AWSのIAMユーザーの権限で一部のS3のバケットだけリストを不可能にする

櫛田草平エンジニアブログ 2011.07.19

S3のバケットは、コンソール上でリードオンリーにする権限に設定することができますが、リードオンリーの場合、bucketのファイルがすべて見えてしまいます。
不要なbucketの中身を見せたくない場合には、指定したbucketをリストもできない権限を設定にしてみました。

元々のS3readonly

{
 "Statement": [
  {
   "Action": [
    "s3:List*",
    "s3:Get*"
   ],
   "Effect": "Allow",
   "Resource": "*"
  }
 ]
}

特定のbucket（hoge.buket.name）だけを見れないように指定したIAMユーザーのS3権限にDenyを指定するとhoge.buket.nameを選択しても中身が見れないようになります。
Denyの指定は、後から設定することが可能です。

{
 "Statement": [
  {
   "Action": [
    "s3:List*",
    "s3:Get*"
   ],
   "Effect": "Allow",
   "Resource": "*"
  },
  {
   "Action": [
    "s3:List*"
   ],
   "Effect": "Deny",
   "Resource": "arn:aws:s3:::hoge.buket.name"
  }
 ]
}

色々な組み合わせを設定することができるので、また何かのニーズがあったら様々なパターン試してみようと思います。

こちらの記事はなかの人（kenjionsoku）監修のもと掲載しています。
元記事は、こちら

エンジニアブログ

この記事を書いた人

櫛田草平 cloudpackで運用、保守、構築、夜間対応を担当しており、日々様々な課題に対応していますのでこの経験を記事にしていけたらと思います。櫛田草平櫛田草平が書いた記事