一時資格情報または Role ARN for Amazon S3 のセットアップ

別の IAM ユーザーを Amazon S3 アカウントに追加する代わりに、一時的なセキュリティー資格情報とセッション・トークンを使用してそれらのユーザーにアクセス権限を付与することができます。 または、ロール ARN (Amazon リソース名) を作成し、そのロールにアカウントへのアクセス権限を付与することができます。 その後、トラステッド・ユーザーはロールを使用できます。

一時資格情報に役割ポリシーを割り当てて、許可を制限することができます。 例えば、読み取り専用アクセス権限や、特定の S3 バケットへのアクセス権限を割り当てることができます。

前提条件: Amazon S3 アカウントの IAM 所有者である必要があります。

以下のいずれかの認証の組み合わせをセットアップできます:

  • Access key, Secret key, およびSession token
  • Access key, Secret key, Role ARN, Role session name, およびオプションの Duration seconds
  • Access key, Secret key, Role ARN, Role session name, External ID, およびオプションの Duration seconds

アクセス・キー、秘密鍵、およびセッション・トークン

一時セキュリティー資格情報を取得するには、AWS API で AWS Security Token Service (AWS STS) 操作を使用します。 これらの資格情報は、アクセス・キー、秘密鍵、および構成可能な時間内に有効期限が切れるセッション・トークンで構成されます。 手順については、以下の AWS 資料を参照してください: 一時セキュリティー資格情報の要求

アクセス・キー、秘密鍵、ロール ARN、ロール・セッション名、およびオプションの期間 (秒)

他のユーザーが自分の S3 アカウントを持っている場合は、そのユーザーが自分の S3 アカウントにアクセスするための一時的な役割を作成できます。 AWS マネジメント・コンソールまたは AWS CLI を使用してロールを作成します。 参照先 IAM ユーザーに権限を委任するための役割の作成

ロール ARN は、接続の役割の Amazon リソース名です。
ロール・セッション名 は、 S3 管理者に対してセッションを識別します。 例えば、お客様の IAM ユーザー名です。
期間 (秒) パラメーターはオプションです。 最小は 15 分です。 最大は 36 時間で、デフォルトは 1 時間です。 接続が確立されるたびに期間 (秒)タイマーが開始する。

次に、 アクセス・キー秘密鍵ロール ARNロール・セッション名、およびオプションの 期間 (秒) の値を、接続を作成するユーザーに提供します。

アクセス・キー、秘密鍵、役割 ARN、役割セッション名、外部 ID、およびオプションの期間 (秒)

他のユーザーが自分の S3 アカウントを持っている場合は、そのユーザーが自分の S3 アカウントにアクセスするための一時的な役割を作成できます。 この組み合わせでは、 外部 ID は、ユーザーが指定する固有のストリングであり、セキュリティーを強化するためにユーザーが入力する必要があります。 最初に、AWS マネジメント・コンソールまたは AWS CLI を使用してロールを作成します。 参照先 IAM ユーザーに許可を委任するための役割の作成。 外部 ID を作成するには、 AWS リソースへのアクセス権限をサード・パーティーに付与する際に外部 ID を使用する方法を参照してください。

次に、接続を作成するユーザーに対して、 アクセス・キー秘密鍵ロール ARNロール・セッション名外部 ID、およびオプションの 期間 (秒) の値を提供します。

詳細情報

Amazon Resource Names (ARNs)

親トピック: Amazon S3 接続