アクセスポイントアクセスの管理 - FSx for ONTAP
ファイルシステムのユーザー ID と認可S3 API リクエストの承認S3 ブロックパブリックアクセスIAM アクセスポイントポリシー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アクセスポイントアクセスの管理

各 S3 アクセスポイントは、そのアクセスポイントを使用して行われたリクエストに対して S3 が適用する個別のアクセス許可とネットワークコントロールで設定できます。S3 アクセスポイントは、リソース、ユーザー、またはその他の条件別にアクセスポイントの使用を制御するために使用できる AWS Identity and Access Management (IAM) リソースポリシーをサポートします。アプリケーションまたはユーザーがアクセスポイントを介してファイルにアクセスするには、アクセスポイントと基になるボリュームの両方がリクエストを許可する必要があります。詳細については、「IAM アクセスポイントポリシー」を参照してください。

FSx for ONTAP の Amazon S3 アクセスポイントは、IAM AWS アクセス許可とファイルシステムレベルのアクセス許可を組み合わせた二層式認可モデルを使用します。このアプローチにより、データアクセスリクエストが AWS サービスレベルと基盤となるファイルシステムレベルの両方で適切に承認されます。

アプリケーションまたはユーザーがアクセスポイントを介してデータに正常にアクセスするには、S3 アクセスポイントポリシーと基盤となる FSx for ONTAP ボリュームの両方がリクエストを許可する必要があります。

ファイルシステムのユーザー ID と認可

FSx for ONTAP ボリュームの S3 アクセスポイントを作成するときは、そのアクセスポイントを介して行われたすべてのファイルシステムリクエストを承認するために使用するファイルシステム ID を指定します。このファイルシステムアイデンティティは、ファイルシステムのアクセス許可モデルに基づいて、基盤となるファイルとディレクトリへのアクセスレベルを決定します。ファイルシステムのユーザーは、基盤となる Amazon FSx ファイルシステムのユーザーアカウントです。ファイルシステムユーザーに読み取り専用アクセスがある場合、アクセスポイントを使用して行われた読み取りリクエストのみが承認され、書き込みリクエストはブロックされます。ファイルシステムユーザーに読み取り/書き込みアクセスがある場合、アクセスポイントを使用してアタッチされたボリュームへの読み取りリクエストと書き込みリクエストの両方が許可されます。

ファイルシステム ID は、次の 2 つのタイプのいずれかになります。

  • UNIX ID – UNIX セキュリティスタイルでボリュームにアクセスするときは、UNIX ID (ユーザー名) を使用します。

  • Windows Identity – NTFS セキュリティスタイルでボリュームにアクセスするときは、Windows ID (ドメインとユーザー名) を使用します。

UNIX または Windows ID を指定すると、アクセスポイントを介して実行されるすべての S3 API オペレーションは、ファイルシステムに対するそのユーザーのアクセス許可を使用して承認されます。

アクセスポイントに関連付けるファイルシステム ID によって、ファイルとディレクトリへのアクセスレベルが決まります。たとえば、アクセスポイントをルート UNIX ID (UID 0) に関連付けると、通常はファイルシステムに対する完全なファイルアクセス許可を持つため、すべてのファイルオペレーションが許可されます。逆に、アクセスポイントを制限されたユーザー ID に関連付けると、ファイルオペレーションは、ファイルシステムのアクセス許可モデルに基づいてそのユーザーがアクセスできるものに制限されます。

UNIX セキュリティスタイルのボリュームには UNIX ファイルシステム ID タイプを使用し、NTFS セキュリティスタイルのボリュームには Windows ID タイプを使用する必要があります。この調整により、認可モデルがボリュームのセキュリティ設定と一致するようになります。

UNIX セキュリティスタイルボリュームの場合、ファイルシステムはモードビットまたは NFSv4 ACLs を使用してアクセスを制御します。NTFS セキュリティスタイルボリュームの場合、ファイルシステムは Windows ACLs を使用してアクセスを制御します。

重要

S3 アクセスポイントを FSx for ONTAP ボリュームにアタッチしても、ボリュームが NFS または SMB 経由で直接アクセスされるときのボリュームの動作は変わりません。ボリュームに対する既存のオペレーションはすべて、以前と同じように動作し続けます。S3 アクセスポイントポリシーに含める制限は、アクセスポイントを使用して行われたリクエストにのみ適用されます。

S3 API リクエストの承認

FSx for NetApp ONTAP ボリュームにアタッチされたアクセスポイントを介して S3 API リクエストを行うと、Amazon S3 は呼び出し元プリンシパルの IAM アクセス許可をアクセスポイントの IAM リソースポリシーに対して評価します。IAM プリンシパル呼び出し元は、アイデンティティベースのポリシーを通じて必要なアクセス許可を付与されている必要があり、アクセスポイントのリソースポリシーもリクエストされたアクションを許可する必要があります。

Amazon S3 は、ユーザーポリシー、アクセスポイントポリシー、VPC エンドポイントポリシー、サービスコントロールポリシーなど、関連するすべてのポリシーを評価して、リクエストを承認するかどうかを判断します。

また、特定の Virtual Private Cloud (VPC) からのリクエストのみを受け入れるように S3 アクセスポイントを設定して、データアクセスを制限することもできます。詳細については、「Virtual Private Cloud に制限されたアクセスポイントの作成」を参照してください。

S3 ブロックパブリックアクセス

FSx for ONTAP ボリュームにアタッチされた Amazon S3 アクセスポイントは、パブリックアクセスブロックを有効にして自動的に設定されます。これは変更できません。

IAM アクセスポイントポリシー

Amazon S3 アクセスポイントは、リソース、ユーザー、またはその他の条件別にアクセスポイントの使用を制御できる AWS Identity and Access Management (IAM) リソースポリシーをサポートします。アプリケーションまたはユーザーがアクセスポイントを介してオブジェクトにアクセスできるようにするには、アクセスポイントと基盤となるデータソースの両方がリクエストを許可する必要があります。

オプションのアクセスポイントポリシーを作成するには、 アクセスs3:PutAccessPointPolicy許可が必要です。

S3 アクセスポイントを Amazon FSx ボリュームにアタッチすると、ボリュームに対する既存のすべてのオペレーションは以前と同じように動作し続けます。アクセスポイントポリシーに含めた制限は、そのアクセスポイントを介したリクエストにのみ適用されます。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「アクセスポイントを使用するための IAM ポリシーの設定」を参照してください。

Amazon FSx コンソールを使用して FSx for ONTAP ボリュームにアタッチされたアクセスポイントを作成するときに、アクセスポイントポリシーを設定できます。 FSx 既存の S3 アクセスポイントでアクセスポイントポリシーを追加、変更、または削除するには、S3 コンソール、CLI、または API を使用できます。