특정 S3 버킷에만 액세스하는 정책을 30초 만에 작성
여러가지 조사했지만, 어쨌든 패턴이 너무 많아서 무서운
그래서 가장 간단하고 강력하다고 생각한 패턴만 씁니다.
(다르면 꼭 지적해 주세요!)
hogehoge.com을 교체하여 사용하십시오.
(여기서 cloudfront에서 정적 페이지를 전달하는 유스 케이스를 가정합니다)
s3-singlebucket-policy.json# テンプレ
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::hogehoge.com",
"arn:aws:s3:::hogehoge.com/*"
]
},
{
"Effect": "Deny",
"NotAction": "s3:*",
"NotResource": [
"arn:aws:s3:::hogehoge.com",
"arn:aws:s3:::hogehoge.com/*"
]
}
]
}
사용하는 것은 "iam 사용자"
여러가지 설정의 방법이 있을까 생각합니다만, 나는 상기 정책을 작성 후,
해당 정책을 적용한 사용자를 버킷별로 만들고 있습니다.
(플러그매틱 액세스를 유효로 ・Management 콘솔은 OFF)
Cyberduck 또는 Transmit에서 사용할 때
"지정 버킷을 기본 경로"로 지정하지 않으면 오류가 발생합니다. (기본값은 전체 버킷을 List하려고 하기 때문에)
CyberDuck라고 「QuickConnect」에 그 옵션이 없는 만큼 가볍게 빠졌습니다.
보통 「신규 작성」에서 상세 설정을 지정해 주면 OK!
Transmit:
CyberDuck:
자세한 내용은
보안 모범 사례입니까?
이것으로 제가 요구하고 있던 것은 실현(작업자마다 개별의 버킷 액세스를 관리 - 관리자만 복수 버킷에 액세스 가능) 할 수 있습니다만,
AWS 공부중의 몸이므로 이것으로 완전한지는 모릅니다.
구체적으로는 「정책·Deny」를 웃도는 권한 설정을 할 수 있을까, 앞으로 조사하고 싶습니다.
「S3 전원 보이 버리는 운용」으로부터의 스텝 업으로서는 상기에서도 충분히 유효, 정도로 읽어 주시면.
Reference
이 문제에 관하여(특정 S3 버킷에만 액세스하는 정책을 30초 만에 작성), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/taiyodayo/items/9030f8fee807bf18d4a2
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
# テンプレ
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::hogehoge.com",
"arn:aws:s3:::hogehoge.com/*"
]
},
{
"Effect": "Deny",
"NotAction": "s3:*",
"NotResource": [
"arn:aws:s3:::hogehoge.com",
"arn:aws:s3:::hogehoge.com/*"
]
}
]
}
여러가지 설정의 방법이 있을까 생각합니다만, 나는 상기 정책을 작성 후,
해당 정책을 적용한 사용자를 버킷별로 만들고 있습니다.
(플러그매틱 액세스를 유효로 ・Management 콘솔은 OFF)
Cyberduck 또는 Transmit에서 사용할 때
"지정 버킷을 기본 경로"로 지정하지 않으면 오류가 발생합니다. (기본값은 전체 버킷을 List하려고 하기 때문에)
CyberDuck라고 「QuickConnect」에 그 옵션이 없는 만큼 가볍게 빠졌습니다.
보통 「신규 작성」에서 상세 설정을 지정해 주면 OK!
Transmit:
CyberDuck:
자세한 내용은
보안 모범 사례입니까?
이것으로 제가 요구하고 있던 것은 실현(작업자마다 개별의 버킷 액세스를 관리 - 관리자만 복수 버킷에 액세스 가능) 할 수 있습니다만,
AWS 공부중의 몸이므로 이것으로 완전한지는 모릅니다.
구체적으로는 「정책·Deny」를 웃도는 권한 설정을 할 수 있을까, 앞으로 조사하고 싶습니다.
「S3 전원 보이 버리는 운용」으로부터의 스텝 업으로서는 상기에서도 충분히 유효, 정도로 읽어 주시면.
Reference
이 문제에 관하여(특정 S3 버킷에만 액세스하는 정책을 30초 만에 작성), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/taiyodayo/items/9030f8fee807bf18d4a2
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
보안 모범 사례입니까?
이것으로 제가 요구하고 있던 것은 실현(작업자마다 개별의 버킷 액세스를 관리 - 관리자만 복수 버킷에 액세스 가능) 할 수 있습니다만,
AWS 공부중의 몸이므로 이것으로 완전한지는 모릅니다.
구체적으로는 「정책·Deny」를 웃도는 권한 설정을 할 수 있을까, 앞으로 조사하고 싶습니다.
「S3 전원 보이 버리는 운용」으로부터의 스텝 업으로서는 상기에서도 충분히 유효, 정도로 읽어 주시면.
Reference
이 문제에 관하여(특정 S3 버킷에만 액세스하는 정책을 30초 만에 작성), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/taiyodayo/items/9030f8fee807bf18d4a2
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
Reference
이 문제에 관하여(특정 S3 버킷에만 액세스하는 정책을 30초 만에 작성), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/taiyodayo/items/9030f8fee807bf18d4a2텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
좋은 웹페이지 즐겨찾기
