Amazon S3: 特定の S3 バケットの管理の制限 - AWS Identity and Access Management

Amazon S3: 特定の S3 バケットの管理の制限

この例は、特定のバケットですべての S3 アクションを許可し、Amazon S3 を除くすべての AWS サービスへのアクセスを明示的に拒否することで、S3 バケットの管理を制限する IAM ポリシーを作成する方法を示しています。このポリシーは、s3:ListAllMyBuckets または s3:GetObject などの S3 バケット上で実行できないアクションへのアクセスも拒否します。このポリシーでは、AWS API または AWS CLI からのみこのアクションを実行するためのアクセス許可を付与します このポリシーを使用するには、サンプルポリシーのイタリック体のプレースホルダーテキストを独自の情報に置き換えます。次に、ポリシーの作成またはポリシーの編集の手順に従います。

このポリシーが、このポリシーによって拒否されたアクションを許可する他のポリシー (AmazonS3FullAccess または AmazonEC2FullAccess AWS 管理ポリシーなど) と組み合わされて使用される場合、アクセスは拒否されます。これは、明示的な拒否のステートメントは許可のステートメントより優先されるからです。詳細については、「アカウント内でのリクエストの許可または拒否の決定」を参照してください。

警告

NotAction および NotResource は、注意して使用する必要がある高度なポリシー要素です。このポリシーは、Amazon S3 を除くすべての AWS サービスへのアクセスを拒否します。このポリシーをユーザーにアタッチすると、他のサービスにアクセス許可を付与する他のポリシーは無視され、アクセスは拒否されます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        },
        {
            "Effect": "Deny",
            "NotAction": "s3:*",
            "NotResource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}