[速報]アクセスポリシーを持ったS3のアクセスポイント「Amazon S3 Access Points」がGAになりました！ #reinvent

こんにちは、AWS事業本部の島川です。

ラスベガスで開催されているAWSの一大イベント AWS re:Invent 2019でAmazon S3 Access PointsのGAが発表されました！

Amazon S3 Access Points

Easily Manage Shared Data Sets with Amazon S3 Access Points

Amazon S3 Access Pointsを用いることでアクセスポリシーを記述したセキュアなアクセスポイントを発行することができます。VPC内からのアクセスのみ許可するようなアクセスポイントを発行できたりします。

ARNやURL形式で発行することができるので、ポリシーを適切に絞ったS3をアプリで簡単に利用することができるようになります。

既にS3のバケット設定にアクセスポイントタブが追加されています。

作ってみた

アクセスポイントを作成

アクセスポイントを作成をクリック

アクセスポイント名とアクセス方法を決める

• アカウント内で一意であればOK
• VPCアクセス用のアクセスポイントの作成はCLI等からでないとできないようです。

• 今回はインターネットで作成
• アクセスポイント設定はパブリックアクセスを全てブロックを選択

作成

• アクセスポイントポリシーは空のままでアクセスポイントを作成をクリック

確認

こんなのができました。アクセスポイントポリシー名をクリックします。

ARNが生成されているのが分かります。このアクセスポイントを使用をクリックします。

アクセスポイントポリシーに従ってバケットにアクセスされているのが分かります。

URLの発行

下記の形式でアクセスすることができます。

https://[access_point_name]-[accountID].s3-accesspoint.[region].amazonaws.com

CLIからの利用

$ aws s3api get-object --key /shimakawa/object.zip --bucket arn:aws:s3:ap-northeast-1:[my-account-id]:s3-accesspoint-test download.zip

今現在の情報

• S3アクセスポイントは、すべてのAWSリージョンで現在無料で利用可能
• デフォルトでは、各アカウントはリージョンごとに1,000個のアクセスポイントまで作成することができる
• AWS CloudFormationで実装可能
• AWS OrganizationsのSCPが利用できる。

さいごに

S3のアクセスパターンがまた一つ増えました。さらに細かく設定することができるようになりました。バケットポリシーと混在して少し分かりづらいかもしれませんが、アプリ側でのS3の利用がよりセキュアにすることができます。また、VPCエンドポイントが不要になるケースもあるかもしれません。

AWS CLIをアップデートすることでCLIからも利用ができます！ぜひお試しを！