アクセスコントロールポリシー - AWS SDK for Java 1.x
Amazon S3 の例Amazon SQS の例Amazon SNS の例

AWS SDK for Java 1.x は 2024 年 7 月 31 日にメンテナンスモードに入り、2025 年 12 月 31 日にサポート終了となります。新しい機能、可用性の向上、セキュリティ更新のために、AWS SDK for Java 2.x に移行することをお勧めします。

アクセスコントロールポリシー

AWS アクセスコントロールポリシーを使用すると、AWS リソースに対するきめ細かなアクセス制御を指定できます。アクセスコントロールポリシーは、次のフォームを持つステートメントのコレクションで構成されます。

アカウント A は、アクション Bリソース C に対して実行する権限があります (条件 D に該当する場合)。

コードの説明は以下のとおりです。

  • Aプリンシパル - いずれかの AWS リソースに対するアクセスや変更をリクエストしている AWS アカウント。

  • Bアクション - Amazon SQS キューへのメッセージの送信、または Amazon S3 バケットへのオブジェクトの保存など、AWS リソースがアクセスまたは変更されている方法。

  • Cリソース - プリンシパルがアクセスを必要としている AWS エンティティ。Amazon SQS キュー、または Amazon S3 に保存されているオブジェクトなどです。

  • D一連の条件 - プリンシパルがリソースにアクセスすることを許可または拒否するタイミングを指定するオプションの制約。さまざまな表記の条件を使用できます。条件によっては、サービスごとに固有な条件もあります。たとえば、日付条件を使用して、特定の時刻の前または後でのみリソースへのアクセスを許可することができます。

Amazon S3 の例

次の例に示すポリシーでは、バケットに含まれているすべてのオブジェクトに対する読み取りアクセスを、どのユーザーにも許可します。ただし、そのバケットへオブジェクトをアップロードするためのアクセスは、(バケット所有者のアカウントに加えて) 2 つの特定の AWS アカウント に制限されます。

Statement allowPublicReadStatement = new Statement(Effect.Allow)
    .withPrincipals(Principal.AllUsers)
    .withActions(S3Actions.GetObject)
    .withResources(new S3ObjectResource(myBucketName, "*"));
Statement allowRestrictedWriteStatement = new Statement(Effect.Allow)
    .withPrincipals(new Principal("123456789"), new Principal("876543210"))
    .withActions(S3Actions.PutObject)
    .withResources(new S3ObjectResource(myBucketName, "*"));

Policy policy = new Policy()
    .withStatements(allowPublicReadStatement, allowRestrictedWriteStatement);

AmazonS3 s3 = AmazonS3ClientBuilder.defaultClient();
s3.setBucketPolicy(myBucketName, policy.toJson());

Amazon SQS の例

ポリシーの一般的な用途の 1 つは、Amazon SQS キューが Amazon SNS トピックからのメッセージを受信できるように許可することです。

Policy policy = new Policy().withStatements(
    new Statement(Effect.Allow)
        .withPrincipals(Principal.AllUsers)
        .withActions(SQSActions.SendMessage)
        .withConditions(ConditionFactory.newSourceArnCondition(myTopicArn)));

Map queueAttributes = new HashMap();
queueAttributes.put(QueueAttributeName.Policy.toString(), policy.toJson());

AmazonSQS sqs = AmazonSQSClientBuilder.defaultClient();
sqs.setQueueAttributes(new SetQueueAttributesRequest(myQueueUrl, queueAttributes));

Amazon SNS の例

一部のサービスには、ポリシーで使用できる追加条件があります。Amazon SNS には、トピックをサブスクライブするリクエストのプロトコル (メール、HTTP、HTTPS、Amazon SQS など) とエンドポイント (メールアドレス、URL、Amazon SQS ARN など) に基づいて SNS トピックのサブスクリプションを許可または拒否する条件があります。

Condition endpointCondition =
    SNSConditionFactory.newEndpointCondition("*@mycompany.com");

Policy policy = new Policy().withStatements(
    new Statement(Effect.Allow)
        .withPrincipals(Principal.AllUsers)
        .withActions(SNSActions.Subscribe)
        .withConditions(endpointCondition));

AmazonSNS sns = AmazonSNSClientBuilder.defaultClient();
sns.setTopicAttributes(
    new SetTopicAttributesRequest(myTopicArn, "Policy", policy.toJson()));