68
69

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

S3の特定バケットだけを"AWS Consoleを使って"操作できるIAMユーザを作る

Last updated at Posted at 2013-07-24

適当にIAMユーザを作って以下のようなポリシーを設定すれば良い。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::example-bucket",
        "arn:aws:s3:::example-bucket/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "*"
    }
  ]
}

Statementを2つ設定してやるのがポイント。

  • 1つ目のStatementは example-bucket に対するフル権限を与えている。Resourcesが/*付きのバケット名だけだとバケットのルートディレクトリで一覧取得できないので、バケット名そのものにも権限を与えている。
  • 2つ目のStatementはバケット一覧を取得する権限を与えている。これはAWS ConsoleからS3の操作をする際に必要です(単にREST APIでS3にアクセスするだけなら不要)。example-bucket以外のバケット名も見えてしまうのは諦めるしか無い。バケット名は見えても操作は一切できないので問題無いと割り切る。

AWSコンソールを使う必要がなければ1つ目のStatementだけで十分です。

68
69
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
68
69

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?