別の IAM ユーザーを Amazon S3 アカウントに追加する代わりに、一時的なセキュリティー資格情報とセッション・トークンを使用してそれらのユーザーにアクセス権限を付与することができます。 または、ロール ARN (Amazon リソース名) を作成し、そのロールにアカウントへのアクセス権限を付与することができます。 その後、トラステッド・ユーザーはロールを使用できます。
一時資格情報に役割ポリシーを割り当てて、許可を制限することができます。 例えば、読み取り専用アクセス権限や、特定の S3 バケットへのアクセス権限を割り当てることができます。
以下のいずれかの認証の組み合わせをセットアップできます:
- Access key, Secret key, およびSession token
- Access key, Secret key, Role ARN, Role session name, およびオプションの Duration seconds
- Access key, Secret key, Role ARN, Role session name, External ID, およびオプションの Duration seconds
アクセス・キー、秘密鍵、およびセッション・トークン
一時セキュリティー資格情報を取得するには、AWS API で AWS Security Token Service (AWS STS) 操作を使用します。 これらの資格情報は、アクセス・キー、秘密鍵、および構成可能な時間内に有効期限が切れるセッション・トークンで構成されます。 手順については、 AWS の資料「 Requesting temporary security credentials」を参照してください。
アクセス・キー、秘密鍵、ロール ARN、ロール・セッション名、およびオプションの期間 (秒)
他のユーザーが自分の S3 アカウントを持っている場合は、そのユーザーが自分の S3 アカウントにアクセスするための一時的な役割を作成できます。 AWS マネジメント・コンソールまたは AWS CLI を使用してロールを作成します。 IAMユーザーに権限を委譲するロールの作成」を参照してください。
ロール ARN は、接続の役割の Amazon リソース名です。
ロール・セッション名 は、 S3 管理者に対してセッションを識別します。 例えば、お客様の IAM ユーザー名です。
期間 (秒) パラメーターはオプションです。 最小は 15 分です。 最大は 36 時間で、デフォルトは 1 時間です。 接続が確立されるたびに期間 (秒)タイマーが開始する。
次に、 アクセス・キー、 秘密鍵、 ロール ARN、 ロール・セッション名、およびオプションの 期間 (秒) の値を、接続を作成するユーザーに提供します。
アクセス・キー、秘密鍵、役割 ARN、役割セッション名、外部 ID、およびオプションの期間 (秒)
他のユーザーが自分の S3 アカウントを持っている場合は、そのユーザーが自分の S3 アカウントにアクセスするための一時的な役割を作成できます。 この組み合わせでは、 外部 ID は、ユーザーが指定する固有のストリングであり、セキュリティーを強化するためにユーザーが入力する必要があります。 最初に、AWS マネジメント・コンソールまたは AWS CLI を使用してロールを作成します。 IAM ユーザーに許可を委任するための役割の作成を参照してください。 外部 ID を作成するには、 サード・パーティーに AWS リソースへのアクセス権限を付与する際に外部 ID を使用する方法を参照してください。
次に、接続を作成するユーザーに対して、 アクセス・キー、 秘密鍵、 ロール ARN、 ロール・セッション名、 外部 ID、およびオプションの 期間 (秒) の値を提供します。
詳細情報
親トピック: Amazon S3 接続