ファイル共有とバケットへのアクセスとアクセス許可の付与 - AWS Storage Gateway

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ファイル共有とバケットへのアクセスとアクセス許可の付与

S3 File Gateway がアクティブ化されて実行されたら、追加のファイル共有を追加し、ゲートウェイやファイル共有 AWS アカウント とは異なる のバケットを含む Amazon S3 バケットへのアクセスを許可できます。以下のセクションでは、IAM ロールを使用して、ゲートウェイに Amazon S3 バケットと VPC エンドポイントのアクセス許可を付与し、特定のセキュリティ問題を防ぎ、 間でファイル共有をバケットに接続する方法について説明します AWS アカウント。

新しいファイル共有を作成する方法については、「」を参照してくださいファイル共有の作成

このセクションでは、ファイル共有と Amazon S3 バケットへのアクセスとアクセス許可を付与する方法に関する追加情報を提供する以下のトピックについて説明します。

トピック

  • Amazon S3 バケットに対するアクセス権限の付与 - File Gateway に Amazon S3 バケットにファイルをアップロードするためのアクセスを許可し、バケットへの接続に使用するアクセスポイントまたは Amazon Virtual Private Cloud (Amazon VPC) エンドポイントに対してアクションを実行する方法について説明します。

  • サービス間の混乱した代理の防止 - アクションを実行するアクセス許可を持たないエンティティが、より特権のあるエンティティにアクションを実行するよう強制する一般的なセキュリティ問題を防ぐ方法について説明します。

  • クロスアカウントアクセスでのファイル共有の使用 - Amazon Web Services アカウントとそのアカウントのユーザーに、別の Amazon Web Services アカウントに属するリソースへのアクセスを許可する方法について説明します。

注記

ファイルゲートウェイが暗号化に SSE-KMS または DSSE-KMS を使用している場合は、ファイル共有に関連付けられた IAM ロールに kms:Encryptkms:Decryptkms:ReEncrypt*kms:GenerateDataKey、および kms:DescribeKey のアクセス許可が含まれていることを確認します。詳細については、Storage Gateway でのアイデンティティベースのポリシー (IAM ポリシー) の使用」を参照してください。