ablog

不器用で落着きのない技術者のメモ

他アカウントの特定 VPCエンドポイントからのアクセスのみ許可する S3 バケットポリシー

AWS

他のアカウント（234567890123）の特定の VPC エンドポイントからのアクセスのみを許可する S3 バケットポリシー例

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::234567890123:role/EC2Role"
            },
            "Action": [
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::s3-bucket-policy-test",
                "arn:aws:s3:::s3-bucket-policy-test/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:sourceVpce": "vpce-0c75ac818fc7e65f3"
                }
            }
        }
    ]
}

参考

Amazon S3 バケットアクセスを特定の VPC または IP アドレスに制限する