特別な処理を必要とするポリシーの作成

ポリシーで付与される権限によって、アカウントのrootユーザがロックアウトされるなど、セキュリティや継続的な運用に支障が生じることがあります。StorageGRID WebscaleのS3 REST APIの実装では、ポリシーの検証時の制限はAmazonよりも厳しくありませんが、評価時は同等の制限が適用されます。

ポリシーの説明 ポリシー タイプ Amazonの動作 StorageGRIDの動作
自身に対しrootアカウントに対するすべての権限を拒否する バケット 有効で適用されるが、S3バケットのすべてのポリシー処理に対する権限は引き続きrootユーザ アカウントに割り当てられる 同じ
自身に対しユーザ / グループに対するすべての権限を拒否する グループ 有効で適用される 同じ
外部アカウントのグループに対し権限を許可する バケット 無効なプリンシパル 有効だが、S3バケットのすべてのポリシー処理に対する権限をポリシーで許可すると405 Method Not Allowedエラーが返される
外部アカウントのrootまたはユーザに対し任意の権限を許可する バケット 有効だが、S3バケットのすべてのポリシー処理に対する権限をポリシーで許可すると405 Method Not Allowedエラーが返される 同じ
すべてのユーザに対しすべての処理に対する権限を許可する バケット 有効だが、外部アカウントのrootおよびユーザについては、S3バケットのすべてのポリシー処理に対する権限で405 Method Not Allowedエラーが返される 同じ
すべてのユーザに対しすべての処理に対する権限を拒否する バケット 有効で適用されるが、S3バケットのすべてのポリシー処理に対する権限は引き続きrootユーザ アカウントに割り当てられる 同じ
プリンシパルとして新規のユーザまたはグループを指定する バケット 無効なプリンシパル 有効
リソースとして新規のS3バケットを指定する グループ 有効 同じ
プリンシパルとしてローカル グループを指定する バケット 無効なプリンシパル 有効
ポリシーで非所有者アカウント(匿名アカウントを含む)にオブジェクトをPUTする権限を付与する バケット 有効。オブジェクトは作成者アカウントによって所有され、バケット ポリシーは適用されない。作成者アカウントは、オブジェクトのACLを使用してオブジェクトにアクセス権限を付与する必要がある 有効。オブジェクトはバケット所有者アカウントによって所有され、 バケット ポリシーが適用される