S3 Access Grants インスタンスを作成する - Amazon Simple Storage Service

S3 Access Grants インスタンスを作成する

Amazon S3 Access Grants の使用を開始するには、まず S3 Access Grants インスタンスを作成します。作成できるのは、アカウントにつき AWS リージョン ごとに単一の S3 Access Grants インスタンス のみです。S3 Access Grants インスタンスは、登録されたロケーションや権限を含む S3 Access Grants リソースのコンテナとして機能します。

S3 Access Grants を使用すると、AWS Identity and Access Management (IAM) ユーザーとロールに S3 データへのアクセス許可を付与することができます。AWS IAM Identity Center に 社内アイデンティティディレクトリを追加した場合は、社内ディレクトリのこの IAM アイデンティティセンターインスタンスを S3 Access Grants インスタンスに関連付けることができます。その後、社内ユーザーとグループにアクセス権限を作成できます。社内ディレクトリを IAM アイデンティティセンターにまだ追加していない場合は、後で S3 Access Grants インスタンスを IAM アイデンティティセンターインスタンスに関連付けることができます。

Amazon S3 コンソール、AWS Command Line Interface、(AWS CLI)、AWS SDK、または Amazon S3 REST API を使用して S3 Storage Lens グループを作成および管理できます。

S3 Access Grants を使用して S3 データへのアクセスを許可する前に、まず S3 データと同じ AWS リージョン に S3 Access Grants インスタンスを作成する必要があります。

前提条件

社内ディレクトリのアイデンティティを使用して S3 データへのアクセスを許可する場合は、AWS IAM Identity Center に社内アイデンティティディレクトリを追加します。まだ追加の準備が整っていない場合は、後で S3 Access Grants インスタンスを IAM アイデンティティセンターインスタンスに関連付けることができます。

S3 Access Grants インスタンスを作成するには

  1. AWS Management Console にサインインし、Amazon S3 コンソール (https://console.aws.amazon.com/s3/) を開きます。

  2. ナビゲーションバーで、現在表示されている AWS リージョン の名前をクリックします。次に、切り替え先のリージョンを選択します。

  3. 左側のナビゲーションペインで、[Access Grants] を選択します。

  4. [S3 Access Grants] ページで、[Create S3 Access Grants instance] をクリックします。

    1. [Access Grants インスタンスをセットアップ] ウィザードの [ステップ 1] で、現在の AWS リージョン でインスタンスを作成することを確認します。S3 データが配置されているのと同じ AWS リージョン であることを確認します。作成できるのは、アカウントにつき AWS リージョン ごとに単一の S3 Access Grants インスタンス です。

    2. (オプション) AWS IAM Identity Center に 社内アイデンティティディレクトリを追加した場合は、社内ディレクトリのこの IAM アイデンティティセンターインスタンスを S3 Access Grants インスタンスに関連付けることができます。

      これを実行するには、[Add IAM Identity Center instance in region] を選択します。次に、IAM アイデンティティセンターインスタンスの Amazon リソースネーム (ARN) を入力します。

      社内ディレクトリを IAM アイデンティティセンターにまだ追加していない場合は、後で S3 Access Grants インスタンスを IAM アイデンティティセンターインスタンスに関連付けることができます。

    3. S3 Access Grants インスタンスを作成するには、[次へ] をクリックします。ロケーションの登録については、「ステップ 2 - ロケーションを登録する」を参照してください。

  5. [次へ] または [Create S3 Access Grants instance] が無効になっている場合:

    インスタンスは作成できません

    • 同じ AWS リージョン に S3 Access Grants インスタンスが既にある可能性があります。左側のナビゲーションペインで、[Access Grants] を選択します。[S3 Access Grants] ページで、[S3 Access Grants instance in your account] セクションまで下にスクロールして、インスタンスが既に存在しているかを確認します。

    • S3 Access Grants インスタンスを作成するのに必要な s3:CreateAccessGrantsInstance アクセス許可がない可能性があります。アカウント管理者に連絡してください。IAM アイデンティティセンターインスタンスを S3 Access Grants インスタンスに関連付ける場合に必要な追加のアクセス許可については、「CreateAccessGrantsInstance」を参照してください。

AWS CLI をインストールするには、「AWS Command Line Interface ユーザーガイド」の「AWS CLI をインストールする」を参照してください。

次のコマンド例を使用するには、user input placeholders をユーザー自身の情報に置き換えます。

例 S3 Access Grants インスタンスを作成する 
aws s3control create-access-grants-instance \
--account-id 111122223333 \
--region us-east-2

レスポンス:

{
    "CreatedAt": "2023-05-31T17:54:07.893000+00:00",
    "AccessGrantsInstanceId": "default",
    "AccessGrantsInstanceArn": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}

Amazon S3 REST API を使用して S3 Access Grants インスタンスを作成できます。REST API での ACL の管理のサポートの詳細については、「Amazon Simple Storage Service API リファレンス」の次のセクションを参照してください。

このセクションでは、AWS SDK を使用して S3 Access Grants インスタンスを作成する方法の例を説明します。

Java

この例では、個別のアクセス許可のコンテナとして機能する S3 Access Grants インスタンスを作成します。作成できるのは、アカウントにつき AWS リージョン ごとに単一の S3 Access Grants インスタンスです。応答には、S3 Access Grants インスタンス用に生成されたインスタンス ID default と Amazon リソースネーム (ARN) が含まれます。

例 S3 Access Grants インスタンスリクエストを作成する
public void createAccessGrantsInstance() {
CreateAccessGrantsInstanceRequest createRequest = CreateAccessGrantsInstanceRequest.builder().accountId("111122223333").build();
CreateAccessGrantsInstanceResponse createResponse = s3Control.createAccessGrantsInstance(createRequest);LOGGER.info("CreateAccessGrantsInstanceResponse: " + createResponse);
}

レスポンス:

CreateAccessGrantsInstanceResponse(
CreatedAt=2023-06-07T01:46:20.507Z,
AccessGrantsInstanceId=default,
AccessGrantsInstanceArn=arn:aws:s3:us-east-2:111122223333:access-grants/default)
トピック