■ はじめに

Github Workflow で Self-Hosted runner (EC2) 上で作成したファイルを
この Self-Hosted runner とは、別のAWS アカウントにファイルを置きたい。
そこで、別AWSアカウントのS3にファイルをアップロードすることを
調べてみた。

目次

【１】やりたいこと
【２】考えるポイント
　１）IAMロールおよびポリシー
　２）S3バケットポリシー
　３）（Option：KMS使用時）KMSキー
【３】手順
　１）アカウント「B」のS3 バケット作成
　２）アカウント「A」のIAM Policy作成
　３）アカウント「A」で使用するRoleにPolicyをアタッチする
　４）アカウント「B」のS3 バケットPolicy作成
　５）（Option：KMS使用時）アカウント「B」でKMSキーポリシーにアカウント「A」への使用許可
　６）（Option：KMS使用時）アカウント「A」でKMSキーの使用許可
　７）動作確認

【１】やりたいこと

AWSアカウント「A」から、
別アカウント「B」（クロスアカウント）にある
S3バケットにファイルをアップロードしたい

【２】考えるポイント

* 以下の関連記事でも触れているが、考えるポイントは、以下の3点。

クロスアカウントでのS3アクセスに関するトラブル
https://dk521123.hatenablog.com/entry/2022/06/30/193834

１）IAMロールおよびポリシー

* AWSアカウント「A」側のIAMロールおよびポリシー付与が必要

２）S3バケットポリシー

* AWSアカウント「B」側で、
　AWSアカウント「A」側のIAMロールに対して、
　S3バケットを許可（Allow）する必要がある

３）（Option：KMS使用時）KMSキー

* AWSアカウント「B」側のS3バケットでKMSキーを暗号化している場合は
　そのKMSキーの使用許可（Allow）をAWSアカウント「A」「B」両方で
　行う必要がある

【３】手順

１）アカウント「B」のS3 バケット作成

受け入れ先のアカウント「B」のS3 バケット作成する
 => すでにあれば、Skip

２）アカウント「A」のIAM Policy作成

* アカウント「A」で、アカウント「B」の
　S3 バケットにファイルをアップロード可能な
　IAM Policyを作成する
 => KMS使用している場合は、実際では
　「６）（Option：KMS使用時）アカウント「A」でKMSキーの使用許可」
　と同時にやってしまっていい
 => 削除が必要な場合は「"s3:DeleteObject",」を追加すればいい

イメージ：S3バケット使用許可Policy

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::＜S3バケット名＞",
                "arn:aws:s3:::＜S3バケット名＞/*"
            ]
        }
    ]
}

イメージ：全体S3バケット参照許可Policy（要らないかも）
https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/using-with-s3-actions.html#using-with-s3-actions-related-to-buckets

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::*"
        }
    ]
}

３）アカウント「A」で使用するRoleにPolicyをアタッチする

２）で作成したIAM PolicyをアクセスしたいIAM Roleに対して
（例えば、EC2 でアクセスする場合は、EC2 の IAM Role）
アタッチする

４）アカウント「B」のS3 バケットPolicy作成

アカウント「B」に作業を戻って、
S3バケットのバケットPolicyに
アカウント「A」の IAM Policy を許可（Allow）するようにする
 => 削除が必要な場合は「"s3:DeleteObject",」を追加すればいい
 => 「"AWS" : "arn:aws:iam::<AWSアカウント「A」ID>:role/<IAM Role>"」がキモ

イメージ

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<AWSアカウント「A」ID>:role/<IAM Role>"
            },
            "Action": [
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::＜S3バケット名＞",
                "arn:aws:s3:::＜S3バケット名＞/*"
            ]
        }
    ]
}

５）（Option：KMS使用時）アカウント「B」でKMSキーポリシーにアカウント「A」への使用許可

* KMS使用する場合、アカウント「B」でKMSキーポリシーに対して
　アカウント「A」への使用許可を行う必要がある
 => 「"AWS" : "arn:aws:iam::<AWSアカウント「A」ID>:role/<IAM Role>"」がキモ

イメージ

{
  "Version" : "2012-10-17",
  "Id" : "demo-key-policy-for-cross-accounts",
  "Statement" : [ {
    "Sid" : "Enable IAM User Permissions for Cross accounts",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::<AWSアカウント「A」ID>:role/<IAM Role>"
    },
    "Action": [
      "kms:Encrypt",
      "kms:Decrypt",
      "kms:ReEncrypt*",
      "kms:GenerateDataKey*",
      "kms:DescribeKey"
    ],
    "Resource" : "*"
  } ]
}

６）（Option：KMS使用時）アカウント「A」でKMSキーの使用許可

* KMS使用する場合、アカウント「A」でKMSキーの使用許可を行うために
　IAMポリシーを追加し、２）で行ったようにIAMロールにアタッチする
 => 実際は「２）アカウント「A」のIAM Policy作成」と同時やるといいかも。
 => ちなみに「kms:GenerateDataKey」は絶対必要（そういうエラーがでたので）

イメージ

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:＜AWS Region＞:＜AWSアカウント「B」ID＞":key:*"
            ]
        }
    ]
}

７）動作確認

* アカウント「A」側で動作確認してみる

確認例：ファイルのPut

echo "Hello world!!" > hello.txt
aws s3 cp hello.txt s3://＜アカウント「B」のS3バケット名＞/tests/hello.txt

参考文献

https://repost.aws/ja/knowledge-center/s3-cross-account-upload-access
https://docs.aws.amazon.com/ja_jp/mediaconvert/latest/ug/write-your-outputs-to-another-accounts-amazon-s3-bucket.html
https://cloud5.jp/cross-account-upload-to-s3/
https://www.capybara-engineer.com/entry/2021/05/20/120604

関連記事

IAM ～ 入門編 ～
https://dk521123.hatenablog.com/entry/2017/02/26/231046
IAM ～ 基本編 ～
https://dk521123.hatenablog.com/entry/2022/07/03/000000
IAM ～ IAM Policy ～
https://dk521123.hatenablog.com/entry/2020/09/30/133123
IAM ～ クロスアカウント ～
https://dk521123.hatenablog.com/entry/2022/05/23/000000
AWS CLI ～ aws sts ～
https://dk521123.hatenablog.com/entry/2023/04/13/000000
IAM ～ Service-Linked Roles ～
https://dk521123.hatenablog.com/entry/2023/01/22/000000
クロスアカウントでのS3アクセスに関するトラブル
https://dk521123.hatenablog.com/entry/2022/06/30/193834