前提条件 IAM アイデンティティセンターを介した信頼できる ID 伝播のための S3 Access Grants の設定 Amazon S3 Access Grants を作成する

IAM アイデンティティセンターを使用した Amazon S3 Access Grants の設定

Amazon S3 Access Grants は、ID ベースのきめ細かなアクセスコントロールを S3 ロケーションに付与する柔軟性を提供します。Amazon S3 Access Grants を使用すると、企業のユーザーやグループに Amazon S3 バケットアクセスを直接付与できます。IAM アイデンティティセンターで S3 Access Grants を有効にし、信頼できる ID の伝播を実現するには、次の手順に従います。

前提条件

このチュートリアルを開始する前に、以下を設定する必要があります。

IAM アイデンティティセンターを有効にします。組織インスタンスが推奨されます。詳細については、「前提条件と考慮事項」を参照してください。

IAM アイデンティティセンターを介した信頼できる ID 伝播のための S3 Access Grants の設定

登録された場所を持つ Amazon S3 Access Grantsインスタンスが既にある場合は、次の手順に従います。

Amazon S3 Access Grants をまだ作成していない場合は、次の手順に従います。

S3 Access Grantsインスタンスを作成する - 1 つにつき 1 つの S3 Access Grantsインスタンスを作成できます AWS リージョン。S3 Access Grants インスタンスを作成するときは、[IAM アイデンティティセンターインスタンスの追加] チェックボックスをオンにし、IAM アイデンティティセンターインスタンスの ARN を指定してください。[次へ] を選択してください。

次の図は、Amazon S3 Access Grants コンソールにおける [S3 Access Grants インスタンスを作成する] ページを示しています。

ロケーションの登録 - アカウントのに Amazon S3 Access Grantsインスタンスを作成したら、そのインスタンスに S3 ロケーションを登録 AWS リージョンします。S3 Access Grants のロケーションは、デフォルトの S3 ロケーション (S3://)、バケット、またはプレフィックスを IAM ロールにマッピングします。S3 Access Grants は、この Amazon S3 ロールを引き受けて、その特定の場所にアクセスする被付与者に一時的な認証情報を提供します。アクセス権限を作成する前に、まず S3 Access Grants インスタンスに少なくとも 1 つのロケーションを登録する必要があります。

[ロケーションスコープ] には、そのリージョン内のすべてのバケットを含む s3:// を指定します。これは、ほとんどのユースケースで推奨されるロケーションスコープです。高度なアクセス管理のユースケースがある場合は、バケット s3://bucket/prefix-with-path 内の特定のバケット s3://bucket またはプレフィックスにロケーションスコープを設定できます。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「ロケーションの登録」を参照してください。

注記

アクセスを許可する AWS Glue テーブルの S3 の場所がこのパスに含まれていることを確認します。

この手順では、ロケーションの IAM ロールを設定する必要があります。このロールには、ロケーションスコープにアクセスするためのアクセス許可が含まれている必要があります。このロールは、S3 コンソールウィザードを使用して作成できます。この IAM ロールのポリシーで S3 Access Grants インスタンス ARN を指定する必要があります。S3 Access Grants インスタンス ARN のデフォルト値は arn:aws:s3:Your-Region:Your-AWS-Account-ID:access-grants/default です。

次のアクセス許可ポリシーの例では、作成した IAM ロールに対するアクセス許可を Amazon S3 に付与します。また、それに続く信頼ポリシーの例では、S3 Access Grants サービスプリンシパルが IAM ロールを引き受けることを許可します。

アクセス許可ポリシー

これらのポリシーを使用するには、サンプルポリシーのイタリック体のプレースホルダーテキストを独自の情報に置き換えます。その他の手順については、「ポリシーの作成」または「ポリシーの編集」を参照してください。

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ObjectLevelReadPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:GetObjectAcl",
                "s3:GetObjectVersionAcl",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "111122223333"
                },
                "ArnEquals": {
                    "s3:AccessGrantsInstanceArn": [
                    "arn:aws:s3:::access-grants/instance-id"
                    ]
                }
            }
        },
        {
            "Sid": "ObjectLevelWritePermissions",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:PutObjectVersionAcl",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:AbortMultipartUpload"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ],
            "Condition": {
                "StringEquals": {
                "aws:ResourceAccount": "111122223333"
                },
                "ArnEquals": {
                    "s3:AccessGrantsInstanceArn": [
                    "arn:aws:s3:::access-grants/instance-id"
                    ]
                }
            }
        },
        {
            "Sid": "BucketLevelReadPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ],
            "Condition": {
                "StringEquals": {
                "aws:ResourceAccount": "111122223333"
                },
                "ArnEquals": {
                    "s3:AccessGrantsInstanceArn": [
                    "arn:aws:s3:::access-grants/instance-id"
                    ]
                }
            }
        },
        {
            "Sid": "OptionalKMSPermissionsForSSEEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

信頼ポリシー

IAM ロールの信頼ポリシーで、作成した IAM ロールに対して、S3 Access Grants サービス (access-grants.s3.amazonaws.com) のプリンシパルアクセス権を付与します。これを実行するために、次のステートメントを含む JSON ファイルを作成できます。アカウントに信頼ポリシーを追加するには、「カスタム信頼ポリシーを使用したロールの作成」を参照してください。

Amazon S3 Access Grants を作成する

登録された場所を持つ Amazon S3 Access Grants インスタンスがあり、IAM アイデンティティセンターインスタンスを関連付けている場合は、アクセス許可を作成できます。S3 コンソールの[アクセス許可の作成] ページで、以下を完了します。

許可を作成する

前のステップで作成したロケーションを選択します。サブプレフィックスを追加することで、アクセス許可の範囲を縮小できます。サブプレフィックスは、バケット内の bucket、bucket/prefix、またはオブジェクトです。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「サブプレフィックス」を参照してください。
[アクセス許可とアクセス] で、必要に応じて [読み取り] または[書き込み]を選択します。
[付与者のタイプ]で、ディレクトリアイデンティティフォーム IAM アイデンティティセンターを選択します。
IAM アイデンティティセンターのユーザー ID またはグループ ID を指定します。ユーザー ID とグループ ID は、IAM アイデンティティセンターコンソールの[ユーザー] と [グループ] セクションにあります。[次へ] を選択してください。
[確認して完了] ページで、S3 Access Grant の設定を確認し、[アクセス許可の作成] を選択します。

次の図は、Amazon S3 Access Grants コンソールの [アクセス許可の作成] ページを示しています。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS Lake Formation

独自の OAuth 2.0 アプリケーションを設定するには