IAM ポリシーとロールを作成する - AWS Transfer Family

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM ポリシーとロールを作成する

ユーザーを作成する際には、ユーザーアクセスについて決定すべきことがいくつもあります。具体的には、ユーザーがどのAmazon S3 バケットまたは Amazon EFS ファイルシステムにアクセスできるようにするか、各 Amazon S3 バケットのどの部分をアクセス可能にするか、ユーザーにどのアクセス許可を与えるか (たとえば、PUT または GET) などを決定する必要があります。

アクセスを設定するには、アイデンティティベースの AWS Identity and Access Management (IAM) ポリシーとアクセス情報を提供するロールを作成します。このプロセスの一環として、ユーザーに、ファイルオペレーションの送信先または送信元である Amazon S3 バケットまたは Amazon EFS ファイルシステムへのアクセス権を提供します。これを行うには以下のような手順を実行します。手順については、後で詳しい説明があります。

  1. AWS Transfer Family 用の IAM ポリシーを作成するには

  2. IAM ロールを作成して、新しいポリシーをアタッチします。以下のポリシー例を参照してください。

    セッションポリシーについては、IAM ユーザーガイドの「セッションポリシー」を参照してください。

  3. AWS Transfer Family と IAM ロールの間に信頼関係を確立します。

以下の手順では、IAM ポリシーおよびロールを作成する方法について説明します。

AWS Transfer Family の IAM ポリシーを作成するには

  1. https://console.aws.amazon.com/iam/ で IAM コンソール を開きます。

  2. ナビゲーションペインで [Policies] (ポリシー) を選択してから [Create policy] (ポリシーの作成) を選択します。

  3. [Create Policy] (ポリシーの作成) ページで [JSON] タブを選択します。

  4. エディタが表示されたら、エディタの内容を IAM ロールにアタッチする IAM ポリシーで置き換えます。

    読み書きアクセス権を付与するか、またはユーザーをホームディレクトリに制限できます。詳細については、次の例を参照してください。

  5. [Review policy] (ポリシーの確認) を選択してポリシーの名前と説明を入力し、[Create policy] (ポリシーの作成) を選択します。

次に、IAM ロールを作成してそれに新しい IAM ポリシーをアタッチします。

AWS Transfer Family 用に IAM ロールを作成するには

  1. ナビゲーションペインで [Roles] (ロール) を選択してから [Create role] (ロールの作成) を選択します。

    [Create role] (ロールの作成) ページで [AWS service] (サービス) が選択されていることを確認します。

  2. 選択してください転送サービスリストからを選択し、次へ: アクセス許可. これにより、AWS Transfer Family と AWS の間で信頼関係が確立されます。

  3. の中に許可ポリシーのアタッチセクションで、先ほど作成したポリシーを選択して [Storage] (ポリシーを選択してから) を選択します。次へ: タグ

  4. (オプション) タグのキーと値を入力し、次へ: 確認.

  5. [Review] (レビュー) ページで新しいロールの名前と説明を入力してから [Create role] (ロールの作成) を選択します。

次に、AWS Transfer Family と AWS の間に信頼関係を確立します。

信頼関係を確立するには

注記

この例では、両方を使用します。ArnLikeそしてArnEquals。これらは機能的には同じなので、ポリシーを作成する際にはどちらを使用してもかまいません。Transfer FamilyArnLike条件にワイルドカード文字が含まれている場合、ArnEquals完全一致条件を示すためです。

  1. IAM コンソールで、作成したロールを選択します。

  2. [Summary] (概要) ページで [Trust relationships] (信頼関係) を選択してから [Edit trust relationship] (信頼関係の編集) を選択します。

  3. [Edit Trust Relationship] (信頼関係の編集) エディタでサービス"transfer.amazonaws.com" であることを確認します。アクセスポリシーは次のように表示されます。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "transfer.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Confused Deputy Problem (混乱した使節の問題) から自分を守るために、aws:SourceAccount および aws:SourceArn の条件キーを使用することをお勧めします。ソースアカウントはサーバーの所有者であり、ソース ARN はユーザーの ARN です。例:

    "Condition": {
    "StringEquals": {
        "aws:SourceAccount": "account_id"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:aws:transfer:region:account_id:user/*"
    }
}

    また、を使用することもできますArnLikeユーザーアカウント内のサーバーではなく、特定のサーバーに制限したい場合の条件。例: 

    "Condition": {    
    "ArnLike": {
        "aws:SourceArn": "arn:aws:transfer:region:account-id:user/server-id/*"
    }
}
    注記

    上の例では、それぞれを置き換えてくださいユーザー入力プレースホルダー自分の情報で。

    混乱した副問題の詳細とその他の例については、サービス間の混乱した代理の防止

  4. [Update Trust Policy] (信頼ポリシーの更新) を選択してアクセスポリシーを更新します。

これでユーザーに代わって AWS Transfer Family に AWS サービスを呼び出すことを許可する IAM ロールが作成できました。ロールには、ユーザーにアクセス権を付与するための IAM ポリシーをアタッチしてあります。「チュートリアル: AWS Transfer Family で開始」セクションで、このロールとポリシーを 1 人以上のユーザーに割り当てます。

このトピックですでに説明したとおり、オプションで、ユーザーによるアクセスをホームディレクトリのみに限定するセッションポリシーも作成できます。セッションポリシーの詳細については、「セッションポリシーの例」を参照してください。

IAM ロールに関する一般的な情報については、IAM ユーザーガイドの「AWS サービスにアクセス許可を委任するロールの作成」を参照してください。

Amazon S3 バケットに関するアイデンティティベースのポリシーの詳細については、Amazon Simple Storage Service ユーザーガイドの「Amazon S3 での Identity and Access Management」を参照してください。