環境間の Amazon S3 バケットアクセスの防止

Elastic Beanstalk には、 AWS アカウントの Elastic Beanstalk 環境に必要な AWS リソースを処理するためのマネージドポリシーが用意されています。 AWS アカウント内の 1 つのアプリケーションにデフォルトで提供されるアクセス許可は、同じ AWS アカウントの他のアプリケーションに属する S3 リソースにアクセスできます。

AWS アカウントで複数の Beanstalk アプリケーションを実行している場合は、環境ごとに独自のサービスロールまたはインスタンスプロファイルにアタッチする独自のカスタムポリシーを作成することで、ポリシーのセキュリティを絞り込むことができます。その後、カスタムポリシーの S3 アクセス許可を特定の環境に制限できます。

注記

カスタムポリシーを維持する責任があることに注意してください。カスタムポリシーがベースとなる Elastic Beanstalk 管理ポリシーが変更された場合は、ベースポリシーに対するそれぞれの変更でカスタムポリシーを変更する必要があります。Elastic Beanstalk 管理ポリシーの変更履歴については、「」を参照してくださいElastic Beanstalk によるマネージドポリシーのアップデート AWS。

スコープダウンされたアクセス許可の例

次の例は、 AWSElasticBeanstalkWebTierマネージドポリシーに基づいています。

デフォルトのポリシーには、S3 バケットへのアクセス許可に関する次の行が含まれています。このデフォルトポリシーは、S3 バケットアクションを特定の環境またはアプリケーションに制限しません。

{
   "Sid" : "BucketAccess", 
   "Action" : [ 
      "s3:Get*",
      "s3:List*", 
      "s3:PutObject"
     ], 
   "Effect" : "Allow",
   "Resource" : [ 
      "arn:aws:s3:::elasticbeanstalk-*", 
      "arn:aws:s3:::elasticbeanstalk-*/*" 
     ] 
}

特定のリソースを として指定されたサービスロールに認定することで、アクセスの範囲を絞り込むことができますPrincipal。次の例では、ID を使用して環境内の S3 バケットにカスタムサービスロールのaws-elasticbeanstalk-ec2-role-my-example-envアクセス許可を提供しますmy-example-env-ID。

例 特定の環境の S3 バケットにのみアクセス許可を付与する

{
   "Sid": "BucketAccess",
   "Action": [
      "s3:Get*",
      "s3:List*",
      "s3:PutObject"
    ],
   "Effect": "Allow",
   "Principal": {
      "AWS": "arn:aws:iam::...:role/aws-elasticbeanstalk-ec2-role-my-example-env"
     },
   "Resource": [
      "arn:aws:s3:::elasticbeanstalk-my-region-account-id-12345",
      "arn:aws:s3:::elasticbeanstalk-my-region-account-id-12345/resources/environments/my-example-env-ID/*"
    ]
}

注記

リソース ARN には (環境名ではなく) Elastic Beanstalk 環境 ID を含める必要があります。環境 ID は、環境概要ページの Elastic Beanstalk コンソールから取得できます。describe AWS CLI -environments コマンドを使用してこの情報を取得することもできます。

Elastic Beanstalk 環境の S3 バケットのアクセス許可を更新する方法の詳細については、次のリソースを参照してください。

• このガイドの「Amazon S3 で Elastic Beanstalk を使用する」

• サービス認証リファレンスガイドのAmazon S3 で定義されるリソースタイプ」

• IAM ユーザーガイドの ARN 形式