アクセス許可は、ACL、バケットポリシー、およびユーザーポリシーによって付与できます。
ただし、バケットポリシーまたはユーザーポリシーによって明示的な拒否が設定されている場合、
他のアクセス許可よりも明示的な拒否が優先されます。
-- 1. コマンド等のインストール
-- 1.1 aws cli version 2 インストール [アカウントAの管理者ユーザで実行]
curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install
aws --version
-- 2. S3 バケットを作成する [アカウントAの管理者ユーザで実行]
aws s3 mb s3://bucket123
aws s3 ls
-- 3. バケットにオブジェクトをアップロードする [アカウントAの管理者ユーザで実行]
echo test01 > test01.txt
aws s3 cp test01.txt s3://bucket123
aws s3 ls s3://bucket123 --recursive
-- 4. クロスアカウントアクセス許可を付与するバケットポリシー作成 [アカウントAの管理者ユーザで実行]
vim a.json
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Example permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::888888888888:root"
},
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket123"
]
}
]
}
aws s3api put-bucket-policy \
--bucket bucket123 \
--policy file://a.json
-- 5. アカウント B (とその管理ユーザー) がオペレーションを実行できることを確認 [アカウントBの管理者ユーザで実行]
aws s3 ls s3://bucket123
aws s3api get-bucket-location --bucket bucket123
-- 6. IAMユーザ(testiamuser)を作成する [アカウントBの管理者ユーザで実行]
aws iam create-user --user-name testiamuser
aws iam create-access-key --user-name testiamuser
-- 7. IAMポリシーでtestiamuserへアクセス許可を付与 [アカウントBの管理者ユーザで実行]
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Example",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket123"
]
}
]
}
aws iam create-policy \
--policy-name policy01 \
--policy-document file://policy01.json
aws iam attach-user-policy \
--policy-arn arn:aws:iam::888888888888:policy/policy01 \
--user-name testiamuser
-- 8. アクセス許可をテストする [アカウントBのtestiamuserで実行]
aws s3 ls s3://bucket123
→アクセスできる
aws s3api get-bucket-location --bucket bucket123
→権限がないためアクセスできない
-- 9. バケットポリシー変更 [アカウントAの管理者ユーザで実行]
vim a.json
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Example permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::888888888888:root"
},
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket123"
]
},
{
"Sid": "Deny permission",
"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::888888888888:root"
},
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket123"
]
}
]
}
aws s3api put-bucket-policy \
--bucket bucket123 \
--policy file://a.json
-- 10. アクセス拒否の確認 [アカウントBの管理者ユーザで実行]
aws s3 ls s3://bucket123
-- 11. クリーンアップ
-- バケットポリシーの削除 [アカウントAの管理者ユーザで実行]
aws s3api delete-bucket-policy \
--bucket bucket123
-- バケットの削除 [アカウントAの管理者ユーザで実行]
aws s3 ls
aws s3 rb s3://bucket123 --force
-- IAMユーザ削除 [アカウントBの管理者ユーザで実行]
aws iam list-users
aws iam detach-user-policy \
--user-name testiamuser \
--policy-arn arn:aws:iam::888888888888:policy/policy01
aws iam delete-access-key \
--user-name testiamuser \
--access-key-id XXXXXXXXXXXXXXXXXXXX
aws iam delete-user --user-name testiamuser
-- IAMポリシーの削除 [アカウントBの管理者ユーザで実行]
aws iam list-policies | grep policy01
aws iam delete-policy \
--policy-arn arn:aws:iam::888888888888:policy/policy01