s3fsをIAM Policyで制御してみる
こんにちはブータです。
公開サーバにs3fsを仕込んだのですが、
標準アカウントのアクセスキーを/etc/passwd-s3fsに仕込むのは嫌だったので
IAMでs3fs操作ユーザとグループポリシーを作ってみました。
(1)IAMにグループを作る
(2)IAMにユーザを作る
(3)作成したグループにユーザを割り当てる
(4)アクセスキーを作成する
(5)以下のポリシーを設定する
{ "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketAcl", "s3:GetBucketVersioning", "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:GetBucketRequestPayment" ], "Resource": "arn:aws:s3:::<バケット名>", "Condition": { "IpAddress": { "aws:SourceIp": "<マウント許可するIPAddress>/32" } } }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:GetObjectAcl", "s3:PutObjectAcl", "s3:DeleteObject" ], "Resource": "arn:aws:s3:::<バケット名>/*", "Condition": {} } ] }