ブログの画像を別アカウントのS3に移動するためにIAMロールでクロスアカウントアクセス

2019/04/01

ずっと先延ばしにしていたのですが、このブログの画像はEC2から直接配信しています。
いい加減にS3からの配信に切り替えようと、画像データだけの引っ越しを予定しております。

諸事情ありまして、S3バケットのアカウントとEC2のアカウントは別のアカウントです。
なので、クロスアカウントでファイルをアップロードします。
いい機会ですので、IAMロールを使用したクロスアカウントアクセスをEC2インスタンスプロファイルで実行しました。

S3のコマンドは、SSMセッションマネージャから実行してます。
ssm-userでも特に問題なく設定できました。

ほとんどこちらのブログ別アカウントのS3バケットを利用する手順を参考にさせていただきました。
ありがとうございます！

アカウントA(S3バケットがある方)のIAMロールの設定

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::bucket_name/*",
            ]
        }
    ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Action": "s3:PutObject",

"Resource": [

"arn:aws:s3:::bucket_name/*",

]

}

]

}

IAMポリシーは特定バケット以下へのPutObjectのみです。

これを「別のAWSアカウント」用のロールをアカウントBを指定して作成してアタッチしました。
結果として、次の画面のような信頼関係になりました。

このアカウントAのIAMロールのARNをアカウントB側で使用します。

アカウントB(EC2がある方)のIAMロールの設定

すでに起動しているEC2にIAMロールを割り当てているので、IAMポリシーをインラインポリシーで追加しました。
ResourceにはアカウントAで作成したIAMロールのARNを指定しました。

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": "arn:aws:iam::111111111111:role/account_a_role"
    }
}

{

"Version": "2012-10-17",

"Statement": {

"Effect": "Allow",

"Action": "sts:AssumeRole",

"Resource": "arn:aws:iam::111111111111:role/account_a_role"

}

セッションマネージャでEC2にアクセスします。

$ vim ~/.aws/credentials

1 2	$ vim ~/.aws/credentials

credentialsファイルを以下のように作成しました。

[s3_profile]
role_arn = arn:aws:iam::111111111111:role/account_a_role
credential_source=Ec2InstanceMetadata

[s3_profile]

role_arn = arn:aws:iam::111111111111:role/account_a_role

credential_source=Ec2InstanceMetadata

試しにreadme.htmlをアップロードしてみました。

$ aws s3 cp readme.html s3://bucket_name/ --profile s3_profile
upload: readme.html to s3://bucket_name/readme.html

$ aws s3 cp readme.html s3://bucket_name/ --profile s3_profile

upload: readme.html to s3://bucket_name/readme.html

無事アップロードされました。

これで、画像ファイルのコピーは恙無く行えそうです。

sudo利用時

今回、最初にうっかりsudoで実行して、
「The config profile (s3_profile) could not be found」
となってしまいました。

ssm-userでsudo でroot権限で実行したのでssm-userのcredentialsが見つからないということのようです。
/root/.aws/credentialsにプロファイル情報を作ればsudoでも実行できました。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「AWS認定資格試験テキスト　AWS認定AIプラクティショナー」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, iam

: Kinesis Data AnalyticsをKinesis Data Streamsに接続してSQL検索する

Amazon Kinesis Data StreamsにTwitter検索データ …

: AWS Transform Webアプリケーションを有効化してみた

AWS Migration Hubが2025/11/7に新規お客様への提供が終了 …

: 名前解決してセッションマネージャが使えるようにVyOSのhost_name.pyを編集しました

発生したエラーセッションマネージャからこんなエラーが出力されました。 [cra …

: S3オブジェクトへのリクエストをCloudTrail, Athenaで識別する(パーティショニング)

Amazon S3オブエジェクトへのリクエストをCloudTrail, Athe …

: Cloud9でSAMローカルテスト

せっかくテストするので、Amazon CloudSearchからAmazon E …

: Amazon Chimeのチャットを使ってみました

Amazon Chimeはビデオミーティングや配信したりというサービスですが、チ …

: CodeGuru ProfilerでLambda関数(Python 3.9)のパフォーマンスを確認した

CodeGuru ProfilerでPython 3.9のLambda関数の推奨 …

: AWS Transit GatewayのVPCアタッチメント

構成これぐらいの構成なら、VPCピアリングでいいのですが、Transit Ga …

: Amazon Aurora Serverlessを使い始めてみました(1日経過しての課金結果も)

祝！！！ Amazon Aurora ServerlessがGAになりました！ …

: ヤマムギ vol.8 (AWS)EC2でLinuxサーバー構築ハンズオン手順

ヤマムギとは from Mitsuhiro Yamashita 「AWSではじめ …

PREV: JAWS-UG CLI専門支部に初めて参加してIAM入門してきた
NEXT: 「Kubernetes（k8s）導入とその後」を聞きにCTO Meetupというイベントに来ました

ブログの画像を別アカウントのS3に移動するためにIAMロールでクロスアカウントアクセス

アカウントA(S3バケットがある方)のIAMロールの設定

アカウントB(EC2がある方)のIAMロールの設定

sudo利用時

関連記事