Amazon Relational Database Service
ユーザーガイド (API バージョン 2014-10-31)

Amazon S3 リソースにアクセスするための IAM ポリシーの作成

Aurora では、Amazon S3 のリソースにアクセスして Aurora DB クラスターにデータをロードしたり、Aurora DB クラスターのデータを保存したりできます。ただし、最初に IAM ポリシーを作成してバケットおよびオブジェクトのアクセス許可を付与し、Aurora から Amazon S3 にアクセスできるようにする必要があります。

次の表は、ユーザーの代わりに Amazon S3 バケットにアクセスできる Aurora の各機能と、機能別に必要な最小限のバケットおよびオブジェクトのアクセス許可の一覧です。

機能 バケットのアクセス許可 オブジェクトのアクセス許可

LOAD DATA FROM S3

ListBucket

GetObject

GetObjectVersion

LOAD XML FROM S3

ListBucket

GetObject

GetObjectVersion

SELECT INTO OUTFILE S3

ListBucket

AbortMultipartUpload

DeleteObject

GetObject

ListMultipartUploadParts

PutObject

以下のステップを使用して、ユーザーの代わりに Aurora から Amazon S3 バケットにアクセスするために必要な最低のアクセス権限を提供する IAM ポリシーを作成できます。Aurora からすべての Amazon S3 バケットへのアクセスを許可するには、以下のステップをスキップし、独自のポリシーを作成する代わりに定義済みの IAM ポリシーである AmazonS3ReadOnlyAccess または AmazonS3FullAccess を使用できます。

Amazon S3 リソースへのアクセスを許可する IAM ポリシーを作成するには

  1. IAM マネジメントコンソールを開きます。

  2. ナビゲーションペインで、[Policies] を選択します。

  3. [Create policy] を選択します。

  4. [Visual editor] タブで、[Choose a service] を選択し、[S3] を選択します。

  5. [Select actions] を選択してから、IAM ポリシーに必要なバケットへのアクセス許可とオブジェクトへのアクセス許可を選択します。

    オブジェクトへのアクセス許可は、Amazon S3 のオブジェクトオペレーションのアクセス許可であり、バケット自体ではなくバケット内のオブジェクトに付与する必要があります。Amazon S3 におけるオブジェクトオペレーションのアクセス許可の詳細については、「オブジェクトオペレーションに対するアクセス許可」を参照してください。

  6. [Resources] を選択し、[bucket] に対して [Add ARN] を選択します。

  7. [Add ARN(s)] ダイアログボックスで、リソースの詳細を指定し、[Add] を選択します。

    アクセスを許可する Amazon S3 バケットを指定します。たとえば、Aurora から example-bucket という名前の Amazon S3 バケットにアクセスすることを許可するには、ARN 値として arn:aws:s3:::example-bucket を設定します。

  8. [object] リソースがリストされた場合は、[object] に対して [Add ARN] を選択します。

  9. [Add ARN(s)] ダイアログボックスで、リソースの詳細を指定します。

    Amazon S3 バケットの場合は、アクセスを許可する Amazon S3 バケットを指定します。オブジェクトの場合は、[Any] を選択してバケット内の任意のオブジェクトにアクセス許可を付与できます。

    注記

    Aurora から Amazon S3 バケット内の特定のファイルやフォルダーにのみアクセスすることを許可するには、[Amazon Resource Name (ARN)] により具体的な ARN 値を設定することができます。Amazon S3 のアクセスポリシーの定義方法については、「Amazon S3 リソースへのアクセス許可の管理」を参照してください。

  10. オプションで、[Add additional permissions] を選択して、ポリシーに別の Amazon S3 バケットを追加し、そのバケットに対して前のステップを繰り返します。

    注記

    このステップを繰り返して、対応するバケットのアクセス許可ステートメントを、Aurora からアクセスする各 Amazon S3 バケットのポリシーに追加できます。オプションで、Amazon S3 内のすべてのバケットとオブジェクトへのアクセスを許可できます。

  11. [ポリシーの確認] を選択します。

  12. [ Name] に、IAM ポリシーの名前 (AllowAuroraToExampleBucket など) を設定します。IAM ロールを作成して Aurora DB クラスターに関連付ける際に、この名前を使用します。オプションで [Description] 値を追加することもできます。

  13. [Create policy] を選択します。

  14. Amazon Aurora から AWS のサービスにアクセスすることを許可する IAM ロールの作成」の各ステップを実行します。