S3 Access Grants での許可の使用

S3 Access Grants インスタンス内の個々のアクセス「権限」は、AWS Identity and Access Management (IAM) プリンシパルや、社内ディレクトリのユーザーまたはグループといった特定のアイデンティティに、S3 Access Grants インスタンスに登録されたロケーション内でのアクセスを許可するものです。ロケーションによって、バケットまたはプレフィックスが IAM ロールにマッピングされます。S3 Access Grants は、この IAM ロールを引き受けて被付与者に一時的な認証情報を提供します。

Amazon S3 Access Grants インスタンスに少なくとも 1 つのロケーションを登録すると、アクセス権限を作成できます。

被付与者は、IAM ユーザーまたはロール、またはディレクトリユーザーまたはグループにすることができます。ディレクトリユーザーは、S3 Access Grants インスタンスに関連付けられた、社内ディレクトリまたは外部アイデンティティソースのユーザーです。詳細については、「S3 Access Grants と社内ディレクトリのアイデンティティ」を参照してください。IAM アイデンティティセンターから特定のディレクトリユーザーまたはグループに対する権限を作成するには、IAM アイデンティティセンターでそのユーザーを識別するために使用する GUID (例: a1b2c3d4-5678-90ab-cdef-EXAMPLE11111) を検索します。IAM アイデンティティセンターを使用してユーザー情報を表示する方法については、「AWS IAM Identity Centerユーザーガイド」の「ユーザーとグループの割り当てを表示する」を参照してください。

バケット、プレフィックス、またはオブジェクトへのアクセスを付与できます。Amazon S3 のプレフィックスは、バケット内のオブジェクトを整理するために使用されるオブジェクトキー名の先頭にある文字列です。これには、使用可能な任意の文字列を使用できます。例えば、バケット内の engineering/ プレフィックスで始まるオブジェクトキー名などです。