DoiT Launches PerfectScale™ for Commitments, Bringing Autonomous Rate Optimization to Every Cloud
Cloud Intelligence™Cloud Intelligence™

Cloud Intelligence™

S3 Transfer AccelerationでAccess Denied、その解決策

By Manak WadhwaMay 27, 20244 min read

このページはEnglishDeutschEspañolFrançaisItalianoPortuguêsでもご覧いただけます。

先日、お客様の一社がAmazon Simple Storage Service(S3)バケットに対して、データ転送を高速化するS3 Transfer Accelerationを有効化しようとしたところ、想定外のエラー(Access Denied)が発生しました。

当初はIAMの権限Service Control Policy、またはS3バケットポリシーに起因する問題ではないかと考え、その方向から調査を始めました。

調査の結果、以下が判明しました。

  • 当該アカウントには、アクセスを許可するFull AWS access SCP以外、deny系のSCPは関連付けられていませんでした。
  • S3バケットにはバケットポリシーが設定されておらず、バケットレベルでの明示的なdenyステートメントもありませんでした。
  • バケットの命名規則は、S3 Transfer Accelerationの要件に準拠していました。
  • ユーザーはIAMの管理者権限を保有しており、AWSアカウントのrootユーザーでも試しましたが、同じエラーで拒否されました。
  • Amazon S3 Transfer Accelerationは、当該S3バケットのリージョンでサポートされていました。

Googleで検索すると、複数のフォーラムで同じエラーが報告されているものの、解決策は見当たりませんでした。

S3 Transfer acceleration Permission \ \ How can i setup proper permission for being able to use Transfer acceleration on s3 bucket. I have set up the IAM…\ \ repost.AWS

Unable to set bucket accelerate configuration - Administrator Access \ \ When trying to deploy stack using Cloudformation, I am getting error: ``` API s3:setBucketAccelerateConfiguration…\ \ repost.AWS

幸い、私たちの個人用AWSアカウントでも同じ事象を再現できたため、さらに踏み込んで調べました。原因の特定には至りませんでしたが、以下の傾向が見えてきました。

  • このエラーは、AWS Organizationsで作成したアカウントで特に発生しやすい。
  • アカウントの作成時期との明確な相関は見られなかった。
  • AWS CloudTrailにも、原因を示す手がかりは残っていなかった。
  • AWS Organizationから離脱してアカウントをスタンドアロン化することも試みましたが、それだけでは解決しませんでした。

AWSのドキュメントをさらに読み込むと、Amazon S3 Transfer AccelerationAmazon CloudFrontのグローバルに分散したエッジロケーションを利用していることが分かりました

そこで新規にCloudFrontディストリビューションを作成しようとしたところ、以下のエラーで失敗しました。

この時点で半ば諦めかけ、残された選択肢はAWSサポートプランのアップグレードしかないかと思いましたが、コスト最適化が求められる昨今、追加コストはできる限り避けたいところでした。

ふと、これはAWSアカウントのSecurity Scoreに関係しているのではないか、と思い当たり(以前AWSに在籍していた経験が役に立ちました ;)、試してみることにしました。

N. Virginia(us-east-1)リージョンでEC2インスタンスを数台(t2.microで十分)起動し、2〜3時間ほどそのまま稼働させたところ、以下のようなメールが届きました。

このメールを受領したあとに改めてTransfer Accelerationの有効化を試したところ、問題なく成功しました。

結論として、Amazon S3 Transfer Accelerationを利用するには、N. Virginia(us-east-1)リージョンでアカウントが明示的に検証済みである必要があります。他のリージョンで検証されていても効果はありません。

AWSがドキュメントとエラーメッセージを改善し、原因をユーザーにもっと明確に伝えるようにすれば、不要にAWSサポートの費用を支払う必要もなくなるはずです。

本記事は、同僚でありセキュリティのスペシャリストと共同で執筆しました。

.

Senior Cloud Architect at Doit International

Manak Wadhwa

Author

Sep 18, 2024 (edited)

Glad it helped you, i will add the error to the text .

--

Reply

Issam Hijazi

Sep 18, 2024

Wish google indexed this page. Can you add the error in the page as text so people can find this?

Thanks for saving the day!!

--

Reply

by

[Setting up SAML Authentication to Stream Amazon Workspaces using Auth 0 as your identity provider.\ \

Nov 23, 2023

by

[Building AWS Architecture with MCP Servers and Strands Agents\ \

Sep 22, 2025

by

[JA3 and JA4 Fingerprints in AWS WAF and Beyond\ \

Apr 10, 2025

[AWS VPN Concentrators: Simplifying Large-Scale Hybrid Connectivity\ \

Jan 22

by

[A Complete Guide for URL Redirection using AWS CloudFront, S3, and Route53\ \

Oct 1, 2025

[Migrating from Serverless Framework to AWS SAM\ \

Oct 7, 2025

[S3\ \

Oct 4, 2025

[AWS S3 Bucket\ \

Dec 19, 2025

[Web Application with EC2, S3, CloudFront, and RDS\