バッチレプリケーション用の IAM ポリシーの設定

S3 バッチレプリケーションはバッチオペレーションジョブの一種であるため、バッチオペレーション AWS Identity and Access Management(IAM) ロールを作成し、ユーザーに代わってアクションを実行するための Amazon S3 許可を付与する必要があります。また、バッチレプリケーション IAM ポリシーをバッチオペレーション IAM ロールにアタッチする必要があります。次の例では、バッチレプリケーションジョブを開始するバッチオペレーションの許可を与える IAM ロールを作成します。

IAM ロールとポリシーを作成する

1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. [Access management] (アクセス管理) で、[Roles] (ロール) を選択します。

3. [ロールの作成] を選択します。

4. 信頼されるエンティティのタイプとして AWS のサービス を、サービスとして Amazon S3 を、ユースケースとして [S3 Batch Operations] (S3 バッチオペレーション) を選択します。

5. [Next: Permissions (次へ: アクセス許可)] を選択します。

6. [ポリシーの作成] を選択します。

7. [JSON] を選択し、マニフェストに基づいて次のいずれかのポリシーを挿入します。

   注記

   マニフェストを生成する場合、またはマニフェストを提供する場合は、異なる許可が必要です。詳細については、「バッチレプリケーションジョブのマニフェストの指定」を参照してください。

   S3 で生成されたマニフェストを使用して保存する場合のポリシー

   {
      "Version":"2012-10-17",
      "Statement":[
         {
            "Action":[
               "s3:InitiateReplication"
            ],
            "Effect":"Allow",
            "Resource":[
               "arn:aws:s3:::*** replication source bucket ***/*"
            ]
         },
         {
            "Action":[
               "s3:GetReplicationConfiguration",
               "s3:PutInventoryConfiguration"
            ],
            "Effect":"Allow",
            "Resource":[
               "arn:aws:s3:::*** replication source bucket ***"
            ]
         },
         {
            "Action":[
               "s3:GetObject",
               "s3:GetObjectVersion"
            ],
            "Effect":"Allow",
            "Resource":[
               "arn:aws:s3:::*** manifest bucket ***/*"
            ]
         },
         {
            "Effect":"Allow",
            "Action":[
               "s3:PutObject"
            ],
            "Resource":[
               "arn:aws:s3:::*** completion report bucket ****/*",
               "arn:aws:s3:::*** manifest bucket ****/*"    
            ]
         }
      ]
   }

   ユーザー指定のマニフェストを使用する場合のポリシー

   {
      "Version":"2012-10-17",
      "Statement":[
         {
            "Action":[
               "s3:InitiateReplication"
            ],
            "Effect":"Allow",
            "Resource":[
               "arn:aws:s3:::*** replication source bucket ***/*"
            ]
         },
               {
            "Action":[
               "s3:GetObject",
               "s3:GetObjectVersion"
            ],
            "Effect":"Allow",
            "Resource":[
               "arn:aws:s3:::*** manifest bucket ***/*"
            ]
         },
         {
            "Effect":"Allow",
            "Action":[
               "s3:PutObject"
            ],
            "Resource":[
               "arn:aws:s3:::*** completion report bucket ****/*"    
            ]
         }
      ]
   }

8. [Next: Tags] (次へ: タグ) を選択します。

9. [次へ: レビュー] を選択します。

10. ポリシーの名前を指定し、[Create policy] (ポリシーを作成) を選択します。

11. このポリシーをロールに添付し、[Next: Tags] (次へ:タグ) を選択します。

12. [次へ: レビュー] を選択します。

13. ロールの名前を指定し、[Create role] (ロールを作成) を選択します。

信頼ポリシーを確認する

1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. [Access management] (アクセス管理) で、[Roles] (ロール) を選択し、新しく作成したロールを選択します。

3. [Trust relationships] (信頼関係) タブで、[Edit trust relationship] (信頼関係を編集) を選択します。

4. このロールが次の信頼ポリシーを使用していることを確認します。

   {
      "Version":"2012-10-17",
      "Statement":[
         {
            "Effect":"Allow",
            "Principal":{
               "Service":"batchoperations.s3.amazonaws.com"
            },
            "Action":"sts:AssumeRole"
         }
      ]
   }