S3のアクセス権限制御

基本的な考え方

バケットに対するアクセス権の制御方法は以下？

1. バケットに対するリソースベースポリシー(Bucket Policy)
2. ACL (access control list)
   • legacy
3. Access Point経由でのアクセスの許可
   • ただしこれはAPにアクセスするプリンシパルに対して、バケット自身も同様のアクセス権限を与えないといけないので、結局1と一緒な気がする

デフォルトの権限

https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-policy-language-overview.html

Buckets and objects are Amazon S3 resources. By default, only the resource owner can access these resources. The resource owner refers to the AWS account that creates the resource.

デフォルトで作成した状態(BucketPolicy指定なし、ACL無効)はアカウントの所有者のみアクセス可能。
問答無用でアクセスできる音はルートユーザー。IAMユーザーはロールなりなんなりでバケットに対するアクセス権を付与する必要があるが、バケットのポリシーを変える必要はない

あとでよむ
https://dev.classmethod.jp/articles/s3-accesscontrol-iwahashi/