AWS S3 のバケットポリシーでのアクセス許可

はじめに

AWS のサービスにアクセスする場合にはアクセスキーとシークレットを発行して Credentials の設定を行い、 AWS CLI や SDK を使ってアクセスするということが多いと思います。

S3 ではこの他にバケットポリシーを設定して特定の IPアドレスからのアクセスや VPCエンドポイントからのアクセスを許可するように設定することができます。

調査や解析用のログのデータがバケットに保存されていて色々な環境から利用していたり、AWS を普段使わないプロジェクトのメンバーなども利用する場合にバケットポリシーでアクセス許可すると管理しやすいのではないかと思います。

バケットポリシーの使い方について色々調べて見て分かったことについてまとめておきます。

バケットポリシー覚え書き

バケットポリシーとユーザーポリシーの使用 - Amazon Simple Storage Service

ドキュメントはここにありました。

Effect

Allow または Deny を指定します。ポリシーを複数種類していする場合は Statement の要素を増やして指定できるようです。
Principal

Principal は使用者のような項目です。 * 設定の場合はすべての使用者が許可設定されます。特定のIAMユーザーやIAMロールを指定することもできます。
Action

Action は対象のサービスで行えることを設定します。詳しくはここに書かれていました。ポリシーでのアクセス許可の指定 - Amazon Simple Storage Service

S3 のリードオンリーのアクションを設定するには s3:Get* と s3:List* を設定するようです。
Resource

Resource で対象のバケットを指定します。

arn:aws:s3:::examplebucket は examplebucketバケットへの権限でファイル一覧を取得したりバケット情報取得に必要です。

arn:aws:s3:::examplebucket/* は examplebucket に存在する全てのファイルに対する権限の指定です。
Condition

Condition には IPアドレスやVPCなどその他の条件設定が入ります。

IPアドレスの許可

社内からのアクセスなどはIPアドレスでの許可が設定しやすいと思います。

バケットポリシーの例 - Amazon Simple Storage Service

こちらに例がありました。

下のは IPアドレスにリードオンリー権限を与える例です。 Action, Principal, Resource などは配列で複数指定することができます。 (x.x.x.x/x, y.y.y.y/y, z.z.z.z/z に特定のIPを指定します)

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:Get*",
        "s3:List*"
      ]
      "Resource": [
        "arn:aws:s3:::examplebucket",
        "arn:aws:s3:::examplebucket/*"
      ]
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": [
            "x.x.x.x/x",
            "y.y.y.y/y"
          ]
        }
      }
    }
  ]
}