S3のACL設定方法がCloudFormationとマネコンで異なるので対比してみた

S3のACL設定方法がCloudFormationとマネコンで異なるので対比してみた

S3のACL設定について、CloudFormationとマネジメントコンソールで設定方法が異なります。 CFnで設定した場合、マネジメントコンソールでどういう設定になるのかよくわからなかったので、マネコンでどう表示されることになるのか試してみました。
#AWS CloudFormation
#Amazon S3
#AWS
Kitano Yuichi

Kitano Yuichi

facebook logohatena logotwitter logo
Clock Icon2019.04.30

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

S3のACL設定について、CloudFormationとマネジメントコンソールで設定方法が異なります。

マネコンでは細かくBucketACLが設定できますが、CFnでは既定ACLのみ設定が可能です。 この既定ACLをCFnで設定した場合、マネジメントコンソールでどういう設定になるのかドキュメントを読んでもよくわからなかったので、マネコンでどう表示されることになるのか試してみました。

S3のACL設定について

S3のBucketACLはマネジメントコンソールで設定できます。

CFnでもこんな風にBucketACLが設定できます。

AWS::S3::Bucket - AWS CloudFormation

AWSTemplateFormatVersion: '2010-09-09'

Resources:
  AuthenticatedReadS3:
    Type: AWS::S3::Bucket
    Properties:
      BucketName: authenticated-read-s3-sample
      AccessControl: AuthenticatedRead

CFnのAccessControlには、既定ACLである以下の値が設定可能です。

  • AuthenticatedRead
  • AwsExecRead
  • BucketOwnerRead
  • BucketOwnerFullControl
  • LogDeliveryWrite
  • Private
  • PublicRead
  • PublicReadWrite`

既定ACLについてはこのドキュメントに記載されています。

アクセスコントロールリスト (ACL) の概要 - Amazon Simple Storage Service

が、正直読んでもいまいちわからんかったので、CFnでAccessControl値を設定するとマネコンでどういう設定になるのかの対比を作りました。

AccessControl: 設定なし

設定なしのデフォルトでは、自分だけが参照・書き込みができる状態です。

AccessControl: Private

設定なしと同じです。 ドキュメントに記載のとおり、Privateがデフォルトです。

所有者は FULL_CONTROL を取得します。他のユーザーにはアクセス許可は付与されません (デフォルト)。

AccessControl: PublicRead

パブリックになります。 Everyoneがオブジェクトを参照できる状態です。

AccessControl: PublicReadWrite

パブリックになります。 Everyoneがオブジェクトを参照・書き込みできる状態です。

AccessControl: AwsExecRead

調べてみたけど、いまいち用途がわかりませんでした。何らかのユーザーがオブジェクトを参照できる状態です。 私はよくわかっていないので設定しないようにします。(知っている方、教えてください)

AccessControl: AuthenticatedRead

パブリックになります。 Any AWS userからオブジェクトの参照ができる状態です。

AccessControl: BucketOwnerRead

設定なしと同じです。 ドキュメントに記載のとおり、作成時に指定しても無視されます。

オブジェクト所有者は FULL_CONTROL を取得します。バケット所有者は READ を取得します。バケットの作成時にこの既定 ACL を指定しても、Amazon S3 には無視されます。

AccessControl: BucketOwnerFullControl

設定なしと同じです。 ドキュメントに記載のとおり、作成時に指定しても無視されます。

オブジェクト所有者とバケット所有者はオブジェクトに対する FULL_CONTROL を取得します。バケットの作成時にこの既定 ACL を指定しても、Amazon S3 には無視されます。

AccessControl: LogDeliveryWrite

ログ配信のオブジェクトの書き込みとバケットのアクセス権限の読み取りを許可します。 ドキュメントに記載のとおり、S3サーバーアクセスのログ記録を許可する設定です。

LogDelivery グループはバケットに対する WRITE および READ_ACP アクセス許可を取得します。ログの詳細については、「Amazon S3 サーバーアクセスのログ記録」を参照してください。

Share this article

facebook logohatena logotwitter logo

関連記事

[アップデート] AWS CDK でリプレースメントタイプの更新が含まれている場合に自動的に `--no-rollback` フラグを無効にするか、ユーザーに確認を求める機能が追加されました

[アップデート] AWS CDK でリプレースメントタイプの更新が含まれている場合に自動的に `--no-rollback` フラグを無効にするか、ユーザーに確認を求める機能が追加されました

User avatar
若槻龍太
2024.11.19
AWS WAF コストの最適化、静的コンテンツの保護とログ記録を除外した利用を試してみた

AWS WAF コストの最適化、静的コンテンツの保護とログ記録を除外した利用を試してみた

User avatar
suzuki.ryo
2024.11.19
CloudFormationでSageMaker Studioの自動シャットダウン設定を有効にする

CloudFormationでSageMaker Studioの自動シャットダウン設定を有効にする

User avatar
神野 雄大
2024.11.18
Helix Core・Helix Swarm・Helix Planを、公式テンプレートを使用してAWS上に構築してみた

Helix Core・Helix Swarm・Helix Planを、公式テンプレートを使用してAWS上に構築してみた

User avatar
sora
2024.11.18
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.