アクセス許可は、ACL、バケットポリシー、およびユーザーポリシーによって付与できます。
ただし、バケットポリシーまたはユーザーポリシーによって明示的な拒否が設定されている場合、
他のアクセス許可よりも明示的な拒否が優先されます。

-- 1. コマンド等のインストール

-- 1.1 aws cli version 2 インストール [アカウントAの管理者ユーザで実行]

curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install
aws --version

-- 2. S3 バケットを作成する [アカウントAの管理者ユーザで実行]

aws s3 mb s3://bucket123

aws s3 ls

-- 3. バケットにオブジェクトをアップロードする [アカウントAの管理者ユーザで実行]

echo test01 > test01.txt
aws s3 cp test01.txt s3://bucket123
aws s3 ls s3://bucket123 --recursive

-- 4. クロスアカウントアクセス許可を付与するバケットポリシー作成 [アカウントAの管理者ユーザで実行]

vim a.json
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Example permissions",
         "Effect": "Allow",
         "Principal": {
            "AWS": "arn:aws:iam::888888888888:root"
         },
         "Action": [
            "s3:GetBucketLocation",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::bucket123"
         ]
      }
   ]
}

aws s3api put-bucket-policy \
--bucket bucket123 \
--policy file://a.json

-- 5. アカウント B (とその管理ユーザー) がオペレーションを実行できることを確認 [アカウントBの管理者ユーザで実行]

aws sts get-caller-identity

aws s3 ls s3://bucket123
aws s3api get-bucket-location --bucket bucket123

 

-- 6. IAMユーザ(testiamuser)を作成する [アカウントBの管理者ユーザで実行]
aws iam create-user --user-name testiamuser

aws iam create-access-key --user-name testiamuser

-- 7. IAMポリシーでtestiamuserへアクセス許可を付与 [アカウントBの管理者ユーザで実行]

vim policy01.json

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Example",
         "Effect": "Allow",
         "Action": [
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::bucket123"
         ]
      }
   ]
}

aws iam create-policy \
--policy-name policy01 \
--policy-document file://policy01.json

aws iam attach-user-policy \
--policy-arn arn:aws:iam::888888888888:policy/policy01 \
--user-name testiamuser

-- 8. アクセス許可をテストする [アカウントBのtestiamuserで実行]

aws sts get-caller-identity

aws s3 ls s3://bucket123

→アクセスできる

aws s3api get-bucket-location --bucket bucket123

→権限がないためアクセスできない

 

-- 9. バケットポリシー変更 [アカウントAの管理者ユーザで実行]

vim a.json
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Example permissions",
         "Effect": "Allow",
         "Principal": {
            "AWS": "arn:aws:iam::888888888888:root"
         },
         "Action": [
            "s3:GetBucketLocation",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::bucket123"
         ]
      },
      {
         "Sid": "Deny permission",
         "Effect": "Deny",
         "Principal": {
            "AWS": "arn:aws:iam::888888888888:root"
         },
         "Action": [
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::bucket123"
         ]
      }
   ]
}

aws s3api put-bucket-policy \
--bucket bucket123 \
--policy file://a.json

-- 10. アクセス拒否の確認 [アカウントBの管理者ユーザで実行]

aws sts get-caller-identity

aws s3 ls s3://bucket123 

-- 11. クリーンアップ

-- バケットポリシーの削除 [アカウントAの管理者ユーザで実行]

aws s3api delete-bucket-policy \
--bucket bucket123

-- バケットの削除 [アカウントAの管理者ユーザで実行]
aws s3 ls

aws s3 rb s3://bucket123 --force

 

-- IAMユーザ削除 [アカウントBの管理者ユーザで実行]
aws iam list-users

aws iam detach-user-policy \
--user-name testiamuser \
--policy-arn arn:aws:iam::888888888888:policy/policy01

aws iam delete-access-key \
--user-name testiamuser \
--access-key-id XXXXXXXXXXXXXXXXXXXX

aws iam delete-user --user-name testiamuser

-- IAMポリシーの削除 [アカウントBの管理者ユーザで実行]
aws iam list-policies | grep policy01

aws iam delete-policy \
--policy-arn arn:aws:iam::888888888888:policy/policy01