S3のアクセス元VPCを限定し、セキュアにしよう!
S3へのデータのアップロード/ダウンロードは様々な場面で発生することが考えられます。
今回は、前回の記事続き、S3へのアクセス元VPCを限定する設定を紹介します。
今回もバケットポリシーを例に紹介するので、JSON形式の基礎が不明な方は、以下のページで紹介しているので、参照ください。
S3のバケットポリシー:アクセス元VPCを限定する設定
"Statement": [
{
"Sid": "Access-to-specific-VPC-only",
"Principal": {
"AWS": "arn:aws:iam::Account-ID(12桁):user/IAM-username"
},
"Action": "s3:*",
"Effect": "Deny",
"Resource": ["arn:aws:s3:::S3バケット名",
"arn:aws:s3:::S3バケット名/*"],
"Condition": {
"StringNotEquals": {
"aws:sourceVpc": "VPC-ID"
}
}
}
]Principalの「”AWS”: “arn:aws:iam::Account-ID(12桁):user/IAM-username”」は、Account-IDが「123456789012」、IAM-username「test」であれば、以下になります。
「”AWS”: “arn:aws:iam::123456789012:user/test”」
Resourceの「”arn:aws:s3:::S3バケット名”」は、S3バケット名が「bucket-test」であれば、以下になります。
「arn:aws:s3:::bucket-test」
Conditionの「”aws:sourceVpc”: “VPC-ID”」は、VPC-IDが「vpc-2f09a348」であれば、以下になります。
「”aws:sourceVpc”: “vpc-2f09a348″」
まとめ
・S3のアクセス元VPCの限定をすることが可能
・S3のアクセス元VPCの限定にはJSON形式のバケットポリシーの設定が必要
コメント