Amazon S3: 特定の S3 バケットに対する管理の制限

この例では、Amazon S3 バケットの管理を特定のバケットに制限する ID ベースのポリシーを作成する方法を示します。このポリシーは、すべての Amazon S3 アクションを実行するアクセス権限を付与しますが、Amazon S3 以外のすべての AWS のサービス へのアクセスを拒否します。次の例を参照してください。このポリシーによると、S3 バケットまたは S3 オブジェクトリソースで実行できる Amazon S3 アクションにのみアクセスできます。このポリシーでは、AWS API または AWS CLI から、このアクションをプログラムで完了するために必要なアクセス権を許可します。このポリシーを使用するには、サンプルポリシーのイタリック体のプレースホルダーテキストを独自の情報に置き換えます。次に、ポリシーの作成またはポリシーの編集の手順に従います。

このポリシーが、このポリシーによって拒否されたアクションを許可する他のポリシー (AmazonS3FullAccess または AmazonEC2FullAccess AWS 管理ポリシーなど) と組み合わされて使用される場合、アクセスは拒否されます。これは、明示的な拒否のステートメントは許可のステートメントより優先されるからです。詳細については、「アカウント内でのリクエストの許可または拒否の決定」を参照してください。

警告

NotAction および NotResource は、注意して使用する必要がある高度なポリシー要素です。このポリシーは、Amazon S3 を除くすべての AWS サービスへのアクセスを拒否します。このポリシーをユーザーにアタッチすると、他のサービスにアクセス許可を付与する他のポリシーは無視され、アクセスは拒否されます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        },
        {
            "Effect": "Deny",
            "NotAction": "s3:*",
            "NotResource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}