メニュー
Amazon Simple Storage Service
開発者ガイド (API Version 2006-03-01)

Amazon S3 の VPC エンドポイント用のバケットポリシーの例

Amazon S3 バケットポリシーを使用して、特定の Amazon Virtual Private Cloud (Amazon VPC) エンドポイントまたは特定の VPC からバケットへのアクセスを制御できます。このセクションでは、VPC エンドポイントから S3 バケットのアクセスを制御するために使用できるバケットポリシーの例が含まれています。VPC エンドポイントを設定する方法については、『Amazon VPC ユーザーガイド』の「VPC エンドポイント」トピックを参照してください。

Amazon VPC を使用すると、定義した仮想ネットワークで Amazon Web Services (AWS) リソースを起動できます。VPC エンドポイントにより、インターネット、VPN 接続、NAT インスタンス、または AWS Direct Connect 経由でのアクセスを使用せずに、VPC と別の AWS サービスとの間でプライベート接続を作成できます。

Amazon S3 の VPC エンドポイントは、Amazon S3 のみへの接続を許可する VPC 内の論理エンティティです。VPC エンドポイントはリクエストを Amazon S3 にルーティングし、応答を VPC にルーティングします。VPC エンドポイントはリクエストのルーティング方法のみを変更します。Amazon S3 パブリックエンドポイントおよび DNS 名は、引き続き VPC エンドポイントで使用できます。Amazon S3 での Amazon VPC エンドポイントの使用の詳細については、『Amazon VPC ユーザーガイド』の「Amazon S3 のエンドポイント」を参照してください。

Amazon S3 の VPC エンドポイントには、Amazon S3 データへのアクセスを制御するために、2 通りの方法が用意されています。

  • 特定の VPC エンドポイントを通じて許可されるリクエスト、ユーザー、またはグループを管理できます。この種類のアクセス制御の詳細については、『Amazon VPC ユーザーガイド』の「VPC エンドポイント - サービスへのアクセスの制御」トピックを参照してください。

  • S3 バケットポリシーを使用して、S3 バケットへのアクセス権を持つ VPC または VPC エンドポイントを制御できます。この種類のバケットポリシーのアクセス制御の例については、アクセス制限に関する次のトピックを参照してください。

特定の VPC エンドポイントへのアクセスの制限

以下に、特定のバケット examplebucket に、ID vpce-1a2b3c4d の VPC エンドポイントからのみアクセスできるようにする S3 バケットポリシーの例を示します。このポリシーは aws:sourceVpce 条件キーを使用して、指定された VPC エンドポイントへのアクセスを制限します。aws:sourceVpce 条件キーでは VPC エンドポイントリソースに ARN を必要とせず、VPC エンドポイント ID のみを必要とします。ポリシーで条件を使用する方法の詳細については、「ポリシーでの条件の指定」を参照してください。

Copy
{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::examplebucket", "arn:aws:s3:::examplebucket/*"], "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } }, "Principal": "*" } ] }

特定の VPC へのアクセスの制限

aws:sourceVpc 条件キーを使用して、特定の VPC へのアクセスを制限するバケットポリシーを作成できます。これは、同じ VPC で複数の VPC エンドポイントを設定済みで、すべてのエンドポイントについて S3 バケットへのアクセスを管理する場合に便利です。examplebucket への VPC vpc-111bbb22 のアクセスを許可するポリシードキュメントの例を次に示します。vpc-111bbb22 条件キーでは、VPC リソースへの ARN は必要なく、VPC ID のみが必要です。

Copy
{ "Version": "2012-10-17", "Id": "Policy1415115909153", "Statement": [ { "Sid": "Access-to-specific-VPC-only", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::examplebucket", "arn:aws:s3:::examplebucket/*"], "Condition": { "StringNotEquals": { "aws:sourceVpc": "vpc-111bbb22" } }, "Principal": "*" } ] }