助け合いフォーラム
AWS ソリューションアーキテクト - アソシエイト(SAA-C03)
問題ID : 36797
問題を開く
ある会社では、Amazon S3バケットに重要なデータを保存している。管理者がAWS CLIを使用して特定のS3バケット(bucket01)内のデータを削除しようとしたところ、アクセス拒否のエラーが発生した。管理者が使用するIAMユーザーには以下のIAMポリシーが割り当てられている。S3バケット内のデータの削除に失敗してしまった原因として考えられるのはどれか。
この問題はプレミアムコンテンツです。
IAMポリシーの記述方法について
R
Rrrr3ika
投稿日 2024/07/29
前半の
"Action":[
"s3:ListBucket",
"s3:GetObject",
"s3:DeleteObject"
で許可する操作が3つ書かれているのに対し、
"Resource":[
"arn:aws:s3:::bucket01",
"arn:aws:s3:::bucket01/*",
Resourceは2つだけでよいのはそういうものなのでしょうか?
s3:ListBucket⇒arn:aws:s3:::bucket01
s3:GetObjectとs3:DeleteObject⇒arn:aws:s3:::bucket01/*
の関係なのは分かるのですが、
Actionと対になるように以下のように記述しなくてもよいのですか?
"Resource":[
"arn:aws:s3:::bucket01",
"arn:aws:s3:::bucket01/",
"arn:aws:s3:::bucket01/",
2024/07/30 03:15
はい、そういうものです。
参考の[リソースベースのポリシーの記述例]のところでそれぞれのブロックの意味がまとめられていますが、日本語的にまとめると
「Resource で指定した(いくつかの) AWS リソースに対して(いくつかの) Action の操作を Effect で判定する」
って感じですかね。なのでResoureとActionがペアになる必要はないのです。
コメント
この投稿に対して返信しませんか?
R Rrrr3ika
2024/08/13 16:14
ありがとうございます!