翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ファイル共有とバケットへのアクセスとアクセス許可の付与
S3 File Gateway がアクティブ化されて実行されたら、追加のファイル共有を追加し、ゲートウェイやファイル共有 AWS アカウント とは異なる のバケットを含む Amazon S3 バケットへのアクセスを許可できます。以下のセクションでは、IAM ロールを使用して、ゲートウェイに Amazon S3 バケットと VPC エンドポイントのアクセス許可を付与し、特定のセキュリティ問題を防ぎ、 AWS アカウント間でファイル共有をバケットに接続する方法について説明します。
ファイル共有を追加する方法については、「ファイル共有の作成」を参照してください。
このセクションでは、ファイル共有と Amazon S3 バケットへのアクセスとアクセス許可を付与する方法に関する追加情報を提供する以下のトピックについて説明します。
トピック
-
Amazon S3 バケットに対するアクセス権限の付与 - ファイルゲートウェイにアクセス権限を付与して Amazon S3 バケットにファイルをアップロードし、バケットへの接続に使用するアクセスポイントまたは Amazon Virtual Private Cloud (Amazon VPC) エンドポイントに対してアクションを実行する方法について説明します。
-
サービス間の混乱した代理の防止 - 共通のセキュリティ問題は、アクションを実行する許可を持たないエンティティが、より特権のあるエンティティにアクションを実行するように強制できるセキュリティの問題です。
-
クロスアカウントアクセスでのファイル共有の使用 - Amazon Web Services アカウントおよび、別の Amazon Web Services アカウントに属するリソースにアクセスするあカウントのユーザーにアクセス権限が付与されます。
注記
ファイルゲートウェイが暗号化に SSE-KMS または DSSE-KMS を使用している場合は、ファイル共有に関連付けられた IAM ロールに kms:Encrypt、kms:Decrypt、kms:ReEncrypt*、kms:GenerateDataKey、および kms:DescribeKey のアクセス許可が含まれていることを確認してください。詳細については、「Storage Gateway でアイデンティティベースのポリシー (IAM ポリシー) を使用する」を参照してください。
