はじめに

社内だけからアクセスできるようにしたいときなどに有効です。 ポリシーがなんぞやという話は割愛します。

こんなかんじ。

おわり。

ポイントとしては Deny（拒否）する …特定のIP以外は…ってことね。

{
  "Id": "適当",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": {
        "AWS": "*"
      },
      "Action": "*",
      "Resource": [
        "arn:aws:s3:::バケット名",
        "arn:aws:s3:::バケット名/*"
      ],
      "Condition": {
        "NotIpAddress": {
          "aws:SourceIp": "xxx.xx.xx.xxx"//IP
        }
      }
    }
  ]
}

alow 特定のip…的なロジックじゃだめなの？？？

だめです！！

なぜならデフォルトでS3はすべてのipを許可するからです。

既に許可されているところに追加で許可するIPを、、というロジックの書き方しても、 それ以外を拒否する、とはならないデザイン(仕様)になっている模様です。