S3へのアクセスをEC2のプライベートIPアドレスで制御してみた

S3へのアクセスをEC2のプライベートIPアドレスで制御してみた

#AWS
#Amazon S3
#VPC Endpoint
小林陸

小林陸

facebook logohatena logotwitter logo
Clock Icon2022.12.15

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

S3バケットポリシーを使用してEC2の持つグローバルIPで制御したことはあったのですが、VPC内のプライベートIPの場合はどうすればよいのだろうと思ったのでやってみました。
今回はGateway型のVPCエンドポイントをS3へアクセスするEC2のプライベートIPアドレスで、S3のアクセスを制限する検証を行いました。

グローバルIPアドレスで制御する場合

グローバルIPアドレスで制御する場合は以下のようにaws:SourceIpを使用して制御できます。
以下のバケットポリシーは特定のグローバルIPアドレス以外からのPutObject、GetObject、ListBucketを禁止するものになります。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "S3バケットARN",
                "S3バケットARN/*"
            ],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "X.X.X.X/32"
                }
            }
        }
    ]
}

上記のポリシーの「X.X.X.X」をグローバルIPアドレスにすることで動作します。
「X.X.X.X」をプライベートIPアドレスにしようとすると以下の画像のようにエラーが発生します。

プライベートIPアドレスで制御する場合

結論としてはドキュメントにも記載されている通りバケットポリシーの条件を「aws:VpcSourceIp」に変更し、VPCエンドポイントを使用してプライベートにアクセスさせることで解決できます。
バケットポリシーは以下のようになります。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "S3バケットARN",
                "S3バケットARN/*"
            ],
            "Condition": {
                "NotIpAddress": {
                    "aws:VpcSourceIp": "X.X.X.X/32"
                }
            }
        }
    ]
}

上記のポリシーの「X.X.X.X」をプライベートIPアドレスにすることで動作します。

マネジメントコンソールからS3のVPCエンドポイントを作成する場合は以下のドキュメントを参考にしてください。
ゲートウェイエンドポイントを作成する
Amazon S3 におけるエンドポイント

VPCエンドポイントをCloudFormationで作成してみました。
テンプレートは以下になります。

AWSTemplateFormatVersion: "2010-09-09"

Description: Endpoint

Parameters:
# ------------------------------------------------------------#
# Parameters
# ------------------------------------------------------------# 
  RouteTableId:
    Type: String

  VpcId:
    Type: String

Resources:
# ------------------------------------------------------------#
# Endpoint
# ------------------------------------------------------------# 
  Endpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties: 
      RouteTableIds: 
        - !Ref RouteTableId
      ServiceName: com.amazonaws.ap-northeast-1.s3
      VpcEndpointType: Gateway
      VpcId: !Ref VpcId

以下のAWS CLIコマンドでCloudFormationを実行します。

aws cloudformation create-stack --stack-name CloudFormationスタック名 --template-body file://CloudFormationテンプレートファイル名 --parameters ParameterKey=RouteTableId,ParameterValue=ルートテーブルID ParameterKey=VpcId,ParameterValue=VPCID

VPCエンドポイントとバケットポリシーを設定した状態で、該当のIPアドレスを持つEC2からS3バケット内を以下のコマンドで覗くと成功することが確認できます。
該当のIPアドレスを持っていないEC2からはAccessDeniedで失敗します。

aws s3 ls s3://S3バケット名

さいごに

今回はIPアドレスでアクセスを制御するバケットポリシーの検証をやってみました。
ポリシーの条件周りは使ったことの無いものも多くあるので今後も学習を続けていきたいと思います。

Share this article

facebook logohatena logotwitter logo

関連記事

起動テンプレートを使って同じようなEC2 インスタンスを作ろう!

起動テンプレートを使って同じようなEC2 インスタンスを作ろう!

User avatar
まると
2024.11.20
AWS re:Invent 2024 の公式アプリ (AWS Event) から「Peer Talk」を使ってみました!

AWS re:Invent 2024 の公式アプリ (AWS Event) から「Peer Talk」を使ってみました!

User avatar
yukoyagi
2024.11.20
StableStudioからStable Diffusion Web UIを使って画像生成してみた

StableStudioからStable Diffusion Web UIを使って画像生成してみた

User avatar
sora
2024.11.20
クラスメソッドがお届けする2024年のAWS re:Invent振り返り勉強会『re:Growth』は計4会場(東京/大阪/福岡/札幌)で開催します! #cmregrowth

クラスメソッドがお届けする2024年のAWS re:Invent振り返り勉強会『re:Growth』は計4会場(東京/大阪/福岡/札幌)で開催します! #cmregrowth

User avatar
しんや
2024.11.20
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.