TerraformでS3のオブジェクトACLを無効にする

TerraformでS3のオブジェクトACLを無効にする

#AWS
#Terraform
#Amazon S3
たかくに

たかくに

facebook logohatena logotwitter logo
Clock Icon2022.07.07

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは!AWS事業本部コンサルティング部のたかくに(@takakuni_)です。

今回は、「TerraformでS3のオブジェクトACLを無効にする」方法をご紹介しようと思います。

3行でまとめる

  • local-execではないよ
  • aws_s3_bucket_ownership_controlsリソースだよ
  • どんどん活用していこう!

S3のオブジェクトACLとは

S3のオブジェクトACLとは、S3バケットに保存された「オブジェクトに対するアクセスポリシー」です。

「re:Invent 2021」のアップデートでACLの無効化を設定可能になり、「オブジェクトACLは無効化」が推奨されることになりました。

https://dev.classmethod.jp/articles/s3-bucket-owner-enforced/
https://dev.classmethod.jp/articles/s3-bucket-owner-enforced/

ただし CloudFront ログ保管用バケットは、引き続きオブジェクトACL有効化が必要です。

https://dev.classmethod.jp/articles/cloudfront-access-log-dont-choose-no-acl-s3-bucket/

やってみた

S3のオブジェクトACLの有効/無効の制御は、AWS Provider v3,v4関係なく「aws_s3_bucket_ownership_controls」リソースで行います。

ドキュメントベースですが、AWS Provider v3.69.0 から値に「BucketOwnerEnforced」を設定可能でした。

data "aws_caller_identity" "self" {}

resource "aws_s3_bucket" "bucket" {
  bucket = "bucket-${data.aws_caller_identity.self.account_id}"
}

resource "aws_s3_bucket_ownership_controls" "firelens" {
  bucket = aws_s3_bucket.bucket.bucket

  rule {
    object_ownership = "BucketOwnerEnforced"
  }
}

設定値は、「BucketOwnerEnforced」、「BucketOwnerPreferred」、「ObjectWriter」の三種類の中から選択します。

無効化の場合は「BucketOwnerEnforced」を選択します。違いについては、再掲にはなりますが次のブログをご覧ください。

https://dev.classmethod.jp/articles/s3-bucket-owner-enforced/

ちなみにですが、デフォルト(aws_s3_bucket_ownership_controlsリソースを作成しない場合)の「オブジェクト所有者」設定は オブジェクトライター(ObjectWriter) でした。

vs aws_s3_bucket_acl

最後に「aws_s3_bucket_acl」との競合について調べてみました。

「オブジェクト所有者」設定を「バケット所有者の強制(BucketOwnerEnforced)」に設定する場合は、バケット所有者以外のバケット ACLが削除されている必要がありました。

aws_s3_bucket_ownership_controls.bucket: Creating...
╷
│ Error: error creating S3 Bucket (buckets-622809842341) Ownership Controls: InvalidBucketAclWithObjectOwnership: Bucket cannot have ACLs set with ObjectOwnership's BucketOwnerEnforced setting
│       status code: 400, request id: XXXXXXXXXXXXXXXX, host id: XXXXXXXXXXXXXXXXX/XXXXXXXXXXXXXXXXX/XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
│ 
│   with aws_s3_bucket_ownership_controls.bucket,
│   on aws_s3.tf line 40, in resource "aws_s3_bucket_ownership_controls" "bucket":40: resource "aws_s3_bucket_ownership_controls" "bucket" {

マネジメントコンソールでも同様のエラーが確認できます。

最後に

以上、TerraformでS3のオブジェクトACLを無効にするでした。

オブジェクトACLの無効化できるとは今日まで知らず、是非ブログにしたいと思い書いてみました。

このブログがどなたかの参考になれば幸いです。以上、AWS事業本部コンサルティング部のたかくに(@takakuni_)でした!

Share this article

facebook logohatena logotwitter logo

関連記事

AWS CDKでAmazon FSx for NetApp ONTAPの運用に必要なリソースをまとめてデプロイしてみた

AWS CDKでAmazon FSx for NetApp ONTAPの運用に必要なリソースをまとめてデプロイしてみた

User avatar
のんピ
2024.11.22
[アップデート]S3 Express One Zone に S3 ライフサイクルルールを設定できるようになりました

[アップデート]S3 Express One Zone に S3 ライフサイクルルールを設定できるようになりました

User avatar
大村 保貴
2024.11.22
GitHub上にあるファイルに対して、Lambdaで追記してgit pushしてみた

GitHub上にあるファイルに対して、Lambdaで追記してgit pushしてみた

User avatar
sora
2024.11.22
AWS Global Accelerator でフローログを取得する方法を教えてください

AWS Global Accelerator でフローログを取得する方法を教えてください

User avatar
hato
2024.11.22
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.