S3 へのアクセスを TLS 1.2 に限定! 新しく追加された IAM 条件キー s3:TlsVersion を使ってみた | DevelopersIO
S3 へのアクセスを TLS 1.2 に限定! 新しく追加された IAM 条件キー s3:TlsVersion を使ってみた コンバンハ、千葉(幸)です。 2020年12月のアップデートで、以下の Amazon S3 の IAM 条件キーが追加されました。 s3:ResourceAccount s3:TLSVersion 前者は使い方がパッと分かったのですが、後者はいまいち分からず……。 手探りで確認した結果、大まかに使い方が分かりましたので、ご紹介します。 まとめ "s3:TlsVersion": "1.x"の書式で使用する 以下クライアントによる S3 アクセスは基本的に TLS 1.2 で行われる AWS マネジメントコンソール AWS CLI AWS サービス AWS 製エージェント 条件キーの想定される主な用途は S3 アクセスを TLS 1.2 に限定すること 「 TLS 1.
S3からGCSへのデータ転送(AWSのIAM情報もらうパターン)|ucwork
普段はGCP(GCS)ばっかり使ってて 「別クラウドからデータ受領」みたいなことをしたことなかったので 社外のどっかの会社がAWS(S3)にデータを配置してる想定で 社内のGCP(GCS)にデータを転送するシチュエーションをやってみた データ転送パターン1. インターネット(https)経由 a. こちらからAWS(S3)にアクセスしてGCP(GCS)にデータ転送★ b. 相手の会社の担当がAWS(S3)からGCP(GCS)にデータ転送 2. インターネットVPN(IPsec)経由 a. インターネット経由はヤダって言われた時によりセキュアな提案 3. 専用線経由(Partner/Dedicated Interconnect) a. インターネットVPNすらダメで、専用線繋いでよ!と言われた場合 上記のようなパターンが考えられるが とりあえず、★の「インターネット経由&こちらからAWSにア
S3アップロードをCircleCIで自動化して簡単Webサイト運用 - Qiita
ポートフォリオサイトを作りたいなと思い、S3のWebサイトホスティングで作りました。 折角なので、CircleCiを活用して、GitHubにコードやファイルをpushするとS3へ自動デプロイされる構成としました。以下にその流れを書いていきます。 1. IAMの設定 CircleCIの環境に設定する、IAMユーザーを作成します。 先ずは、IAMの画面からS3へのアクセスポリシーを作成します。 今回はIAMの画面の「ポリシー」の画面から s3-auth という名前のポリシーを作成しました。ポリシーは以下の通り記載します。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:DeleteObject", "s3:ListBucket" ], "Resource
Amazon S3 バケットアクセスを特定の IP または VPC に制限する
特定の Amazon 仮想プライベートクラウド (VPC) エンドポイントまたは特定の IP アドレスから送信されていないトラフィックをすべてブロックしたいと考えています。または、Amazon Simple Storage Service (Amazon S3) バケットを使用して静的ウェブサイトをホストしています。ウェブサイトには、特定の VPC エンドポイントまたは IP アドレスからアクセスできる必要があります。 解決策 **警告:**この記事のバケットポリシーの例では、許可された VPC エンドポイントまたは IP アドレス以外のリクエストに対して明示的にアクセスを拒否します。バケットポリシーを保存するときは、事前に、内容をよく確認してください。 バケットポリシーを使用して、S3 バケットにアクセスできる VPC エンドポイント、VPC ソース IP アドレス、または外部 IP ア
Amazon S3 でリダイレクトを扱う | DevelopersIO
試してみた それでは早速設定して動作を試してみましょう。 静的ウェブホスティングを有効化する まずはリダイレクト機能は S3 の静的ウェブホスティングの機能となりますので、S3 バケットの静的ウェブホスティング機能を有効化します。 マネジメントコンソールにログインし、S3 の画面から静的ウェブホスティングを有効化するバケットを選択します。 Properties から Static website hosting を選択します。現在は無効状態ですので、ステータスに Disabled が表示されています。 「Use this bucket to host a website」を選択し、Index document を設定します。今回は index.html で設定します。URL がフォルダへのアクセス時にフォルダの中の index.html を返す、という設定です。「Save」ボタンをクリック
CodePipelineでGitHub上のコードをS3にデプロイする - かべぎわブログ
概要 CodePipelineを利用してGitHub上のコードをS3にデプロイしてみたいと思います。 やりたいことはだいたい以下のようなかんじ。 手順 こんなかんじでできます。 マネジメントコンソールのCodePipelineから「パイプラインの作成」を選択します。 適当にパイプライン名をつけてあげて「次へ」を選択します。 ソースプロバイダをGitHubにし、「GitHubに接続」します。 新たにウインドウが立ち上がるので「Authorize aws-codesuite」を選択してAWSとGitHubを接続してあげます。 デプロイしたいリポジトリとブランチをえらんで「次へ」を選択します。 今回はビルドは行わないのでスキップします。 「ビルドステージのスキップ」を選択します。スキップしますか?みたいな確認メッセージが出ますが、かまわずスキップします。 デプロイプロバイダにS3を選択し、デプロ
CloudFrontを使用してS3静的ウェブサイトを提供する手順 | DevelopersIO
S3静的ウェブサイトを、CloudFrontを通じて提供したいと思います。今回はいくつかの前提の元、実施してみました。 DNS管理者、AWS管理者、コンテンツ管理者がそれぞれ別の部などでわかれ、AWSにて提供するウェブサイトは随時増えていく想定です。 こんにちは、坂巻です。 S3静的ウェブサイトを、CloudFrontを通じて提供したいと思います。今回はいくつかの前提の元、実施してみました。 前提/構成 DNS管理者、AWS管理者、コンテンツ管理者がそれぞれ別の部等にわかれ、AWSにて提供するウェブサイトは随時増えていく想定です。イメージは以下となります。 DNS管理者 AWS外のネームサーバでDNSレコード設定等を行います。ドメイン、SSL証明書をAWS外で調達します。調達した証明書はAWS管理者に連携します。 AWS管理者 CloudFront、S3バケットなど、AWSの構築、管理を行
S3でIP制限 - Qiita
S3でIP制限 静的なファイルの配置先としてS3を利用している場合、アクセス制限などを設けたい場合があります。どこからでもアクセスできるとセキュリティ的にもコスト的にもあれあので。 今回は特定のIPのみを許可する方法です。 実現方法 S3管理画面、特定のバケットの選択、プロパティを選択、 アクセス許可の欄より、バケットポリシーの編集をクリック 以下にてバケットポリシーを生成します。 http://awspolicygen.s3.amazonaws.com/policygen.html 説明は以下 Select Type of Policyは「S3 Bucket Policy」を選択 Effectは「Deny」 Principalは「*」アスタリスクですべて AWS Serviceは「Amazon S3」 すべてのアクセスに適用させたいなら「All Actions」にチェック Amazon
CloudFront + S3 での IP アドレスベースのアクセス制限設定をする
こんにちは、インフラストラクチャー部の沼沢です。 今回は、CloudFront + S3 での IP アドレスベースのアクセス制限を実現する方法をご紹介します。 実現したかったこと特定の外部拠点から参照されるファイルを S3 に配置したい独自ドメインが使いたかったため、CloudFront を前段に用意ファイルへのアクセスを特定の外部拠点の IP アドレスのみに制限したいS3 の URL への直アクセスはさせたくないこれを実現しようとしてググってみると、 CloudFront の IP アドレスでのアクセス制限S3 の IP アドレスでのアクセス制限CloudFront のみ、S3 のみの方法は出てくるのですが、CloudFront + S3 の方法が出てこなかったので、自分で試してみました。 やったこと先に設定した内容を箇条書きにしてみました。 AWS WAF で IP アドレスベースの
S3 sync で s3からファイルを同期させる時の注意点 | DevelopersIO
はじめに s3 sync で作業をしていた際に、同期されるはずのファイルが同期されなかったので調査してみました。 事象 s3にアップロードしたファイルをローカルに同期させる際に同期されないファイルがあった。 s3にアップロードしたdocument.txtをローカルに同期する s3にアップロードしたファイル $ aws s3 ls s3://test.takahashi.yusuke/ 2015-06-26 18:56:05 4847 document.txt 現在のローカルのファイル $ ll ~/docs/ total 16 drwxr-xr-x 3 takahashiyusuke staff 102 6 25 13:17 . drwxr-xr-x+ 60 takahashiyusuke staff 2040 6 25 13:16 .. -rw-r--r-- 1 takahashiyus
S3のRedirection Rulesを利用してリダイレクトする2 | DevelopersIO
前回はS3のRedirection Rulesを利用したリダイレクト方法について紹介しましたが、以下の様なツイートを見かけましたので検証してみました。結論としてはHttpErrorCodeReturnedEqualsを利用するだけで実現できそうでした。 S3に任意のリダイレクト機能があったんだ。これ使えばサムネールサーバのエンドポイントに直接S3を指定するような設計が出来る?サムネールが無かったら生成サーバにリダイレクトするような感じ。知らなかった…。 http://t.co/wmVSCYOW66 — Keita Kitamura (@keita) March 6, 2014 やりたいことはS3にアクセスしてファイルが存在しない(404)の場合に生成サーバにリダイレクト出来ればよいということになるはずです。ということで以下の構成だったとして404の場合に生成サーバにリダイレクトできることを
チュートリアル: Amazon S3 での静的ウェブサイトの設定 - Amazon Simple Storage Service
Amazon S3 では、Amazon S3 内のすべてのバケットの基本レベルの暗号化として、Amazon S3 が管理するキー (SSE-S3) によるサーバー側の暗号化が適用されるようになりました。2023 年 1 月 5 日以降、Amazon S3 にアップロードされるすべての新しいオブジェクトは、追加費用なしで、パフォーマンスに影響を与えずに自動的に暗号化されます。S3 バケットのデフォルト暗号化設定と新しいオブジェクトのアップロードのための自動暗号化ステータスは、AWS CloudTrail ログ、S3 インベントリ、S3 ストレージレンズ、Amazon S3 コンソール、および AWS Command Line Interface と AWS SDK の追加の Amazon S3 API レスポンスヘッダーとして利用できるようになりました。詳細については、「デフォルト暗号化に関
S3のRedirection Rulesを利用してリダイレクトする | DevelopersIO
前回からだいぶ経過しましたが、今回はS3のRedirection Rulesを利用してリダイレクトを行う方法について記述します。Redirection Rulesを利用するとパスやパラメータに関係なくS3バケットへのリクエストを特定のURLにリダイレクトすることができるようになります。 前回はS3のRedirect all requests to another host nameについて紹介しました。この機能はリクエストURLのパスやパラメータを引き継ぐため単純なドメインの移行をした際には有用です。例えばhttp://hoge.example.com/fuga?piyoへのアクセスはhttp://example.net/hoge/fuga?piyoへリダイレクトされます。 一方であるサイトへのあらゆるリクエストを特定のURLにリダイレクトしたいケースもあるかと思います。そのような場合に利
S3のGUIクライアントを利用するのに必要なIAM Policy | DevelopersIO
こんにちは。望月です。 今日はS3とIAM Policyについて、小ネタを書いておきます。 S3を利用するためのIAM Policy S3にはManagement Consoleの他にもCyberduckやCloudBerry Explorer等、様々なGUIクライアントが存在します。 当社の標準では、「アカウントのrootユーザ(アカウントが発行された後すぐに利用できるユーザ)は絶対に使用せず、ユーザ毎にIAM Userを作成する」というのが標準になっているので、用途ごとにIAM User(or IAM Role)を発行して、必要な権限を割り当てていくことになります。 その中でよくお客様から上がる要望の中に、「S3の特定のバケットのみを操作できるユーザで、S3をGUIクライアントから操作したい」というものがあります。その時にまず最初に思いつくのは、以下のようなPolicyです。 { "S
AWS IAMポリシーを理解する | DevelopersIO
はじめに こんにちは、川原です。 AWSのIAMサービスでは、各AWSサービスへの操作をアクセス制御するために「ポリシー」という概念があります。 AWSのドキュメントを読んでいると、ポリシーにはいくつか種類があることに気付くかと思います。本ブログではそれらのポリシーについて整理してみたいと思います。 ポリシーの基本 ポリシーは基本的に、「誰が」「どのAWSサービスの」「どのリソースに対して」「どんな操作を」「許可する(許可しない)」、といったことをJSON形式で記述します。 記述したポリシーをユーザー(IAMユーザー、IAMグループ、IAMロール)や、AWSリソースに関連づけることで、アクセス制御を実現しています。 例えば、以下のJSONはAWS側で用意しているAmazonS3ReadOnlyAccessという名前のポリシーです(後述するユーザーベースポリシーのAWS管理ポリシーに該当)。
S3にBasic認証付きリクエストをすると400:Bad Requestになる
nginx で S3 にリバースプロキシしたサイトで、特定の URL 配下にしらーっとBasic認証を追加したら、S3 のリソースの取得が"400 : Bad Request" でことごとく失敗していた。 現象を再現させる まずはこの動きを確認してみる S3を用意 バケットを作成し、オブジェクトを public-read の ACL つきて PUT する。 $ aws s3 mb s3://acbb make_bucket: s3://acbb/ $ echo hello | aws s3 cp - s3://acbb/hello --acl public-read public read が付いているので、anonymous user も GET できる。 $ curl https://s3-ap-northeast-1.amazonaws.com/acbb/hello hello Ba
apacheでS3にプロキシさせるときにbasic(digest)認証をかませていると400 bad requestになる - It's raining cats and dogs.
S3にBasic認証付きリクエストをすると400:Bad Requestになる | Siguniang's Blog この記事のapache版。 apacheのmod_proxyでS3においてある画像にプロキシさせた時に、basic認証をかませているとS3から400 bad requestが返ってきてしまって画像が表示されなくなってしまった。 上記ブログはnginxだったので、apacheで解決したやり方をメモっておく。 <Location "/s3-images/"> RequestHeader set Authorization "" </Location> ProxyPass /s3-images/ http://hogehoge.s3-ap-northeast-1.amazonaws.com/s3-images/ ProxyPassReverse /s3-images/ http:
Amazon S3 のアイデンティティベースのポリシー例 - Amazon Simple Storage Service
このセクションでは、Amazon S3 へのユーザーアクセスを管理するための AWS Identity and Access Management (IAM) アイデンティティベースポリシーをいくつか示します。バケットポリシー (リソースベースのポリシー) の例については、「Amazon S3 のバケットポリシー」を参照してください。IAM ポリシー言語については、「Amazon S3 のポリシーとアクセス許可」を参照してください。 次のサンプルポリシーは、プログラムで使用する場合に機能します。ただし、Amazon S3 コンソールでこれらを使用するには、コンソールに必要な追加のアクセス許可を付与する必要があります。このようなポリシーの Amazon S3 コンソールでの使用の詳細については、ユーザーポリシーを使用したバケットへのアクセスの制御 を参照してください。 バケット の 1 つへ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
UI Testing using Selenium WebDriver and Chrome inside AWS Lambda
AWS CloudFrontとS3、ALB(ELB)でSPAを構築する - ブロックチェーンエンジニアの備忘録