S3バケットに対してアクセス制限を実施したのでその備忘録です。

以下の接続元を除き（だけを許可）、それら以外はトラフィックを拒否する。という設定をします。

• VPC内のリソース (aws:sourceVpce) VPCエンドポイントを指定
• 特定のGIP (aws:SourceIp)

■ バケットポリシー

{
  "Version": "2012-10-17",
  "Id": "VPCe and SourceIP",
  "Statement": [{
    "Sid": "VPCe and SourceIP",
    "Effect": "Deny",
    "Principal": "*",
    "Action": "s3:*",
    "Resource": [
      "arn:aws:s3:::example-bucket",
      "arn:aws:s3:::example-bucket/*"
    ],
    "Condition": {
      "StringNotLike": {
        "aws:sourceVpce": [
          "vpce-xxx"
        ]
      },
      "NotIpAddress": {
        "aws:SourceIp": [
          "X.X.X.X/Z"
        ]
      }
    }
  }]
}

参考

aws.amazon.com