ポリシーで付与される権限によって、アカウントのrootユーザがロックアウトされるなど、セキュリティや継続的な運用に支障が生じることがあります。StorageGRIDのS3 REST APIの実装では、ポリシーの検証時の制限はAmazonよりも厳しくありませんが、評価時は同等の制限が適用されます。
ポリシーの説明 | ポリシー タイプ | Amazonの動作 | StorageGRIDの動作 |
---|---|---|---|
自身に対しrootアカウントに対するすべての権限を拒否する | バケット | 有効で適用されるが、S3バケットのすべてのポリシー処理に対する権限は引き続きrootユーザ アカウントに割り当てられる | 同じ |
自身に対しユーザ / グループに対するすべての権限を拒否する | グループ | 有効で適用される | 同じ |
外部アカウントのグループに対し権限を許可する | バケット | 無効なプリンシパル | 有効だが、S3バケットのすべてのポリシー処理に対する権限をポリシーで許可すると405 Method Not Allowedエラーが返される |
外部アカウントのrootまたはユーザに対し任意の権限を許可する | バケット | 有効だが、S3バケットのすべてのポリシー処理に対する権限をポリシーで許可すると405 Method Not Allowedエラーが返される | 同じ |
すべてのユーザに対しすべての処理に対する権限を許可する | バケット | 有効だが、外部アカウントのrootおよびユーザについては、S3バケットのすべてのポリシー処理に対する権限で405 Method Not Allowedエラーが返される | 同じ |
すべてのユーザに対しすべての処理に対する権限を拒否する | バケット | 有効で適用されるが、S3バケットのすべてのポリシー処理に対する権限は引き続きrootユーザ アカウントに割り当てられる | 同じ |
プリンシパルとして新規のユーザまたはグループを指定する | バケット | 無効なプリンシパル | 有効 |
リソースとして新規のS3バケットを指定する | グループ | 有効 | 同じ |
プリンシパルとしてローカル グループを指定する | バケット | 無効なプリンシパル | 有効 |
ポリシーで非所有者アカウント(匿名アカウントを含む)にオブジェクトをPUTする権限を付与する | バケット | 有効。オブジェクトは作成者アカウントによって所有され、バケット ポリシーは適用されない。作成者アカウントは、オブジェクトのACLを使用してオブジェクトにアクセス権限を付与する必要がある | 有効。オブジェクトはバケット所有者アカウントによって所有され、 バケット ポリシーが適用される |