Amazon S3: 特定の S3 バケットの管理を制限する - AWS Identity and Access Management

Amazon S3: 特定の S3 バケットの管理を制限する

この例では、次のような IAM ポリシーを作成する方法を示します。 は、特定のバケット上のすべての S3 アクションを許可することで S3 バケットの管理を制限しますが、Amazon S3 を除くすべての AWS サービスへのアクセスを明示的に拒否します。このポリシーは、s3:ListAllMyBucketss3:GetObject などの S3 バケットに対して実行できないアクションへのアクセスも拒否します。このポリシーでは、AWS API または AWS CLI からのみ、このアクションを実行するために必要なアクセス権限を付与します。このポリシーを使用するには、ポリシー例の斜体プレースホルダーテキストを自分の情報に置き換えます。次に、「ポリシーの作成」または「ポリシーの編集」の手順に従います。

このポリシーが、このポリシーによって拒否されたアクションを許可する他のポリシー (AmazonS3FullAccess または AmazonEC2FullAccess AWS 管理ポリシーなど) と組み合わされて使用される場合、アクセスは拒否されます。これは、明示的な拒否のステートメントは許可のステートメントより優先されるからです。詳細については、「アカウント内でのリクエストの許可または拒否の決定」を参照してください。

警告

NotAction および NotResource は、注意して使用する必要がある高度なポリシー要素です。このポリシーは、Amazon S3 を除くすべての AWS サービスへのアクセスを拒否します。このポリシーをユーザーにアタッチすると、他のサービスにアクセス許可を付与する他のポリシーは無視され、アクセスは拒否されます。 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        },
        {
            "Effect": "Deny",
            "NotAction": "s3:*",
            "NotResource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}