Submit Search
Upload
わかりづらいS3クロスアカウントアクセス許可に立ち向かおう
•
Download as PPTX, PDF
•
5 likes
•
6,899 views
T
Takashi Toyosaki
Follow
S3クロスアカウントアクセスについて段階的に説明してみました。
Read less
Read more
Internet
Report
Share
Report
Share
1 of 41
Download now
Recommended
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
Amazon Web Services Japan
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
Amazon Web Services Japan
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
Amazon Web Services Japan
20190911 AWS Black Belt Online Seminar AWS Batch
20190911 AWS Black Belt Online Seminar AWS Batch
Amazon Web Services Japan
20190806 AWS Black Belt Online Seminar AWS Glue
20190806 AWS Black Belt Online Seminar AWS Glue
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 Amazon DynamoDB
AWS Black Belt Online Seminar 2017 Amazon DynamoDB
Amazon Web Services Japan
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
Amazon Web Services Japan
AWS Black Belt Tech Webinar 2016 〜 Amazon CloudSearch & Amazon Elasticsearch ...
AWS Black Belt Tech Webinar 2016 〜 Amazon CloudSearch & Amazon Elasticsearch ...
Amazon Web Services Japan
Recommended
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
Amazon Web Services Japan
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
Amazon Web Services Japan
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
Amazon Web Services Japan
20190911 AWS Black Belt Online Seminar AWS Batch
20190911 AWS Black Belt Online Seminar AWS Batch
Amazon Web Services Japan
20190806 AWS Black Belt Online Seminar AWS Glue
20190806 AWS Black Belt Online Seminar AWS Glue
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 Amazon DynamoDB
AWS Black Belt Online Seminar 2017 Amazon DynamoDB
Amazon Web Services Japan
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
Amazon Web Services Japan
AWS Black Belt Tech Webinar 2016 〜 Amazon CloudSearch & Amazon Elasticsearch ...
AWS Black Belt Tech Webinar 2016 〜 Amazon CloudSearch & Amazon Elasticsearch ...
Amazon Web Services Japan
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
Amazon Athena 初心者向けハンズオン
Amazon Athena 初心者向けハンズオン
Amazon Web Services Japan
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
Amazon Web Services Japan
AWS Black Belt - AWS Glue
AWS Black Belt - AWS Glue
Amazon Web Services Japan
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
Amazon Web Services Japan
AWS Black Belt Online Seminar 2016 Amazon EC2 Container Service
AWS Black Belt Online Seminar 2016 Amazon EC2 Container Service
Amazon Web Services Japan
20200721 AWS Black Belt Online Seminar AWS App Mesh
20200721 AWS Black Belt Online Seminar AWS App Mesh
Amazon Web Services Japan
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Amazon Web Services Japan
AWS Black Belt Techシリーズ Elastic Load Balancing (ELB)
AWS Black Belt Techシリーズ Elastic Load Balancing (ELB)
Amazon Web Services Japan
AWSからのメール送信
AWSからのメール送信
Amazon Web Services Japan
Amazon S3を中心とするデータ分析のベストプラクティス
Amazon S3を中心とするデータ分析のベストプラクティス
Amazon Web Services Japan
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
20190320 AWS Black Belt Online Seminar Amazon EBS
20190320 AWS Black Belt Online Seminar Amazon EBS
Amazon Web Services Japan
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
Akihiro Kuwano
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
Amazon Web Services Japan
AWS Black Belt Online Seminar Amazon Aurora
AWS Black Belt Online Seminar Amazon Aurora
Amazon Web Services Japan
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito
Amazon Web Services Japan
[AKIBA.AWS] NLBとPrivateLinkの仕様に立ち向かう
[AKIBA.AWS] NLBとPrivateLinkの仕様に立ち向かう
Shuji Kikuchi
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
都元ダイスケ Miyamoto
Amazon EKS によるスマホゲームのバックエンド運用事例
Amazon EKS によるスマホゲームのバックエンド運用事例
gree_tech
AWSを利用したDR環境構築事例やS3・Redshiftの今年のアップデートのピックアップ
AWSを利用したDR環境構築事例やS3・Redshiftの今年のアップデートのピックアップ
Hiroaki Kato
20180523 S3雑記
20180523 S3雑記
Masaru Ogura
More Related Content
What's hot
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
Amazon Athena 初心者向けハンズオン
Amazon Athena 初心者向けハンズオン
Amazon Web Services Japan
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
Amazon Web Services Japan
AWS Black Belt - AWS Glue
AWS Black Belt - AWS Glue
Amazon Web Services Japan
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
Amazon Web Services Japan
AWS Black Belt Online Seminar 2016 Amazon EC2 Container Service
AWS Black Belt Online Seminar 2016 Amazon EC2 Container Service
Amazon Web Services Japan
20200721 AWS Black Belt Online Seminar AWS App Mesh
20200721 AWS Black Belt Online Seminar AWS App Mesh
Amazon Web Services Japan
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Amazon Web Services Japan
AWS Black Belt Techシリーズ Elastic Load Balancing (ELB)
AWS Black Belt Techシリーズ Elastic Load Balancing (ELB)
Amazon Web Services Japan
AWSからのメール送信
AWSからのメール送信
Amazon Web Services Japan
Amazon S3を中心とするデータ分析のベストプラクティス
Amazon S3を中心とするデータ分析のベストプラクティス
Amazon Web Services Japan
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
20190320 AWS Black Belt Online Seminar Amazon EBS
20190320 AWS Black Belt Online Seminar Amazon EBS
Amazon Web Services Japan
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
Akihiro Kuwano
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
Amazon Web Services Japan
AWS Black Belt Online Seminar Amazon Aurora
AWS Black Belt Online Seminar Amazon Aurora
Amazon Web Services Japan
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito
Amazon Web Services Japan
[AKIBA.AWS] NLBとPrivateLinkの仕様に立ち向かう
[AKIBA.AWS] NLBとPrivateLinkの仕様に立ち向かう
Shuji Kikuchi
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
都元ダイスケ Miyamoto
Amazon EKS によるスマホゲームのバックエンド運用事例
Amazon EKS によるスマホゲームのバックエンド運用事例
gree_tech
What's hot
(20)
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
Amazon Athena 初心者向けハンズオン
Amazon Athena 初心者向けハンズオン
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
AWS Black Belt - AWS Glue
AWS Black Belt - AWS Glue
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
AWS Black Belt Online Seminar 2016 Amazon EC2 Container Service
AWS Black Belt Online Seminar 2016 Amazon EC2 Container Service
20200721 AWS Black Belt Online Seminar AWS App Mesh
20200721 AWS Black Belt Online Seminar AWS App Mesh
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
AWS Black Belt Techシリーズ Elastic Load Balancing (ELB)
AWS Black Belt Techシリーズ Elastic Load Balancing (ELB)
AWSからのメール送信
AWSからのメール送信
Amazon S3を中心とするデータ分析のベストプラクティス
Amazon S3を中心とするデータ分析のベストプラクティス
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
20190320 AWS Black Belt Online Seminar Amazon EBS
20190320 AWS Black Belt Online Seminar Amazon EBS
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
AWS Black Belt Online Seminar Amazon Aurora
AWS Black Belt Online Seminar Amazon Aurora
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito
[AKIBA.AWS] NLBとPrivateLinkの仕様に立ち向かう
[AKIBA.AWS] NLBとPrivateLinkの仕様に立ち向かう
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
Amazon EKS によるスマホゲームのバックエンド運用事例
Amazon EKS によるスマホゲームのバックエンド運用事例
Similar to わかりづらいS3クロスアカウントアクセス許可に立ち向かおう
AWSを利用したDR環境構築事例やS3・Redshiftの今年のアップデートのピックアップ
AWSを利用したDR環境構築事例やS3・Redshiftの今年のアップデートのピックアップ
Hiroaki Kato
20180523 S3雑記
20180523 S3雑記
Masaru Ogura
AWSクラウドデザインパターン(CDP) - コンテンツ配信編 -
AWSクラウドデザインパターン(CDP) - コンテンツ配信編 -
Akio Katayama
20120319 aws meister-reloaded-s3
20120319 aws meister-reloaded-s3
Amazon Web Services Japan
20120319 aws meister-reloaded-s3
20120319 aws meister-reloaded-s3
Amazon Web Services Japan
AWS Solution Architect Associate試験勉強メモ
AWS Solution Architect Associate試験勉強メモ
Tadayasu Yotsu
Azure Functionsを業務利用する時の勘所
Azure Functionsを業務利用する時の勘所
裕之 木下
20121221 AWS re:Invent 凱旋報告
20121221 AWS re:Invent 凱旋報告
真吾 吉田
Running Amazon S3 Encryption
Running Amazon S3 Encryption
Satoru Ishikawa
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
真吾 吉田
AWS Black Belt Techシリーズ Amazon Simple Storage Service (Amazon S3)
AWS Black Belt Techシリーズ Amazon Simple Storage Service (Amazon S3)
Amazon Web Services Japan
Boto3からの解放。python3の標準ライブラリのみでawsサービスを取り扱うには
Boto3からの解放。python3の標準ライブラリのみでawsサービスを取り扱うには
Koitabashi Yoshitaka
超基本! AWS 認定 SA アソシエイト 受験準備 (2020年3月10日)
超基本! AWS 認定 SA アソシエイト 受験準備 (2020年3月10日)
Masanori KAMAYAMA
re:Growth2019 IAM/S3 Access Analyzer
re:Growth2019 IAM/S3 Access Analyzer
Yoshii Ryo
20130309 春のJAWS-UG三都物語 美人CDP
20130309 春のJAWS-UG三都物語 美人CDP
真吾 吉田
AWSへのWindows Server 2003の移行 そして今後インフラとどう向き合うべきか
AWSへのWindows Server 2003の移行 そして今後インフラとどう向き合うべきか
真吾 吉田
20130622 JAWS-UG大阪 ストレージ編(EBS/S3/Glacier)
20130622 JAWS-UG大阪 ストレージ編(EBS/S3/Glacier)
真吾 吉田
LTスライド(ksk_mats)[JAWS-UG 初心者支部#36 しくじりLT大会!!]
LTスライド(ksk_mats)[JAWS-UG 初心者支部#36 しくじりLT大会!!]
Keisuke Matsuda
Data Lake Security on AWS
Data Lake Security on AWS
Amazon Web Services Japan
re:Invent 2021のS3アップデート紹介 & Glacier Instant Retrieval試してみた
re:Invent 2021のS3アップデート紹介 & Glacier Instant Retrieval試してみた
Hideaki Aoyagi
Similar to わかりづらいS3クロスアカウントアクセス許可に立ち向かおう
(20)
AWSを利用したDR環境構築事例やS3・Redshiftの今年のアップデートのピックアップ
AWSを利用したDR環境構築事例やS3・Redshiftの今年のアップデートのピックアップ
20180523 S3雑記
20180523 S3雑記
AWSクラウドデザインパターン(CDP) - コンテンツ配信編 -
AWSクラウドデザインパターン(CDP) - コンテンツ配信編 -
20120319 aws meister-reloaded-s3
20120319 aws meister-reloaded-s3
20120319 aws meister-reloaded-s3
20120319 aws meister-reloaded-s3
AWS Solution Architect Associate試験勉強メモ
AWS Solution Architect Associate試験勉強メモ
Azure Functionsを業務利用する時の勘所
Azure Functionsを業務利用する時の勘所
20121221 AWS re:Invent 凱旋報告
20121221 AWS re:Invent 凱旋報告
Running Amazon S3 Encryption
Running Amazon S3 Encryption
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜
AWS Black Belt Techシリーズ Amazon Simple Storage Service (Amazon S3)
AWS Black Belt Techシリーズ Amazon Simple Storage Service (Amazon S3)
Boto3からの解放。python3の標準ライブラリのみでawsサービスを取り扱うには
Boto3からの解放。python3の標準ライブラリのみでawsサービスを取り扱うには
超基本! AWS 認定 SA アソシエイト 受験準備 (2020年3月10日)
超基本! AWS 認定 SA アソシエイト 受験準備 (2020年3月10日)
re:Growth2019 IAM/S3 Access Analyzer
re:Growth2019 IAM/S3 Access Analyzer
20130309 春のJAWS-UG三都物語 美人CDP
20130309 春のJAWS-UG三都物語 美人CDP
AWSへのWindows Server 2003の移行 そして今後インフラとどう向き合うべきか
AWSへのWindows Server 2003の移行 そして今後インフラとどう向き合うべきか
20130622 JAWS-UG大阪 ストレージ編(EBS/S3/Glacier)
20130622 JAWS-UG大阪 ストレージ編(EBS/S3/Glacier)
LTスライド(ksk_mats)[JAWS-UG 初心者支部#36 しくじりLT大会!!]
LTスライド(ksk_mats)[JAWS-UG 初心者支部#36 しくじりLT大会!!]
Data Lake Security on AWS
Data Lake Security on AWS
re:Invent 2021のS3アップデート紹介 & Glacier Instant Retrieval試してみた
re:Invent 2021のS3アップデート紹介 & Glacier Instant Retrieval試してみた
わかりづらいS3クロスアカウントアクセス許可に立ち向かおう
1.
わかりづらい S3クロスアカウント アクセス許可に立ち向かおう 2018/3/23 AWS事業部 豊崎隆 1
2.
スライドは後で入手することが出来ますので 発表中の内容をメモする必要はありません。 写真撮影をする場合は フラッシュ・シャッター音が出ないようにご配慮ください
3.
3自己紹介 豊崎 隆 • クラスメソッド株式会社 •
AWS事業部 • アーキテクトグループ所属 • 2017年1月入社 • ソリューションアーキテクト • CloudFormationとWorkSpacesが 好きです
4.
4Agenda 本日、目指すところ S3の権限で出てくるわかりづらいこと
段階的に理解するS3のクロスアカウントアクセス まとめ
5.
5本日、目指すところ 本日、理解したい内容
6.
6本日、目指すところ 「AWSアカウント:A」が所有するS3バケット内の 「AWSアカウント:B」が置いたオブジェクトに対して 「AWSアカウント:C」のIAMユーザがアクセスする方法
7.
7S3の権限で出てくるわかりづらいこと S3の権限の話になると 出てくるわかりづらい言葉たち
8.
8S3の権限で出てくるわかりづらいこと バケット所有者 オブジェクト所有者
User policy(IAMに利用) Bucket policy Bucket ACL object ACL Trust policy
9.
9S3の権限で出てくるわかりづらいこと バケット所有者 オブジェクト所有者
User policy(IAMに利用) Bucket policy Bucket ACL object ACL Trust policy
10.
10S3の権限で出てくるわかりづらいこと バケット所有者 ・バケットを所有しているAWSアカウント
11.
11S3の権限で出てくるわかりづらいこと バケット所有者 オブジェクト所有者
User policy(IAMに利用) Bucket policy Bucket ACL object ACL Trust policy
12.
12S3の権限で出てくるわかりづらいこと バケット所有者 オブジェクト所有者
User policy(IAMに利用) Bucket policy Bucket ACL object ACL Trusted policy
13.
13S3の権限で出てくるわかりづらいこと オブジェクト所有者 ・オブジェクトを所有しているAWSアカウント
14.
14S3の権限で出てくるわかりづらいこと バケット所有者 オブジェクト所有者
User policy(IAMに利用) Bucket policy Bucket ACL object ACL Trust policy
15.
15S3の権限で出てくるわかりづらいこと 複数ある権限制御の方法が S3の権限をわかりづらくしている User policy(IAMに利用)
Bucket policy Bucket ACL object ACL
16.
16S3の権限で出てくるわかりづらいこと 頑張って理解してみましょう
17.
17S3の権限で出てくるわかりづらいこと User policy IAMに利用するポリシー -
AWSアカウント内のIAMユーザ/ロールに対する アクセス許可の管理を行えます
18.
18S3の権限で出てくるわかりづらいこと User policy User
policyを利用したアクセス許可の管理イメージ ・許可したい権限に応じた IAMポリシーを割り当てます 読み取りできるバケット Aさん:xyz Bさん:abc,xyz C-Fさん:abc
19.
19S3の権限で出てくるわかりにくいこと Bucket policy S3
Bucketに対するポリシー 以下のケースで利用します - バケット所有者が AWSアカウント内のIAMユーザ/ロールに対して アクセス許可の管理を行う場合 - クロスアカウントのアクセス許可を管理する場合
20.
20S3の権限で出てくるわかりにくいこと Bucket ACL S3
Bucketに対するアクセスコントロールリスト 推奨されるケースは上記一つだけです。 Amazon S3のログ配信グループに書き込みアクセスを許可する場合 ※S3のアクセスログを記録するために使用
21.
21S3の権限で出てくるわかりにくいこと Object ACL 個々のS3
オブジェクトに対する アクセスコントロールリスト バケットの所有者が、オブジェクトの所有者ではない場合、 オブジェクトへのアクセスを管理する、唯一の方法です バケットの所有者=オブジェクトの所有者 の場合は Bucket policyやUser policyで代用可能です。
22.
22S3の権限で出てくるわかりづらいこと そしてもう一つ わかりづらいこと
23.
23S3の権限で出てくるわかりづらいこと バケット所有者 オブジェクト所有者
User policy(IAMに利用) Bucket policy Bucket ACL object ACL Trust policy
24.
24S3の権限で出てくるわかりにくいこと Trust Policy 別のAWSアカウントおよびIAMユーザに対して 権限を委譲する仕組み 詳しくは弊社ブログをご参照ください 参考:
https://dev.classmethod.jp/cloud/aws/iam-role-and-assumerole/
25.
25S3の権限で出てくるわかりにくいこと 結局どうすればS3のオブジェクトにアクセスできるの?
26.
26S3の権限で出てくるわかりにくいこと IAMユーザ/ロールがS3のオブジェクトにアクセスするには 1)自分が所属するAWSアカウントからの許可 2)アクセスしたいリソースを所有するAWSアカウントからの許可 2-1)バケット所有者=オブジェクト所有者の場合 ・バケット兼オブジェクト所有者からの許可 2-2)バケット所有者≠オブジェクト所有者の場合 ・バケット所有者からの許可 ・オブジェクト所有者からの許可 1)+2)が満たされている必要があります。
27.
27段階的に理解する:4つのケース ここからが本番
28.
28段階的に理解する:4つのケース 1)1つのAWSアカウント内で完結する場合 2)2つのAWSアカウントが登場し、 別のAWSアカウントのS3bucketにオブジェクトを置きたい場合 3)2つのAWSアカウントが登場し、 2)で置かれたオブジェクトに 置かれた側のAWSアカウント内からアクセスしたい場合 4)3つのAWSアカウントが登場し、 2)で置かれたオブジェクトに 3つめのAWSアカウント側からアクセスしたい場合
29.
29段階的に理解する:その1 1)1つのAWSアカウント内で完結する場合 >バケット所有者がIAMユーザーにバケットのアクセス許可を付与 BucketPolicyの代わりに UserPolicyで許可でもOK
30.
30思い出してほしいこと Object ACL 個々のS3
オブジェクトに対する アクセスコントロールリスト バケットの所有者が、オブジェクトの所有者ではない場合、 オブジェクトへのアクセスを管理する、唯一の方法です バケットの所有者=オブジェクトの所有者 の場合は Bucket policyやUser policyで代用可能です。
31.
31段階的に理解する:その2 2)2つのAWSアカウントが登場し、 別のAWSアカウントのS3にオブジェクトを置きたい場合 >バケット所有者がクロスアカウントアクセス許可を付与
32.
32思い出してほしいこと Bucket policy S3
Bucketに対するポリシー 以下のケースで利用します - バケット所有者が AWSアカウント内のIAMユーザ/ロールに対して アクセス許可の管理を行う場合 - クロスアカウントのアクセス許可を管理する場合
33.
33段階的に理解する:その3 3)2つのAWSアカウントが登場し、2)で置かれたオブジェクトに 置かれた側のAWSアカウント内からアクセスしたい場合 >バケット所有者が自分の所有してないオブジェクトへの アクセス許可をユーザーに付与
34.
34思い出してほしいこと Object ACL 個々のS3
オブジェクトに対する アクセスコントロールリスト バケットの所有者が、オブジェクトの所有者ではない場合、 オブジェクトへのアクセスを管理する、唯一の方法です バケットの所有者=オブジェクトの所有者 の場合は Bucket policyやUser policyで代用可能です。
35.
35段階的に理解する:その4 4)3つのAWSアカウントが登場し、2)で置かれたオブジェクトに 3つめのAWSアカウント側からアクセスしたい場合 >バケット所有者が自分が所有してないオブジェクトへの クロスアカウントアクセス許可を付与
36.
36思い出して、ちょっと考える Trust Policy 別のAWSアカウントおよびIAMユーザに対して 権限を委譲する仕組み なぜTrust
Policyを使うのか? >バケット所有者とオブジェクト所有者が異なる場合、 バケット所有者はオブジェクトに対する権限を 他のAWSアカウントに委譲することはできないため
37.
37段階的に理解する:4つのケース →IAMユーザ視点で考えるとすべてのケースで以下を満たす ・所属するAWSアカウントからのS3アクセス許可 ・リソースを所有するAWSアカウントからのアクセス許可 ・ バケット ・オブジェクト
38.
38まとめ S3で権限管理を行うときは IAM User目線で2点を確認すればOK! 正しい権限で正しいS3ライフを送りましょう
39.
39参考 本日ご紹介した4つのケースがまとまった AWSのチュートリアルがありますので、ご参考ください。 参考:Amazon S3 リソースへのアクセスの管理 https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/dev/example-walkthroughs-managing- access.html
40.
40謝辞 ご清聴ありがとうございました!
41.
41
Editor's Notes
・User policy ・Bucket policy はAWSアカウント内のIAMユーザ/ロールに対するアクセス許可の管理を行えます。 どちらで許可してもOKです。
Download now