No.490 IAM ユーザー Jill が、親 AWS アカウント 1111−1111−1111 からのアクセス許可を持ち、異なるバケット所有者 AWS アカウント 2222−2222−2222 のバケットへのアクセスをリクエストした場合、Amazon S3 はどのようにアクセス許可を評価しますか？

• Amazon S3 はバケット ACL をユーザーコンテキストの一部として評価し、バケットコンテキストは評価しない。
  不正解 これは一部正確ですが、全体的なコンテキストでは誤りです。リクエストの送信者とバケット所有者が同じ場合のみ、バケット ACL はユーザーコンテキストの一部として評価され、バケットコンテキストは評価されません。しかし、このシナリオではバケット所有者が異なるため、バケットコンテキストも評価されます。
• Amazon S3 はユーザーコンテキストのみを評価し、バケットコンテキストは評価しない。
  不正解 これは誤りです。リクエストの送信者とバケットの所有者が異なる場合、Amazon S3はユーザーコンテキストとバケットコンテキストの両方を評価します。
• Amazon S3 はまずユーザーコンテキストを評価し、アクセス許可がある場合にバケットコンテキストの評価に進む。
  正解 これは正確です。まずJillのアクセス許可をユーザーコンテキストで評価し、その後バケットコンテキストを評価して、リクエストを許可または拒否します。
• Amazon S3 はバケットポリシーのみを評価し、IAM ユーザーポリシーは考慮しない。
  不正解 これは誤りです。Amazon S3はIAMユーザーポリシー（ユーザーコンテキスト）とバケットポリシー（バケットコンテキスト）の両方を評価します。

参考文献