Amazon S3 バケットにアクセスできる VPC エンドポイントまたは IP アドレスを指定するにはどうすればよいですか?

バケットポリシーを使用して、S3 バケットにアクセスできる VPC エンドポイントまたは外部 IP アドレスを指定します。

注: 外部 IP アドレスは、VPC 内または VPC 外からのパブリック IP アドレスです。たとえば、外部 IP アドレスは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの Elastic IP アドレス、または VPC の NAT ゲートウェイまたはプロキシサーバーの IP アドレスにすることができます。

たとえば、次のバケットポリシーは、指定された VPC エンドポイント (aws:sourceVpce) または外部 IP アドレス (aws:SourceIp) からのリクエストでない限り、バケットへのトラフィックをブロックします。次の点にご注意ください。

• aws:sourceVpce 条件でこのポリシーを使用するには、Amazon S3 の VPC エンドポイント が EC2 インスタンスのサブネットの ルートテーブル に添付されている必要があります。VPC エンドポイントは、バケットと同じ AWS リージョンにある必要があります。
• ユーザーが VPC エンドポイントまたは IP アドレスからバケットで S3 アクションを実行できるようにするには、ユーザーレベルのアクセス許可を明示的に許可する必要があります。AWS Identity and Access Management (IAM) ポリシーまたはバケットポリシーの別のステートメントのいずれかで、ユーザーレベルのアクセス許可を明示的に許可できます。

警告: このバケットポリシー例では、許可された VPC エンドポイントまたは IP アドレス外のリクエストへのアクセスを明示的に拒否します。バケットポリシーを入力したユーザーであっても、ユーザーが条件を満たさない場合、バケットへのアクセスを拒否できます。バケットポリシーを保存する前に、慎重に確認する必要があります。誤ってロックアウトされた場合は、「誤って全ユーザーの Amazon S3 バケットへのアクセスを拒否してしまいました。」をご参照ください。アクセスを再取得するにはどうすればよいですか?

ユーザーが許可された VPC エンドポイントまたは IP アドレスからリクエストを送信していない場合でも、特定のユーザーに (同じ AWS アカウント内の) バケットへのアクセスを許可する必要があるときは、バケットポリシーの同じ Condition ブロック内に次のステートメントを含めることができます。

• AROAEXAMPLEID は許可する IAM ロールのロール ID です。
• AIDAEXAMPLEID は許可する IAM ユーザーのユーザー ID です。
• 111111111111 はアカウントのルート認証情報を表すバケットの AWS アカウント ID です。

特定の IAM ロールへのアクセスを許可する方法の詳細については、「How to Restrict Amazon S3 Bucket Access to a Specific IAM Role」をご参照ください。