わかりづらいS3クロスアカウントアクセス許可に立ち向かおう

わかりづらい
S3クロスアカウント
アクセス許可に立ち向かおう
2018/3/23
AWS事業部豊崎隆
1

スライドは後で入手することが出来ますので
発表中の内容をメモする必要はありません。
写真撮影をする場合は
フラッシュ・シャッター音が出ないようにご配慮ください

3自己紹介
豊崎隆
• クラスメソッド株式会社
• AWS事業部
• アーキテクトグループ所属
• 2017年1月入社
• ソリューションアーキテクト
• CloudFormationとWorkSpacesが
好きです

4Agenda
 本日、目指すところ
 S3の権限で出てくるわかりづらいこと
 段階的に理解するS3のクロスアカウントアクセス
 まとめ

5本日、目指すところ
本日、理解したい内容

6本日、目指すところ
「AWSアカウント：A」が所有するS3バケット内の
「AWSアカウント：B」が置いたオブジェクトに対して
「AWSアカウント：C」のIAMユーザがアクセスする方法

7S3の権限で出てくるわかりづらいこと
S3の権限の話になると
出てくるわかりづらい言葉たち

 バケット所有者
 オブジェクト所有者
 User policy(IAMに利用)
 Bucket policy
 Bucket ACL
 object ACL
 Trust policy

 Bucket policy
 Bucket ACL
 object ACL
 Trust policy

・バケットを所有しているAWSアカウント

 Bucket policy
 Bucket ACL
 object ACL
 Trust policy

 Bucket policy
 Bucket ACL
 object ACL
 Trusted policy

・オブジェクトを所有しているAWSアカウント

 Bucket policy
 Bucket ACL
 object ACL
 Trust policy

複数ある権限制御の方法が
S3の権限をわかりづらくしている
 Bucket policy
 Bucket ACL
 object ACL

頑張って理解してみましょう

 User policy
IAMに利用するポリシー
- AWSアカウント内のIAMユーザ/ロールに対する
アクセス許可の管理を行えます

 User policy
User policyを利用したアクセス許可の管理イメージ
・許可したい権限に応じた
IAMポリシーを割り当てます
読み取りできるバケット
Aさん：xyz
Bさん：abc,xyz
C-Fさん：abc

19S3の権限で出てくるわかりにくいこと
 Bucket policy
S3 Bucketに対するポリシー
以下のケースで利用します
- バケット所有者が
AWSアカウント内のIAMユーザ/ロールに対して
アクセス許可の管理を行う場合
- クロスアカウントのアクセス許可を管理する場合

 Bucket ACL
S3 Bucketに対するアクセスコントロールリスト
推奨されるケースは上記一つだけです。
Amazon S3のログ配信グループに書き込みアクセスを許可する場合
※S3のアクセスログを記録するために使用

 Object ACL
個々のS3 オブジェクトに対する
アクセスコントロールリスト
バケットの所有者が、オブジェクトの所有者ではない場合、
オブジェクトへのアクセスを管理する、唯一の方法です
バケットの所有者＝オブジェクトの所有者の場合は
Bucket policyやUser policyで代用可能です。

そしてもう一つ
わかりづらいこと

 Bucket policy
 Bucket ACL
 object ACL
 Trust policy

 Trust Policy
別のAWSアカウントおよびIAMユーザに対して
権限を委譲する仕組み
詳しくは弊社ブログをご参照ください
参考： https://dev.classmethod.jp/cloud/aws/iam-role-and-assumerole/

結局どうすればS3のオブジェクトにアクセスできるの？

IAMユーザ/ロールがS3のオブジェクトにアクセスするには
１）自分が所属するAWSアカウントからの許可
２）アクセスしたいリソースを所有するAWSアカウントからの許可
２－１）バケット所有者＝オブジェクト所有者の場合
・バケット兼オブジェクト所有者からの許可
２－２）バケット所有者≠オブジェクト所有者の場合
・バケット所有者からの許可
・オブジェクト所有者からの許可
１）＋２）が満たされている必要があります。

27段階的に理解する：４つのケース
ここからが本番

１）１つのAWSアカウント内で完結する場合
２）２つのAWSアカウントが登場し、
別のAWSアカウントのS3bucketにオブジェクトを置きたい場合
３）２つのAWSアカウントが登場し、
２）で置かれたオブジェクトに
置かれた側のAWSアカウント内からアクセスしたい場合
４）３つのAWSアカウントが登場し、
２）で置かれたオブジェクトに
３つめのAWSアカウント側からアクセスしたい場合

29段階的に理解する：その１
１）１つのAWSアカウント内で完結する場合
＞バケット所有者がIAMユーザーにバケットのアクセス許可を付与
BucketPolicyの代わりに
UserPolicyで許可でもOK

30思い出してほしいこと
 Object ACL

31段階的に理解する：その２
２）２つのAWSアカウントが登場し、
別のAWSアカウントのS3にオブジェクトを置きたい場合
＞バケット所有者がクロスアカウントアクセス許可を付与

 Bucket policy
S3 Bucketに対するポリシー
以下のケースで利用します
- バケット所有者が
AWSアカウント内のIAMユーザ/ロールに対して
アクセス許可の管理を行う場合
- クロスアカウントのアクセス許可を管理する場合

33段階的に理解する：その３
３）２つのAWSアカウントが登場し、２）で置かれたオブジェクトに
置かれた側のAWSアカウント内からアクセスしたい場合
＞バケット所有者が自分の所有してないオブジェクトへの
アクセス許可をユーザーに付与

 Object ACL

35段階的に理解する：その４
４）３つのAWSアカウントが登場し、２）で置かれたオブジェクトに
３つめのAWSアカウント側からアクセスしたい場合
＞バケット所有者が自分が所有してないオブジェクトへの
クロスアカウントアクセス許可を付与

36思い出して、ちょっと考える
 Trust Policy
別のAWSアカウントおよびIAMユーザに対して
権限を委譲する仕組み
なぜTrust Policyを使うのか？
＞バケット所有者とオブジェクト所有者が異なる場合、
バケット所有者はオブジェクトに対する権限を
他のAWSアカウントに委譲することはできないため

→IAMユーザ視点で考えるとすべてのケースで以下を満たす
・所属するAWSアカウントからのS3アクセス許可
・リソースを所有するAWSアカウントからのアクセス許可
・バケット
・オブジェクト

38まとめ
S3で権限管理を行うときは
IAM User目線で２点を確認すればOK！
正しい権限で正しいS3ライフを送りましょう

39参考
本日ご紹介した4つのケースがまとまった
AWSのチュートリアルがありますので、ご参考ください。
参考：Amazon S3 リソースへのアクセスの管理
https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/dev/example-walkthroughs-managing-
access.html

40謝辞
ご清聴ありがとうございました！

わかりづらいS3クロスアカウントアクセス許可に立ち向かおう

More Related Content

What's hot

わかりづらいS3クロスアカウントアクセス許可に立ち向かおう

Editor's Notes