S3 Access Grants が提供する認証情報を使用した S3 データへのアクセス
被付与者がアクセス許可を通じて一時的な認証情報を取得 すると、その一時的な認証情報を使用して Amazon S3 API オペレーションを呼び出し、データにアクセスできます。
被付与者は、AWS Command Line Interface (AWS CLI)、AWS SDK、Amazon S3 REST API を使用して、S3 データにアクセスできます。さらに、AWS Python
被付与者は S3 Access Grants から一時的な認証情報を取得したら、その認証情報を使用してプロファイルを設定してデータを取得できます。
AWS CLI をインストールするには、「AWS Command Line Interface ユーザーガイド」の「AWS CLI をインストールする」を参照してください。
次のコマンド例を使用する際は、
をユーザー自身の情報に置き換えます。user input
placeholders
例 – プロファイルを設定する
aws configure set aws_access_key_id "
$accessKey
" --profileaccess-grants-consumer-access-profile
aws configure set aws_secret_access_key "$secretKey
" --profileaccess-grants-consumer-access-profile
aws configure set aws_session_token "$sessionToken
" --profileaccess-grants-consumer-access-profile
次のコマンド例を使用するには、
をユーザー自身の情報に置き換えます。user input
placeholders
例 – S3 データを取得する
被付与者は、get-object AWS CLI コマンドを使用して、データにアクセスできます。被付与者は、put-object、ls、その他の S3 AWS CLI コマンドも使用できます。
aws s3api get-object \ --bucket
amzn-s3-demo-bucket1
\ --keymyprefix
\ --regionus-east-2
\ --profileaccess-grants-consumer-access-profile
このセクションでは、AWS SDK を使用して S3 データにアクセスする方法の例を説明します。
S3 Access Grants でサポートされている S3 アクション
被付与者は、S3 Access Grants によって提供される一時的な認証情報を使用して、アクセスできる S3 データに対して S3 アクションを実行できます。以下は、被付与者が実行できる S3 アクションのリストです。許可されるアクションは、アクセス許可で付与されるアクセス許可のレベル、READ
、WRITE
または READWRITE
によって異なります。
注記
以下に示す Amazon S3 アクセス許可に加えて、Amazon S3 は AWS Key Management Service (AWS KMS) Decrypt (kms:decrypt
) READ
アクセス許可または AWS KMS GenerateDataKey (kms:generateDataKey
) WRITE
アクセス許可を呼び出すことができます。これらのアクセス許可では、AWS KMS キーへの直接アクセスは許可されません。
S3 IAM アクション | API アクションとドキュメント | S3 Access Grants アクセス許可 | S3 リソース |
---|---|---|---|
s3:GetObject |
GetObject | READ |
オブジェクト |
s3:GetObjectVersion |
GetObject | READ |
オブジェクト |
s3:GetObjectAcl |
GetObjectAcl | READ |
オブジェクト |
s3:GetObjectVersionAcl |
GetObjectAcl | READ |
オブジェクト |
s3:ListMultipartUploads |
ListParts | READ |
オブジェクト |
s3:PutObject |
PutObject、CreateMultipartUpload、UploadPart、UploadPartCopy、CompleteMultipartUpload | WRITE |
オブジェクト |
s3:PutObjectAcl |
PutObjectAcl | WRITE |
オブジェクト |
s3:PutObjectVersionAcl |
PutObjectAcl | WRITE |
オブジェクト |
s3:DeleteObject |
DeleteObject | WRITE |
オブジェクト |
s3:DeleteObjectVersion |
DeleteObject | WRITE |
オブジェクト |
s3:AbortMultipartUpload |
AbortMultipartUpload | WRITE |
オブジェクト |
s3:ListBucket |
HeadBucket、ListObjectsV2、ListObjects | READ |
バケット |
s3:ListBucketVersions |
ListObjectVersions | READ |
バケット |
s3:ListBucketMultipartUploads |
ListMultipartUploads | READ |
バケット |