S3 バッチレプリケーション用の IAM ロールの設定

Amazon S3 バッチレプリケーションはバッチオペレーションジョブの一種であるため、AWS Identity and Access Management (IAM) ロールを作成し、ユーザーに代わってアクションを実行するためのバッチオペレーション許可を付与する必要があります。また、バッチレプリケーション IAM ポリシーをバッチオペレーション IAM ロールにアタッチする必要があります。

次の手順を使用して、バッチレプリケーションジョブを開始するバッチオペレーションの許可を与えるポリシーと IAM ロールを作成します。

バッチレプリケーションのポリシーを作成するには

1. AWS Management Console にサインインして、IAM コンソール https://console.aws.amazon.com/iam/ を開きます。

2. [アクセス管理] で、[ポリシー] を選択します。

3. [Create policy] (ポリシーの作成) を選択します。

4. [アクセス許可の指定] ページで、[JSON] を選択します。

5. マニフェストが Amazon S3 によって生成されるか、独自のマニフェストを提供するかに応じて、次のいずれかのポリシーを挿入します。マニフェストの詳細については、「バッチレプリケーションジョブのマニフェストの指定」を参照してください。

   これらのポリシーを使用する前に、次のポリシーの user input placeholders をレプリケーション元バケット、マニフェストバケット、および完了レポートバケットの名前に置き換えます。

   注記

   バッチレプリケーションの IAM ロールには、マニフェストを生成するか提供するかに応じて異なるアクセス許可が必要です。そのため、次の例から適切なポリシーを選択してください。

   AmazonS3 で生成されたマニフェストを使用して保存する場合のポリシー

   {
      "Version":"2012-10-17",
      "Statement":[
         {
            "Action":[
               "s3:InitiateReplication"
            ],
            "Effect":"Allow",
            "Resource":[
               "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
            ]
         },
         {
            "Action":[
               "s3:GetReplicationConfiguration",
               "s3:PutInventoryConfiguration"
            ],
            "Effect":"Allow",
            "Resource":[
               "arn:aws:s3:::amzn-s3-demo-source-bucket"
            ]
         },
         {
            "Action":[
               "s3:GetObject",
               "s3:GetObjectVersion"
            ],
            "Effect":"Allow",
            "Resource":[
               "arn:aws:s3:::amzn-s3-demo-manifest-bucket/*"
            ]
         },
         {
            "Effect":"Allow",
            "Action":[
               "s3:PutObject"
            ],
            "Resource":[
               "arn:aws:s3:::amzn-s3-demo-completion-report-bucket/*",
               "arn:aws:s3:::amzn-s3-demo-manifest-bucket/*"    
            ]
         }
      ]
   }

   ユーザー指定のマニフェストを使用する場合のポリシー

   {
      "Version":"2012-10-17",
      "Statement":[
         {
            "Action":[
               "s3:InitiateReplication"
            ],
            "Effect":"Allow",
            "Resource":[
               "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
            ]
         },
               {
            "Action":[
               "s3:GetObject",
               "s3:GetObjectVersion"
            ],
            "Effect":"Allow",
            "Resource":[
               "arn:aws:s3:::amzn-s3-demo-manifest-bucket/*"
            ]
         },
         {
            "Effect":"Allow",
            "Action":[
               "s3:PutObject"
            ],
            "Resource":[
               "arn:aws:s3:::amzn-s3-demo-completion-report-bucket/*"    
            ]
         }
      ]
   }

6. [次へ] を選択します。

7. ポリシーの名前を指定し、[ポリシーの作成] を選択します。

バッチレプリケーションの IAM ロールを作成するには

1. AWS Management Console にサインインして、IAM コンソール https://console.aws.amazon.com/iam/ を開きます。

2. [Access management] (アクセス管理) で、[Roles] (ロール) を選択します。

3. [ロールの作成] を選択してください。

4. 信頼されたエンティティの種類に、[AWS のサービス] を選択します。[ユースケース] セクションで、サービスとして [S3]、ユースケースとして [S3 バッチオペレーション] を選択します。

5. [次へ] を選択します。[アクセス許可を追加] ページが表示されます。検索ボックスで、前述の手順で作成したポリシーを検索します。ポリシー名の横にあるチェックボックスにチェックを入れてから、[次へ] を選択します。

6. [名前、確認および作成] ページで、IAM ロールに名前を指定します。

7. [ステップ 1: 信頼 ID] セクションで、IAM ロールが次の信頼ポリシーを使用していることを確認します。

   {
      "Version":"2012-10-17",
      "Statement":[
         {
            "Effect":"Allow",
            "Principal":{
               "Service":"batchoperations.s3.amazonaws.com"
            },
            "Action":"sts:AssumeRole"
         }
      ]
   }

8. [ステップ 2: アクセス許可を追加する] セクションで、IAM ロールが前に作成したポリシーを使用していることを確認します。

9. [ロールの作成] を選択してください。