Amazon Simple Storage Service
コンソールユーザーガイド

ACL バケットのアクセス許可を設定する方法

このセクションでは、Amazon Simple Storage Service (Amazon S3) コンソールを使用して、アクセスコントロールリスト (ACL) によって S3 バケットのアクセス許可を管理する方法について説明します。ACL は、バケットとオブジェクトにアクセス許可を付与する、リソースベースのアクセスポリシーです。リソースベースのポリシーによるアクセス許可の管理の詳細については、Amazon Simple Storage Service 開発者ガイドの「アクセス管理の概要」を参照してください。

他の AWS アカウントユーザーまたは事前定義されたグループにアクセス許可を与えることができます。アクセス許可が付与されたユーザーまたはグループは、被付与者と呼ばれます。デフォルトでは、バケットを作成した AWS アカウントである所有者が、完全なアクセス許可を持っています。

ユーザーまたはグループに付与する各アクセス許可により、バケットに関連付けられたエントリが ACL に追加されます。ACL は、被付与者と付与されたアクセス許可を識別するリストを表示します。ACL の詳細については、Amazon Simple Storage Service 開発者ガイドの「ACL によるアクセス管理」を参照してください。

S3 バケットの ACL アクセス許可を設定するには

  1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール (https://console.aws.amazon.com/s3/) を開きます。

  2. [バケット名] リストで、アクセス許可を設定するバケットの名前を選択します。

    
          「admin-created」バケットが強調表示されたバケット名リスト。
  3. [アクセス許可] タブを選択してから、[アクセスコントロールリスト] を選択します。

  4. 以下のバケットアクセス許可を管理できます。

    1. AWS アカウントのルートユーザーへのアクセス

      所有者とは、AWS アカウントのルートユーザーを指し、AWS Identity and Access Management (IAM) ユーザーは指していません。ルートユーザーの詳細については、『IAM ユーザーガイド』の「AWS アカウントのルートユーザー」を参照してください。

      所有者のバケットアクセス許可を変更するには、[Access for your AWS accounted root user (AWS アカウントのルートユーザーへのアクセス)] で、[Your AWS Account (AWS アカウント (所有者))] を選択します。

      変更するアクセス許可のチェックボックスをオンにして、[保存] を選択します。

      
              アカウント所有者のアクセス許可のチェックボックスを示すスクリーンショット。
    2. 他の AWS アカウントへのアクセス

      別の AWS アカウントから AWS ユーザーにアクセス許可を与えるには、[他の AWS アカウントのアクセス] で、[アカウントの追加] を選択します。[ID もしくは Eメール] フィールドに、バケットのアクセス許可を付与する AWS ユーザーの正規 ID を入力します。正規 ID を見つける方法については、アマゾン ウェブ サービス全般のリファレンスの「AWS アカウント ID」を参照してください。最大 99 人のユーザーを追加できます。

      ユーザーに付与するアクセス許可の横にあるチェックボックスをオンにして、[保存] を選択します。アクセス許可についての情報を表示するには、ヘルプアイコンを選択します。

      
              ヘルプアイコンとツールヒントを示すコンソールのスクリーンショット。

      警告

      他の AWS アカウントに自分のリソースへのアクセスを許可した場合、その AWS アカウントはアカウント内のユーザーにアクセス許可を譲渡できることに注意してください。これはクロスアカウントアクセスと呼ばれます。クロスアカウントアクセスの使用については、IAM ユーザーガイドの「IAM ユーザーにアクセス許可を委任するロールの作成」を参照してください。

    3. パブリックアクセス

      バケットへのアクセスを一般のユーザー (世界中のすべてのユーザー) に許可するには、[パブリックアクセス] で [全員] を選択します。パブリックアクセス許可を付与すると、世界中の誰でもバケットにアクセスできるようになります。付与するアクセス許可のチェックボックスをオンにして、[保存] を選択します。

      バケットへのパブリックアクセスを元に戻すには、[パブリックアクセス] で [全員] を選択します。該当するアクセス許可のチェックボックスをすべてオフにし、[保存] を選択します。

      
              すべてのユーザーがバケットにアクセスできることを示すスクリーンショット。

      警告

      [全員] グループに S3 バケットへのパブリックアクセスを付与するときは注意が必要です。このグループにアクセスを付与すると、世界中のすべてのユーザーがバケットにアクセスできます。種類にかかわらず、S3 バケットへのパブリック書き込みアクセスは一切付与しないことを強くお勧めします。

    4. S3 ログ配信グループ

      サーバーアクセスログをバケットに書き込むように Amazon S3 へのアクセスを許可するには、[S3 ログ配信グループ] で、[ログ配信] を選択します。

      バケットがアクセスログを受け取るターゲットバケットとして設定されている場合、バケットのアクセス許可は [ログ配信] グループのバケットへの書き込みアクセスを許可する必要があります。バケット上のサーバーアクセスログを有効にすると、Amazon S3 コンソールは、[ログ配信] グループにログを受信することを選択したターゲットバケットへの書き込みアクセス権を付与します。サーバーアクセスログ記録の詳細については、「S3 バケットのサーバーアクセスのログ記録を有効にする方法」を参照してください。

バケットを作成するときにバケットのアクセス許可を設定することもできます。バケットを作成する際のアクセス許可の設定の詳細については、「S3 バケットを作成する方法」を参照してください。

詳細

このページの内容: