S3グループ ポリシーの例

グループ ポリシーでは、そのポリシーが関連付けられたグループに対するアクセス権限を指定します。プリンシパルは暗黙的に決まるため、このポリシーにはPrincipal要素はありません。グループ ポリシーは、Tenant ManagerまたはAPIを使用して設定します。

例:Tenant Managerを使用したグループ ポリシーの設定

Tenant Managerを使用してグループを追加または編集する場合は、[S3 Policy]ダイアログ ボックスで有効なJSON形式の文字列を使用してグループ ポリシーを作成および更新します。
サンプルのJSONポリシーを示すスクリーンショット

例:グループにすべてのバケットへのフル アクセスを許可する

この例では、バケット ポリシーで明示的に拒否されている場合を除き、グループのすべてのメンバーにテナント アカウント所有のすべてのバケットへのフル アクセスが許可されます。
{
  "Statement": [
    {
      "Action": "s3:*",
      "Effect": "Allow",
      "Resource": "urn:sgws:s3:::*"
    }
  ]
}

例:グループにすべてのバケットへの読み取り専用アクセスを許可する

この例では、バケット ポリシーで明示的に拒否されている場合を除き、グループのすべてのメンバーにすべてのバケットへの読み取り専用アクセスが許可されます。このアカウントで所有しているバケットへのアクセスは、ターゲット バケット ポリシーで明示的に拒否されていない場合に限り許可されます。
{
  "Statement": [
    {
      "Sid": "AllowGroupReadOnlyAccess",
      "Effect": "Allow",
      "Action": [ "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetObject" ],
      "Resource": "urn:sgws:s3:::*"
    }
  ]
}

例:グループ メンバーにバケット内の各自の「フォルダ」のみへのフル アクセスを許可する

この例では、指定したバケット内の固有のフォルダ(キー プレフィックス)の参照とアクセスだけがグループのメンバーに許可されます。それらのフォルダのプライバシー設定を決めるときは、他のグループ ポリシーやバケット ポリシーのアクセス権限を考慮する必要があることに注意してください。
注:「Condition」キーワードとsgws:username変数は、Tenant Managerでのみサポートされます。
{
  "Statement": [
    {
      "Sid": "AllowListBucketOfASpecificUserPrefix",
      "Effect": "Allow",
      "Action": "s3:ListBucket",
      "Resource": "urn:sgws:s3:::department-bucket",
      "Condition": {
        "StringLike": {
          "s3:prefix": "${sgws:username}/*"
        }
      }
    },
    {
      "Sid": "AllowUserSpecificActionsOnlyInTheSpecificUserPrefix",
      "Effect": "Allow",
      "Action": "s3:*Object",
      "Resource": "urn:sgws:s3:::department-bucket/${sgws:username}/*"
    }
  ]
}

例:PutOverwriteObject権限

この例では、PutOverwriteObjectとDeleteObjectのEffectをDenyに設定して、オブジェクトのデータ、ユーザ定義のメタデータ、S3オブジェクトのタグが削除または変更されないように保護しています。

{
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "s3:PutOverwriteObject",
        "s3:DeleteObject",
        "s3:DeleteObjectVersion"
      ],
      "Resource": "urn:sgws:s3:::wormbucket/*"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "SGWS": "urn:sgws:identity::95390887230002558202:federated-group/SomeGroup"
      
},
      "Action": "s3:ListBucket",
      "Resource": "urn:sgws:s3:::wormbucket"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "SGWS": "urn:sgws:identity::95390887230002558202:federated-group/SomeGroup"
      
},
      "Action": "s3:*",
      "Resource": "urn:sgws:s3:::wormbucket/*"
    }
  ]
}