特定IAM Identity Center許可セットからのS3アクセスを許可するバケットポリシー

特定IAM Identity Center許可セットからのS3アクセスを許可するバケットポリシー

#マルチアカウントTIPS
#AWS IAM Identity Center
#Amazon S3
川原征大

川原征大

facebook logohatena logotwitter logo
Clock Icon2023.06.26

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

AWSのマルチアカウント管理で役立つノウハウ、 [マルチアカウントTIPS] をお届けします。

今回は「組織内のAWS利用者に対して特定ファイルを共有したい」ケースを考えます。

もう少し細かい要件は以下のとおりです。

  • AWS利用者は IAM Identity Center から「利用者用AWSアカウント」にアクセスする
  • AWS管理者は 共有ファイルを「管理者用AWSアカウント内のS3バケット」に格納する
  • 利用者用AWSアカウントから共有ファイルを取得したい

img

共有できるようにS3バケットのバケットポリシーを設定します。

前提条件

以下環境は整備済みとします。

  • IAM Identity Center によるアクセス環境
  • S3バケット (バケットポリシー以外の基本的な設定)
  • 共有したいファイル、つまりS3オブジェクト

S3バケットはマネジメントコンソールから作成する際のデフォルト設定でOKです。 ブロックパブリックアクセスは全て有効化しておきましょう。

準備するパラメータ

以下パラメータがバケットポリシーに必要です。

  • 許可セット名 : 利用者がAWSアカウントへアクセスする際に利用する許可セットの名前
  • S3バケット名 : 共有ファイルを格納しているS3バケットの名前
  • S3オブジェクトキー : 共有ファイルのS3オブジェクトキー
  • 組織ID : AWS Organizations の組織ID( o-example )

組織IDは管理アカウントのAWS Organizations コンソールから分かります。

img

設定するバケットポリシー

以下のようなバケットポリシーを設定します。 ハイライト部分を置き換えてください。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Principal": {
        "AWS": "*"
      },
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::${S3バケット名}/${S3オブジェクトキー}",
      "Condition": {
        "ArnLike": {
          "aws:PrincipalARN": "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*/AWSReservedSSO_${許可セット名}_*"
        },
        "StringEquals": {
          "aws:PrincipalOrgID": [
            "${組織ID}"
          ]
        }
      }
    }
  ]
}

試してみる

以下のようなパラメータで各種設定をしました。

  • 許可セット名 : test-s3-access
  • S3バケット名 : 適当に作成 (以降 DOC-EXAMPLE-BUCKET )
  • S3オブジェクトキー : hoge.txt
  • 組織ID : 検証環境の組織ID (以降 o-example )

バケットポリシーは以下のように設定しました。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Principal": {
        "AWS": "*"
      },
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/hoge.txt",
      "Condition": {
        "ArnLike": {
          "aws:PrincipalARN": "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*/AWSReservedSSO_test-s3-access_*"
        },
        "StringEquals": {
          "aws:PrincipalOrgID": [
            "o-example"
          ]
        }
      }
    }
  ]
}

test-s3-access 許可セットでメンバーアカウントに入ります。

$ aws sts get-caller-identity --output yaml
Account: '111111111111' # → 利用者用AWSアカウントID
Arn: arn:aws:sts::111111111111:assumed-role/AWSReservedSSO_test-s3-access_example/kawahara.masahiro
UserId: AROAEXAMPLE:kawahara.masahiro

s3api を使ってオブジェクトを取得してみます。

$ aws s3api get-object --bucket DOC-EXAMPLE-BUCKET --key hoge.txt ./hoge.txt --output yaml
AcceptRanges: bytes
ContentLength: 5
ContentType: text/plain
ETag: '"c5954example"'
LastModified: '2023-06-26T01:10:09+00:00'
Metadata: {}
ServerSideEncryption: AES256

$ cat ./hoge.txt
hoge

管理者用AWSアカウント内のS3オブジェクトを取得できました。

おわりに

組織内でファイルを共有する1手段でした。 参考になれば幸いです。

ちなみにポリシー設計でハマったポイントは以下のとおりです。

  • Principal 部分のワイルドカードは「すべて」を指す "*" しか使えない
  • Condition 部分で指定するIAM Identity Center ロールのARN

参考

Share this article

facebook logohatena logotwitter logo

関連記事

AWS OrganizationsのOUおよび各アカウントに直接アタッチされているSCPの一覧をAWS CLIで出力する

AWS OrganizationsのOUおよび各アカウントに直接アタッチされているSCPの一覧をAWS CLIで出力する

User avatar
平井裕二
2024.10.29
CloudFormation StackSetsで、メンバーアカウントごとに異なるパラメータ(Security Hub通知先)を設定しスタックを作成する

CloudFormation StackSetsで、メンバーアカウントごとに異なるパラメータ(Security Hub通知先)を設定しスタックを作成する

User avatar
平井裕二
2024.10.16
AWS Security Hub オートメーションルールで特定のコントロールを自動抑制してみた

AWS Security Hub オートメーションルールで特定のコントロールを自動抑制してみた

User avatar
平井裕二
2024.08.16
GuardDutyのEC2 Malware Protectionでは、管理アカウントのスナップショット保持設定が全メンバーアカウントに適用されます

GuardDutyのEC2 Malware Protectionでは、管理アカウントのスナップショット保持設定が全メンバーアカウントに適用されます

User avatar
平井裕二
2024.08.07
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.