Amazon S3 バケットに対するアクセス権限の付与 - AWS Storage Gateway

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon S3 バケットに対するアクセス権限の付与

ファイル共有を作成する際、ファイルゲートウェイは Amazon S3 バケットへのファイルアップロード、およびバケット接続に使用するアクセスポイントや仮想プライベートクラウド(VPC)エンドポイントに対するアクションを実行するためにアクセス権限を必要とします。このアクセス権限を付与するために、ファイルゲートウェイは、このアクセス権限を付与する IAM ポリシーに関連付けられた AWS Identity and Access Management (IAM) ロールを引き受けます。

このロールには、この IAM ポリシーに加え、Security Token Service (STS) 信頼関係が設定されていることが必要です。このポリシーによって、ロールで実行できるアクションが決まります。さらに、S3 バケットおよび関連するアクセスポイントまたは VPC エンドポイントには、IAM ロールによるアクセスを許可するアクセスポリシーが必要です。

これらのロールとアクセスポリシーは自分自身で作成したり、ユーザーに代わってファイルゲートウェイに作成させたりできます。ファイルゲートウェイでポリシーを作成した場合、そのポリシーには S3 アクションのリストが含まれます。ロールとアクセス許可については、IAM ユーザーガイドの [AWS のサービスのサービスにアクセス許可を委任するロールの作成] を参照してください。

次に示すのは、ファイルゲートウェイが IAM ロールを引き受けられるようにする信頼ポリシーの例です。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "storagegateway.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
重要

Storage Gateway は、iam:PassRole ポリシーアクションを使用して渡される既存のサービスロールを引き受けることができますが、iam:PassedToService コンテキストキーを使用してアクションを特定のサービスに制限する IAM ポリシーはサポートされていません。

詳細については、「AWS Identity and Access Management ユーザーガイド」の以下のトピックを参照してください。

ファイルゲートウェイがユーザーに代わってポリシーを作成しないようにするには、独自のポリシーを作成してファイル共有にアタッチします。これを行う方法については、「ファイル共有の作成」を参照してください。

次のポリシーの例では、ポリシーに表示されたすべての Amazon S3 アクションを、ファイルゲートウェイが実行することを許可します。ステートメントの最初の部分では、リストされたすべてのアクションを amzn-s3-demo-bucket という S3 バケットで実行するよう許可します。次に、amzn-s3-demo-bucket のすべてのオブジェクトでリストされたアクションを許可します。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "s3:GetAccelerateConfiguration",
                "s3:GetBucketLocation",
                "s3:GetBucketVersioning",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Effect": "Allow"
        }
    ]
}

次のポリシー例は前述のポリシーと似ていますが、ファイルゲートウェイがアクセスポイントを介してバケットにアクセスするために必要なアクションを実行できるようにします。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:us-east-1:111122223333:accesspoint/TestAccessPointName/*",
            "Effect": "Allow"
        }
    ]
}
注記

ファイル共有を VPC エンドポイント経由で S3 バケットに接続する必要がある場合は、『AWS PrivateLink ユーザーガイド』の「Amazon S3 のエンドポイントポリシー」を参照してください。

注記

暗号化されたバケットの場合、ファイル共有は送信先 S3 バケットアカウントのキーを使用する必要があります。