Amazon Lightsail でのバケットのアクセス許可

最終更新日: 2022 年 2 月 22 日

デフォルトでは、すべての Amazon Lightsail オブジェクトストレージリソース — バケットとオブジェクト — はプライベートです。これは、バケット所有者、つまりバケットを作成した Lightsail アカウントのみがバケットとそのオブジェクトにアクセスできることを意味します。バケット所有者は、オプションで他のユーザーにアクセス許可を付与できます。バケットとそのオブジェクトへのアクセスを許可するには、以下の方法があります。

読み取り専用アクセス — 以下のオプションは、バケットの URL (たとえば、https://DOC-EXAMPLE-BUCKET.us-east-1.amazonaws.com/media/sailbot.jpg) を介してバケットとそのオブジェクトへの読み取り専用アクセスを制御します。
- バケットアクセス許可 — バケットのアクセス許可を使用して、インターネット上のすべてのオブジェクトへのアクセスを許可します。詳細については、このガイドで後述する「バケットのアクセス許可」を参照してください。
- 個々のオブジェクトのアクセス許可 — 個々のオブジェクトアクセス許可を使用して、インターネット上のすべてのユーザーに、バケット内の個々のオブジェクトへのアクセスを許可します。詳細については、このガイドで後述する「個々のオブジェクトへのアクセス許可」を参照してください。
- クロスアカウントアクセス — クロスアカウントアクセスを使用して、他の AWS アカウントのバケット内のすべてのオブジェクトへのアクセスを許可します。詳細については、このガイドで後述する「クロスアカウントアクセス」を参照してください。
読み取りおよび書き込みアクセス — バケットとそのオブジェクトへの完全な読み取りおよび書き込みアクセスを制御します。これらのオプションは、AWS Command Line Interface、(AWS CLI)、AWS API、および AWS SDKで使用します。
- アクセスキー — アクセスキーを使用して、アプリケーションやプラグインへのアクセスを許可します。詳細については、このガイドで後述する「アクセスキー」を参照してください。
- リソースアクセス — リソースアクセスを使用して、Lightsail インスタンスへのアクセスを許可します。詳細については、このガイドで後述する。[リソースアクセス]]を参照してください。

重要
現在、Lightsail オブジェクトストレージリソースに対する許可は Lightsail 以外では設定できませんが、これは 2022 年 3 月 8 日から変更され、Lightsail オブジェクトストレージリソースは、パブリックアクセスを許可または拒否するときに、Lightsail バケットのアクセスルールと Amazon S3 のアカウントレベルのブロックパブリックアクセス設定の両方を考慮するようになります。詳細については、「Amazon Lightsail 内のバケットに対するブロックパブリックアクセス」を参照してください。

バケットについての詳細は、「Amazon Lightsail のオブジェクトストレージ」を参照してください。セキュリティのベストプラクティスの詳細については、「Amazon Lightsail オブジェクトストレージのセキュリティのベストプラクティス」を参照してください。

バケットのアクセス許可

バケットのアクセス許可を使用して、バケット内のオブジェクトへの公開（認証されていない）読み取り専用アクセスを制御します。バケットのアクセス許可を設定する場合、以下のいずれかのオプションを選択します。

すべてのオブジェクトがプライベート — バケット内のすべてのオブジェクトは、ご自身またはアクセスを許可したユーザーのみが読み取ることができます。このオプションでは、個々のオブジェクトを公開 (読み取り専用) にすることはできません。
個々のオブジェクトが公開可能（読み取り専用） — バケット内のオブジェクトは、個々のオブジェクトを公開 (読み取り専用) として指定しない限り、自身またはアクセスを許可したユーザーのみが読み取ることができます。このオプションを使用すると、個々のオブジェクトを公開 (読み取り専用) にできます。詳細については、このガイドで後述する「個々のオブジェクトへのアクセス許可」を参照してください。
すべてのオブジェクトが公開 (読み取り専用) — バケット内のすべてのオブジェクトは、インターネット上の誰でも読み取り可能です。このオプションを選択すると、バケット内のすべてのオブジェクトは、バケットのURL（たとえば、https://DOC-EXAMPLE-BUCKET.us-east-1.amazonaws.com/media/sailbot.jpg）を介してインターネット上の誰でも読み取り可能になります。

バケットアクセス許可の設定に関する詳細については、「バケットアクセス許可の設定」を参照してください。

個々のオブジェクトのアクセス許可

個々のオブジェクトアクセス許可を使用して、認証なしで公開されたバケット内の個々のオブジェクトの読み取り専用アクセスを制御します。個々のオブジェクトのアクセス権は、バケットのアクセス許可が、個々のオブジェクトの公開 (読み取り専用) を許可している場合にのみ設定できます。個々のオブジェクトのアクセス許可を設定する場合は、以下のいずれかのオプションを選択します。

プライベート — このオブジェクトはご自身とアクセスを許可したユーザーのみが読み取ることができます。
公開 (読み取り専用) — このオブジェクトは、インターネット上の誰でも読み取り可能です。個々のオブジェクトは、インターネット上の誰でもバケットの URL を通じて読み取れるようになります（たとえば、https://DOC-EXAMPLE-BUCKET.us-east-1.amazonaws.com/media/sailbot.jpg).

個々のオブジェクトのアクセス許可の設定に関する詳細については、「Amazon Lightsail のバケット内の個々のオブジェクトに対するアクセス許可の設定」を参照してください。

クロスアカウントアクセス

クロスアカウントアクセスを使用すると、他の AWS アカウントとそのユーザーに対して、バケット内のすべてのオブジェクトに対する認証された読み取り専用のアクセスが付与されます。クロスアカウントアクセスは、他の AWS アカウントとオブジェクトを共有したい場合に最適です。他の AWS アカウントにクロスアカウントアクセスを付与すると、そのアカウントのユーザーは、バケットの URL（例：https://DOC-EXAMPLE-BUCKET.us-east-1.amazonaws.com/media/sailbot.jpg）を通じてバケット内のオブジェクトに読み取り専用のアクセスが可能になります。最大 10 個の AWS アカウントにアクセス権を与えることができます。

クロスアカウントアクセスの設定に関する詳細については、「バケットのクロスアカウントアクセスの設定」を参照してください。

アクセスキー

アクセスキーを使用して、バケットとそのオブジェクトへの完全な読み取りおよび書き込みアクセスを付与する認証情報セットを作成します。アクセスキーは、アクセスキー ID とシークレットアクセスキーがセットです。バケットごとに最大 2 つのアクセスキーを持つことができます。アプリケーションにアクセスキーを設定することで、アプリケーションが AWS API や AWS SDKs を使ってバケットやそのオブジェクトにアクセスできるようになります。AWS CLI でアクセスキーを設定することもできます。

アクセスキーの作成に関する詳細については、「バケットのアクセスキーの作成」を参照してください。

リソースアクセス

リソースアクセスを使用し、Lightsail インスタンスのバケットとそのオブジェクトへの完全な読み取りおよび書き込みアクセスを許可します。リソースアクセスでは、アクセスキーなどの認証情報を管理する必要はありません。インスタンスへのアクセスを許可するには、インスタンスを同じAWS リージョンのバケットに添付します。アクセスを拒否するには、インスタンスをバケットからデタッチします。リソースアクセスは、インスタンス上のアプリケーションで、バケット上のファイルをプログラムでアップロードしたりアクセスしたりするように設定する場合に最適です。このようなユースケースの 1 つに、メディアファイルをバケットに保存するように WordPress インスタンスを設定するものがあります。詳細については、「チュートリアル : WordPress インスタンスを Amazon Lightsail バケットに接続」および「チュートリアル : Amazon Lightsail バケットでの Lightsail コンテンツ配信ネットワークディストリビューションの使用」を参照してください。

リソースアクセスの設定に関する詳細については、「バケットのリソースアクセスの設定」を参照してください。

Lightsail でのバケットとオブジェクトの管理

Lightsail オブジェクトストレージバケットを管理するための一般的なステップは次のとおりです。

Amazon Lightsail オブジェクトストレージサービスのオブジェクトとバケットについて説明します。詳細については、「Amazon Lightsail のオブジェクトストレージ」を参照してください。
Amazon Lightsail でバケットに付けることができる名前について説明します。詳細については、「Amazon Lightsail のバケットの命名規則」を参照してください。
バケットを作成することにより、Lightsail オブジェクトストレージサービスの使用を開始します。詳細については、「Amazon Lightsail でのバケットの作成」を参照してください。
バケットのセキュリティに関するベストプラクティスと、バケットに対して設定できるアクセス許可について説明します。バケットのすべてのオブジェクトをパブリックまたはプライベートにすることも、個別のオブジェクトをパブリックにすることもできます。また、アクセスキーを作成し、バケットにインスタンスをアタッチし、他の AWS アカウントへのアクセスを許可して、バケットへのアクセスを許可することもできます。詳細については、「Amazon Lightsail オブジェクトストレージのセキュリティのベストプラクティス」と「Amazon Lightsail のバケットアクセス許可について」を参照してください。
バケットのアクセス許可について学習したら、次のガイドを参照してバケットへのアクセスを許可します。
バケットのアクセスログ記録を有効にする方法と、アクセスログを使用してバケットのセキュリティを監査する方法について説明します。詳細については、以下のガイドを参照してください。
Lightsail のバケットの管理をユーザーに許可する IAM ポリシーを作成します。詳細については、「Amazon Lightsail のバケットを管理する IAM ポリシー」を参照してください。
バケットのオブジェクトのラベル付けと識別方法について説明します。詳細については、「Amazon Lightsail のオブジェクトのキー名について」を参照してください。
バケットでファイルをアップロードする方法と、オブジェクトを管理する方法について説明します。詳細については、以下のガイドを参照してください。
オブジェクトのバージョニングを有効にして、バケットに保存されたあらゆるオブジェクトのあらゆるバージョンを保存、取得、復元することができます。詳細については、「Amazon Lightsail のバケットでのオブジェクトのバージョニングの有効化と一時停止」を参照してください。
オブジェクトのバージョニングを有効にすると、バケットのオブジェクトの以前のバージョンを復元できるようになります。詳細については、「Amazon Lightsail のバケットのオブジェクトの以前のバージョンの復元」を参照してください。
バケットの使用率をモニタリングします。詳細については、「Amazon Lightsail のバケットのメトリクスの表示」を参照してください。
バケットの使用率がしきい値を超えたときにバケットメトリクスが通知されるようにアラームを設定します。詳細については、「Amazon Lightsail のバケットメトリクスアラームの作成」を参照してください。
ストレージおよびネットワーク転送で不足している場合は、バケットのストレージプランを変更します。詳細については、「Amazon Lightsail のバケットのプランを変更する」を参照してください。
バケットを他のリソースに接続する方法について説明します。詳細については、以下のチュートリアルを参照してください。
- チュートリアル: WordPress インスタンスを Amazon Lightsail バケットに接続する
- チュートリアル: Lightsail コンテンツ配信ネットワークディストリビューションでの Amazon Lightsail バケットの使用
バケットを使用しなくなった場合は、バケットを削除します。詳細については、「Amazon Lightsail のバケットの削除」を参照してください。