Amazon S3 コンソールを使用したバケットポリシーの追加 - Amazon Simple Storage Service

Amazon S3 コンソールを使用したバケットポリシーの追加

Amazon S3 コンソールを使用して、新しいバケットポリシーを追加したり、既存のバケットポリシーを編集したりできます。バケットポリシーはリソースベースの AWS Identity and Access Management (IAM) ポリシーです。バケットポリシーをバケットに追加して、バケットおよびバケット内のオブジェクトに対するアクセス許可を、他の AWS アカウントまたは IAM ユーザーに付与できます。オブジェクトのアクセス許可は、バケット所有者が作成したオブジェクトにのみ適用されます。バケットポリシーの詳細については、アクセス管理の概要 を参照してください。

デフォルトでは、別の AWS アカウント がオブジェクトを S3 バケットにアップロードすると、そのアカウント (オブジェクトライター) がオブジェクトを所有し、そのオブジェクトにアクセスでき、ACL を介して他のユーザーにそのオブジェクトへのアクセスを許可できます。オブジェクトの所有権を使用してこのデフォルトの動作を変更し、ACL を無効にして、バケット所有者としてバケット内のすべてのオブジェクトを自動的に所有することができます。その結果、データのアクセスコントロールは、IAM ポリシー、S3 バケットポリシー、仮想プライベートクラウド (VPC) エンドポイントポリシー、AWS Organizations サービスコントロールポリシー (SCP) などのポリシーに基づいています。詳細については、オブジェクトの所有権の制御とバケットの ACL の無効化。 を参照してください。

AWS Identity and Access Management Access Analyzer ポリシーを保存する前に、セキュリティの警告、エラー、一般的な警告、および提案を必ず解決してください。IAM Access Analyzer は、IAM ポリシーの文法およびベストプラクティス に対してポリシーチェックを行います。これらのチェックにより、機能的でセキュリティのベストプラクティスに準拠したポリシーを作成するのに、役立つ結果と実行可能なレコメンデーションが示されます。IAM Access Analyzer を使用したポリシーの検証の詳細については、IAM ユーザーガイドIAM Access Analyzer のポリシーの検証を参照してください。IAM Access Analyzer によって返される警告、エラー、および提案のリストを表示するには、IAM Access Analyzer ポリシーチェックリファレンス を参照してください。

バケットポリシーを作成または編集するには

  1. AWS Management Console にサインインし、Amazon S3 コンソール (https://console.aws.amazon.com/s3/) を開きます。

  2. [Buckets (バケット)] リストで、バケットポリシーを作成するバケットの名前、またはバケットポリシーを編集するバケットの名前を選択します。

  3. [Permissions (アクセス許可)] を選択します。

  4. [Bucket policy (バケットポリシー)] で [編集] を選択します。バケットポリシーの編集ページが開きます。

  5. [Edit bucket policy] (バケットポリシーの編集) ページで、Amazon S3 ユーザーガイド[Policy examples] (ポリシーの例)を確認するか、[Policy generator] (ポリシージェネレーター) を選択してポリシーを自動的に生成するか、[Policy] (ポリシー セクション) で JSON を編集します。

    ポリシージェネレーターを選択すると、AWS ポリシージェネレーターが新しいウィンドウで開きます。

    1. ポリシーの種類の選択AWS ポリシーポリシージェネレータページで、 S3 バケットポリシーを選択します。

    2. 提供されたフィールドに情報を入力してステートメントを追加し、ステートメントの追加を選択します。追加するステートメントの数だけ繰り返します。ポリシーステートメントの詳細については、IAM ユーザーガイドIAM JSON ポリシーのエレメントのリファレンスを参照してください。

      注記

      便宜上、バケットポリシーの編集ページでは、現在のバケットのバケット ARN (Amazonリソース名) がポリシーテキストフィールドの上に表示されます。この ARN をコピーして、AWSポリシージェネレータのステートメントで使用できます。

    3. ステートメントの追加が完了したら、ポリシーの生成を選択します。

    4. 生成されたポリシーテキストをコピーし、[閉じる] を選択すると、Amazon S3 コンソールのバケットポリシーの編集ページに戻ります。

  6. ポリシー ボックスで、既存のポリシーを編集するか、ポリシージェネレータからバケットポリシーを貼り付けます。ポリシーを保存する前に、セキュリティ警告、エラー、一般的な警告、および提案を解決してください。

  7. (オプション) 新しいポリシーがリソースへのパブリックアクセスおよびクロスアカウントアクセスにどのように影響するかをプレビューします。ポリシーを保存する前に、新しい IAM Access Analyzer の結果が導入されているかどうかや、既存の結果を解決するかどうかを確認できます。アクティブなアナライザーが表示されない場合は、IAM Access Analyzer でアカウントアナライザーを作成します。詳細については、IAM ユーザーガイドアクセスのプレビューを参照してください。

  8. 変更の保存を選択すると、[バケット許可] のページへ戻ります。