特定のバケットに特定の IAM User、 IAM Role からのみ接続を許可する
References
注意
操作を間違えるとルートユーザでも操作不可になり、AWS サポート案件になるので注意
基本的にルートユーザは入れるようにしておく
example バケットは基本的に操作不可
ただ下記は操作可能
111111111111
ルートユーザ = AWS のアカウント ID
"XXXXXXXXX:*", "YYYYYYYYY:*"
特定 IAM Role の Rule ID
test01, test02, test03
IAM User
code:yaml
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::example",
"arn:aws:s3:::example/*",
],
"Condition": {
"StringNotLike": {
"aws:userId": [
"111111111111",
"XXXXXXXXX:*",
"YYYYYYYYY:*",
],
"aws:username": [
"test01",
"test02",
"test03"
]
}
}
}
]
}