Amazon S3 ポリシー

Amazon S3 ポリシーを使用すると、組織内のアカウント全体で Amazon S3 リソースの設定を大規模に一元管理できます。Amazon S3 ポリシーは現在、パブリックアクセスをブロックするための設定をサポートしています。

Amazon S3 ポリシーを使用して、4 つのブロックパブリックアクセス設定をすべて有効または無効にするかどうかを指定できます。その仕様は、選択したアカウント内のすべての Amazon S3 リソースに適用されます。Amazon S3 ポリシーでブロックパブリックアクセス設定を使用すると、組織全体で一貫したセキュリティ体制を適用し、個々のアカウント設定を管理する運用上のオーバーヘッドを排除できます。

仕組み

Amazon S3 ポリシーを組織エンティティにアタッチすると、その範囲内のアカウント内のすべての Amazon S3 リソースに適用される設定が定義されます。これらの設定はアカウントレベルの設定を上書きするため、Amazon S3 設定を一元管理できます。

Amazon S3 ポリシーは、組織全体、組織単位 (OUs)、または個々のアカウントに適用できます。組織に参加するアカウントは、組織階層内の場所に基づいて Amazon S3 ポリシーを自動的に継承します。

デタッチ動作: Amazon S3 ポリシーがデタッチされると、アカウントは自動的に以前のアカウントレベルの設定に戻ります。Amazon S3 は、元のアカウントレベルの設定を保持して、シームレスな復元を可能にします。

主な特徴

統合コントロール: 4 つのブロックパブリックアクセス設定 (BlockPublicAcls、BlockPublicPolicy、IgnorePublicAcls、RestrictPublicBuckets) はすべて 1 つの設定としてまとめて制御されます。
自動継承: 新しいアカウントは、組織の配置に基づいてポリシーを自動的に継承します。
保護の上書き: 組織ポリシーがアクティブな場合にアカウントレベルの変更を禁止する
シームレスな復元: ポリシーがデタッチされると、元のアカウント設定が保持および復元されます。

前提条件

Amazon S3 ポリシーを使用する前に、以下を確認してください。

すべての機能モードの AWS 組織
AWS Organizations ポリシーを管理するアクセス許可 (Organizations:CreatePolicy、Organizations:AttachPolicy など)
組織で有効になっている Amazon S3 ポリシータイプ

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ロールアウトポリシーの構文と例をアップグレードする

ベストプラクティス