S3ってなんじゃ？（ダウンロードだけを特定のIPに制限する）

S3の特定のフォルダからのダウンロードをIP制限したい場合があります。
このような場合、S3のBucket Policyを利用します。

例えば、以下のようなフォルダ内の画像ファイルにアクセスします。

そうすると以下の画像が表示されます。

それでは、この画像が入っているフォルダに対してIP制限を掛けてみます。
まず、Bucket Policy画面を開きます。

ここに以下のように入力します。
※ジェネレータで作成しても構いません。

{
  "Version": "2008-10-17",
  "Id": "Policy1360868462747",
  "Statement": [
    {
      "Sid": "Stmt1360868457064",
      "Effect": "Deny",
      "Principal": {
        "AWS": "*"
      },
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::myfirst-bucket/img/*",
      "Condition": {
        "NotIpAddress": {
          "aws:SourceIp": "xxx.xxx.xxx.xxx/32"
        }
      }
    }
  ]
}

内容としては、全てのAWSアカウントを対象にmyfirst-bucket/img/*に
マッチするファイルへのs3のGetObjectのアクセスに関して
xxx.xxx.xxx.xxx/32以外のIPからの要求を拒否するといった内容としています。
「Save」で設定した後、再度アクセスしてみます。

そうすると、このようにエラーとなり、xxx.xxx.xxx.xxxのIP以外からのアクセスでは画像が表示されなくなりました。
他にもActionを色々変えたり追加することによって、アップロードを制限したり、一覧を制限したりすることが
できます。

こちらの記事はなかの人（memorycraft）監修のもと掲載しています。
元記事は、こちら

この記事を書いた人

三浦悟高円寺在住のなんじゃ系男子またの名をmemorycraftといいます。炭水化物大好き日々の「なんじゃ？」を記事にしてます。三浦悟が書いた記事

S3ってなんじゃ？（ダウンロードだけを特定のIPに制限する）

Arduinoを初めて使う時のセットアップと実例集

個人利用していた AWS アカウントを解約してみた

X (旧 Twitter) を複数人で安全に運用する方法

Fluid player: JavaScript open sources media playerの使用法

Next.js 14 App Routerでデバッグ構築(VSCode)

S3ってなんじゃ？（ダウンロードだけを特定のIPに制限する）

関連記事Related Articles

2012/04/02 週刊cloudpackマガジンを配信しました

AWS Direct Connect (DX)のLOA-CFA(Letter of Authorization and Customer Facility Assignment)

AWS Direct Connect (DX)を申し込んでみた

aws-cli で使える –query = jmespath をガッツリ使い込む

AWS SDK for Ruby v2を使ってみる