サポート終了通知: 2025 年 11 月 13 日、 AWS は AWS Elemental MediaStore のサポートを終了します。2025 年 11 月 13 日以降、MediaStore コンソールまたは MediaStore リソースにアクセスできなくなります。詳細については、こちらのブログ記事
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
コンテナポリシーの例: ロールへのクロスアカウントフルアクセス
このポリシー例では、ユーザーが HTTP 経由でログインしていることを条件として、ユーザーにアカウント内のすべてのオブジェクトを更新するクロスアカウントアクセスが許可されます。また、クロスアカウントアクセスでは、指定されたロールを引き受けたアカウントへ HTTP または HTTPS 経由でのオブジェクトの削除、ダウンロード、紹介が許可されます。
-
最初のステートメントは
CrossAccountRolePostOverHttpsです。これにより、任意のオブジェクトに対するPutObjectオペレーションへのアクセスが許可されます。また、このアクセスは、指定したアカウントが <role name> に指定されたロールを引き受けた場合、そのアカウントのすべてのユーザーに許可されます。このアクセスの条件として、オペレーションでは HTTPS を使用する必要があります (この条件は、PutObjectへのアクセスを提供する場合に必ず含める必要があります)。つまり、クロスアカウントアクセスを持つすべてのプリンシパルが
PutObjectにアクセスできますが、アクセス方法は HTTPS 経由に限られます。 -
2 番目のステートメントは
CrossAccountFullAccessExceptPostです。任意のオブジェクトに対する、PutObject以外のすべてのオペレーションへのアクセスが許可されます。このアクセスは、指定したアカウントが <role name> に指定されたロールを引き受けた場合、そのアカウントのすべてのユーザーに許可されます。このアクセスでは、オペレーションで HTTPS を使用することが条件として要求されません。つまり、クロスアカウントアクセス権限を持つすべてのアカウントが
DeleteObject、GetObjectなど (ただし、PutObjectを除く) にアクセスできます。また、アクセスには HTTP または HTTPS を使用できます。2 番目のステートメントから
PutObjectを除外しない場合、ステートメントを有効になりません (PutObjectを含める場合は、HTTPS を条件として明示的に設定する必要があるためです)。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CrossAccountRolePostOverHttps",
"Effect": "Allow",
"Action": "mediastore:PutObject",
"Principal":{
"AWS": "arn:aws:iam::<other acct number>:role/<role name>"},
"Resource": "arn:aws:mediastore:<region>:<owner acct number>:container/<container name>/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "true"
}
}
},
{
"Sid": "CrossAccountFullAccessExceptPost",
"Effect": "Allow",
"NotAction": "mediastore:PutObject",
"Principal":{
"AWS": "arn:aws:iam::<other acct number>:role/<role name>"},
"Resource": "arn:aws:mediastore:<region>:<owner acct number>:container/<container name>/*"
}
]
}