ACL バケットのアクセス許可を設定する方法 - Amazon Simple Storage Service

このガイドは更新されていません。最新の情報と手順については、新しい Amazon S3 ユーザーガイドを参照してください。

ACL バケットのアクセス許可を設定する方法

このセクションでは、Amazon Simple Storage Service (Amazon S3) コンソールを使用して、アクセスコントロールリスト (ACL) を使用して S3 バケットのアクセス許可を管理する方法について説明します。ACL は、バケットとオブジェクトにアクセス許可を付与する、リソースベースのアクセスポリシーです。リソースベースのポリシーを使用したアクセス許可の管理の詳細については、Amazon Simple Storage Service 開発者ガイドの「アクセスの管理の概要」を参照してください。

他の AWS アカウントユーザーまたは事前定義されたグループにアクセス許可を与えることができます。アクセス許可が付与されたユーザーまたはグループは、被付与者と呼ばれます。デフォルトでは、バケットを作成した AWS アカウントである所有者が、完全なアクセス許可を持っています。

ユーザーまたはグループに付与する各アクセス許可により、バケットに関連付けられたエントリが ACL に追加されます。ACL は、被付与者と付与されたアクセス許可を識別するリストを表示します。ACL の詳細については、Amazon Simple Storage Service 開発者ガイドの「ACL によるアクセス管理」を参照してください。

警告

すべてのユーザー (パブリックアクセス)または認証されたユーザーグループ (すべての AWS 認証ユーザー) のグループへの書き込みアクセスを許可しないことを強くお勧めします。これらのグループへの書き込みアクセスを許可した場合の影響の詳細については、Amazon Simple Storage Service 開発者ガイドの「Amazon S3 の定義済みグループ」を参照してください。

S3 バケットの ACL アクセス許可を設定するには

  1. AWS マネジメントコンソールにサインインして Amazon S3 コンソール (https://console.aws.amazon.com/s3/) を開きます。

  2. [Buckets (バケット)] リストで、アクセス許可を設定するバケットの名前を選択します。

  3. [Permissions (アクセス許可)] を選択し、[Access Control List (ACL) (アクセスコントロールリスト (ACL))] 内の [Edit (編集)] を選択します。

  4. 以下のバケットアクセス許可を管理できます。

    1. AWS アカウントのルートユーザーへのアクセス

      所有者はAWS アカウントのルートユーザーを指します。AWS Identity and Access Management (IAM) ユーザーではありません。ルートユーザーの詳細については、IAM ユーザーガイドの「AWS アカウントのルートユーザー」を参照してください。

      所有者のバケットアクセス許可を変更するには、[Bucket owner (your AWS account) (バケット所有者 (AWS アカウント))] でアクセス許可のチェックボックスをオンにします。

    2. 他の AWS アカウントへのアクセス

      別の AWS アカウントから AWS ユーザーにアクセス許可を付与するには、[Add grantee (被付与者)] を選択します。[Enter a canonical ID (正規 ID を入力)] フィールドに、バケットのアクセス許可を付与する AWS ユーザーの正規 ID または E メールを入力します。正規 ID の検索の詳細については、AWS 全般のリファレンスの「AWS アカウント ID」を参照してください。最大 99 人のユーザーを追加できます。

      ユーザーに付与するアクセス許可の横にあるチェックボックスをオンにして、[Save changes (変更の保存)] を選択します。

      警告

      他の AWS アカウントに自分のリソースへのアクセスを許可した場合、その AWS アカウントはアカウント内のユーザーにアクセス許可を譲渡できることに注意してください。これはクロスアカウントアクセスと呼ばれます。クロスアカウントアクセスの使用については、IAM ユーザーガイドの「IAM ユーザーにアクセス許可を委任するロールの作成」を参照してください。

    3. パブリックアクセス

      バケットへのアクセスを一般のユーザー (世界中のすべてのユーザー) に許可するには、[パブリックアクセス] で [全員] を選択します。パブリックアクセス許可を付与すると、世界中の誰でもバケットにアクセスできるようになります。付与するアクセス許可のチェックボックスをオンにして、[保存] を選択します。

      バケットへのパブリックアクセスを元に戻すには、[パブリックアクセス] で [全員] を選択します。該当するアクセス許可のチェックボックスをすべてオフにし、[保存] を選択します。

      警告

      [全員] グループに S3 バケットへのパブリックアクセスを付与するときは注意が必要です。このグループにアクセスを付与すると、世界中のすべてのユーザーがバケットにアクセスできます。種類にかかわらず、S3 バケットへのパブリック書き込みアクセスは一切付与しないことを強くお勧めします。

    4. S3 ログ配信グループ

      サーバーアクセスログをバケットに書き込むように Amazon S3 へのアクセスを許可するには、[S3 log delivery group (S3 ログ配信グループ)] で、[Log Delivery (ログ配信)] を選択します。

      バケットがアクセスログを受け取るターゲットバケットとして設定されている場合、バケットのアクセス許可は [ログ配信] グループのバケットへの書き込みアクセスを許可する必要があります。バケット上のサーバアクセスログ記録を有効にすると、Amazon S3 コンソールは、[Log Delivery (ログ配信)] グループにログを受信することを選択したターゲットバケットへの書き込みアクセス権を付与します。サーバーアクセスログ記録の詳細については、S3 バケットのサーバーアクセスのログ記録を有効にする方法 を参照してください。

バケットを作成するときにバケットのアクセス許可を設定することもできます。バケットを作成する際のアクセス許可の設定の詳細については、「S3 バケットを作成する方法」を参照してください。

詳細情報