Transfer Family ウェブアプリケーションの IAM ロールを設定する - AWS Transfer Family

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Transfer Family ウェブアプリケーションの IAM ロールを設定する

2 つのロールが必要です。1 つはウェブアプリケーションの ID ベアラーロールとして使用し、もう 1 つはアクセス許可の設定に使用します。ID ベアラーロールは、認証されたユーザーの ID をセッションに含めるロールです。これは、ユーザーに代わって S3 Access Grants にデータアクセスをリクエストするために使用されます。

注記

ID ベアラーロールを作成する手順はスキップできます。Transfer Family サービスで ID ベアラーロールを作成する方法については、「」を参照してくださいTransfer Family ウェブアプリを作成する

アクセス許可ロールを作成する手順はスキップできます。アクセス許可を作成する手順で、S3 ロケーションを登録するステップで、新しいロールを作成するを選択します。

ID ベアラーロールを作成する

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。

  2. ロールを選択し、ロールを作成します

  3. カスタム信頼ポリシーを選択し、次のコードに貼り付けます。

    {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service":"transfer.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}

  4. 次へ を選択し、アクセス許可の追加 をスキップして、次 を再度選択します。

  5. など、名前を入力しますweb-app-identity-bearer

  6. ロールの作成 を選択して、ID ベアラーロールを作成します。

  7. リストから作成したロールを選択し、アクセス許可ポリシーパネルでアクセス許可の追加 > インラインポリシーの作成を選択します。

  8. ポリシーエディタJSON を選択し、次のコードブロックに貼り付けます。

    {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:ListCallerAccessGrants",
                "s3:ListAccessGrantsInstances"
            ],
            "Resource": "*"
        }
    ]
}

  9. ポリシー名に と入力しAllowS3AccessGrantsポリシーの作成を選択します。

次に、一時的な認証情報を被付与者に供給するために S3 Access Grants が引き受けるロールを作成します。

注記

サービスが ID ベアラーロールを作成することを許可すると、そのロールは混乱した代理保護を設定します。したがって、そのコードはここに表示されるコードとは異なります。

アクセス許可ロールを作成する

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。

  2. ロールを選択し、ロールを作成します。このロールには、 の S3 データにアクセスするアクセス許可が必要です AWS リージョン。

  3. カスタム信頼ポリシーを選択し、次のコードに貼り付けます。

    {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "access-grants.s3.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}

  4. 「場所の登録」の説明に従って、次へ「最小限のポリシーを追加する」を選択します。 https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-location-register.html推奨されませんが、AmazonS3FullAccess 管理ポリシーを追加できます。これは、ニーズに対して許容しすぎる可能性があります。

  5. Next を選択し、名前を入力します (例: access-grants-location)。

  6. ロールを作成するを選択します。

注記

サービスがアクセス許可ロールを作成することを許可すると、そのロールは混乱した代理保護を設定します。したがって、そのコードはここに表示されるコードとは異なります。