すぐ忘れてしまうのでメモ。

Amazon S3バケットへのアクセス制限を設けたいケースが多々あると思います。

カジュアルに必要な項目だけ書き換えて渡しておけるほうがよいのでメモを残します。

これはCyberduckを利用して、特定IPからhogehogebucketへのフルアクセスを許可するポリシーです。

CyberduckはAWSアカウントが所持するバケットを全てリストしないといけません。

ListAllMyBucketsを付与しておく必要が有ります。

操作を許可しないバケットも表示させないといけないのが、状況よっては宜しくないかもしれません。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "<STMTID>",
      "Effect": "Allow",
      "Action": [
        "s3:ListAllMyBuckets"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ],
            "Condition": {
         "IpAddress": {
            "aws:SourceIp": [
            "<IPADDRESS>/<CIDR>"
             ]
         }
      }
    },
    {
      "Sid": "<STMTID>",
      "Effect": "Allow",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "arn:aws:s3:::hogehogebucket/*"
      ]
    },
    {
      "Sid": "<STMTID>",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ]
    }
  ]
}