AWS-CLI勉強 CLI専門支部 #3

この記事はAWSのマネージメントコントロールが変わってしまい、「ちょっとツライな」と思ったので JAWS-UG CLI専門支部の過去ログを使って勉強したログです。　波田野さんありがとうございますm(_ _)m

■資料

[JAWS-UG CLI] S3:#3 静的Webホスティングのアクセスログ設定 (バケットのライフサイクル設定 & バケットのACL設定)

■得たこと・気になったこと

●Amazon S3 アクセスコントロールリスト (ACL)

バケットとオブジェクトへのアクセスを管理する機能。アクセスリクエストがあった場合に、アクセス許可があるかを確認する。

●ACLの設定

{
 "LoggingEnabled": {
   "TargetBucket": "TargetBucket",
   "TargetPrefix": "Logs/",
   "TargetGrants": [
     {
       "Grantee": {
         "Type": "AmazonCustomerByEmail",
         "EmailAddress": "XXXX@gmail.com"
       },
       "Permission": "FULL_CONTROL"
     },
     {
       "Grantee": {
         "Type": "Group",
         "URI": "http://acs.amazonaws.com/groups/global/AllUsers"
       },
       "Permission": "READ"
     }
   ]
 }
}

上記でのURIに記載されている「http://acs.amazonaws.com/groups/global/AllUsers」ってなんぞ？

答えとしてはAmazon S3 の定義済みグループで具体的には以下３つがある。

①Authenticated Users グループ – http://acs.amazonaws.com/groups/global/AuthenticatedUsers で表されます。

このグループはすべての AWS アカウントを表します。このグループへのアクセス許可により、任意の AWS アカウントがリソースにアクセスすることが許可されます。 ただし、すべてのリクエストは署名（認証）されている必要があります。

②All Users グループ – http://acs.amazonaws.com/groups/global/AllUsers で表されます。

このグループへのアクセス許可により、世界中の誰でもリソースにアクセスすることが許可されます。 リクエストは署名（認証）済み、または署名なし（匿名）とすることができます。署名なしのリクエストでは、リクエストの Authentication ヘッダーが省略されます

③Log Delivery グループ – http://acs.amazonaws.com/groups/s3/LogDelivery で表されます。

バケットの WRITE 許可により、このグループはサーバーアクセスログ (「Amazon S3 サーバーアクセスのログ記録」を参照) をバケットに書き込むことができます。

■感想

曖昧に流したり、自動的に出来ている仕組みが「なんと無く分かっている」で流してたけど、「出来てねぇ」と思い知らされるん。