S3バケットポリシーにIPアドレスとVPCエンドポイントのアクセス制限を両方付けたい場合の対処法
困っていた内容
S3バケットに対して、特定の IP アドレス以外のアクセスを拒否したいです。
加えて、特定の VPC エンドポイント以外のアクセスを拒否する設定を追加しようとしています。
バケットポリシーはどのように記述すればよいですか?
どう対応すればいいの?
以下のポリシーを設定してください。
{
"Id": "SourceIP",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SourceIPAndVPCe",
"Action": "s3:*",
"Effect": "Deny",
"Principal": "*",
"Resource": "arn:aws:s3:::EXAMPLE-BUCKET/*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"11.11.11.11/32",
"22.22.22.22/32"
]
},
"StringNotEquals": {
"aws:SourceVpce": [
"vpce-1111111",
"vpce-2222222"
]
}
}
}
]
}
解説
特定の IP アドレス以外からのアクションを拒否するバケットポリシーは以下のような記述となります。
{
"Id": "SourceIP",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SourceIP",
"Action": "s3:*",
"Effect": "Deny",
"Principal": "*"
"Resource": "arn:aws:s3:::EXAMPLE-BUCKET/*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"11.11.11.11/32",
"22.22.22.22/32"
]
}
}
}
]
}
ベン図で記載すると、以下の範囲になります。(緑色の塗りつぶし部分が拒否の範囲となります)
特定の VPC エンドポイント以外からのアクションを拒否するバケットポリシーは以下のような記述となります。
{
"Id": "VPCe",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VPCe",
"Action": "s3:*",
"Effect": "Deny",
"Principal": "*",
"Resource": "arn:aws:s3:::EXAMPLE-BUCKET/*",
"Condition": {
"StringNotEquals": {
"aws:SourceVpce": [
"vpce-1111111",
"vpce-2222222"
]
}
}
}
]
}
ベン図で記載すると、以下の範囲になります。(緑色の塗りつぶし部分が拒否の範囲となります)
Condition 句内に複数の条件演算子を記載した場合は、and 条件となるため、
「特定のIPアドレス以外からのアクセス」かつ「特定のVPCエンドポイント以外からのアクセス」の場合に拒否となります。
ベン図で書くと以下のようになります。(緑色の塗りつぶし部分が拒否の範囲となります)
参考資料
IAM JSON ポリシーの要素: 条件演算子 - AWS Identity and Access Management
![[新機能] Amazon Redshift S3イベント統合による Auto-copy が一般提供開始したので試してみました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-63f1274931b942e9a92e601c1127ad73/cfe87ec6d62fa2fc3c474ed4cb2f6c2e/amazon-redshift)
![[AWS 勉強記録] Amazon S3 CLI コマンド](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-afb8c010d7789109015110e5802383b4/506a5c1ec4d5d675831f8f65783b5d2f/aws-cli)
