EC2 IAMロールにS3バケットへの読み取りアクセス権を付与する
AWS Elastic Beanstalk Railsアプリで、S3バケットからいくつかのファイルをプルするように設定スクリプトで設定しています。アプリケーションを起動すると、ログに次のエラーが表示されます(バケット名はセキュリティのために変更されました):
Failed to retrieve https://s3.amazonaws.com/my.bucket/bootstrap.sh: HTTP Error 403 : <?xml version="1.0" encoding="UTF-8"?>
<Error><Code>AccessDenied</Code><Message>Access Denied</Message>
設定ファイル:
packages:
yum:
git: []
files:
/opt/elasticbeanstalk/hooks/appdeploy/pre/01a_bootstrap.sh:
mode: "00755"
owner: root
group: root
source: https://s3.amazonaws.com/my.bucket/bootstrap.sh
Elastic Beanstalk環境はaws-elasticbeanstalk-ec2-role IAMロールはインスタンスロールです。この役割には次のポリシーがあります。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": "arn:aws:s3:::my.bucket/*"
}
]
}
また、S3バケットには次のポリシーがあります。
{
"Version": "2008-10-17",
"Statement": [
{
"Sid": "Stmt1371012493903",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<account #>:role/aws-elasticbeanstalk-ec2-role"
},
"Action": [
"s3:List*",
"s3:Get*"
],
"Resource": "arn:aws:s3:::my.bucket/*"
}
]
}
EC2インスタンスがS3バケットにアクセスできるようにするには、何を変更する必要がありますか?
EC2インスタンスから、インスタンスメタデータの一時的な認証情報も取得する必要があります。
curl http://169.254.169.254/latest/meta-data/iam/security-credentials/<your-iam-role-name>
次に、提供されたアクセスと秘密鍵を使用してS3バケットにアクセスします。
クロスアカウントアクセスの場合は、ACLヘッダーに関連していないことを確認してください( https://stackoverflow.com/a/34055538/1736679 (この問題のスレッドの詳細: https://github.com/aws/aws-cli/issues/1674 )
また、実行している環境/ユーザーを再確認して、/etc/environmentまたは~/.aws/credentialsにオーバーライドキー(1AWS_ACCESS_KEY1など)がないかどうかを確認します。