投稿日: Nov 30, 2021
Amazon S3 が新しい S3 Object Ownership 設定を導入し、アクセスコントロールリスト (ACL) を無効にするバケット所有者が強制され、S3 に保存されているデータのアクセス管理が簡素化されます。このバケットレベルの設定を適用すると、S3 バケット内のすべてのオブジェクトがバケット所有者によって所有され、許可を付与するために ACL が使用されることはなくなります。その結果、データへのアクセスは、IAM ID に適用される AWS Identity and Access Management (IAM) ポリシー、セッションポリシー、Amazon S3 バケットとアクセスポイントポリシー、Virtual Private Cloud (VPC) エンドポイントポリシーを含むポリシーに基づきます。この設定は、バケット内の新規オブジェクトと既存オブジェクトの両方に適用され、IAM ポリシーを使用してこの設定へのアクセスをコントロールできます。この新しい S3 Object Ownership 設定を使用すると、ポリシーのみを使用して、Amazon S3 の共有データセットへのアクセスを簡単に確認、管理、変更できます。
ACL は、当初は S3 でアクセスをコントロールする方法でした。その後、AWS リソース全体の許可コントロールのために IAM とポリシーが導入されました。現在は、S3 Object Ownership 機能を有効にすることで、IAM ポリシーのみが使用されるように、S3 がバケットのアクセスコントロールを実行する方法を変更することができます。S3 Object Ownership の新しい バケット所有者強制設定は、バケットとその中のオブジェクトの ACL を無効にし、各オブジェクトがバケット所有者によって所有されるようにすべてのオブジェクトを更新します。この設定を適用すると、所有権の変更が自動的に行われ、バケットにデータを書き込むアプリケーションで ACL を指定する必要がなくなります。この設定を有効にできるのは、既存のバケットに対して、または新しいバケットを作成するときです。
Amazon S3 Object Ownership は、AWS GovCloud (米国) リージョンと AWS 中国リージョンを除くすべての AWS リージョンで、追加料金なしで利用可能です。S3 Object Ownership は、S3 コンソール、AWSコマンドラインインターフェイス (CLI)、Amazon S3 REST API、AWS ソフトウェア開発キット (SDK)、または AWS CloudFormation を介して設定できます。S3 Object Ownership の詳細については、S3 ユーザーガイドにアクセスするか、AWS ニュースブログをお読みください。