ヤマムギ

growing hard days.

*

S3バケットポリシーですべてDenyにしてしまったらルートユーザーの出番

   

特定のConditionsを指定して、それ以外はすべて拒否するS3バケットポリシーを設定することがあります。
Conditions条件を間違えてしまい、S3のバケットポリシー編集削除を含むすべてのアクションを、誰もできない状態になった場合、ルートユーザーによりバケットポリシーを編集して復旧できます。
という話を聞いたことがあるなと思ったので一応動作を確認してみました。

S3バケットポリシーですべてDeny

バケットポリシーで、すべてDenyのポリシーを設定しました。

バケットポリシーの編集も含めてすべての操作ができなくなりました。

ルートユーザーで確認

ルートユーザーでサインインして確認しました。

他の操作は拒否されますが、バケットポリシーだけ編集可能でした。
ルートユーザーの出番が確認できました。


最後までお読みいただきましてありがとうございました!

「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。

「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

 - AWS ,

ad

ad

  関連記事

Amazon API GatewayのIAM認証の動作を確認しました

API GatewayのIAM認証は、IAMユーザーが実行できるように認証する、 …

AD Connectorを作成してシームレスにドメイン参加する

VPN接続先のADで管理されているドメインにEC2 Windowsインスタンスか …

Amazon BedrockがGAしたので触りました(boto3からも)

Amazon Bedrock Is Now Generally Availabl …

CloudWatch LogsメトリクスフィルタでNginxのaccess_logから転送バイト数をモニタリングする

ユーザーガイドのApache ログからのフィールドの抽出を見てて、これ、Ngin …

「雲勉 第1回【勉強会:新技術好き!】AWSマネージドサービス勉強会」に行ってきました

「雲勉 第1回【勉強会:新技術好き!】AWSマネージドサービス勉強会」に行ってき …

Amazon Rekognitionでイベント参加者の顔写真を解析して似ている人ランキングをその場で作る

2017/9/21に開催されたAWS Cloud Roadshow 2017 大 …

このブログからパブリックIPv4 IPアドレスをなくしてコスト最適化

2024年2月より使用中のパブリックIPv4アドレスに1時間あたり0.005US …

Lambda関数からAWS Systems Managerパラメータストアの値を取得して更新する

Lambda関数で自分自身の環境変数を更新する だと、Lambdaのエイリアスと …

AWS VPC ネットワークACLでHTTP(80)のみ許可する

ユーザーガイドのカスタムネットワーク ACLのうち、HTTP(80)を許可する設 …

S3バケットポリシーで特定のVPCエンドポイント以外からのリクエストを拒否しつつメンテナンスはしたい

特定のVPCで実行されているEC2のアプリケーションからのリクエストだけを許可し …