複数AWSアカウントを使用していると、「１つのAWSアカウントのS3にデータを集約したい。」なんてニーズがでてきます。 S3のバケットポリシーのPrincipalを設定する際、アクセスができなくてハマったので本ブログはその備忘録です。 S3はデータ置き場としてとても使えるやつで、他のアカウントと共有することも多いです。 複数AWSアカウントを使用していると、「１つのAWSアカウントのS3にデータを集約したい。」なんてニーズがでてきます。 S3のバケットポリシーのPrincipalを設定する際、アクセスができなくてハマったので本ブログはその備忘録です。 S3がリクエストを許可する方法 S3がバケットオペレーションのリクエストを許可する方法は、公式ドキュメントに記載されています。 Amazon S3 がバケットオペレーションのリクエストを許可する方法 - Amazon Simple Stora

S3バケットポリシーとIAMポリシーの関係を、同一アカウント・クロスアカウントそれぞれにおいて整理します。 はじめに S3バケットポリシーとIAMポリシーの関係 結論 検証準備 同一アカウント内アクセス クロスアカウントアクセス おわりに 参考 はじめに こんにちは、@bioerrorlogです。 S3に対するアクセス権限の制御方法としては、アクセス元のIAMポリシーとアクセス先のバケットポリシーのふたつが挙げられます。 S3に対するアクセス権限の制御 IAMポリシーとバケットポリシーのどちらで制御すればよいのか、はたまた両方で制御する必要があるのか、油断してると忘れそうになります。 今回は、このIAMポリシーとバケットポリシーでの制御方法の関係性について、同一アカウント内の場合とクロスアカウントの場合でそれぞれ整理します。 S3バケットポリシーとIAMポリシーの関係 結論 まず簡潔に結論

今回は S3 バケットへのアクセスを特定 IAM ロールからのみに限定して利用する機会がありましたので、設定方法と検討したあれこれをご紹介します。 やりたいこと 構成図はこんな感じ 前提条件 IAM ロールと S3 バケットは同一アカウントに存在する IAM ロールには S3 を管理する権限がアタッチされている 今回は AmazonS3FullAccess　ポリシーをアタッチしています NotPrincipal でやってみる 「特定 IAM ロール以外は制限する」という考え方でパッと思いつくのは、以下のような NotPrincipal で制限する方法かと思います。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "NotPrincipal": { "AWS": "arn:aws:iam::xxxxxxxxxxxx:

Dockerコンテナを取得 Windowsコンテナを利用している場合は、Linuxコンテナにスイッチします。Dockerのアイコンを右クリックすると「Switch to Linux containers...」が表示されている場合はクリックする。「Switch to Windows containers...」と表示されている場合は、何もしなくてよいです。 DockerHubから、AWS Web Service提供イメージ「amazon/aws-glue-libs」を取得します。イメージは数GBの容量が必要なので、ローカルPCの容量と相談してください。 > docker pull amazon/aws-glue-libs:glue_libs_3.0.0_image_01 ❯ docker image ls REPOSITORY TAG IMAGE ID CREATED SIZE amazo

www.npmjs.com AWSのcron式でcronvできるやつ作った。便利っぽい🥳 pic.twitter.com/Sqid4kAxS5— あらたま (@ar_tama) 2022年6月18日 経緯とか もともとcronvというツールがあって（めちゃくちゃ便利）、これはcrontabをビジュアライズしてくれる君なんですが、バッチサーバをEC2からECS Task Schedulerにお引越しさせるにあたって当然使えなくなり、何時に何が動くんだっけが一覧できてほしいよな〜EventBridgeのコンソールじゃようわからんしな〜ということで作ってみました。 ついでにベース時刻に+9:00なものを食わせることでJSTにも対応しています。心の目で+9時間しなくてよくなりますね。 しくみ aws events list-rules で出てくるjsonをパース cron式をaws-cron-p

使った分だけ利用料金が発生するAWS（パブリッククラウド）環境、EC2などをメインで利用されている方は、停止しておけば完全無料！と考えられている方もおられるのではないでしょうか。 VPC内で作成できるリソースには、存在するだけで料金が発生するものもいくつかあります。 私も検証環境でいつの間にか料金が発生し、もったいない！という経験が何度かありました。 今回は停止できずに料金がかかってしまうリソースを整理してみたいと思います。 みなさまの利用料金削減に貢献できれば幸いです。 想定するVPC構成 以下のような構成で環境構築しているとします。 作成されているリソースは以下の通りです。 （対象をVPC1内のみとします。） VPC ×１ サブネット×４ Internet Gateway ×１ NAT Gateway ×１ VPC Endpoint（S3用） ×１ VPC Peering ×１ Tra

S3バケットは空にしてからでないと削除できません。それはバージョニングされたバケットでも同様です。 問題は、バージョニングされたオブジェクトを削除しても、実は消えていないことです。DeleteMarkerが追加されるだけで、オブジェクトが完全に消えるわけではありません。完全に削除するためには、DeleteMarkerとバージョンも削除する必要があります。 マネージメントコンソールであれば削除するのは難しくありません。しかし、AWS CLIから少々面倒なので手順をまとめました。 [1] オブジェクトの削除 [1-1] バケットとファイルの作成 [1-2] オブジェクトの削除 [1-3] バージョンの確認 [2] 完全な削除 出典 [1] オブジェクトの削除 [1-1] バケットとファイルの作成 試しにバージョニングされたバケットを作成し、test.txtをアップロードします。 $ aws s

いずれも提供されてからしばらく経ちますが、組み合わせてみるとややこしいことになったので整理してみます。 IAM 認証を使用した Amazon RDS および Aurora PostgreSQL データベースアクセスの保護 | Amazon Web Services ブログ Amazon RDS Proxy を使用したアプリケーションの可用性の向上 | Amazon Web Services ブログ RDS Proxy の利用用途は Lambda を想定しているようで、Lambdaに機能として持っていますし、情報も多いです。(本稿でLambda部分は触れてません) AWS LambdaでAmazon RDS Proxyを使用する | Amazon Web Services ブログ 目次 目次 認証パターン 設定パターン (※)設定について (※1) (※2) ユーザ単位での併用パターン 認証