boto3を使ってS3バケットのACLを無効化する

boto3を使ってS3バケットのACLを無効化する

こんにちは。サービス部の武田です。今回Pythonのboto3を使って、S3バケットのACLを無効化する機会がありましたので共有します。
#Amazon S3
#Boto3
#Python
#AWS
武田隆志

武田隆志

facebook logohatena logotwitter logo
Clock Icon2022.09.28

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは。サービス部の武田です。

Amazon S3のポリシー設定は歴史的な経緯から複雑になっています。特に複雑にしているのがACLの存在ですが、これは2021年のアップデートで無効化できるようになりました。また、 無効化が推奨 されています。

今回Pythonのboto3を使って、ACLを無効化する機会がありましたので共有します。

必要な権限

ACLを無効化する際にはs3:PutBucketOwnershipControlsの権限が必要です。事前に付与されているか、されていない場合は追加することを忘れないでください。

新規バケット作成時に無効化する

新規バケットを作成する際に、ACLを無効化できます。create_bucketObjectOwnershipパラメーターが指定できるため、ここにBucketOwnerEnforcedを指定すればOKです。

s3 = boto3.client("s3")

s3.create_bucket(
    Bucket="YOUR_BUCKET_NAME",
    CreateBucketConfiguration={"LocationConstraint": "ap-northeast-1"},
    ObjectOwnership="BucketOwnerEnforced",
)

既存バケットを無効化する

既存のバケットのACLを無効化する場合、put_bucket_ownership_controlsを使用します。OwnershipControlsパラメーターはdictになっており、RulesObjectOwnership: BucketOwnerEnforcedを指定します。

s3 = boto3.client("s3")

s3.put_bucket_ownership_controls(
    Bucket="YOUR_BUCKET_NAME",
    OwnershipControls={
        "Rules": [
            {"ObjectOwnership": "BucketOwnerEnforced"},
        ]
    },
)

注意する点として、ACLの設定をデフォルトから変更している場合エラーとなります。その場合は少し手間ですが設定を元に戻すなりの対応が必要です。

まとめ

S3バケットのACLは無効化が推奨されています。特別な理由がない限りは無効化して運用をしましょう。

Share this article

facebook logohatena logotwitter logo

関連記事

S3バケットへのアクセスをオンプレミスサーバーのプライベートIPアドレスで制限する方法2選

S3バケットへのアクセスをオンプレミスサーバーのプライベートIPアドレスで制限する方法2選

User avatar
平井裕二
2024.11.19
ログファイルの共有に困っていませんか? 署名付き URL で S3 にアップロードしよう

ログファイルの共有に困っていませんか? 署名付き URL で S3 にアップロードしよう

User avatar
Shiina
2024.11.18
IAM ポリシーにおける S3 アクションの対象範囲について

IAM ポリシーにおける S3 アクションの対象範囲について

AWS Organizations のRoot access management を使ってすべてのアクセスを拒否したS3 バケットを復旧させてみた

AWS Organizations のRoot access management を使ってすべてのアクセスを拒否したS3 バケットを復旧させてみた

User avatar
あしざわ
2024.11.18
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.