orenoblog

エンジニアになりたいExcel方眼紙erの物語

s3fsをIAM Policyで制御してみる

こんにちはブータです。

公開サーバにs3fsを仕込んだのですが、
標準アカウントのアクセスキーを/etc/passwd-s3fsに仕込むのは嫌だったので
IAMでs3fs操作ユーザとグループポリシーを作ってみました。

(1)IAMにグループを作る
(2)IAMにユーザを作る
(3)作成したグループにユーザを割り当てる
(4)アクセスキーを作成する
(5)以下のポリシーを設定する

{ 
   "Statement": [ 
     { 
       "Effect": "Allow", 
       "Action": [ 
         "s3:ListBucket", 
         "s3:GetBucketAcl", 
         "s3:GetBucketVersioning", 
         "s3:GetBucketLocation", 
         "s3:GetBucketPolicy", 
         "s3:GetBucketRequestPayment" 
       ], 
       "Resource": "arn:aws:s3:::<バケット名>", 
       "Condition": {
		"IpAddress": {
			"aws:SourceIp": "<マウント許可するIPAddress>/32"
		}
	} 
     }, 
     { 
       "Effect": "Allow", 
       "Action": [ 
         "s3:GetObject", 
         "s3:PutObject", 
         "s3:GetObjectAcl", 
         "s3:PutObjectAcl",
	 "s3:DeleteObject"
       ], 
       "Resource": "arn:aws:s3:::<バケット名>/*", 
       "Condition": {} 
     } 
   ] 
}