと値を指定します。
バケットポリシーは20KBまでのサイズに制限されています。これらのポリシーを使用すると、バケットやオブジェクトへのアクセスを効果的に管理し、セキュリティを強化できます。