Transfer Family ウェブアプリの Amazon S3 Access Grants を設定する - AWS Transfer Family

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Transfer Family ウェブアプリの Amazon S3 Access Grants を設定する

このトピックでは、Amazon S3 Access Grants を使用してアクセス許可を追加する方法について説明します。このアクセス許可は、企業ディレクトリ内のユーザーとグループに直接データへのアクセスを定義し、許可に基づいてjust-in-time、最小特権、一時的な認証情報を提供します。S3 Access Grants インスタンスの個々の許可により、企業ディレクトリ内の特定のユーザーまたはグループが、S3 Access Grants インスタンスに登録されているロケーション内でアクセスできるようになります。詳細については、「Amazon S3 ユーザーガイド」の「S3 Access Grants の概念」を参照してください。 Amazon S3

注記

Transfer Family ウェブアプリ以外の S3 Access Grants で IAM Identity Center ディレクトリを使用することはできません。

ID の伝播には Amazon S3 アクセス許可を指定する必要があります。Amazon S3 アクセス許可は、エンドユーザーがアクセスする必要があるデータを保存します。エンドユーザーが Transfer Family ウェブアプリにサインインすると、S3 Access Grants はユーザーの ID を信頼されたアプリケーションに渡します。このセクションでは、Amazon S3 アクセス許可インスタンスを追加および設定し、Amazon S3 バケットのアクセス許可を設定する方法について説明します。

注記

アクセス許可の設定を完了するために必要なため、IAM Identity Center インスタンス ARN とユーザーまたはグループ ID を用意します。

Amazon S3 Access Grants を使用して権限を作成するには

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/s3/ で Amazon S3 コンソールを開きます。

  2. バケットを作成するか、ウェブアプリで使用する既存のバケットを書き留めます。バケットの作成については、Amazon S3ユーザーガイド」を参照してください。

  3. 左側のナビゲーションペインから、アクセス許可を選択します。

  4. S3 Access Grants インスタンスの作成を選択し、次の情報を入力します。

    • 自分のリージョンがある自分のリージョンに IAM アイデンティティセンターインスタンスを追加する を選択します AWS リージョン。ID プロバイダーとして IAM Identity Center を使用していない場合は、このボックスをオフにしておきます。

    • IAM Identity Center インスタンス ARN に貼り付けます。

    Amazon S3 Create Access Grants インスタンスダイアログとサンプル値を示す画面。

    [次へ] を選択して続行します。

  5. S3 バケットまたはプレフィックスをロケーションとして登録します。デフォルトの場所 を登録しs3://、IAM ロールにマッピングすることをお勧めします。このデフォルトパスの場所は、アカウントの 内のすべての Amazon S3 バケットへのアクセスを対象とし AWS リージョン ています。アクセス許可を作成するときは、デフォルトの場所内のバケット、プレフィックス、またはオブジェクトにスコープを絞り込むことができます。

    以下の情報を指定します。

    • スコープでは、バケットを参照するか、バケットの名前を入力し、オプションでプレフィックスを入力します。

    • IAM ロールで、新しいロールの作成を選択して、サービスにロールを作成させます。

      または、「」の説明に従ってロールを自分で作成しTransfer Family ウェブアプリケーションの IAM ロールを設定する、ここにその ARN を入力することもできます。

    Amazon S3 Register S3 Buckets or prefixes as locations ダイアログとデフォルトのスコープと新しいロールの作成設定を示す画面。

    [次へ] を選択して続行します。

  6. グラントの作成画面で、次の詳細を入力します。

    • アクセス許可 で読み取り書き込みを選択します。アクセス許可のアクセス許可は読み取り専用でも読み取りと書き込みでもかまいませんが、書き込み専用はサポートされていません。

    • 被付与者タイプで、IAM アイデンティティセンターからディレクトリアイデンティティを選択します。

    • ディレクトリ ID タイプで、今すぐ登録するタイプに応じて、ユーザーまたはグループを選択します。

    • IAM Identity Center のユーザー/グループ ID で、ユーザーまたはグループの ID を貼り付けます。この ID は、IAM Identity Center コンソールと、ユーザーとグループテーブルの Transfer Family ウェブアプリで使用できます。

    Amazon S3 Create Grant ダイアログとサンプル値を示す画面。

    [次へ] を選択します。

  7. 画面の設定を確認します。すべて正しい場合は、完了を選択してアクセス許可を作成します。または、キャンセルまたは以前の を選択して変更を加えることもできます。

    レビューと終了ダイアログとサンプル値を示す画面。
リストビューに新しいアクセス許可を示す画面。

これで、ウェブアプリのセットアップは完了です。設定したユーザーとグループは、アクセスポイントでウェブアプリにアクセスし、ログインして、ファイルをアップロードおよびダウンロードできます。