S3バケットのリクエスタ支払い

2021/09/19 2021/09/19

S3バケットのリクエスタ支払いを試しました。

バケットの設定

検証用のS3バケットを作ろうと、「requester-payment」ってバケット作ってみたら作れました。
世界中でこの名前のバケットを作っているのは自分だけということです。
乱数とか日付とかつけなくてもバケットを作れたときって嬉しいですよね。
テンションがあがってきました。

S3バケットのプロパティでリクエスタ支払いを有効にしました。

Payerの設定をオーナーアカウントで確認しました。

$ aws s3api get-bucket-request-payment --bucket requester-payment
{
    "Payer": "Requester"
}

$ aws s3api get-bucket-request-payment --bucket requester-payment

{

"Payer": "Requester"

}

支払い者がRequesterになっているということですね。
これでリクエスタ支払いになっていることがCLIからも確認できました。

パブリックアクセスを試してみる

リクエスタ支払いを有効にしたバケットでは匿名アクセスはできなくなります。
それはそうですね。
一応試してみます。

パブリックアクセスブロックを4つとも解除して、
画像をアップロードしてACLでパブリック読み取りを許可、
バケットポリシーでパブリックにしても、
AccessDeniedになりました。

それはそうですね。

他のアカウントからリクエスト

最小権限の原則を実装しましょう。

バケットポリシーです。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/yamashita"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::requester-payment/*"
        }
    ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Principal": {

"AWS": "arn:aws:iam::123456789012:user/yamashita"

"Action": "s3:GetObject",

"Resource": "arn:aws:s3:::requester-payment/*"

}

]

}

別アカウントのIAMユーザー側の該当アクション向けのポリシーです。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::requester-payment/*"
            ]
        }
    ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Action": "s3:GetObject",

"Resource": [

"arn:aws:s3:::requester-payment/*"

]

}

]

}

アップロードしておいたオブジェクトをダウンロードしました。

$ aws s3api get-object \
--bucket requester-payment \
--key s3-req-pay-1.png \
s3-req-pay-1.png \
--request-payer requester
{
    "AcceptRanges": "bytes",
    "LastModified": "2021-08-28T07:23:10+00:00",
    "ContentLength": 79219,
    "ETag": "\"8746113efe350cb8b1a7f143a55aa5a1\"",
    "ContentType": "image/png",
    "Metadata": {},
    "RequestCharged": "requester"
}

$ aws s3api get-object \

--bucket requester-payment \

--key s3-req-pay-1.png \

s3-req-pay-1.png \

--request-payer requester

{

"AcceptRanges": "bytes",

"LastModified": "2021-08-28T07:23:10+00:00",

"ContentLength": 79219,

"ETag": "\"8746113efe350cb8b1a7f143a55aa5a1\"",

"ContentType": "image/png",

"Metadata": {},

"RequestCharged": "requester"

}

ダウンロードできました。
–request-payer requesterを付与することで、リクエスタ支払は承認しているんですよってことを示してます。

–request-payer requesterなしで実行するとAn error occurred (AccessDenied) when calling the GetObject operation: Access Deniedエラーになります。
x-amz-request-payer : requesterがヘッダーにない状態なのでリクエスト自体が許可されません。