ablog

不器用で落着きのない技術者のメモ

S3 Access Points のメリット

アクセスポイント作成を開始するにあたって追加料金は発生しません。

Amazon S3 Access Points - アマゾン ウェブ サービス

S3 Access Points を利用するタイミング

S3 Access Points によって、お使いのアプリケーションセットから S3 上の共有データセットへのデータアクセスの管理がシンプル化されます。たった 1 つの複雑なバケットポリシーを管理するのに、数百におよぶアクセス許可ルールの書き込み、読み取り、追跡、監査をする必要はなくなりました。S3 Access Points を使用すると、特定のアプリケーション向けに用意されたポリシーを使用して共有データセットへのアクセスを許可するアクセスポイントをアプリケーションに合わせて作成できます。

  • 大規模な共有データセット: Access Points を使用すると、ある 1 つの大型サイズのバケットポリシーを分割して、共有データセットにアクセスする必要のある各アプリケーション向けに個別のアクセスポイントポリシーを単独で作成できます。このため、あるアプリケーションに対して正しいアクセスポリシーを作成するのがこれまでよりも簡単になり、ほかのアプリケーションが共有データセット内で実行していることを気にする必要はありません。
  • VPC へのアクセスを制限: 1 つの S3 アクセスポイントで、Virtual Private Cloud (VPC) を経由するすべての S3 ストレージアクセスを制限できます。 また、サービスコトロールポリシー (SCP) を作成して、すべてのアクセスポイントを Virtual Private Cloud (VPC) に制限して、データをプライベートネットワーク内でファイアウォール管理できます。
  • 新しいアクセスポリシーをテスト: アクセスポイントを使用すると、アプリケーションをアクセスポイントに移行するときやアクセスポリシーを既存のアクセスポイントにコピーするときには事前に新しいアクセスポリシーを簡単にテストできます。
  • 特定のアカウント ID にアクセスを制限: S3 Access Points を使用すると、特定のアカウント ID が所有するアクセスポイント (必然的にバケットも) だけにアクセスを制限するように VPC エンドポイントポリシーを指定できます。この結果、同じアカウント内のバケット群へのアクセスを許可すると同時に VPC エンドポイント経由のほかの S3 アクセスを拒否するアクセスポリシーの作成が簡単になります。
  • 一意の名前を付与: S3 Access Points では、アカウント内およびリージョン内で一意であれば、どんな名前でも指定できます。たとえば、「test」というアクセスポイントを、アカウントごとに、リージョンごとに設定できます。

アクセスポイントの作成目的がデータ取り込み、変換、制限付き読み込みアクセス、無制限アクセスのいずれであっても、S3 Access Points を使用すると、共有 S3 バケットへのアクセスの作成や維持がシンプル化されます。

Amazon S3 Access Points - アマゾン ウェブ サービス

検証結果メモ

  • S3 アクセスポイントとバケットポリシーを併用すると優先順はなく両方で評価される

Amazon S3 アクセスポイントは、AWS Identity and Access Management (IAM) リソースポリシーをサポートしています。これにより、リソース、ユーザー、またはその他の条件によってアクセスポイントの使用を制御できます。アプリケーションやユーザーがアクセスポイントを介してオブジェクトにアクセスできるようにするには、アクセスポイントと基になるバケットの両方でリクエストを許可する必要があります。Amazon S3 アクセスポイントは、AWS Identity and Access Management (IAM) リソースポリシーをサポートしています。これにより、リソース、ユーザー、またはその他の条件によってアクセスポイントの使用を制御できます。アプリケーションやユーザーがアクセスポイントを介してオブジェクトにアクセスできるようにするには、アクセスポイントと基になるバケットの両方でリクエストを許可する必要があります。

アクセスポイントを使用するための IAM ポリシーの設定 - Amazon Simple Storage Service
  • アカウントレベル/バケットレベルいずれかでブロックパブリックアクセスを有効化している場合、アクセスポイントでブロックパブリック・アクセスの設定を行わずとも、パブリックアクセスは拒否されます。

アクセスポイントを経由するすべてのリクエストについて、Amazon S3 は、そのアクセスポイント、基となるバケット、およびバケット所有者のアカウントに関するブロックパブリックアクセス設定を評価します。これらの設定のいずれかで、リクエストをブロックする必要があることが示されると、Amazon S3 はリクエストを拒否します。

アクセスポイントへのパブリックアクセスの管理 - Amazon Simple Storage Service