Amazon S3 の条件キー
アクセスポリシー言語では、アクセス許可を付与するときの条件を指定することができます。ポリシーが有効なときの条件を指定するには、オプションの Condition 要素または Condition ブロックを使用して、ポリシーが有効になるときの条件を指定します。Amazon S3 のアクセスポリシーの条件は、事前定義済みの AWS 全体のキーと Amazon
S3 固有のキーを使用して指定することができます。
Condition エレメントに、ブール演算子 (等しい、未満など) を使用する演算式を構築し、リクエストの値に対する条件を適合させます。たとえば、オブジェクトをアップロードするアクセス許可を付与する場合、バケット所有者は以下のように
StringEquals 条件を追加して、オブジェクトをパブリックに読み取り可能にするよう要求することができます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "statement1", "Effect": "Allow", "Action": "s3:PutObject", "Resource": [ "arn:aws:s3:::awsexamplebucket1/*" ], "Condition": { "StringEquals": { "s3:x-amz-acl": "public-read" } } } ] }
この例で、Condition ブロックは指定されたキーと値のペア "s3:x-amz-acl":["public-read"] に適用される StringEquals 条件を指定します。条件の表現に使用できる、事前に定義された一連のキーがあります。この例では、s3:x-amz-acl 条件キーを使用しています。この条件では、public-read の値が指定された x-amz-acl ヘッダーをすべての PUT Object リクエストに含めることがユーザーに求められます。
トピック
AWS 全体の条件キー
AWS には、AWS のすべてのサービスでポリシーをサポートする一連の共通のキーが用意されています。これらのキーは AWS 全体のキーと呼ばれ、プレフィックスとして aws: を使用します。AWS 全体の条件キーの一覧については、IAM ユーザーガイドの「AWS グローバル条件コンテキストキー」を参照してください。
Amazon S3 では、AWS 全体の条件キーを使用できます。以下のバケットポリシー例は、リクエストが指定された範囲の IP アドレス (192.0.2.0.*、ただし
192.0.2.188 を除く) から発信される場合に、認証ユーザーに s3:GetObject アクションを使用するアクセス許可を付与します。条件ブロックの IpAddress と NotIpAddress は条件であり、それぞれの条件では評価されるキーと値のペアが指定されています。この例の両方のキーと値のペアでは、AWS 全体のキーの aws:SourceIp が使用されています。
条件で指定されている IPAddress と NotIpAddress のキー値は、RFC 4632 の CIDR 表記を使用していることに注意してください。詳細については、http://www.rfc-editor.org/rfc/rfc4632.txt
{ "Version": "2012-10-17", "Id": "S3PolicyId1", "Statement": [ { "Sid": "statement1", "Effect": "Allow", "Principal": "*", "Action":"s3:GetObject", "Resource": "arn:aws:s3:::awsexamplebucket1/*", "Condition" : { "IpAddress" : { "aws:SourceIp": "192.0.2.0/24" }, "NotIpAddress" : { "aws:SourceIp": "192.0.2.188/32" } } } ] }
Amazon S3 のポリシーでは、他の AWS 全体の条件キーを使用することもできます。例えば、VPC エンドポイントのバケットポリシーで aws:SourceVpce 条件キーや aws:SourceVpc 条件キーを指定できます。例については、「Amazon S3 の VPC エンドポイントのバケットポリシーの例」を参照してください。
Amazon S3 固有の条件キー
Amazon S3 の条件キーは、Amazon S3 に固有のアクションで使用できます。それぞれの条件キーは、その条件を設定できる API でサポートされている同じ名前のリクエストヘッダーに対応します。Amazon S3 固有の条件キーでは、同じ名前のリクエストヘッダーの動作が指定されます。Amazon S3 固有の条件キーの一覧については、「Amazon S3 のアクション、リソース、条件キー」を参照してください。
たとえば、s3:PutObject アクセス許可に対して条件付きのアクセス許可を付与する条件キー s3:x-amz-acl は、PUT Object API でサポートされている x-amz-acl リクエストヘッダーの動作を定義します。また、アクセス許可 s3:VersionId に対して条件付きのアクセス許可を付与する条件キー s3:GetObjectVersion は、GET Object リクエストで設定する versionId クエリパラメータの動作を定義します。
以下のバケットポリシーは、オブジェクトをパブリックに読み取り可能にする x-amz-acl ヘッダーがリクエストに含まれている場合に、AWS の 2 つのアカウントに s3:PutObject のアクセス許可を付与します。Condition ブロックでは、StringEquals 条件を使用し、キーと値のペアとして "s3:x-amz-acl":["public-read" を評価に使用できます。このキーと値のペアで、s3:x-amz-acl は、「s3:」というプレフィックスが示すとおり Amazon S3 固有のキーです。
{ "Version":"2012-10-17", "Statement": [ { "Sid":"AddCannedAcl", "Effect":"Allow", "Principal": { "AWS": [ "arn:aws:iam::Account1-ID:root", "arn:aws:iam::Account2-ID:root" ] }, "Action":"s3:PutObject", "Resource": ["arn:aws:s3:::awsexamplebucket1/*"], "Condition": { "StringEquals": { "s3:x-amz-acl":["public-read"] } } } ] }
すべての条件が、すべてのアクションに対して意味を成すわけではありません。例えば、Amazon S3 の s3:CreateBucket のアクセス許可を付与するポリシーに条件として s3:LocationConstraint を含めることは理にかなっています。ただし、この条件を s3:GetObject のアクセス許可を付与するポリシーに含めることは意味がありません。Amazon S3 では、このような Amazon S3 固有の条件を含むセマンティックエラーをテストすることができます。ただし、IAM
ユーザーを対象とするポリシーを作成する場合は、Amazon S3 では無意味な条件が含まれていてもエラーは報告されません。これは、IAM では Amazon S3
の条件を検証できないためです。
例 - オブジェクトオペレーションで使用できる Amazon S3 の条件キー
このセクションでは、オブジェクトオペレーションに Amazon S3 固有の条件キーを使用する方法の例を示します。ポリシーで指定できる Amazon S3 のアクション、条件キー、リソースの一覧については、「Amazon S3 のアクション、リソース、条件キー」を参照してください。
ここでは、PutObject オペレーションで条件キーを使用するポリシーの例をいくつか示します。PutObject オペレーションでは、アクセスコントロールリスト (ACL) に固有のヘッダーを使用して、ACL に基づいてアクセス許可を付与することができます。バケット所有者は、これらのキーを使用して条件を設定し、ユーザーがオブジェクトをアップロードする場合に特定のアクセス許可を要求することができます。また、PutObjectAcl オペレーションを使用して ACL に基づいてアクセス許可を付与することもできます。詳細については、Amazon S3 Amazon Simple Storage Service API リファレンスの「PutObjectAcl」を参照してください。ACL の詳細については、「アクセスコントロールリスト (ACL) の概要」を参照してください。
例 1: バケット所有者にフルコントロールを与えることを条件として s3:PutObject のアクセス許可を付与する
PutObject オペレーションでは、アクセスコントロールリスト (ACL) に固有のヘッダーを使用して、ACL に基づいてアクセス許可を付与することができます。バケット所有者は、これらのキーを使用して条件を設定し、ユーザーがオブジェクトをアップロードする場合に特定のアクセス許可を要求することができます。
たとえば、アカウント A がバケットの所有者であり、アカウント管理者がアカウント B のユーザー Dave に対して、オブジェクトをアップロードするアクセス許可を付与するとします。デフォルトでは、Dave
がアップロードするオブジェクトはアカウント B に所有されるため、アカウント A にはそれらのオブジェクトに対するアクセス許可は付与されません。しかし、バケットの所有者は請求書を支払うために、Dave
がアップロードするオブジェクトに対する完全なアクセス許可を必要としています。この対処方法として、アカウント A の管理者は、明示的に完全なアクセス許可を付与するか、既定
ACL を使用する ACL 固有のヘッダーをリクエストに含むことを条件として、Dave に s3:PutObject のアクセス許可を付与できます。詳細については、「Put Object」を参照してください。
x-amz-full-control ヘッダーを必須にする
リクエストで、バケット所有者へのフルコントロールのアクセス許可が含まれる x-amz-full-control ヘッダーを要求できます。以下のバケットポリシーは、s3:PutObject 条件キーを使用して、リクエストに s3:x-amz-grant-full-control ヘッダーを含めることを条件とする x-amz-full-control のアクセス許可をユーザー Dave に付与します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountB-ID:user/Dave" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::awsexamplebucket1/*", "Condition": { "StringEquals": { "s3:x-amz-grant-full-control": "id=AccountA-CanonicalUserID" } } } ] }
この例では、クロスアカウントのアクセス許可を付与しています。ただし、アクセス許可を付与される Dave がバケットを所有している AWS アカウントに属している場合、この条件付きアクセス許可は不要になります。これは、ユーザーがアップロードするオブジェクトは Dave が属する親アカウントによって所有されるためです。
明示的な拒否を追加する
前述のバケットポリシーでは、アカウント B のユーザー Dave に条件付きのアクセス許可が付与されます。ただし、このポリシーが有効であっても、Dave が他のポリシーに従って、条件なしで同じアクセス許可を取得する場合があります。たとえば、Dave
が属するグループに、条件なしで s3:PutObject のアクセス許可が付与される場合があります。このようなアクセス許可の抜け穴を避けるには、明示的な拒否を追加して、より厳格なアクセスポリシーを記述する必要があります。次の例では、バケット所有者に完全なアクセス許可を付与するヘッダーをリクエストに含めない場合、Dave
に対してアップロードのアクセス許可を明示的に拒否します。明示的な拒否は、付与されている他のアクセス許可に常に優先されます。以下は、明示的な拒否が追加された、改訂済みアクセスポリシーの例です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountB-ID:user/AccountBadmin" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::awsexamplebucket1/*", "Condition": { "StringEquals": { "s3:x-amz-grant-full-control": "id=AccountA-CanonicalUserID" } } }, { "Sid": "statement2", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::AccountB-ID:user/AccountBadmin" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::awsexamplebucket1/*", "Condition": { "StringNotEquals": { "s3:x-amz-grant-full-control": "id=AccountA-CanonicalUserID" } } } ] }
AWS CLI を使用したポリシーのテスト
AWS アカウントが 2 つある場合は、AWS コマンドラインインターフェイス (AWS CLI) を使用してポリシーをテストできます。ポリシーをアタッチしたら、Dave
の認証情報を使用し、AWS CLI の次の put-object コマンドを使用してアクセス許可をテストします。Dave の認証情報は、--profile パラメータを追加して指定します。バケット所有者にフルコントロールのアクセス許可を付与するには、--grant-full-control パラメータを追加します。AWS CLI のセットアップおよび使用の詳細については、「チュートリアル例のツールのセットアップ」を参照してください。
aws s3api put-object --bucketexamplebucket--key HappyFace.jpg --body c:\HappyFace.jpg --grant-full-control id="AccountA-CanonicalUserID" --profile AccountBUserProfile
x-amz-acl ヘッダーを必須にする
バケット所有者にフルコントロールのアクセス許可を付与する既定 ACL が指定された x-amz-acl ヘッダーを要求できます。リクエストに x-amz-acl ヘッダーを含めることを義務付けるには、以下の例のように Condition ブロックのキーと値のペアを置き換え、s3:x-amz-acl 条件キーを指定します。
"Condition": { "StringNotEquals": { "s3:x-amz-acl": "bucket-owner-full-control" }
AWS CLI を使用してアクセス許可をテストするには、--acl パラメーターを指定します。リクエストが送信されると、AWS CLI が x-amz-acl ヘッダーを追加します。
aws s3api put-object --bucketexamplebucket--key HappyFace.jpg --body c:\HappyFace.jpg --acl "bucket-owner-full-control" --profile AccountBadmin
例 2: サーバー側の暗号化を使用してオブジェクトを保存するよう要求する s3:PutObject のアクセス許可を付与する
アカウント A がバケットの所有者であるとします。アカウント管理者がアカウント A のユーザーの Jane にオブジェクトをアップロードするアクセス許可を付与するとします。ただし、必ずサーバー側の暗号化をリクエストすることを条件とします。これにより、Amazon
S3 でオブジェクトが暗号化されて保存されます。この場合、アカウント A の管理者は、以下のように s3:x-amz-server-side-encryption 条件キーを使用することができます。Condition ブロックのキーと値のペアは、s3:x-amz-server-side-encryption キーを指定します。
"Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "AES256" }
AWS CLI を使用してアクセス許可をテストする場合は、--server-side-encryption パラメータを使用して、必須パラメータを追加する必要があります。
aws s3api put-object --bucket example1bucket --key HappyFace.jpg --body c:\HappyFace.jpg --server-side-encryption "AES256" --profile AccountBadmin
例 3: 制限されているコピー元からオブジェクトをコピーする s3:PutObject のアクセス許可を付与する
PutObject のリクエストでは、ソースのオブジェクトを指定すると、コピーオペレーションを実行できます (「CopyObject」を参照)。バケット所有者は、これに対応して、ソースに制限が付いているオブジェクトをコピーするためのアクセス許可をユーザーに付与できます。以下に例を示します。
-
sourcebucketバケットからのみオブジェクトをコピーすることを許可します。 -
ソースバケットのオブジェクトのコピーを許可し、キー名のプレフィックスが public/ で始まるオブジェクト (例: sourcebucket/public/* など) のみを許可します。
-
ソースバケットの特定のオブジェクト (例: sourcebucket/example.jpg など) のコピーのみを許可します。
次のバケットポリシーでは、ユーザー (Dave) に s3:PutObject のアクセス許可が付与されます。Dave は、リクエストに s3:x-amz-copy-source ヘッダーを含め、ヘッダーの値でキー名のプレフィックスに /awsexamplebucket1/public/* を指定している場合にのみ、オブジェクトをコピーすることができます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "cross-account permission to user in your own account", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:user/Dave" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::awsexamplebucket1/*" }, { "Sid": "Deny your user permission to upload object if copy source is not /bucket/folder", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::123456789012:user/Dave" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::awsexamplebucket1/*", "Condition": { "StringNotLike": { "s3:x-amz-copy-source": "awsexamplebucket1/public/*" } } } ] }
AWS CLI を使用したポリシーのテスト
AWS CLI の copy-object コマンドを使用して、アクセス許可をテストできます。--copy-source パラメータを追加してソースを指定します。キー名のプレフィックスは、ポリシーで許可されているプレフィックスと一致する必要があります。--profile パラメータを使用して、ユーザー Dave の認証情報を指定します。AWS CLI のセットアップの詳細については、「チュートリアル例のツールのセットアップ」を参照してください。
aws s3api copy-object --bucketawsexamplebucket1--key HappyFace.jpg --copy-sourceexamplebucket/public/PublicHappyFace1.jpg --profile AccountADave
特定のオブジェクトのみをコピーするアクセス許可を付与する
前述のポリシーでは、StringNotLike 条件を使用しています。特定のオブジェクトのみをコピーするアクセス許可を付与するには、条件を StringNotLike から StringNotEquals に変更し、次のようにオブジェクトキーを正確に指定する必要があります。
"Condition": { "StringNotEquals": { "s3:x-amz-copy-source": "awsexamplebucket1/public/PublicHappyFace1.jpg" } }
例 4: オブジェクトの特定のバージョンに対するアクセス許可を付与する
アカウント A が、バージョンを使用可能なバケットを所有しているとします。このバケットには、HappyFace.jpg オブジェクトのバージョンが複数含まれています。アカウント管理者は、ユーザー Dave にオブジェクトの特定のバージョンのみを取得できるアクセス許可を付与したいと考えています。この場合、アカウント管理者は、次に示すように、条件を付けて
Dave に s3:GetObjectVersion のアクセス許可を付与できます。Condition ブロックのキーと値のペアは、s3:VersionId 条件キーを指定します。この場合、Dave がオブジェクトを取得するには、オブジェクトのバージョン ID を正確に知っている必要があります。
詳細については、Amazon Simple Storage Service API リファレンスの「GetObject」を参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:user/Dave" }, "Action": "s3:GetObjectVersion", "Resource": "arn:aws:s3:::examplebucketversionenabled/HappyFace.jpg" }, { "Sid": "statement2", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::123456789012:user/Dave" }, "Action": "s3:GetObjectVersion", "Resource": "arn:aws:s3:::examplebucketversionenabled/HappyFace.jpg", "Condition": { "StringNotEquals": { "s3:VersionId": "AaaHbAQitwiL_h47_44lRO2DDfLlBO5e" } } } ] }
AWS CLI を使用したポリシーのテスト
このアクセス許可をテストするには、AWS CLI get-object コマンドに、特定のオブジェクトバージョンを指定する --version-id パラメーターを付けて実行します。コマンドは、オブジェクトを取得し、OutputFile.jpg ファイルに保存します。
aws s3api get-object --bucketexamplebucketversionenabled--key HappyFace.jpg OutputFile.jpg --version-idAaaHbAQitwiL_h47_44lRO2DDfLlBO5e--profile AccountADave
例 5: オブジェクトのアップロードを特定のストレージクラスのオブジェクトに制限する
アカウント ID が 123456789012 のアカウント A がバケットを所有しているとします。アカウント管理者は、アカウント A のユーザーである Dave
に対して、STANDARD_IA ストレージクラスに保存されているバケットにのみオブジェクトのアップロードを許可するとします。オブジェクトのアップロードを特定のストレージクラスに制限するために、アカウント
A の管理者は、次のバケットポリシーの例に示すように s3:x-amz-storage-class 条件キーを使用することができます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:user/Dave" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::awsexamplebucket1/*", "Condition": { "StringEquals": { "s3:x-amz-storage-class": [ "STANDARD_IA" ] } } } ] }
例 6: オブジェクトタグに基づくアクセス許可の付与
Amazon S3 のオペレーションでオブジェクトのタグの条件キーを使用する方法の例については、「オブジェクトのタグ付けとアクセスコントロールポリシー」を参照してください。
例 - バケットオペレーションで使用できる Amazon S3 の条件キー
このセクションでは、バケットオペレーションに Amazon S3 の固有の条件キーを使用するポリシーの例を示します。
例 1: 特定のリージョンでのみバケットを作成するアクセス許可の付与
例えば、AWS アカウントの管理者がユーザー (Dave) に南米 (サンパウロ) リージョンでのみバケットを作成できるアクセス許可を付与するとします。アカウント管理者は、以下のように条件を指定して、s3:CreateBucket のアクセス許可を付与する次のユーザーポリシーをアタッチします。Condition ブロックのキーと値のペアは、s3:LocationConstraint キーと、その値として sa-east-1 リージョンを指定します。
この例では、バケット所有者はユーザーの 1 人にアクセス許可を付与するため、バケットポリシーまたはユーザーポリシーのどちらでも使用することができます。この例では、ユーザーポリシーを使用します。
Amazon S3 のリージョンの一覧については、AWS 全般のリファレンスの「リージョンエンドポイント」を参照してください。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"statement1", "Effect":"Allow", "Action": "s3:CreateBucket", "Resource": "arn:aws:s3:::*", "Condition": { "StringLike": { "s3:LocationConstraint": "sa-east-1" } } } ] }
明示的な拒否を追加する
上記のポリシーは、ユーザーが sa-east-1 以外のリージョンでバケットを作成することを制限します。ただし、他の一部のポリシーで、このユーザーに別のリージョンでバケットを作成するアクセス許可を付与する場合があります。たとえば、ユーザーがグループに属している場合、グループのアクセス許可内にいるすべてのユーザーが別のリージョンでバケットを作成できるように、ポリシーがアタッチされている場合があります。ユーザーに別のリージョンでバケットを作成するアクセス許可が付与されないように、上記のポリシーに明示的な拒否のステートメントを追加します。
Deny ステートメントは、StringNotLike 条件を使用します。つまり、場所の制約が sa-east-1 でない場合、バケットの作成リクエストは拒否されます。明示的な拒否を使用すれば、どのようなアクセス権限が付与されている場合でも、ユーザーは別のリージョンでバケットを作成できなくなります。以下のポリシーには、明示的な拒否ステートメントが含まれています。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"statement1", "Effect":"Allow", "Action": "s3:CreateBucket", "Resource": "arn:aws:s3:::*", "Condition": { "StringLike": { "s3:LocationConstraint": "sa-east-1" } } }, { "Sid":"statement2", "Effect":"Deny", "Action": "s3:CreateBucket", "Resource": "arn:aws:s3:::*", "Condition": { "StringNotLike": { "s3:LocationConstraint": "sa-east-1" } } } ] }
AWS CLI を使用したポリシーのテスト
このポリシーは、次の create-bucket AWS CLI コマンドを使用してテストできます。この例では、bucketconfig.txt ファイルを使用して場所の制約を指定しています。Windows のファイルパスに注意してください。必要に応じて、バケットの名前とパスを更新します。--profile パラメータを使用して、ユーザーの認証情報を指定する必要があります。AWS CLI のセットアップおよび使用の詳細については、「チュートリアル例のツールのセットアップ」を参照してください。
aws s3api create-bucket --bucketexamplebucket--profile AccountADave --create-bucket-configuration file://c:/Users/someUser/bucketconfig.txt
bucketconfig.txt ファイルは、次のように設定を指定します。
{"LocationConstraint": "sa-east-1"}
例 2: 特定のプレフィックスを持つバケット内のオブジェクト一覧の取得
s3:prefix 条件キーを使用して、GET Bucket (ListObjects) API の応答を、特定のプレフィックスを持つキー名に制限できます。バケット所有者であれば、バケット内の特定のプレフィックスの内容に限り、コンテンツを表示することをユーザーに許可できます。この条件キーは、バケットのオブジェクトがキー名プレフィックスによって整理されている場合に便利です。Amazon
S3 コンソールでは、キー名のプレフィックスを使用して、フォルダの概念を示します。フォルダの概念をサポートしているはコンソールのみです。Amazon S3 API
では、バケットとオブジェクトのみがサポートされています。プレフィックスと区切り文字を使用してアクセス許可をフィルタリングする方法の詳細については、「チュートリアル: ユーザーポリシーを使用したバケットへのアクセスのコントロール」を参照してください。
たとえば、キー名が public/object1.jpg および public/object2.jpg である 2 つのオブジェクトがある場合、コンソールには public フォルダ以下のオブジェクトが表示されます。Amazon S3 APIでは、これらはプレフィックスを持つオブジェクトとして扱われ、フォルダ内のオブジェクトとしては扱われません。ただし、Amazon
S3 API でこのようなプレフィックスを使用してオブジェクトのキーを管理している場合は、s3:ListBucket のアクセス許可の条件に s3:prefix を付けて付与することで、この特定のプレフィックスの付いたキー名の一覧を取得することができます。
この例では、バケット所有者とユーザーが属する親アカウントは同一です。したがって、バケット所有者はバケットポリシーまたはユーザーポリシーのどちらでも使用することができます。GET Bucket (ListObjects) API で使用できるその他の条件キーの詳細については、ListObjects を参照してください。
ユーザーポリシー
以下のユーザーポリシーは、ユーザーがリクエストで prefix およびその値に projects を指定することを条件として、s3:ListBucket のアクセス許可 (バケットの GET (ListObjects) を参照) を付与します。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"statement1", "Effect":"Allow", "Action": "s3:ListBucket", "Resource":"arn:aws:s3:::awsexamplebucket1", "Condition" : { "StringEquals" : { "s3:prefix": "projects" } } }, { "Sid":"statement2", "Effect":"Deny", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::awsexamplebucket1", "Condition" : { "StringNotEquals" : { "s3:prefix": "projects" } } } ] }
この条件では、ユーザーの取得できるリストが projects プレフィックスの付いているオブジェクトキーに限定されます。明示的な拒否を追加すると、ユーザーに付与されている他のアクセス許可に関係なしに、他のプレフィックスが付いたキーのリストを求めるユーザーのリクエストは拒否されます。たとえば、以前のユーザーポリシーの更新やバケットポリシーにより、オブジェクトキーのリストを表示するアクセス許可がユーザーに制限なく付与される場合があります。明示的な拒否が常に優先されるため、プレフィックスが
projects 以外のキーの表示を求めるユーザーのリクエストは拒否されます。
バケットポリシー
上記のユーザーポリシーに Principal 要素を追加して、ユーザーを指定する場合は、次のようにバケットポリシーを使用できます。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"statement1", "Effect":"Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:user/bucket-owner" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::awsexamplebucket1", "Condition" : { "StringEquals" : { "s3:prefix": "projects" } } }, { "Sid":"statement2", "Effect":"Deny", "Principal": { "AWS": "arn:aws:iam::123456789012:user/bucket-owner" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::awsexamplebucket1", "Condition" : { "StringNotEquals" : { "s3:prefix": "examplefolder" } } } ] }
AWS CLI を使用したポリシーのテスト
このポリシーは、次の list-object AWS CLI コマンドを使用してテストできます。このコマンドでは、--profile パラメータを使用してユーザーの認証情報を指定します。AWS CLI のセットアップおよび使用の詳細については、「チュートリアル例のツールのセットアップ」を参照してください。
aws s3api list-objects --bucketawsexamplebucket1--prefix examplefolder --profile AccountADave
バケットがバージョニングに対応している場合、バケット内のオブジェクトのリストを表示するには、s3:ListBucket のアクセス許可ではなく、前述のポリシーの s3:ListBucketVersions のアクセス許可を付与する必要があります。このアクセス許可は、s3:prefix 条件キーもサポートしています。
例 3: キーの最大数の設定
s3:max-keys 条件キーを使用すると、リクエスタがバケットの GET (ListObjects) または ListObjectVersions のリクエストで返すことができるキーの最大数を設定できます。デフォルトでは、API は最大 1,000 個のキーを返します。s3:max-keys で使用できる数値条件演算子の一覧とその例については、IAM ユーザーガイドの「数値条件演算子」を参照してください。
