バッチレプリケーション用の IAM ポリシーの設定
S3 バッチレプリケーションはバッチオペレーションジョブの一種であるため、バッチオペレーション AWS Identity and Access Management(IAM) ロールを作成し、ユーザーに代わってアクションを実行するための Amazon S3 許可を付与する必要があります。また、バッチレプリケーション IAM ポリシーをバッチオペレーション IAM ロールにアタッチする必要があります。次の例では、バッチレプリケーションジョブを開始するバッチオペレーションの許可を与える IAM ロールを作成します。
IAM ロールとポリシーを作成する
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
[Access management] (アクセス管理) で、[Roles] (ロール) を選択します。
-
[ロールの作成] を選択します。
-
信頼されるエンティティのタイプとして AWS のサービス を、サービスとして Amazon S3 を、ユースケースとして [S3 Batch Operations] (S3 バッチオペレーション) を選択します。
-
[次へ: アクセス許可] を選択します。
-
[ポリシーの作成] を選択します。
-
[JSON] を選択し、マニフェストに基づいて次のいずれかのポリシーを挿入します。
注記
マニフェストを生成する場合、またはマニフェストを提供する場合は、異なる許可が必要です。詳細については、「バッチレプリケーションジョブのマニフェストの指定」を参照してください。
S3 で生成されたマニフェストを使用して保存する場合のポリシー
{ "Version":"2012-10-17", "Statement":[ { "Action":[ "s3:InitiateReplication" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::
*** replication source bucket ***
/*" ] }, { "Action":[ "s3:GetReplicationConfiguration", "s3:PutInventoryConfiguration" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*** replication source bucket ***
" ] }, { "Action":[ "s3:GetObject", "s3:GetObjectVersion" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*** manifest bucket ***
/*" ] }, { "Effect":"Allow", "Action":[ "s3:PutObject" ], "Resource":[ "arn:aws:s3:::*** completion report bucket ****
/*", "arn:aws:s3:::*** manifest bucket ****
/*" ] } ] }ユーザー指定のマニフェストを使用する場合のポリシー
{ "Version":"2012-10-17", "Statement":[ { "Action":[ "s3:InitiateReplication" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::
*** replication source bucket ***
/*" ] }, { "Action":[ "s3:GetObject", "s3:GetObjectVersion" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*** manifest bucket ***
/*" ] }, { "Effect":"Allow", "Action":[ "s3:PutObject" ], "Resource":[ "arn:aws:s3:::*** completion report bucket ****
/*" ] } ] } -
[次へ: タグ] を選択します。
-
[次へ: レビュー] を選択します。
-
ポリシーの名前を指定し、[Create policy] (ポリシーを作成) を選択します。
-
このポリシーをロールに添付し、[Next: Tags] (次へ:タグ) を選択します。
-
[次へ: レビュー] を選択します。
-
ロールの名前を指定し、[Create role] (ロールを作成) を選択します。
信頼ポリシーを確認する
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
[Access management] (アクセス管理) で、[Roles] (ロール) を選択し、新しく作成したロールを選択します。
-
[Trust relationships] (信頼関係) タブで、[Edit trust relationship] (信頼関係を編集) を選択します。
-
このロールが次の信頼ポリシーを使用していることを確認します。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"batchoperations.s3.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }