S3 に対するアクションが拒否される際の調査方法を教えてください
2024.06.08困っていること
同一アカウント内のIAM ユーザー/ロールで S3 に対するアクションを実行しています。
以前までは該当オブジェクトに対してアクション可能でしたが、担当者が何らかの設定変更を行ったため S3 に対するアクションが拒否されました。
事象解消のための調査方法を教えてください。
どう対応すればいいの?
IAM ポリシー(権限)、バケットポリシーのどちらかが許可しているとアクセスに成功します。しかしながら、どちらかの許可があっても明示的な拒否がある場合は失敗します。
- IAM ユーザー/ロールが持つ権限
- バケットポリシー
まずは上記を確認されましてから、以下の観点を調査してください。
- S3 バケットの ACL 設定
- 対象リソースの暗号化設定
- VPC エンドポイントポリシー
- KMS キーのキーポリシー
- サービスコントロールポリシー (SCP)
AWS Systems Manager のセルフサービス自動化ランブック
AWS Support Automation Workflows (SAW) の "AWSSupportTroubleshootS3AccessSameAccount" を利用すると、上記観点について (対象リソースは ARN で⼊⼒する必要がある) 自動的に調査を行い問題点を表示しますのでご活用ください。
※ AWS Black Belt Online Seminar (P30-34)
![[アップデート]S3 Express One Zone に S3 ライフサイクルルールを設定できるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-066beb776f0c57ce64255fadcc072f60/82b2f6687ab5774cd73f9176dcac7855/amazon-s3)
