メニュー
Amazon Relational Database Service
ユーザーガイド (API Version 2014-10-31)

Amazon Aurora から Amazon S3 のリソースにアクセスすることを許可する

Aurora では、Amazon S3 のリソースにアクセスして Aurora DB クラスターにデータをロードしたり、Aurora DB クラスターのデータを保存したりできます。ただし、最初に IAM ポリシーを作成してバケットおよびオブジェクトのアクセス許可を付与し、Aurora から Amazon S3 にアクセスできるようにする必要があります。

次の表は、ユーザーの代わりに Amazon S3 バケットにアクセスできる Aurora の各機能と、機能別に必要な最小限のバケットおよびオブジェクトのアクセス許可の一覧です。

機能 バケットのアクセス許可 オブジェクトのアクセス許可

LOAD DATA FROM S3

ListBucket

GetObject

GetObjectVersion

LOAD XML FROM S3

ListBucket

GetObject

GetObjectVersion

SELECT INTO OUTFILE S3

ListBucket

AbortMultipartUpload

DeleteObject

GetObject

ListMultipartUploadParts

PutObject

以下のステップを使用して、ユーザーの代わりに Aurora から Amazon S3 バケットにアクセスするために必要な最低のアクセス権限を提供する IAM ポリシーを作成できます。Aurora からすべての Amazon S3 バケットへのアクセスを許可するには、以下のステップをスキップし、独自のポリシーを作成する代わりに定義済みの IAM ポリシーである AmazonS3ReadOnlyAccess または AmazonS3FullAccess を使用できます。

Amazon S3 リソースへのアクセスを許可する IAM ポリシーを作成するには

  1. IAM コンソールを開きます。

  2. ナビゲーションペインで、[Policies] を選択します。

  3. [Create Policy] を選択します。

  4. [Policy Generator] で、[Select] を選択します。

  5. [アクセス許可の編集] で、次の値を設定してバケットにアクセス許可を付与します。

    • [Effect] – Allow

    • [AWS Service] – Amazon S3

    • アクション – IAM ポリシーで必要なバケットの許可を指定します。

      バケットのアクセス許可は、Amazon S3 でのバケットオペレーションのアクセス許可であり、ワイルドカード (*) またはバケットで付与する必要があります。Amazon S3 におけるバケットオペレーションのアクセス権限の詳細については、「ポリシーでのアクセス許可の指定」を参照してください。

    • [Amazon Resource Name (ARN)] として、アクセスを許可する先の Amazon S3 バケットの ARN を設定します。たとえば、Aurora から example-bucket という名前の Amazon S3 バケットにアクセスすることを許可するには、ARN 値として arn:aws:s3:::example-bucket を設定します。

  6. [Add Statement] を選択します。

    注記

    このステップと前のステップを繰り返して、対応するバケットのアクセス許可ステートメントを、Aurora がアクセスできるようにする各 Amazon S3 バケットのポリシーに追加できます。オプションで、Amazon S3 内のすべてのバケットとオブジェクトへのアクセスを許可できます。

  7. [アクセス許可の編集] で、次の値を設定してオブジェクトにアクセス許可を付与します。

    • [Effect] – Allow

    • [AWS Service] – Amazon S3

    • アクション – IAM ポリシーで必要なオブジェクトの許可を指定します。

      オブジェクトの許可は、Amazon S3 のオブジェクトオペレーションのアクセス権限であり、バケット自体ではなくバケット内のオブジェクトに付与する必要があります。Amazon S3 におけるオブジェクトオペレーションのアクセス権限の詳細については、「ポリシーでのアクセス許可の指定」を参照してください。

    • [Amazon Resource Name (ARN)] として、アクセスを許可する先の Amazon S3 バケットの ARN を設定します。たとえば、Aurora から example-bucket という名前の Amazon S3 バケットにあるすべてのファイルにアクセスすることを許可する場合は、ARN 値として arn:aws:s3:::example-bucket/* を設定します。

    注記

    Aurora から Amazon S3 バケット内の特定のファイルやフォルダーにのみアクセスすることを許可するには、[Amazon Resource Name (ARN)] により具体的な ARN 値を設定することができます。Amazon S3 のアクセスポリシーの定義方法については、「Amazon S3 リソースへのアクセス許可の管理」を参照してください。

  8. [Add Statement] を選択します。

    注記

    このステップと前のステップを繰り返して、対応するオブジェクトのアクセス許可ステートメントを、Aurora がアクセスできるようにする各 Amazon S3 バケットのポリシーに追加できます。オプションで、Amazon S3 内のすべてのバケットとオブジェクトへのアクセスを許可できます。

  9. [Next Step] を選択します。

  10. [Policy Name] に、IAM ポリシーの名前 (AllowAuroraToExampleBucket など) を設定します。IAM ロールを作成して Aurora DB クラスターに関連付ける際に、この名前を使用します。オプションで [Description] 値を追加することもできます。

  11. [Create Policy] を選択します。