S3バケットポリシーでクロスアカウントのPrincipalについて確認

2021/10/15 2021/10/15

確認したこと

ドキュメントではこちらで確認しました。
AWS JSON ポリシーの要素: Principal
この内容を念のため確認しました。

S3バケットポリシーのクロスアカウントPrincipalの設定の選択肢を確認してみました。
以下3種類です。
* “AWS”: “arn:aws:iam::987654321098:user/userA”
* “AWS”: “arn:aws:iam::987654321098:root”
* “AWS”: “987654321098”

IAMユーザーのポリシー

IAMユーザーのポリシーはこちらです。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::bucket/*"
        }
    ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Action": [

"s3:PutObject",

"s3:GetObject"

"Resource": "arn:aws:s3:::bucket/*"

}

]

}

IAMユーザーのARN

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::987654321098:user/userA"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::bucket/*"
        }
    ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Principal": {

"AWS": "arn:aws:iam::987654321098:user/userA"

"Action": [

"s3:GetObject",

"s3:PutObject"

"Resource": "arn:aws:s3:::bucket/*"

}

]

}

$ aws s3 cp test.txt s3://bucket/
upload: ./test.txt to s3://bucket/test.txt

$ aws s3 cp test.txt s3://bucket/

upload: ./test.txt to s3://bucket/test.txt

成功しました。
最小権限の原則に従うならこちらですね。

rootのARN

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::987654321098:root"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::bucket/*"
        }
    ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Principal": {

"AWS": "arn:aws:iam::987654321098:root"

"Action": [

"s3:GetObject",

"s3:PutObject"

"Resource": "arn:aws:s3:::bucket/*"

}

]

}

$ aws s3 cp test.txt s3://bucket/
upload: ./test.txt to s3://bucket/test.txt

$ aws s3 cp test.txt s3://bucket/

upload: ./test.txt to s3://bucket/test.txt

成功しました。
バケットを所有しているアカウントAが、アクセスを許可するアカウントBにどのIAMユーザーに許可するかを委任する場合に有効ですね。

アカウントID

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "987654321098"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::bucket/*"
        }
    ]
}