S3 に対するアクションが拒否される際の調査方法を教えてください
2024.06.08
困っていること
同一アカウント内のIAM ユーザー/ロールで S3 に対するアクションを実行しています。
以前までは該当オブジェクトに対してアクション可能でしたが、担当者が何らかの設定変更を行ったため S3 に対するアクションが拒否されました。
事象解消のための調査方法を教えてください。
どう対応すればいいの?
IAM ポリシー(権限)、バケットポリシーのどちらかが許可しているとアクセスに成功します。しかしながら、どちらかの許可があっても明示的な拒否がある場合は失敗します。
- IAM ユーザー/ロールが持つ権限
- バケットポリシー
まずは上記を確認されましてから、以下の観点を調査してください。
- S3 バケットの ACL 設定
- 対象リソースの暗号化設定
- VPC エンドポイントポリシー
- KMS キーのキーポリシー
- サービスコントロールポリシー (SCP)
AWS Systems Manager のセルフサービス自動化ランブック
AWS Support Automation Workflows (SAW) の "AWSSupportTroubleshootS3AccessSameAccount"
を利用すると、上記観点について (対象リソースは ARN で⼊⼒する必要がある) 自動的に調査を行い問題点を表示しますのでご活用ください。
※ AWS Black Belt Online Seminar (P30-34)