クロスアカウントアクセスでのファイル共有の使用

クロスアカウントアクセスでは、Amazon Web Services アカウントおよびそのアカウントのユーザーに、別の Amazon Web Services アカウントに属するリソースに対するアクセス権限が付与されます。ファイルゲートウェイを使用すると、1 つの Amazon Web Services アカウントのファイル共有を使用して、別の Amazon Web Services アカウントに属する Amazon S3 バケット内のオブジェクトにアクセスできます。

ある Amazon Web Services アカウントが所有するファイル共有を使用して、別の Amazon Web Services アカウントの S3 バケットにアクセスするには

1. アクセスする必要のある S3 バケットと、そのバケット内のオブジェクトへのアクセス権限が、S3 バケットの所有者から Amazon Web Services アカウントに付与されていることを確認します。このアクセス権を付与する方法については、Amazon Simple Storage Service ユーザーガイドの「例 2: バケット所有者がクロスアカウントのバケットのアクセス許可を付与する」を参照してください。必要なアクセス権限のリストについては、「Amazon S3 バケットに対するアクセス権限の付与」を参照してください。

2. ファイル共有が S3 バケットにアクセスするために使用する IAM ロールには、s3:GetObjectAcl や s3:PutObjectAcl などのオペレーションを行うアクセス権限が含まれていることを確認します。さらに、この IAM ロールにはアカウントがこの IAM ロールを引き受けることができる信頼ポリシーが含まれていることを確認します。このような信頼ポリシーの例については、「Amazon S3 バケットに対するアクセス権限の付与」を参照してください。

   ファイル共有が既存のロールを使用して S3 バケットにアクセスする場合は、s3:GetObjectAcl および s3:PutObjectAcl オペレーションに対するアクセス許可を含める必要があります。このロールには、アカウントがこのロールを引き受けることを許可する信頼ポリシーも必要です。このような信頼ポリシーの例については、「Amazon S3 バケットに対するアクセス権限の付与」を参照してください。

3. https://console.aws.amazon.com/storagegateway/home でファイル共有を作成またはファイル共有設定を編集するときに、S3 バケット所有者がアクセスできる Gateway ファイルを選択します。

クロスアカウントアクセスのファイル共有を作成または更新して、ファイル共有をオンプレミスにマウントした場合は、セットアップをテストすることを強くお勧めします。これを行うには、ディレクトリの内容一覧を表示するか、テストファイルを書き込んで S3 バケットのオブジェクトとして表示されることを確認します。

重要

クロスアカウントにファイル共有に使用するアカウントへのアクセス権限が付与されるようにポリシーが正しくセットアップされていることを確認します。正しく設定されていない場合には、操作している Amazon S3 バケットに伝達していないオンプレミスアプリケーションからファイルを更新します。

リソース

アクセスポリシーおよびアクセスコントロールリストの詳細については、以下を参照してください。

Amazon Simple Storage Service ユーザーガイドのアクセスポリシーのオプションを使用するためのガイドライン

Amazon Simple Storage Service ユーザーガイドの「アクセスコントロールリスト (ACL) の概要」