Amazon S3 バケットへの読み書きアクセスの許可 - AWS Transfer Family

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon S3 バケットへの読み書きアクセスの許可

このセクションでは、特定の Amazon S3 バケットへの読み取りと書き込みアクセスを許可する IAM ポリシーを作成する方法について説明します。この IAM ポリシーを持つ IAM ロールをユーザーに割り当てると、指定された Amazon S3 バケットへの読み書きアクセスがそのユーザーに付与されます。

以下のポリシーは、Amazon S3 バケットへのプログラムによる読み取り、書き込み、タグ付けアクセスを提供します。GetObjectACLおよびPutObjectACLステートメントは、クロスアカウントアクセスを有効にする必要がある場合にのみ必要です。つまり、Transfer Family サーバーは、別のアカウントのバケットにアクセスする必要があります。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid":"ReadWriteS3",
      "Action": [
            "s3:ListBucket"
                ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetObject",
        "s3:GetObjectTagging",
        "s3:DeleteObject",              
        "s3:DeleteObjectVersion",
        "s3:GetObjectVersion",
        "s3:GetObjectVersionTagging",
        "s3:GetObjectACL",
        "s3:PutObjectACL"
      ],
      "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"]
    }
  ]
}

ListBucket アクションには、バケット自体のアクセス許可が必要です。PUTGET、および DELETE アクションにはオブジェクトのアクセス許可が必要です。これらは異なるリソースなので、異なるAmazonリソースネーム(ARN)を使って指定されます。

指定した Amazon S3 バケットの home プレフィックスのみにユーザーのアクセスをさらに制限するには、Amazon S3 バケットのセッションポリシーの作成 を参照してください。