IAM ポリシーとロールを作成する - AWS Transfer Family

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM ポリシーとロールを作成する

ユーザーを作成する際には、ユーザーアクセスについて決定すべきことがいくつもあります。具体的には、ユーザーがどのAmazon S3 バケットまたは Amazon EFS ファイルシステムにアクセスできるようにするか、各 Amazon S3 バケットのどの部分をアクセス可能にするか、ユーザーにどのアクセス許可を与えるか (たとえば、PUT または GET) などを決定する必要があります。

アクセスを設定するには、アイデンティティベースの AWS Identity and Access Management (IAM) ポリシーとアクセス情報を提供するロールを作成します。このプロセスの一環として、ユーザーに、ファイルオペレーションの送信先または送信元である Amazon S3 バケットまたは Amazon EFS ファイルシステムへのアクセス権を提供します。これを行うには以下のような手順を実行します。手順については、後で詳しい説明があります。

  1. AWS Transfer Family 用の IAM ポリシーを作成するには これについては、で説明していますAWS Transfer Family 用に IAM ロールを作成するには

  2. IAM ロールを作成して、新しいポリシーをアタッチします。以下のポリシー例を参照してください。

    セッションポリシーについては、IAM ユーザーガイドの「セッションポリシー」を参照してください。

  3. AWS Transfer Family と IAM ロールの間に信頼関係を確立します。これについては、で説明しています信頼関係を確立するには

以下の手順では、IAM ポリシーおよびロールを作成する方法について説明します。

AWS Transfer Family の IAM ポリシーを作成するには

  1. https://console.aws.amazon.com/iam/ で IAM コンソール を開きます。

  2. ナビゲーションペインで [Policies] (ポリシー) を選択してから [Create policy] (ポリシーの作成) を選択します。

  3. [Create Policy] (ポリシーの作成) ページで [JSON] タブを選択します。

  4. エディタが表示されたら、エディタの内容を IAM ロールにアタッチする IAM ポリシーで置き換えます。

    読み書きアクセス権を付与するか、またはユーザーをホームディレクトリに制限できます。詳細については、次の例を参照してください。

  5. [Review policy] (ポリシーの確認) を選択してポリシーの名前と説明を入力し、[Create policy] (ポリシーの作成) を選択します。

次に、IAM ロールを作成してそれに新しい IAM ポリシーをアタッチします。

AWS Transfer Family 用に IAM ロールを作成するには

  1. ナビゲーションペインで [Roles] (ロール) を選択してから [Create role] (ロールの作成) を選択します。

    [Create role] (ロールの作成) ページで [AWS service] (サービス) が選択されていることを確認します。

  2. サービスリストから [Transfer] (転送) を選択してから [Next: Permissions] (次へ: アクセス許可) を選択します。これにより、AWS Transfer Family と AWS の間で信頼関係が確立されます。

  3. [Attach permissions policies] (アクセス許可ポリシーをアタッチする) セクションで、先ほど作成したポリシーを選択して [Next: Tags] (次へ: タグ) を選択します。

  4. (オプション) タグのキーと値を入力して [Next: Review] (次へ: レビュー) を選択します。

  5. [Review] (レビュー) ページで新しいロールの名前と説明を入力してから [Create role] (ロールの作成) を選択します。

次に、AWS Transfer Family と AWS の間に信頼関係を確立します。

信頼関係を確立するには
注記

この例では、ArnLikeとの両方を使用していますArnEquals。これらは機能的には同じであるため、ポリシーを作成する際にはどちらでも使用できます。Transfer Familyドキュメントでは、ArnLike条件にワイルドカード文字が含まれている場合、ArnEqualsおよび完全一致条件を示すために使用されます。

  1. IAM コンソールで、作成したロールを選択します。

  2. [Summary] (概要) ページで [Trust relationships] (信頼関係) を選択してから [Edit trust relationship] (信頼関係の編集) を選択します。

  3. [Edit Trust Relationship] (信頼関係の編集) エディタでサービス"transfer.amazonaws.com" であることを確認します。アクセスポリシーは次のように表示されます。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "transfer.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Confused Deputy Problem (混乱した使節の問題) から自分を守るために、aws:SourceAccount および aws:SourceArn の条件キーを使用することをお勧めします。ソースアカウントはサーバーの所有者であり、ソース ARN はユーザーの ARN です。例:

    "Condition": {
    "StringEquals": {
        "aws:SourceAccount": "account_id"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:aws:transfer:region:account_id:user/*"
    }
}

    ArnLikeこの条件は、ユーザーアカウント内のサーバーではなく特定のサーバーに制限する場合にも使用できます。例: 

    "Condition": {    
    "ArnLike": {
        "aws:SourceArn": "arn:aws:transfer:region:account-id:user/server-id/*"
    }
}
    注記

    上記の例では、各ユーザー入力プレースホルダーをユーザー自身の情報に置き換えます。

    混乱している代理問題の詳細とその他の例については、を参照してくださいサービス間の混乱した代理の防止

  4. [Update Trust Policy] (信頼ポリシーの更新) を選択してアクセスポリシーを更新します。

これでユーザーに代わって AWS Transfer Family に AWS サービスを呼び出すことを許可する IAM ロールが作成できました。ロールには、ユーザーにアクセス権を付与するための IAM ポリシーをアタッチしてあります。「チュートリアル: AWS Transfer Family で開始」セクションで、このロールとポリシーを 1 人以上のユーザーに割り当てます。

このトピックですでに説明したとおり、オプションで、ユーザーによるアクセスをホームディレクトリのみに限定するセッションポリシーも作成できます。セッションポリシーの詳細については、「セッションポリシーの例」を参照してください。

IAM ロールに関する一般的な情報については、IAM ユーザーガイドの「AWS サービスにアクセス許可を委任するロールの作成」を参照してください。

Amazon S3 バケットに関するアイデンティティベースのポリシーの詳細については、Amazon Simple Storage Service ユーザーガイドの「Amazon S3 での Identity and Access Management」を参照してください。