Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

グループポリシーの例

PDF

このセクションの例を使用して、グループのStorageGRIDアクセス ポリシーを構築します。

グループ ポリシーは、ポリシーが関連付けられているグループのアクセス権限を指定します。ありません `Principal`暗黙的であるため、ポリシーの要素ではありません。グループ ポリシーは、テナント マネージャーまたは API を使用して構成されます。

例: テナント マネージャーを使用してグループ ポリシーを設定する

テナント マネージャーでグループを追加または編集するときに、グループ ポリシーを選択して、このグループのメンバーに付与する S3 アクセス権限を決定できます。見る"S3テナントのグループを作成する"

  • S3 アクセスなし: デフォルト オプション。このグループのユーザーは、バケットポリシーでアクセスが許可されない限り、S3 リソースにアクセスできません。このオプションを選択すると、デフォルトではルートユーザーのみが S3 リソースにアクセスできるようになります。

  • 読み取り専用アクセス: このグループのユーザーには、S3 リソースへの読み取り専用アクセス権があります。たとえば、このグループのユーザーはオブジェクトを一覧表示したり、オブジェクトのデータ、メタデータ、タグを読み取ったりできます。このオプションを選択すると、読み取り専用グループ ポリシーの JSON 文字列がテキスト ボックスに表示されます。この文字列は編集できません。

  • フルアクセス: このグループのユーザーには、バケットを含む S3 リソースへのフルアクセス権があります。このオプションを選択すると、フルアクセス グループ ポリシーの JSON 文字列がテキスト ボックスに表示されます。この文字列は編集できません。

  • ランサムウェア軽減: このサンプル ポリシーは、このテナントのすべてのバケットに適用されます。このグループのユーザーは一般的なアクションを実行できますが、オブジェクトのバージョン管理が有効になっているバケットからオブジェクトを完全に削除することはできません。

    すべてのバケットの管理権限を持つテナント マネージャー ユーザーは、このグループ ポリシーを上書きできます。すべてのバケットの管理権限を信頼できるユーザーに制限し、可能な場合は多要素認証 (MFA) を使用します。

  • カスタム: グループ内のユーザーには、テキスト ボックスで指定した権限が付与されます。

例: グループにすべてのバケットへのフルアクセスを許可する

この例では、バケット ポリシーによって明示的に拒否されない限り、グループのすべてのメンバーに、テナント アカウントが所有するすべてのバケットへのフル アクセスが許可されます。

{
  "Statement": [
    {
      "Action": "s3:*",
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::*"
    }
  ]
}

例: すべてのバケットへのグループ読み取り専用アクセスを許可する

この例では、バケット ポリシーによって明示的に拒否されない限り、グループのすべてのメンバーは S3 リソースへの読み取り専用アクセス権を持ちます。たとえば、このグループのユーザーはオブジェクトを一覧表示したり、オブジェクトのデータ、メタデータ、タグを読み取ったりできます。

{
  "Statement": [
    {
      "Sid": "AllowGroupReadOnlyAccess",
      "Effect": "Allow",
      "Action": [
        "s3:ListAllMyBuckets",
        "s3:ListBucket",
        "s3:ListBucketVersions",
        "s3:GetObject",
        "s3:GetObjectTagging",
        "s3:GetObjectVersion",
        "s3:GetObjectVersionTagging"
      ],
      "Resource": "arn:aws:s3:::*"
    }
  ]
}

例: グループメンバーにバケット内の自分の「フォルダ」のみへのフルアクセスを許可する

この例では、グループのメンバーは、指定されたバケット内の特定のフォルダー (キー プレフィックス) の一覧表示とアクセスのみが許可されます。これらのフォルダーのプライバシーを決定する際には、他のグループ ポリシーとバケット ポリシーからのアクセス権限を考慮する必要があることに注意してください。

{
  "Statement": [
    {
      "Sid": "AllowListBucketOfASpecificUserPrefix",
      "Effect": "Allow",
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::department-bucket",
      "Condition": {
        "StringLike": {
          "s3:prefix": "${aws:username}/*"
        }
      }
    },
    {
      "Sid": "AllowUserSpecificActionsOnlyInTheSpecificUserPrefix",
      "Effect": "Allow",
      "Action": "s3:*Object",
      "Resource": "arn:aws:s3:::department-bucket/${aws:username}/*"
    }
  ]
}