バッチレプリケーション用の IAM ポリシーの設定 - Amazon Simple Storage Service

バッチレプリケーション用の IAM ポリシーの設定

S3 バッチレプリケーションはバッチオペレーションジョブの一種であるため、バッチオペレーション AWS Identity and Access Management(IAM) ロールを作成し、ユーザーに代わってアクションを実行するための Amazon S3 許可を付与する必要があります。また、バッチレプリケーション IAM ポリシーをバッチオペレーション IAM ロールにアタッチする必要があります。次の例では、バッチレプリケーションジョブを開始するバッチオペレーションの許可を与える IAM ロールを作成します。

IAM ロールとポリシーを作成する

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. [Access management] (アクセス管理) で、[Roles] (ロール) を選択します。

  3. [ロールの作成] を選択します。

  4. 信頼されるエンティティのタイプとして AWS のサービス を、サービスとして Amazon S3 を、ユースケースとして [S3 Batch Operations] (S3 バッチオペレーション) を選択します。

  5. [次へ: アクセス許可] を選択します。

  6. [ポリシーの作成] を選択します。

  7. [JSON] を選択し、マニフェストに基づいて次のいずれかのポリシーを挿入します。

    注記

    マニフェストを生成する場合、またはマニフェストを提供する場合は、異なる許可が必要です。詳細については、「バッチレプリケーションジョブのマニフェストの指定」を参照してください。

    S3 で生成されたマニフェストを使用して保存する場合のポリシー

    { "Version":"2012-10-17", "Statement":[ { "Action":[ "s3:InitiateReplication" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*** replication source bucket ***/*" ] }, { "Action":[ "s3:GetReplicationConfiguration", "s3:PutInventoryConfiguration" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*** replication source bucket ***" ] }, { "Action":[ "s3:GetObject", "s3:GetObjectVersion" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*** manifest bucket ***/*" ] }, { "Effect":"Allow", "Action":[ "s3:PutObject" ], "Resource":[ "arn:aws:s3:::*** completion report bucket ****/*", "arn:aws:s3:::*** manifest bucket ****/*" ] } ] }

    ユーザー指定のマニフェストを使用する場合のポリシー

    { "Version":"2012-10-17", "Statement":[ { "Action":[ "s3:InitiateReplication" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*** replication source bucket ***/*" ] }, { "Action":[ "s3:GetObject", "s3:GetObjectVersion" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*** manifest bucket ***/*" ] }, { "Effect":"Allow", "Action":[ "s3:PutObject" ], "Resource":[ "arn:aws:s3:::*** completion report bucket ****/*" ] } ] }
  8. [次へ: タグ] を選択します。

  9. [次へ: レビュー] を選択します。

  10. ポリシーの名前を指定し、[Create policy] (ポリシーを作成) を選択します。

  11. このポリシーをロールに添付し、[Next: Tags] (次へ:タグ) を選択します。

  12. [次へ: レビュー] を選択します。

  13. ロールの名前を指定し、[Create role] (ロールを作成) を選択します。

信頼ポリシーを確認する

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. [Access management] (アクセス管理) で、[Roles] (ロール) を選択し、新しく作成したロールを選択します。

  3. [Trust relationships] (信頼関係) タブで、[Edit trust relationship] (信頼関係を編集) を選択します。

  4. このロールが次の信頼ポリシーを使用していることを確認します。

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"batchoperations.s3.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }