Amazon Simple Storage Service
コンソールユーザーガイド

バケットとオブジェクトのアクセス許可の設定

このセクションでは、Amazon Simple Storage Service (Amazon S3) コンソールを使用して、バケットとオブジェクトにアクセス許可を付与する方法について説明します。Amazon S3 ブロックのパブリックアクセスを使用して、S3 バケット内のデータへのパブリックアクセスを許可する設定が適用されないようにする方法についても説明します。

バケットとオブジェクトは Amazon S3 リソースです。リソースベースのアクセスポリシーを使用して、バケットとオブジェクトへのアクセス許可を付与します。アクセスポリシーをリソースと関連付けることができます。アクセスポリシーでは、誰がリソースにアクセスできるかを記述します。リソース所有者は、リソースを作成する AWS アカウントです。リソース所有権とアクセスポリシーの詳細については、Amazon Simple Storage Service 開発者ガイドの「アクセス管理の概要」を参照してください。

バケットのアクセス許可は、バケットのオブジェクトにアクセスできるユーザーと、そのアクセスの種類を指定します。オブジェクトのアクセス許可は、オブジェクトにアクセスできるユーザーと、そのアクセスの種類を指定します。たとえば、あるユーザーには読み取りアクセス許可のみを付与し、別のユーザーには読み取りと書き込みのアクセス許可を付与するように指定できます。

バケットに対するアクセス許可とオブジェクトに対するアクセス許可は相互に独立しています。オブジェクトはバケットからアクセス許可を継承しません。たとえば、バケットを作成してユーザーに書き込みアクセスを許可した場合、そのユーザーから明示的にアクセスが許可されない限り、そのユーザーのオブジェクトにアクセスできません。

バケットおよびオブジェクトへのアクセス許可を他の AWS アカウントと一般ユーザーに付与するには、アクセスコントロールリスト (ACL) と呼ばれるリソースベースのアクセスポリシーを使用します。

バケットポリシーは、S3 バケットへのアクセス許可を他の AWS アカウントまたは IAM ユーザーに付与する、リソースベースの AWS Identity and Access Management (IAM) ポリシーです。バケットポリシーは、ACL ベースのアクセスポリシーを補完し、多くの場合、これを置き換えます。Amazon S3 で IAM を使用する方法については、Amazon Simple Storage Service 開発者ガイド の「Amazon S3 リソースへのアクセス許可の管理」を参照します。

アクセス許可の管理の詳細については、Amazon Simple Storage Service 開発者ガイドの「Amazon S3 リソースへのアクセス許可の管理の概要」を参照してください。

このセクションでは、Amazon S3 コンソールを使用して Cross-Origin Resource Sharing (CORS) 設定を S3 バケットに追加する方法についても説明します。CORS は、特定のドメインにロードされたクライアントウェブアプリケーションが別のドメイン内のリソースと通信できるようにします。