Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

Storage Browser for S3 の設定

PDF
RSS
フォーカスモード
Storage Browser for S3 の設定 - Amazon Simple Storage Service
方法 1: 顧客およびサードパーティーパートナーのデータアクセスの管理方法 2: AWS アカウント用 IAM プリンシパルのデータアクセスの管理方法 3: 大規模なデータアクセスの管理

エンドユーザーを Amazon S3 の場所に接続するには、まず認証と認可の方法を設定する必要があります。Storage Browser で認証と認可の方法を設定するには、次の 3 つの方法があります。

方法 1: 顧客およびサードパーティーパートナーのデータアクセスの管理

この方法では、AWS Amplify Auth を使用してファイルのアクセスコントロールとセキュリティを管理できます。この方法は、顧客またはサードパーティーのパートナーを S3 のデータに接続する場合に最適です。このオプションを使用すると、顧客はソーシャル ID プロバイダーまたはエンタープライズ ID プロバイダーを使用して認証できます。

Amplify Storage を使用するように設定された S3 バケットで AWS Amplify Auth を使用して、エンドユーザーとサードパーティーのパートナーに IAM 認証情報を提供します。AWS AmplifyAuth は、フルマネージドの顧客 ID およびアクセス管理サービスである Amazon Cognito 上に構築されており、組み込みのユーザーディレクトリまたはエンタープライズディレクトリ、またはコンシューマー ID プロバイダーからユーザーを認証および認可できます。Amplify 認可モデルは、現在の認証済みユーザーがアクセスできるプレフィックスを定義します。AWS Amplify に対する認可を設定する方法の詳細については、「Set up storage」を参照してください。

Amplify 認証およびストレージメソッドを使用してコンポーネントを初期化するには、ウェブアプリケーションに次のコードスニペットを追加します。

import {
  createAmplifyAuthAdapter,
  createStorageBrowser,
} from '@aws-amplify/ui-react-storage/browser';
import "@aws-amplify/ui-react-storage/styles.css";

import config from './amplify_outputs.json';

Amplify.configure(config);

export const { StorageBrowser } = createStorageBrowser({
  config: createAmplifyAuthAdapter(),
});

方法 2: AWS アカウント用 IAM プリンシパルのデータアクセスの管理

IAM プリンシパルまたは AWS アカウントへのアクセスを直接管理する場合は、GetDataAccess S3 API オペレーションを呼び出すアクセス許可を持つ IAM ロールを作成できます。これを設定するには、S3 Access Grants インスタンスを作成して、S3 バケットとプレフィックスのアクセス許可を指定された IAM ID にマッピングする必要があります。Storage Browser コンポーネント (IAM 認証情報を取得した後にクライアント側で呼び出す必要がある) は、次に ListCallerAccessGrants S3 API オペレーションを呼び出して、ID リクエスタに使用可能な権限を取得し、コンポーネント内の場所を入力します。s3:GetDataAccess アクセス許可を取得すると、Storage Browser コンポーネントはそれらの認証情報を使用して S3 へのデータアクセスをリクエストします。

import {
  createManagedAuthAdapter,
  createStorageBrowser,
} from '@aws-amplify/ui-react-storage/browser';
import "@aws-amplify/ui-react-storage/styles.css";

export const { StorageBrowser } = createStorageBrowser({
  config: createManagedAuthAdapter({
    credentialsProvider: async (options?: { forceRefresh?: boolean }) => {
      // return your credentials object
      return {
        credentials: {
          accessKeyId: 'my-access-key-id',
          secretAccessKey: 'my-secret-access-key',
          sessionToken: 'my-session-token',
          expiration: new Date()
        },
      }
    },
    // AWS `region` and `accountId`
    region: '',
    accountId: '',
    // call `onAuthStateChange` when end user auth state changes 
    // to clear sensitive data from the `StorageBrowser` state
    registerAuthListener: (onAuthStateChange) => {},
  })
});

方法 3: 大規模なデータアクセスの管理

S3 Access Grants インスタンスを IAM アイデンティティセンターに関連付けて、よりスケーラブルなソリューション (会社全体にデータアクセスを提供するなど) を行う場合は、現在の認証済みユーザーに代わって Amazon S3 にデータをリクエストできます。例えば、企業ディレクトリ内のユーザーグループに S3 内のデータへのアクセスを許可できます。このアプローチにより、Microsoft Entra、Okta などの外部プロバイダーでホストされているアクセス許可など、ユーザーとグループの S3 Access Grants アクセス許可を一元管理できます。

この方法を使用する場合、IAM アイデンティティセンターとの統合により、既存のユーザーディレクトリを使用できます。IAM アイデンティティセンターの信頼できる ID の伝播のもう 1 つの利点は、Amazon S3 の AWS CloudTrail データイベントそれぞれに、S3 データにアクセスしたエンドユーザー ID への直接参照が含まれていることです。

OAuth 2.0 をサポートするアプリケーションがあり、ユーザーがこれらのアプリケーションから AWS サービスにアクセスする必要がある場合、信頼できる ID の伝播を使用することをお勧めします。信頼できる ID の伝播を使用すると、ユーザーはアプリケーションにサインインでき、そのアプリケーションは AWS サービス内のデータにアクセスするすべてのリクエストにユーザーの ID を渡すことができます。このアプリケーションは、認証されたユーザーに代わって IAM アイデンティティセンターとやり取りします。詳細については、「Using trusted identity propagation with customer managed applications」を参照してください。

セットアップ

S3 Access GrantsIAM アイデンティティセンターの信頼できる ID 伝播を使用して AWS Management Console で Storage Browser 認証を設定するには、アプリケーションが現在の認証済みユーザーに代わって Amazon S3 にデータをリクエストする必要があります。この方法では、企業ディレクトリのユーザーまたはユーザーのグループに S3 バケット、プレフィックス、またはオブジェクトへの直接アクセスを許可できます。つまり、アプリケーションはユーザーを IAM プリンシパルにマッピングする必要はありません。

次のワークフローは、IAM アイデンティティセンターと S3 Access Grants を使用して Storage Browser for S3 を設定する手順の概要を示しています。

ステップ 説明
1 AWS Organizations で IAM アイデンティティセンターを有効にする
2 AWS Identity and Access Management アイデンティティセンターフェデレーションを設定する
3 AWS Identity and Access Management アイデンティティセンターコンソールで信頼できるトークン発行者を追加する

信頼されたトークン発行者は、IAM アイデンティティセンター内の外部 ID プロバイダー (IdP) を表し、アプリケーションの認証済みユーザーの ID トークンを認識できるようにします。
4 bootstrap アプリケーションと identity bearer 用の IAM ロールを作成する
5 IAM アイデンティティセンターでアプリケーションを作成および設定する

このアプリケーションは、認証されたユーザーに代わって IAM アイデンティティセンターとやり取りします。
6 S3 Access Grants を ID 伝播用の信頼されたアプリケーションとして追加する

このステップでは、アプリケーションを S3 Access Grants に接続し、認証されたユーザーに代わって S3 Access Grants にリクエストできるようにします。
7 ユーザーまたはグループへの許可を作成する

このステップでは、AWS Identity and Access Management アイデンティティセンターのユーザーをクロスドメインアイデンティティ管理 (SCIM) のシステムと同期します。SCIM は、IAM アイデンティティセンターの ID と ID プロバイダー (IdP) の ID を同期させます。
8 Storage Browser for S3 コンポーネントを作成する

AWS Organizations で IAM アイデンティティセンターを有効にする

IAM アイデンティティセンターを有効にするには、以下の手順に従います。

  1. 次のいずれかの方法を使用して、AWS Management Consoleにサインインします。

    1. [新規の AWS (ルートユーザー)] [ルートユーザー] を選択し、AWS アカウント E メールアドレスを入力して、アカウント所有者としてサインインします。次のページでパスワードを入力します。

    2. [既に使用している AWS (IAM 認証情報)] 管理者権限を持つ IAM 認証情報を使用してサインインします。

  2. IAM Identity Center コンソール を開きます。

  3. [IAM Identity Center を有効にする] で、[有効にする] を選択します。

    注記

    IAM アイデンティティセンターには AWS Organizations の設定が必要です。組織をまだ設定していない場合は、AWS が作成するように選択できます。このプロセスを完了するには、 AWS 組織の作成 を選択します。

  4. [AWS Organizations で有効化] を選択します。

  5. [続行] をクリックしてください。

  6. (オプション) この組織インスタンスに関連付けるタグを追加します。

  7. (オプション) 委任管理を設定します。

    注記

    マルチアカウント環境を使用している場合は、委任管理を設定することをお勧めします。委任管理では、AWS Organizations の管理アカウントへのアクセスを必要とするユーザーの数を制限できます。詳細については、「Delegated admin」を参照してください。

  8. [保存] を選択します。

AWS Organizations は、管理アカウントに関連付けられているアドレスに確認 E メールを自動的に送信します。検証 E メールの受信には時間がかかる場合があります。検証 E メールの有効期限が切れる前に、必ず 24 時間以内に E メールアドレスを確認してください。

AWS Identity and Access Management アイデンティティセンターフェデレーションを設定する

企業ディレクトリユーザーで Storage Browser for S3 を使用するには、外部 ID プロバイダー (IdP) を使用するように IAM アイデンティティセンターを設定する必要があります。選択した推奨 ID プロバイダーを使用できます。ただし、各 ID プロバイダーは異なる構成設定を使用することに注意してください。さまざまな外部 ID プロバイダーの使用に関するチュートリアルについては、「IAM Identity Center source tutorials」を参照してください。

注記

設定した ID プロバイダーの発行者 URL と対象者属性は、後のステップで参照する必要があるため、必ず記録してください。IdP の設定に必要なアクセス許可またはアクセス許可がない場合は、外部 IdP の管理者に連絡して取得する必要がある場合があります。

AWS Identity and Access Management アイデンティティセンターコンソールで信頼できるトークン発行者を追加する

信頼できるトークン発行者は、AWS Identity and Access Management アイデンティティセンターの外部 ID プロバイダーを表し、アプリケーションの認証済みユーザーのトークンを認識します。AWS Organizations の IAM アイデンティティセンターインスタンスのアカウント所有者は、以下の手順を実行する必要があります。これらの手順は、IAM アイデンティティセンターコンソールまたはプログラムで実行できます。

AWS Identity and Access Management アイデンティティセンターコンソールで信頼できるトークン発行者を追加するには、次の手順を実行します。

  1. IAM Identity Center コンソール を開きます。

  2. [設定] を選択します。

  3. [認証] タブを選択します。

  4. [信頼できるトークン発行者] セクションに移動し、次の詳細を入力します。

    1. [発行者 URL] に、信頼できるトークン発行者として機能する外部 IdP の URL を入力します。この情報を取得するには、外部 IdP の管理者に連絡する必要がある場合があります。詳細については、「Using applications with a trusted token issuer」を参照してください。

    2. [信頼できるトークン発行者名] に、信頼できるトークン発行者の名前を入力します。この名前は、アプリケーションリソースが ID の伝播用に設定されている場合、ステップ 8 で選択できる信頼できるトークン発行者のリストに表示されます。

  5. [マップ属性] を任意のアプリケーション属性に更新します。ここで、各 ID プロバイダー属性は IAM アイデンティティセンター属性にマッピングされます。例えば、IAM アイデンティティセンターのユーザー属性 emailアプリケーション属性 email をマッピングする場合があります。IAM アイデンティティセンターで許可されるユーザー属性のリストを確認するには、「Attribute mappings for AWS Managed Microsoft AD directory」の表を参照してください。

  6. (オプション) リソースタグを追加する場合は、キーと値のペアを入力します。複数のリソースタグを追加するには、[新しいタグを追加] を選択して新しいエントリを生成し、キーと値のペアを入力します。

  7. [信頼できるトークン発行者を作成] を選択します。

  8. 信頼できるトークン発行者の作成が完了したら、アプリケーション管理者に連絡して信頼できるトークン発行者の名前を伝えて、管理者が信頼できるトークン発行者が該当するコンソールに表示されることを確認できるようにします。

  9. アプリケーション管理者が、必ず該当するコンソールでこの信頼できるトークン発行者を選択していることを確認してください。これにより、信頼できる ID が伝播されるように構成されたアプリケーションからユーザーがアプリケーションにアクセスできるようになります。

bootstrap アプリケーションと identity bearer 用の IAM ロールを作成する

bootstrap アプリケーションと identity bearer ユーザーが適切に連携できるようにするには、必ず IAM ロールを 2 つ作成してください。bootstrap アプリケーションに 1 つの IAM ロールが必要であり、ID ベアラー、つまり S3 Access Grants を介してアクセスをリクエストするウェブアプリケーションにアクセスするエンドユーザーがもう 1 つの IAM ロールを使用する必要があります。bootstrap アプリケーションは、ID プロバイダーによって発行されたトークンを受け取り、CreateTokenWithIAM API を呼び出し、このトークンをアイデンティティセンターによって発行されたトークンと交換します。

次のようなアクセス許可を持つ bootstrap-role などの IAM ロールを作成します。次の IAM ポリシーの例では、トークン交換を実行するためのアクセス許可を bootstrap-role に付与します。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Action": [
            "sso-oauth:CreateTokenWithIAM",
        ],
        "Resource": "arn:${Partition}:sso::${AccountId}:application/${InstanceId}/${ApplicationId}",
        "Effect": "Allow"
    },
    {
        "Action": [
            "sts:AssumeRole",
            "sts:SetContext"
        ],
        "Resource": "arn:aws:iam::${AccountId}:role/identity-bearer-role",
        "Effect": "Allow"
    }]
}

次に、ID ブローカーが IAM 認証情報の生成に使用する、2 番目の IAM ロール (identity-bearer-role など) を作成します。ID ブローカーからウェブアプリケーションに返される IAM 認証情報は、S3 データへのアクセスを許可するために Storage Browser for S3 コンポーネントによって使用されます。

{
    "Action": [
        "s3:GetDataAccess",
        "s3:ListCallerAccessGrants",
    ],
    "Resource": "arn:${Partition}:s3:${Region}:${Account}:access-grants/default",
    "Effect": "Allow"
}

この IAM ロール (identity-bearer-role) は、次のステートメントを含む信頼ポリシーを使用する必要があります。

{
   "Effect": "Allow",
   "Principal": {
      "AWS": "arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}"
   },
   "Action": [
       "sts:AssumeRole",
       "sts:SetContext"
   ]
}

IAM アイデンティティセンターでアプリケーションを作成および設定する

注記

開始する前に、前のステップで必要な IAM ロールが作成されていることを確認してください。このステップでは、これらの IAM ロールのいずれかを指定する必要があります。

AWS IAM アイデンティティセンターでカスタマーマネージドアプリケーションを作成して設定するには、次の手順を実行します。

  1. IAM Identity Center コンソール を開きます。

  2. [Applications] (アプリケーション) を選択します。

  3. [カスタマーマネージド] タブを選択します。

  4. [アプリケーションの追加] を選択します。

  5. [アプリケーションタイプを選択] ページの [セットアッププリファレンス] で、[セットアップしたいアプリケーションがある] を選択します。

  6. [アプリケーションタイプ] で [OAuth 2.0] を選択します。

  7. [次へ] を選択します。[アプリケーションを指定] ページが表示されます。

  8. [アプリケーションの名前と説明] セクションで、storage-browser-oauth のようなアプリケーションの [表示名] を入力します。

  9. [Description] を入力します。アプリケーションの説明は IAM アイデンティティセンターコンソールと API リクエストに表示されますが、AWS アクセスポータルには表示されません。

  10. [ユーザーとグループの割り当て方法] で、[割り当ては不要] を選択します。このオプションは、権限のあるすべての IAM アイデンティティセンターユーザーとグループにこのアプリケーションへのアクセスを許可します。

  11. [AWS アクセスポータル] で、ユーザーがアプリケーションにアクセスできるアプリケーション URL を入力します。

  12. (オプション) リソースタグを追加する場合は、キーと値のペアを入力します。複数のリソースタグを追加するには、[新しいタグを追加] を選択して新しいエントリを生成し、キーと値のペアを入力します。

  13. [次へ] を選択します。[認証の指定ページ] が表示されます。

  14. [信頼できるトークン発行者による認証] で、チェックボックスを使用して、以前に作成した信頼できるトークン発行者を選択します。

  15. [選択した信頼できるトークン発行者を設定] で、[aud クレーム] を入力します。[aud クレーム] は JSON ウェブトークン (JWT) の対象者を識別し、信頼できるトークン発行者がこのアプリケーションを識別するための名前です。

    注記

    この情報を取得するには、外部 IdP の管理者に連絡する必要がある場合があります。

  16. [次へ] を選択します。[認証情報の指定] ページが表示されます。

  17. [設定方法] で、[1 つ以上の IAM ロールを入力] を選択します。

  18. [IAM ロールを入力] で、ID ベアラートークンの IAM ロールまたは Amazon リソースネーム (ARN) を追加します。ID ブローカーアプリケーション用に前のステップで作成した IAM ロール (例: bootstrap-role) を入力する必要があります。

  19. [次へ] を選択します。

  20. [確認と設定] ページで、アプリケーション設定の詳細を確認します。設定を変更する必要がある場合は、[編集] を選択して変更するセクションの編集を選択します。

  21. [Submit] を選択してください。追加したアプリケーションの詳細ページが表示されます。

アプリケーションの設定が完了したら、ユーザーは作成したアクセス許可のセット割り当てたユーザーアクセスに基づき、AWS アクセスポータル内からアプリケーションにアクセスできます。

S3 Access Grants を ID 伝播用の信頼されたアプリケーションとして追加する

カスタマーマネージドアプリケーションを設定したら、ID 伝播用に S3 Access Grants を指定する必要があります。S3 Access Grants は、ユーザーが Amazon S3 データにアクセスするための認証情報を提供します。カスタマーマネージドアプリケーションにサインインすると、S3 Access Grants はユーザーの ID を信頼できるアプリケーションに渡します。

前提条件: 以下の手順を実行する前に、S3 Access Grants が設定されていることを確認してください (S3 Access Grants インスタンスの作成場所の登録など)。詳細については、「S3 Access Grants の開始方法」を参照してください。

ID 伝播用の S3 Access Grants をカスタマーマネージドアプリケーションに追加するには、次の手順を実行します。

  1. IAM Identity Center コンソール を開きます。

  2. [Applications] (アプリケーション) を選択します。

  3. [カスタマーマネージド] タブを選択します。

  4. [カスタマーマネージドアプリケーション] リストで、アクセスのリクエストを開始する OAuth 2.0 アプリケーションを選択します。これはユーザーがサインインするアプリケーションです。

  5. [詳細ページ] の [ID の伝播のための信頼されたアプリケーション] で、[信頼されたアプリケーションを指定] を選択します。

  6. [セットアップタイプ] で、[個々のアプリケーションとアクセスの指定] を選択して、[次へ] を選択します。

  7. [サービスを選択] ページで、[S3 Access Grants] を選択します。S3 Access Grants には、信頼できる ID の伝播用に独自のウェブアプリケーションを定義するために使用できるアプリケーションがあります。

  8. [次へ] を選択します。次のステップで、アプリケーションを選択します。

  9. [アプリケーションを選択] ページで、[個々のアプリケーション] を選択し、アクセスのリクエストを受信できる各アプリケーションのチェックボックスをオンにして、[次へ] を選択します。

  10. [アクセスを設定] ページの [設定方法] で、次のいずれかを選択します。

    • [アプリケーションごとにアクセスを選択] — このオプションを選択すると、アプリケーションごとに異なるアクセスレベルを設定できます。アクセスレベルを設定するアプリケーションを選択し、[アクセスを編集] を選択します。[適用するアクセスのレベル] で、必要に応じてアクセスレベルを変更し、[変更の保存] を選択します。

    • [すべてのアプリケーションに同じアクセスレベルを適用] アプリケーションごとにアクセスレベルを設定する必要がない場合は、このオプションを選択します。

  11. [次へ] を選択します。

  12. [設定を確認] ページで、選択した内容を確認します。

    注記

    ユーザーに s3:access_grants:read_write アクセス許可が付与されていることを必ず確認します。このアクセス許可により、ユーザーは Amazon S3 にアクセスするための認証情報を取得できます。書き込みオペレーションへのアクセスを制限するには、前に作成した IAM ポリシーまたは S3 Access Grants のいずれかを使用してください。

  13. 変更を加えるには、変更する構成セクションの [編集] を選択します。次に、必要な変更を行い、[変更を保存] を選択します。

  14. [信頼されたアプリケーション] を選択して、ID の伝播用に信頼されたアプリケーションを追加します。

ユーザーまたはグループへの許可を作成する

このステップでは、IAM アイデンティティセンターを使用してユーザーをプロビジョニングします。SCIM は、ユーザーとグループの自動または手動プロビジョニングに使用できます。SCIM は、IAM アイデンティティセンターの ID と ID プロバイダー (IdP) の ID を同期させます。これには、IdP と IAM アイデンティティセンターの間で行われるユーザーのプロビジョニング、アップデート、デプロビジョニングが含まれます。

注記

S3 Access Grants を IAM アイデンティティセンターで使用すると、ローカルの IAM アイデンティティセンターのユーザーは使用されないため、このステップが必要になります。代わりに、ユーザーを ID プロバイダーから IAM アイデンティティセンターと同期する必要があります。

ID プロバイダーのユーザーを IAM アイデンティティセンターと同期するには、次の手順を実行します。

  1. 自動プロビジョニングを有効にします

  2. アクセストークンを生成します

特定のユースケース用に IAM アイデンティティセンターを使用して ID プロバイダーを設定する方法の例については、「IAM Identity Center Identity source tutorials」を参照してください。

Storage Browser for S3 コンポーネントを作成する

IAM アイデンティティセンターインスタンスを設定し、S3 Access Grants で許可を作成したら、React アプリケーションを開きます。React アプリケーションで、createManagedAuthAdapter を使用して承認ルールを設定します。IAM アイデンティティセンターから取得した認証情報を返すには、認証情報プロバイダーを指定する必要があります。次に、createStorageBrowser を呼び出して、Storage Browser for S3 コンポーネントを初期化できます。

import {
    createManagedAuthAdapter,
    createStorageBrowser,
} from '@aws-amplify/ui-react-storage/browser';
import '@aws-amplify/ui-react-storage/styles.css';

export const { StorageBrowser } = createStorageBrowser({
   config: createManagedAuthAdapter({
    credentialsProvider: async (options?: { forceRefresh?: boolean }) => {
      // return your credentials object
      return {
        credentials: {
          accessKeyId: 'my-access-key-id',
          secretAccessKey: 'my-secret-access-key',
          sessionToken: 'my-session-token',
          expiration: new Date(),
        },
      }
    },
    // AWS `region` and `accountId` of the S3 Access Grants Instance.
    region: '',
    accountId: '',
    // call `onAuthStateChange` when end user auth state changes 
    // to clear sensitive data from the `StorageBrowser` state
    registerAuthListener: (onAuthStateChange) => {},
  })
});

次に、ウェブアプリケーションの JSON ウェブトークン (JWT) を IAM アイデンティティセンターの IAM 認証情報と交換するメカニズムを作成します。JWT の交換方法の詳細については、次のリソースを参照してください。

次に、認証情報の取得リクエストを処理する API エンドポイントを設定します。JSON ウェブトークン (JWT) 交換を検証するには、次の手順を実行します。

  1. 受信リクエストの認可ヘッダーから JSON ウェブトークンを取得します。

  2. 指定された JSON ウェブキーセット (JWKS) URL のパブリックキーを使用してトークンを検証します。

  3. トークンの有効期限、発行者、件名、対象者のクレームを確認します。

ID プロバイダーの JSON ウェブトークンを AWS IAM 認証情報と交換するには、次の手順を実行します。

ヒント

機密情報をログに記録しないようにしてください。認可の不足、トークンの有効期限切れ、その他の例外には、エラー処理コントロールを使用することをお勧めします。詳細については、AWS Compute Blog の「Implementing AWS Lambda error handling patterns 」の投稿を参照してください。

  1. 必要な [アクセス許可][スコープ] のパラメータがリクエストで指定されていることを確認します。

  2. CreateTokenWithIAM API を使用して、JSON ウェブトークンを IAM アイデンティティセンタートークンと交換します。

    注記

    IdP JSON ウェブトークンを使用した後は、再度使用することはできません。IAM アイデンティティセンターと交換するには、新しいトークンを使用する必要があります。

  3. IAM アイデンティティセンタートークンを使用して一時的なロールを引き受けるには、AssumeRole API オペレーションを使用します。ID ベアラーロールを必ず使用してください。これは、認証情報をリクエストするために ID コンテキスト (identity-bearer-role など) を保持するロールとも呼ばれます。

  4. IAM 認証情報をウェブアプリケーションに返します。

    注記

    適切なログ記録メカニズムが設定されていることを確認してください。レスポンスは、適切な HTTP ステータスコードを含む標準化された JSON 形式で返されます。

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.