翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM ポリシーとロールを作成する
ユーザーを作成する際には、ユーザーアクセスについて決定すべきことがいくつもあります。具体的には、ユーザーがどのAmazon S3 バケットまたは Amazon EFS ファイルシステムにアクセスできるようにするか、各 Amazon S3 バケットのどの部分をアクセス可能にするか、ユーザーにどのアクセス許可を与えるか (たとえば、PUT
または GET
) などを決定する必要があります。
アクセスを設定するには、アイデンティティベースの AWS Identity and Access Management (IAM) ポリシーとアクセス情報を提供するロールを作成します。このプロセスの一環として、ユーザーに、ファイルオペレーションの送信先または送信元である Amazon S3 バケットまたは Amazon EFS ファイルシステムへのアクセス権を提供します。これを行うには以下のような手順を実行します。手順については、後で詳しい説明があります。
-
AWS Transfer Family 用の IAM ポリシーを作成するには これについては、で説明していますAWS Transfer Family 用に IAM ロールを作成するには。
-
IAM ロールを作成して、新しいポリシーをアタッチします。以下のポリシー例を参照してください。
セッションポリシーについては、IAM ユーザーガイドの「セッションポリシー」を参照してください。
-
AWS Transfer Family と IAM ロールの間に信頼関係を確立します。これについては、で説明しています信頼関係を確立するには。
以下の手順では、IAM ポリシーおよびロールを作成する方法について説明します。
AWS Transfer Family の IAM ポリシーを作成するには
-
https://console.aws.amazon.com/iam/
で IAM コンソール を開きます。 -
ナビゲーションペインで [Policies] (ポリシー) を選択してから [Create policy] (ポリシーの作成) を選択します。
-
[Create Policy] (ポリシーの作成) ページで [JSON] タブを選択します。
-
エディタが表示されたら、エディタの内容を IAM ロールにアタッチする IAM ポリシーで置き換えます。
読み書きアクセス権を付与するか、またはユーザーをホームディレクトリに制限できます。詳細については、次の例を参照してください。
-
[Review policy] (ポリシーの確認) を選択してポリシーの名前と説明を入力し、[Create policy] (ポリシーの作成) を選択します。
次に、IAM ロールを作成してそれに新しい IAM ポリシーをアタッチします。
AWS Transfer Family 用に IAM ロールを作成するには
-
ナビゲーションペインで [Roles] (ロール) を選択してから [Create role] (ロールの作成) を選択します。
[Create role] (ロールの作成) ページで [AWS service] (サービス) が選択されていることを確認します。
-
サービスリストから [Transfer] (転送) を選択してから [Next: Permissions] (次へ: アクセス許可) を選択します。これにより、AWS Transfer Family と AWS の間で信頼関係が確立されます。
-
[Attach permissions policies] (アクセス許可ポリシーをアタッチする) セクションで、先ほど作成したポリシーを選択して [Next: Tags] (次へ: タグ) を選択します。
-
(オプション) タグのキーと値を入力して [Next: Review] (次へ: レビュー) を選択します。
-
[Review] (レビュー) ページで新しいロールの名前と説明を入力してから [Create role] (ロールの作成) を選択します。
次に、AWS Transfer Family と AWS の間に信頼関係を確立します。
信頼関係を確立するには
この例では、ArnLike
との両方を使用していますArnEquals
。これらは機能的には同じであるため、ポリシーを作成する際にはどちらでも使用できます。Transfer Familyドキュメントでは、ArnLike
条件にワイルドカード文字が含まれている場合、ArnEquals
および完全一致条件を示すために使用されます。
-
IAM コンソールで、作成したロールを選択します。
-
[Summary] (概要) ページで [Trust relationships] (信頼関係) を選択してから [Edit trust relationship] (信頼関係の編集) を選択します。
-
[Edit Trust Relationship] (信頼関係の編集) エディタでサービスが
"transfer.amazonaws.com"
であることを確認します。アクセスポリシーは次のように表示されます。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "transfer.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Confused Deputy Problem (混乱した使節の問題) から自分を守るために、
aws:SourceAccount
およびaws:SourceArn
の条件キーを使用することをお勧めします。ソースアカウントはサーバーの所有者であり、ソース ARN はユーザーの ARN です。例:"Condition": { "StringEquals": { "aws:SourceAccount": "
account_id
" }, "ArnLike": { "aws:SourceArn": "arn:aws:transfer:region
:account_id
:user/*" } }ArnLike
この条件は、ユーザーアカウント内のサーバーではなく特定のサーバーに制限する場合にも使用できます。例:"Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:transfer:
region
:account-id
:user/server-id
/*" } }注記 上記の例では、各
ユーザー入力プレースホルダー
をユーザー自身の情報に置き換えます。混乱している代理問題の詳細とその他の例については、を参照してくださいサービス間の混乱した代理の防止。
-
[Update Trust Policy] (信頼ポリシーの更新) を選択してアクセスポリシーを更新します。
これでユーザーに代わって AWS Transfer Family に AWS サービスを呼び出すことを許可する IAM ロールが作成できました。ロールには、ユーザーにアクセス権を付与するための IAM ポリシーをアタッチしてあります。「チュートリアル: AWS Transfer Family で開始」セクションで、このロールとポリシーを 1 人以上のユーザーに割り当てます。
このトピックですでに説明したとおり、オプションで、ユーザーによるアクセスをホームディレクトリのみに限定するセッションポリシーも作成できます。セッションポリシーの詳細については、「セッションポリシーの例」を参照してください。
IAM ロールに関する一般的な情報については、IAM ユーザーガイドの「AWS サービスにアクセス許可を委任するロールの作成」を参照してください。
Amazon S3 バケットに関するアイデンティティベースのポリシーの詳細については、Amazon Simple Storage Service ユーザーガイドの「Amazon S3 での Identity and Access Management」を参照してください。