ポリシーでのリソースの指定
以下に、AWS のリソースを識別する Amazon リソース名 (ARN) の一般的な形式を示します。
arn:partition:service:region:namespace:relative-id
Amazon S3 リソースの場合:
-
awsは共通のパーティション名です。リソースが 中国 (北京) リージョンにある場合は、aws-cnがパーティション名となります。 -
s3はサービスです。 -
リージョンと名前空間は指定しません。
-
Amazon S3 では、
bucket-nameまたはbucket-name/object-keyとなります。ここでは、ワイルドカードを使用できます。
Amazon S3 リソースの ARN 形式は、以下のように短くなります。
arn:aws:s3:::bucket_namearn:aws:s3:::bucket_name/key_name
次に、Amazon S3 リソースの ARN の例を示します。
-
この ARN は、
/developers/design_info.docバケットのexamplebucketオブジェクトを指しています。arn:aws:s3:::examplebucket/developers/design_info.doc -
リソース ARN の一部にワイルドカードを使用することができます。ARN セグメント (コロンで区切られている部分) でワイルドカード文字 (
*と?) を使用できます。アスタリスク (*) は 0 個以上の文字の任意の組み合わせを表し、疑問符 (?) は任意の 1 文字を表します。各セグメントで複数の*または?の文字を使用することができますが、ワイルドカードはセグメントをまたぐことができません。-
この ARN は ARN の相対 ID の部分でワイルドカード
*を使用して、examplebucketバケット内のすべてのオブジェクトを識別します。arn:aws:s3:::examplebucket/*この ARN は、
*を使用して、すべての Amazon S3 リソース (アカウント内のすべての S3 バケットとオブジェクト) を指定しています。arn:aws:s3:::* -
この ARN は、
*と?の両方のワイルドカードを相対 ID の部分で使用します。これにより、example1bucket、example2bucket、example3bucketなど、バケット内のすべてのオブジェクトを識別します。arn:aws:s3:::example?bucket/*
-
-
Amazon S3 ARN では、ポリシー変数を使用することができます。あらかじめ定義されているこれらの変数は、ポリシーの評価時に対応する値で置き換えられます。たとえば、バケットをフォルダのコレクションとして構成し、ユーザーごとに別のフォルダを使用するとします。フォルダ名はユーザー名と同じです。各ユーザーに自分のフォルダに対するアクセス許可を付与するには、リソース ARN で以下のようにポリシー変数を指定します。
arn:aws:s3:::bucket_name/developers/${aws:username}/実行時にポリシーが評価されると、リソース ARN の変数
${aws:username}には、リクエストを行うユーザーの名前が挿入されます。
S3 バケットの ARN は、Amazon S3 コンソールの [バケットポリシー] または [CORS の設定] アクセス権限ページで調べることができます。詳細については、Amazon Simple Storage Service コンソールユーザーガイドの「S3 バケットポリシーを追加する方法」または「CORS により Cross-Domain Resource Sharing を許可する方法」を参照してください。
ARN の詳細については、以下を参照してください。
-
IAM ユーザーガイドの「リソース」
-
IAM ユーザーガイドの「IAM ポリシー変数の概要」
-
AWS General Reference の「ARN」
アクセスポリシー言語の他のエレメントについては、「アクセスポリシー言語の概要」を参照してください。
