Webサイト構築・Webシステムやスマホに関する情報を発信しています。

【Amazon S3】への直接アクセスを制限する

 【Amazon S3】へ直接アクセスすることを制限する設定になります。

CloudFrontのOAIを使用している必要があります。


(1) 【Amazon S3】のバケット一覧

【Amazon S3】のバケット一覧画面に遷移します。

【Amazon S3】 → 【バケット】


(2) 【Amazon S3】 アクセス許可

① [アクセス許可]タブを押下します。

② [編集]ボタンを押下します。


(3) パブリックアクセスのブロック (バケット設定) を編集

〔ブロックパブリックアクセス (バケット設定)〕

① 「パブリックアクセスをすべて ブロック」にチェックを入れます。

② [変更の保存]ボタンを押下します。


(4) パブリックアクセスのブロック (バケット設定) を編集

モーダル画面が表示されますので

① テキストエリアに「確認」を入力します。

② [確認]ボタンを押下します。


(5) パブリックアクセスのブロック変更完了

〔アクセス許可の概要〕

・アクセスに「このアカウントの認証ユーザーのみ」が表示されていれば正常に変更が完了しています。


(6) バケットポリシー

① [編集]ボタンを押下します。


(7) バケットポリシーを編集

① ポリシーの内容を変更します。

バケットポリシー 変更前

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PublicReadGetObject",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::aaws.cf/*"
        },
        {
            "Sid": "2",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity EX2XB80VNBE8M"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::aaws.cf/*"
        }
    ]
}


↓ 下記のように変更します。
そのままの情報を使うことはできませんので、参考程度にしてください。


バケットポリシー 変更後

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity EX2XB80VNBE8M"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::aaws.cf/*"
        }
    ]
}


② [変更の保存]ボタンを押下します。


(8) バケットポリシーの変更完了

〔アクセス許可の概要〕

・アクセスに「非公開のバケットとオブジェクト」が表示されていれば正常に変更が完了しています。


(9) 静的ウェブサイトホスティングを無効化

S3から直接アクセスせず、CloudFrontからのみを使う場合は
〔静的ウェブサイトホスティング〕を無効化しても良いと思われます。

無効にする場合の設定も載せておきます。






以上です。



0 件のコメント:

人気記事

ラベル

このブログを検索

Profile

大阪在住、年齢50代のWebプログラマーです。