理論

1. IAMポリシーとバケットポリシー:
• IAMポリシーは、ユーザーやグループに対して特定のアクションを許可または拒否しますが、S3バケットへのアクセスを制御するためには、S3バケットポリシーを設定する必要があります。
• S3バケットポリシーでは、どのアカウントやIAMユーザーがどのリソースにアクセスできるかを詳細に定義します。特にクロスアカウントアクセスの場合、Principalフィールドを使用して、他のAWSアカウントのユーザーにアクセス権を付与します。
• 状況によりますが、両方が適切に設定されている必要があるケースが多いです。クロスアカウントアクセスやパブリックアクセスのシナリオでは、S3バケットポリシーの設定が特に重要です。

2. クロスアカウントアクセス:
• クロスアカウントアクセスとは、1つのAWSアカウントに保存されたリソースに、別のAWSアカウントのIAMユーザーがアクセスできるようにする設定です。このためには、適切なバケットポリシーで、指定したIAMユーザーに対してリソース（S3バケット）のアクセス権を付与します。
• 例として、arn:aws:iam::AccountB:user/User_DataProcessorのように、別アカウントのユーザーを指定してアクセスを許可します。

3. S3バケットポリシーの基本構文: S3バケットポリシーはJSON形式で記述され、通常は次のような構成をとります：

4. IAMユーザーの権限設定: IAMユーザー（User_DataProcessor）には、S3バケットにアクセスできる権限（s3:GetObjectやs3:ListBucketなど）を付与する必要があります。

5. バケットポリシーの検討点:
• Actionには、アクセスを許可したい操作（s3:GetObjectやs3:ListBucket）を指定します。
• Resourceには、アクセス対象となるS3リソース（バケット全体またはファイル単位）を指定します。

実践

AWSクロスアカウントS3アクセス設定のハンズオン

目的

• アカウントAのS3バケットに、アカウントBのIAMユーザーがアクセスできるように設定する。

• アカウントAでバケットポリシーを設定し、アカウントBのIAMユーザーにアクセス権限を付与する。

必要な準備

• 2つのAWSアカウント（アカウントAとアカウントB）

• アカウントAのS3バケット（例：account-a-bucket）

• アカウントBのIAMユーザー（例：User_DataProcessor）

ステップ1: アカウントAでS3バケットを作成

1. AWS Management Consoleにログイン（アカウントAで）。

2. S3サービスを選択し、バケットを作成します。
• バケット名: account-a-bucket（一意の名前を使用）。

• 他の設定はデフォルトのままでOK。

ステップ2: アカウントBのIAMユーザーを作成

1. アカウントBにログインし、IAMコンソールに移動。

2. ユーザーを追加を選択し、User_DataProcessorという名前で新しいIAMユーザーを作成します。
• アクセスの種類は「プログラムによるアクセス」と「AWS Management Consoleアクセス」を選択。

3. ユーザーにS3アクセス権限を付与します。
• 「ポリシーを直接アタッチ」し、AmazonS3ReadOnlyAccessを選択。

ステップ3: アカウントAでS3バケットポリシーを設定

1. アカウントAでS3バケットのポリシーを設定:
1. S3バケットの「権限」タブを開き、「バケットポリシー」を選択。
2. 次のポリシーを入力して、アカウントBのUser_DataProcessorにアクセス権限を付与します。

2. ポリシーを保存。

ステップ4: アカウントBからS3バケットにアクセス

1. アカウントBのUser_DataProcessorとしてログインし、AWS CLIまたはS3コンソールを使用して、アカウントAのS3バケットにアクセスします。

2. 例えば、AWS CLIで次のコマンドを実行してファイルを確認できます：

確認

• アカウントBのユーザーは、アカウントAのS3バケットのオブジェクトを取得し、バケット内のオブジェクトをリストできることを確認します。

解説

• Principal: アカウントBのIAMユーザー（User_DataProcessor）に対してアクセス権限を与える。

• Action: アクセス可能なアクション（s3:GetObjectとs3:ListBucket）を指定。

• Resource: アクセス対象となるリソース（S3バケットとそのオブジェクト）。

一門道場

1. A:「S3バケットでクロスオリジンリソースシェアリング（CORS）を有効にする」
解説:
CORSは、異なるドメイン間でリソースを共有するための設定ですが、これは主にブラウザベースのリクエストに関係するもので、IAMユーザーによるアクセス権の管理には直接関係しません。そのため、これは不正解です。

2. B:「Account AのS3バケットポリシーに次の内容を設定する」
解説:
これはAccount A側でのS3バケットポリシー設定に関するものですが、指定された形式（arn:aws:s3:::AccountABucketName/*）は不完全です。arn:aws:s3:::AccountABucketNameと指定することで、バケット自体に対するアクセス権を付与することはできますが、ファイルにアクセスするためには適切なポリシーが必要です。この選択肢は誤りです。

3. C:「Account AのS3バケットにアクセスするために、Account BのIAMユーザー（User_DataProcessor）に対してアクセス権限を付与する」
解説:
これは正しい選択肢です。Account AのS3バケットポリシーで、Account BのIAMユーザー（User_DataProcessor）に対してアクセス権限を付与することで、指定されたIAMユーザーがS3バケットにアクセスできるようになります。正しいポリシー例は次のようになります。
これにより、User_DataProcessorは指定されたバケット内のファイルを読み取る権限を得ます。

4. D:「Account BのIAMユーザー（User_DataProcessor）の権限を設定する」
• 解説: IAMユーザーにアクセス権を付与することは、アクセス対象のリソース（この場合はAccount AのS3バケット）に対しても権限を設定する必要があります。しかし、この選択肢は他のAWSアカウントのリソースへのアクセスを設定するものではないため、不完全な解答です。

5. 選択肢E:「Account BでUser_DataProcessorに対して、Principalを指定したポリシーを設定する」
• 解説: Principalを指定するのは、Account A側のS3バケットポリシーで行うべきであり、Account B側でPrincipalを設定することは誤りです。この選択肢も不正解です。

正解

• 選択肢C: Account AのS3バケットに、Account BのIAMユーザー（User_DataProcessor）に対してアクセス権限を付与する。

• 選択肢B: Account A側でS3バケットポリシーを設定し、ファイルの読み取りとバケットのリスト表示が可能なアクセス権限を付与します。

解説