Amazon S3 バケットに対するアクセス権限の付与

ファイル共有を作成する場合、ファイルゲートウェイはAmazon S3バケットにファイルをアップロードし、バケットへの接続に使用するアクセスポイントまたは仮想プライベートクラウド (VPC) エンドポイントに対してアクションを実行するためのアクセスを必要とします。このアクセスを許可するために、ファイルゲートウェイは、このアクセスを許可する IAM ポリシーに関連付けられた AWS Identity and Access Management (IAM) ロールを引き受けます。

このロールには、この IAM ポリシーに加え、Security Token Service (STS) 信頼関係が設定されていることが必要です。このポリシーによって、ロールで実行できるアクションが決まります。さらに、S3 バケットと関連するアクセスポイントまたは VPC エンドポイントには、IAM ロールによるアクセスを許可するアクセスポリシーが必要です。

ロールとアクセスポリシーは自分で作成することも、ファイルゲートウェイで作成することもできます。ファイルゲートウェイがポリシーを作成する場合、ポリシーには S3 アクションのリストが含まれます。ロールとアクセス許可の詳細については、IAM ユーザーガイドの「 にアクセス許可を委任するロールの作成 AWS のサービス」を参照してください。

次の例は、ファイルゲートウェイが IAM ロールを引き受けることを許可する信頼ポリシーです。

JSON

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "storagegateway.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

重要

Storage Gateway は、iam:PassRoleポリシーアクションを使用して渡される既存のサービスロールを引き受けることができますが、iam:PassedToServiceコンテキストキーを使用してアクションを特定のサービスに制限する IAM ポリシーをサポートしていません。

詳細については、『AWS Identity and Access Management ユーザーガイド:』の以下のトピックを参照してください。

• IAM: IAM ロールを特定の AWS サービスに渡す

• AWS サービスにロールを渡すアクセス許可をユーザーに付与する

• IAM で使用可能なキー

ファイルゲートウェイでユーザーに代わってポリシーを作成しない場合は、独自のポリシーを作成してファイル共有にアタッチできます。これを行う方法については、「ファイル共有の作成」を参照してください。

次のポリシー例では、ファイルゲートウェイがポリシーにリストされているすべての Amazon S3 アクションを実行することを許可します。ステートメントの最初の部分では、リストされたすべてのアクションを amzn-s3-demo-bucket という S3 バケットで実行するよう許可します。次に、amzn-s3-demo-bucket のすべてのオブジェクトでリストされたアクションを許可します。

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetAccelerateConfiguration",
                "s3:GetBucketLocation",
                "s3:GetBucketVersioning",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Effect": "Allow"
        }
    ]
}

次のポリシー例は前述のポリシーに似ていますが、File Gateway がアクセスポイントを介してバケットにアクセスするために必要なアクションを実行できるようにします。

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:us-east-1:111122223333:accesspoint/TestAccessPointName/*",
            "Effect": "Allow"
        }
    ]
}

注記

ファイル共有を VPC エンドポイント経由で S3 バケットに接続する必要がある場合は、AWS PrivateLink 「 ユーザーガイド」のAmazon S3のエンドポイントポリシー」を参照してください。

注記

暗号化されたバケットの場合、ファイル共有は送信先 S3 バケットアカウントの キーを使用する必要があります。