Amazon S3: フェデレーションユーザーが Amazon S3 にある自分のホームディレクトリにプログラムを使用してコンソール内でアクセスできるようにします
この例では、フェデレーティッドプリンシパルが S3 にある独自のホームディレクトリバケットオブジェクトにアクセスを許可する ID ベースのポリシーを作成する方法が示されます。ホームディレクトリは、home フォルダや個々のフェデレーティッドプリンシパルのフォルダを含むバケットです。このポリシーは、プログラムおよびコンソールアクセスのアクセス許可を定義します。このポリシーを使用するには、サンプルポリシーのイタリック体のプレースホルダーテキストを独自の情報に置き換えます。次に、ポリシーの作成またはポリシーの編集の手順に従います。
このポリシーの ${aws:userid} 変数は、role-id:specified-name に解決されます。フェデレーティッドプリンシパル ID の role-id の部分は、作成時にフェデレーティッドプリンシパルに割り当てられる一意の識別子です。詳細については、「一意の識別子」を参照してください。specified-name は、フェデレーティッドプリンシパルがロールを引き受けるときに AssumeRoleWithWebIdentity リクエストに渡される RoleSessionName パラメータです。
ロール ID を表示するには、AWS CLI コマンド aws iam get-role --role-name
を使用します。たとえば、フレンドリ名を specified-nameJohn と指定すると、CLI はロール ID として AROAXXT2NJT7D3SIQN7Z6 を返します。この場合、フェデレーティッドプリンシパルのユーザー ID は AROAXXT2NJT7D3SIQN7Z6:John です。このポリシーでは、フェデレーティッドプリンシパルの John が AROAXXT2NJT7D3SIQN7Z6:John のプレフィックスを使用して Amazon S3 バケットにアクセスを許可します。
