【Amazon S3】へ直接アクセスすることを制限する設定になります。
CloudFrontのOAIを使用している必要があります。
(1) 【Amazon S3】のバケット一覧
【Amazon S3】のバケット一覧画面に遷移します。
【Amazon S3】 → 【バケット】
(2) 【Amazon S3】 アクセス許可
① [アクセス許可]タブを押下します。
② [編集]ボタンを押下します。
(3) パブリックアクセスのブロック (バケット設定) を編集
〔ブロックパブリックアクセス (バケット設定)〕
① 「パブリックアクセスをすべて ブロック」にチェックを入れます。
② [変更の保存]ボタンを押下します。
(4) パブリックアクセスのブロック (バケット設定) を編集
モーダル画面が表示されますので
① テキストエリアに「確認」を入力します。
② [確認]ボタンを押下します。
(5) パブリックアクセスのブロック変更完了
〔アクセス許可の概要〕
・アクセスに「このアカウントの認証ユーザーのみ」が表示されていれば正常に変更が完了しています。
(6) バケットポリシー
① [編集]ボタンを押下します。
(7) バケットポリシーを編集
① ポリシーの内容を変更します。
バケットポリシー 変更前
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PublicReadGetObject",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::aaws.cf/*"
},
{
"Sid": "2",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity EX2XB80VNBE8M"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::aaws.cf/*"
}
]
}
↓ 下記のように変更します。
そのままの情報を使うことはできませんので、参考程度にしてください。
そのままの情報を使うことはできませんので、参考程度にしてください。
バケットポリシー 変更後
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity EX2XB80VNBE8M"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::aaws.cf/*"
}
]
}
② [変更の保存]ボタンを押下します。
(8) バケットポリシーの変更完了
〔アクセス許可の概要〕
・アクセスに「非公開のバケットとオブジェクト」が表示されていれば正常に変更が完了しています。
(9) 静的ウェブサイトホスティングを無効化
S3から直接アクセスせず、CloudFrontからのみを使う場合は
〔静的ウェブサイトホスティング〕を無効化しても良いと思われます。
無効にする場合の設定も載せておきます。
以上です。
0 件のコメント:
コメントを投稿