Amazon S3のアクセスに必要な最低限のIAMポリシーの設定
JPCYBER S3 Drive で AWS Amazon S3 ストレージにアクセスするための必要最低限の IAM ポリシーの設定は以下のように設定してください。
バケット名(my-bucket)は適宜置き換えてください。
■ 読み取り専用な必要最低限の IAM ポリシー
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::my-bucket"
},
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::my-bucket/*"
}
]
}
■ 読み書き可能な必要最低限の IAM ポリシー
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::my-bucket"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:DeleteObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::my-bucket/*"
}
]
}
ただし、上記の IAM ポリシーでは Amazon S3 バケットのマウントの際にバケットの一覧は表示されませんので、バケット名を直接手で入力する必要があります。マウント時にバケット一覧も表示したい場合は、以下のように "s3:ListAllMyBuckets" も追加で許可してください。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets", <= マウント時にバケット一覧を表示したい場合に必要
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::my-bucket"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:DeleteObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::my-bucket/*"
}
]
}
なお、Amazon S3 バケットでバージョニングの設定を有効にしている場合、または JPCYBER S3 Drive のオプション設定で ACL のオプションを有効にしている場合は、追加の S3 アクセス権限が必要になりますので、以下のように IAM ポリシーの設定を追加してください。
■ 読み書き可能な必要最低限の IAM ポリシー(バージョニング有効時、ACL オプション有効時)
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets", <= マウント時にバケット一覧を表示したい場合に必要
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListBucketVersions" <=「以前のバージョンの復元」機能を使用する場合に必要
],
"Resource": "arn:aws:s3:::my-bucket"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:DeleteObject",
"s3:PutObject",
"s3:GetObjectVersion", <= バージョニングの設定を有効にしている場合に必要
"s3:DeleteObjectVersion", <= Wasabi オブジェクトストレージをマウントする場合に必要
"s3:GetObjectACL", <= ACL オプションを有効にしている場合に必要
"s3:PutObjectACL" <= ACL オプションを有効にしている場合に必要
],
"Resource": "arn:aws:s3:::my-bucket/*"
}
]
}