ユースカジノ特徴 S3のバケットポリシーのサイズ制限に対する
ユースカジノ特徴

投稿日: 2025/01/20

はじめに

S3バケットユースカジノ特徴には、ユースカジノ特徴サイズが20,480バイト（20 KB）以内である必要があるという制限があります。

S3バケットをデータレイクとして利用するにあたり、利用グループごとに異なるプリフィックス（フォルダ）へのアクセス権限を定義しようとした結果、この制限に直面し、ユースカジノ特徴の見直しが必要となりました。

IAMユーザ、ロール、またはグループのユースカジノ特徴にS3のアクセス権を定義すればサイズ制限が回避できます。しかしながら、S3へのアクセス権限を可能な限りバケットユースカジノ特徴に集約する方針としていたこともあり別の方法を模索いたしました。

結果としてプリンシパルタグを活用して、バケットユースカジノ特徴の記述量を大幅に抑える方法にたどり着き実際に採用いたしました。

本稿では、この際に検証した内容を踏まえて、プリンシパルタグを利用したバケットユースカジノ特徴の設定方法について解説します。

想定ユースケース

想定するユースケースは以下の通りです。データレイク用のユースカジノ特徴の下に、グループ別の情報を格納するための「Groups」フォルダを作成し、その下に、それぞれのグループ専用のフォルダを作成してアクセス権限を制御することを想定します。

フォルダ構成は以下の通りです。

example-bucket-xxxxxxxx (ユースカジノ特徴)
　　　└─groups
　　　　　　├─GroupA　・・（グループAメンバーのみアクセス可能なフォルダ）
　　　　　　└─GroupB　・・（グループBメンバーのみアクセス可能なフォルダ）

設定内容

グループに対応するロールの作成および権限設定

バケットユースカジノ特徴で直接グループに対する権限制御を行うことは出来ない為、グループと１対１に対応するロールを作成します。また、グループメンバーがロールを引き受けることができるようにグループユースカジノ特徴にAssumeRole権限を設定します。

以下がグループAに対するグループユースカジノ特徴設定例です。（グループBについても同様に設定します。）

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:ユースカジノ 特徴:iam::[アカウントID]:role/GroupARole"
    }
  ]
}

ロールへのタグの付与

作成したロールにタグを付与します。「GroupName」というキーでグループ名を設定します。
以下がグループAロール（GroupARole）に対するタグ設定例です。

キー：GroupName
値：GroupA

バケットユースカジノ特徴設定

以下のように設定することで、ユースカジノ特徴によるアクセス制御が可能になります。
ロールに設定したGroupNameタグの内容とフォルダ名が一致することを条件にするように設定しています。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowGetObjectMatchingGroupNamePrefix",
      "Effect": "Allow",
      "Principal": {
        "ユースカジノ 特徴": [
          "arn:ユースカジノ 特徴:iam::[アカウントID]:role/GroupARole",
          "arn:ユースカジノ 特徴:iam::[アカウントID]:role/GroupBRole"
        ]
      },
      "Action": "s3:GetObject",
      "Resource":"arn:ユースカジノ 特徴:s3:::example-bucket-xxxxxxxx/groups/${ユースカジノ 特徴:PrincipalTag/GroupName}/*"
    },
    {
      "Sid": "AllowListBucketMatchingGroupNamePrefix",
      "Effect": "Allow",
      "Principal": {
        "ユースカジノ 特徴": [
          "arn:ユースカジノ 特徴:iam::[アカウントID]:role/GroupARole",
          "arn:ユースカジノ 特徴:iam::[アカウントID]:role/GroupBRole"
        ]
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:ユースカジノ 特徴:s3:::example-bucket-xxxxxxxx",
      "Condition": {
        "StringLike": {
          "s3:prefix": "groups/${ユースカジノ 特徴:PrincipalTag/GroupName}/*"
        }
      }
    }
  ]
}

この設定の何が良いのか？

プリンシパルタグを用いない場合は、アクセス権を付与するフォルダとロールの組み合わせ毎にSIDを追加してユースカジノ特徴を作成する必要があります。

それに対して、プリンシパルタグを用いることで、今回採用したグループ名とフォルダ名を一致させる方針においてはバケットユースカジノ特徴に対してロールを追加するだけで済むため大幅な記述量の削減になりユースカジノ特徴サイズの制限への対策になります。

補足事項

IAM Identity Center がユースカジノ特徴アカウントで作成した対応するロールにはタグを適用できないため、この対応方法は使えません。
同一のユースカジノ特徴アカウントにプリンシパル（ユーザ／ロール）がある場合は、バケットポリシーにアクセス権を設定しなくても、プリンシパルのポリシーにバケットへのアクセス権限を定義すればアクセスは可能となります。したがって、バケットポリシー側でのアクセス権を制御する方針を徹底したい場合は、プリンシパルとバケットを別のアカウントに配備すると実現できます。
S3バケットユースカジノ特徴のサイズ制限への対応方法は、Lake FormationやS3 Access Grantsも候補になります。

まとめ

S3バケットユースカジノ特徴のサイズ制限に対処するため、プリンシパルタグを活用した例をご紹介いたしました。これにより、バケットユースカジノ特徴の記述量を大幅に削減し、アクセス権限の管理を効率化できます。

ユースカジノ特徴は、AWSのビジネス利活用に向けて、お客様のステージに合わせた幅広い構築・運用支援サービスを提供しています。
経験豊富なエンジニアが、ワンストップかつ柔軟にご支援します。
ぜひ、お気軽にお問い合わせください。

ユースカジノ登録

【著者プロフィール】

天辰　哲朗（あまたつ　てつろう）

伊藤忠テクノソリューションズ株式会社　アーキテクト

アーキテクトとして20年以上のキャリを持ち業種／規模を問わず多数の案件にてアーキ・基盤領域のリーダを歴任。
Webアプリケーション開発の標準化やフレームワークの構築を専門とし、近年ではデータ基盤の構築も担当する。

取得済みの主な資格
ユースカジノ特徴 Certified Solutions Architect – Professionalを含む全12資格（2024 Japan ユースカジノ特徴 All Certifications Engineersを受賞）
JDLA Deep Learning for ENGINEER（E資格）
SnowPro Advanced: Architect および SnowPro Core（Snowflake関連資格）

ユースカジノ 特徴 S3のバケットポリシーのサイズ制限に対するユースカジノ 特徴