最近AWSを勉強し始めたのですが、ポリシーを書くときに毎度迷子になるので バケットポリシーを中心としてリソースベースのポリシーの書き方をまとめておきます。

例えばS3を静的ホスティング先として設定する場合、 ・ブロックパブリックアクセスのブロック無効化 ・静的ウェブサイトホスティングの有効化 これらを行いますが、それだけだとエンドポイントにアクセスすることはできません。

↑アクセスするとこうなる

何が足りないかというと、バケットポリシー の設定です。 S3のバケットポリシーはデフォルトでは全拒否となっています。

上記のように記述します。

各項目については、 こちらの公式リファレンスで確認ができます。

これはIAMポリシーの文法のバージョンです。 現在（2021/5/15）は 2012-10-17 です。 もう随分長いこと変わっていませんね。

これはポリシードキュメントに対して任意で与える識別子です。ステートメント毎に割り当てることができ、ポリシー内で重複してはいけません。

許可の一覧であるAllow（ホワイトリスト）にするのか、禁止一覧であるDeny(ブラックリスト)にするのかを選べます。

どの相手(Principal)に対して許可ないし拒否するかを指定します。 指定できる代表的なプリンシパルは下記にのようなものがあります。

許可ないし拒否するアクションを指定します。

一連のステートメントをどのリソースに反映するかを記述します。

Condition を使用して、ポリシーの実行するタイミングの条件を指定することができます。 これによって、 - IP制限 - ユーザー名による制限 - HTTP Refererの制限 - MFAの要求 など細かいコントロールをすることができます。

上記は EffectがDeny(拒否)で NotIpAddressとしてIPアドレスが指定されているので、 54.240.143.0/24のIPアドレス以外は拒否する、という設定になります。

上記はAWSユーザー名が mynameの時のみ許可されます。 aws:usernameなどのポリシードキュメントで取得できるキーは、下記の公式ドキュメントに一覧があります。 タグやリージョン、日付など、色々なキーが取得できるようです。 AWS グローバル条件コンテキストキー

公式側でポリシーのジェネレーターなるものも用意されており非常に便利です。

土台をジェネレーターでサクッと作成し、細かい部分は修正していくといった利用をしていこうと思います。