ヤマムギ

growing hard days.

*

S3バケットポリシーで特定のVPCエンドポイント以外からのリクエストを拒否しつつメンテナンスはしたい

   

Delicious にシェア
このエントリーをはてなブックマークに追加
LinkedIn にシェア
LINEで送る

特定のVPCで実行されているEC2のアプリケーションからのリクエストだけを許可して、それ以外を拒否するS3バケットがあるとします。
バケットポリシーでVPCエンドポイントIDをConditionsに設定することで実現できます。
ですがそのままだと、マネジメントコンソールからのリクエストも拒否されてしまいます。
バケットの設定などメンテンナンスを許可するIAMユーザーが引き受けるIAMロールだけは除外しておきたいとします。
その場合、NotPrincipalが使用できます。
NotPrincipalでは、IAMロールのARNだけでなく、アカウント、ロールによって引き受けたセッションも指定しておく必要がありました。

最後までお読みいただきましてありがとうございました!

【PR】 「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】 「AWSではじめるLinux入門ガイド」という本を書きました。

【PR】 「ポケットスタディ AWS認定 デベロッパーアソシエイト」という本を書きました。

【PR】 「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル」という本を書きました。

 - AWS

ad

ad

  関連記事

スポットインスタンスの削減額情報を見ました

なんだこれ?と思って、検索してみたら、2018年11月からあったのですね。 Am …

Intel 82599 VF インターフェイスで拡張ネットワーキングが有効なEC2インスタンスで帯域幅を確認してみました

拡張ネットワーキングが有効なEC2インスタンスとそうではないインスタンスの2セッ …

boto3(Python SDK) s3 get_object でバイト範囲を指定する

S3のGetObjectアクションでバイト範囲を指定することができます。 それに …

AWS認定SAPの執筆開始にあたって環境を構築しました

AWS認定ソリューションアーキテクトプロフェッショナル対策本の執筆開始にあたりま …

AWS Application Discovery Serviceのエージェントを実行

本来はオンプレミスのサーバーにエージェントをインストールして、自動でアプリケーシ …

AWSのサービス数を数えてみました(2020/5/23)

何をもってサービスという単位にするかというのはあるかもしれませんが、とりあえず情 …

Cloud9でAWS CDK環境

最初ローカルに作ろうと思ったのですが、環境依存がというか、Macbookの環境で …

AWS Cloud9で環境を共有する

(特にリモート環境では)画面共有をしたり、リポジトリを共有したり、コーディング環 …

AD Connectorを作成してシームレスにドメイン参加する

VPN接続先のADで管理されているドメインにEC2 Windowsインスタンスか …

Amazon Chimeのチャットを使ってみました

Amazon Chimeはビデオミーティングや配信したりというサービスですが、チ …

PREV
S3バケットポリシーですべてDenyにしてしまったらルートユーザーの出番
NEXT
Amazon Connect 発信イベントをEventBridgeで確認