特定のS3汎用バケットを外部協力会社と共有する場合の設定について
hks-bucketというS3バケットがあります。 これを外部の協力会社と共有したいのですが、権限設定で悩んでいます。
IAMのs3_tms-systemというグループ内にS3_tms-system_outsourceというユーザを作成し、このユーザは上記のhks-bucketというS3バケットのみにアクセスさせたいのですが、その設定方法が良くわかりません。
※現在は以下のようなIAMポリシーを設定していますが、これだとフルアクセスとなってしまう気がしています。。
どのような設定が正しいのか教えていただきたいです。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:", "Resource": [ "arn:aws:s3:::bucket.tms-system.jp", "arn:aws:s3:::bucket.tms-system.jp/", "arn:aws:s3:::hks-bucket", "arn:aws:s3:::hks-bucket/*" ] } ] }
- 新しい順
- 投票が多い順
- コメントが多い順
IAMグループにIAMポリシーが紐づいているので「bucket.tms-system.jp」と「hks-bucket」というS3バケットにフルアクセスできるようになっています。
IAMグループを別に作成して以下のIAMポリシーをアタッチ後にIAMユーザーを設定するか、IAMグループに所属させないでIAMユーザーに直接以下のIAMポリシーをアタッチすればよいと思います。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::hks-bucket",
"arn:aws:s3:::hks-bucket/*"
]
}
]
}
IAMユーザーに直接IAMポリシーをアタッチするには以下のドキュメントの手順で「ポリシーをユーザーに直接アタッチする」を選択する形になります。
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console
S3バケットに対してどのような操作を行っているか判断できる場合は必要なアクションのみに絞ることも可能です。
https://docs.aws.amazon.com/ja_jp/service-authorization/latest/reference/list_amazons3.html
