2013.10.17
IAMを使ってAWS Management Consoleから特定のBucketのみ操作を許可する方法
前に書いた『IAMを使って特定の人に特定のbucketのみ操作を許可する』は操作だけの話だったんですが
AWS Management Consoleを使おうとしたらハマったのでメモ。
- IAMでユーザ作成。
- ユーザのポリシーに以下を指定
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:ListAllMyBuckets" ], "Sid": "Stmt1382001691000", "Resource": [ "*" ], "Effect": "Allow" }, { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Sid": "Stmt1382001709000", "Resource": [ "arn:aws:s3:::hoge-bucket" ], "Effect": "Allow" }, { "Action": [ "s3:*" ], "Sid": "Stmt1382001730000", "Resource": [ "arn:aws:s3:::hoge-bucket/*" ], "Effect": "Allow" } ] }
以上。
ハマったところは
“arn:aws:s3:::hoge-bucket”に対する操作に”s3:ListBucket”を指定するよう書いてるサイトが多いんですが
試したところ、これだけだとバケットを開こうとすると
“Sorry! You were denied access to do that.”
とエラーメッセージが出ます。
AWS Management Consoleでアクセスできるようにするには
“s3:GetBucketLocation”も追加すると操作できるようになりました。
Trackback URL
Comment & Trackback
Comment feed
Comment