別のアカウントでバケットをクエリすると、Amazon Athena で AmazonS3Exception「Access Denied with Status Code: 403 (ステータスコード 403 でアクセスが拒否されました)」が表示されるのはなぜですか?

最終更新日: 2021 年 7 月 22 日

Amazon Athena を使用して、別のアカウントにある Amazon Simple Storage Service (Amazon S3) バケットのオブジェクトをクエリしています。バケット内のオブジェクトの一部は、3 番目のアカウントによって所有されています。クエリを実行すると、AmazonS3Exception「Access Denied with Status Code:403 (ステータスコード 403 でアクセスが拒否されました)」が表示されます。

簡単な説明

このエラーは通常、AWS CloudTrail、Amazon CloudFront、Amazon Virtual Private Cloud (Amazon VPC) など、別の AWS のサービスによって書き込まれたログをクエリしようとしたときに発生します。これらのサービスは、Amazon S3 にイベントをログ記録します。バケット所有者には、S3 オブジェクトへのフルアクセス権があります。2 番目のアカウントは、バケットまたはオブジェクトを所有していません。そのため、これらの S3 オブジェクトを参照する Athena テーブルを照会すると、2 番目のアカウントはアクセス拒否エラーを受け取ります。

解決方法

Amazon S3 オブジェクトの所有権を移管することはできません。代わりに、次のオプションのいずれかを使用してください。