{S3}例 3: バケット所有者が自分の所有していないオブジェクトに対するアクセス許可を付与する

-- 1. コマンド等のインストール [アカウントAの管理者ユーザで実行]

-- 1.1 aws cli version 2 インストール [アカウントAの管理者ユーザで実行]

curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install
aws --version

 

-- 2. S3 バケットを作成する [アカウントAの管理者ユーザで実行]

aws s3 mb s3://bucket123

aws s3 ls

-- 3. IAMユーザ(testiamuser)を作成する [アカウントAの管理者ユーザで実行]
aws iam create-user --user-name testiamuser

aws iam create-access-key --user-name testiamuser

-- 4. バケットポリシーをアタッチ [アカウントAの管理者ユーザで実行]
-- このポリシーは、アカウント B に s3:PutObject および s3:ListBucket アクセス許可を付与します
-- このポリシーはまた、ユーザー testiamuser に s3:GetObject アクセス許可を付与します

vim a.json
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Statement1",
         "Effect": "Allow",
         "Principal": {
            "AWS": "arn:aws:iam::888888888888:root"
         },
         "Action": [
            "s3:PutObject",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::bucket123/*",
            "arn:aws:s3:::bucket123"
         ]
      },
      {
         "Sid": "Statement3",
         "Effect": "Allow",
         "Principal": {
            "AWS": "arn:aws:iam::999999999999:user/testiamuser"
         },
         "Action": [
            "s3:GetObject"
         ],
         "Resource": [
            "arn:aws:s3:::bucket123/*"
         ]
      }  
   ]
}

aws s3api put-bucket-policy \
--bucket bucket123 \
--policy file://a.json


-- 5. バケットにオブジェクトをアップロードする [アカウントBの管理者ユーザで実行]

aws sts get-caller-identity

echo test01 > test01.txt

aws s3api put-object --bucket bucket123 --key test01.txt --body test01.txt
aws s3 ls s3://bucket123 --recursive

-- 6. アカウントAの正規ユーザーID を取得 [アカウントAの管理者ユーザで実行]
aws s3api list-buckets --query Owner.ID --output text

-- 7. バケット所有者に対するオブジェクトのフルコントロールの許可をオブジェクト ACL に追加 [アカウントBの管理者ユーザで実行]

aws s3api put-object-acl --bucket bucket123 --key test01.txt --grant-full-control id="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"


-- 8. アカウント A のユーザー testiamuser が、アカウント B が所有するオブジェクトにアクセスできることを確認 [アカウントAのtestiamuserで実行]


aws s3api get-object --bucket bucket123 --key test01.txt test11.txt


-- 9. クリーンアップ

-- バケットポリシーの削除 [アカウントAの管理者ユーザで実行]

aws s3api delete-bucket-policy \
--bucket bucket123


-- バケットの削除 [アカウントAの管理者ユーザで実行]
aws s3 ls

aws s3 rb s3://bucket123 --force

 

-- IAMユーザ削除 [アカウントAの管理者ユーザで実行]
aws iam list-users

aws iam delete-access-key \
--user-name testiamuser \
--access-key-id XXXXXXXXXXXXXXXXXXXX

aws iam delete-user --user-name testiamuser