1.      アクセス・コントロール・リストで S3 バケットを作成し、パブリック・アクセスが出来ない代わりに、ルート・アカウントからのアクセスと現ユーザーからのアクセスが可能な状態にします。
2.      バケット・ポリシーを以下のような形式に変更します。以下に説明されている値の決定方法についての詳細は、「[<span style="color: #0000ee"><span style="text-decoration: underline; ">特定の IAM ロールへの Amazon S3 バケット・アクセスを制限する方法</span></span>|https://aws.amazon.com/blogs/security/how-to-restrict-amazon-s3-bucket-access-to-a-specific-iam-role/]」を参照してください。 
以下は、AWS のエキスパート向けにまとめられた、値を導き出す方法です。
775488040364 AWS アカウント番号
lansa-secure S3 セキュア・バッケト名
AROAI4S5N5QLPZ5QHQIJ2 paas-ec2 のロール ID (aws iam get-role -–role-name ROLE-NAME)
AIDAJFF4TKJHEGHMMDUUQ 管理者の IAM ユーザー ID (aws iam get-user -–user-name USER-NAME)
\{
    "Version": "2012-10-17",
    "Statement": \[
        \{
            "Effect": "Allow",
            "Principal": \{
                "AWS": "arn:aws:iam::775488040364:role/paas-ec2"
            \},
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::lansa-secure"
        \},
        \{
            "Effect": "Allow",
            "Principal": \{
                "AWS": "arn:aws:iam::775488040364:role/paas-ec2"
            \},
            "Action": \[
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject"
            \],
            "Resource": "arn:aws:s3:::lansa-secure/*"
        \},
        \{
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": \[
                "arn:aws:s3:::lansa-secure",
                "arn:aws:s3:::lansa-secure/*"
            \],
            "Condition": \{
                "StringNotLike": \{
                    "aws:userId": \[
                        "AROAI4S5N5QLPZ5QHQIJ2:*",
                        "AIDAJFF4TKJHEGHMMDUUQ",
                        "775488040364"
                    \]
                \}
            \}
        \}
    \]
\}
[ !worddavaf485e25f57cd86bb5b0fc63f3f1b1cc.png|height=32,width=32! |../../index.htm#lansa/vldtooldevops_0270.htm]