Amazon S3 に保存されている設定について - AWS AppConfig
Amazon S3 オブジェクトとして保存する設定のアクセス許可の設定

Amazon S3 に保存されている設定について

設定は、Amazon Simple Storage Service (Amazon S3) バケットに保存できます。設定プロファイルの作成時には、バケット内の 1 つの S3 オブジェクトの URI を指定します。また、そのオブジェクトを取得するために AWS AppConfig のアクセス許可を付与する AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN) を指定します。Amazon S3 オブジェクトの設定プロファイルを作成する場合は、次の制限事項に注意してください。

制限 詳細

サイズ

S3 オブジェクトとして保存できる設定のサイズは最大 1 MB です。

オブジェクト暗号化

設定プロファイルは、SSE-S3 と SSE-KMS で暗号化されたオブジェクトを対象にすることができます。

ストレージクラス

AWS AppConfig は、S3 ストレージクラスとして、STANDARDINTELLIGENT_TIERINGREDUCED_REDUNDANCYSTANDARD_IAONEZONE_IA をサポートしています。すべての S3 Glacier クラス (GLACIER および DEEP_ARCHIVE) はサポートしていません。

バージョニング

AWS AppConfig では、S3 オブジェクトでバージョニングが使用されている必要があります。

Amazon S3 オブジェクトとして保存する設定のアクセス許可の設定

S3 オブジェクトとして保存する設定の設定プロファイルを作成する場合は、そのオブジェクトを取得するアクセス許可を AWS AppConfig に付与する IAM ロールの ARN を指定する必要があります。このロールには、以下のアクセス許可が含まれている必要があります。

S3 オブジェクトに対するアクセス許可

  • s3:GetObject

  • s3:GetObjectVersion

S3 オブジェクトを一覧表示するアクセス許可

s3:ListAllMyBuckets

オブジェクトを保存する S3 バケットへのアクセス許可

  • s3:GetBucketLocation

  • s3:GetBucketVersioning

  • s3:ListBucket

  • s3:ListBucketVersions

以下の手順を実行して、S3 オブジェクトに保存されている設定を AWS AppConfig が取得できるようにするロールを作成します。

S3 オブジェクトにアクセスするための IAM ポリシーの作成

S3 オブジェクトに保存されている設定を AWS AppConfig が取得できるようにする IAM ポリシーを作成するには、以下の手順に従います。

S3 オブジェクトにアクセスするための IAM ポリシーを作成するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで ポリシーを選択してから ポリシーの作成を選択します。

  3. ポリシーの作成 ページで、JSON タブを選択します。

  4. S3 バケットおよび設定オブジェクトについての情報を、次のサンプルポリシーで更新します。次に、そのポリシーを JSON タブのテキストフィールドに貼り付けます。プレースホルダー値を、ユーザー自身の情報に置き換えます。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/my-configurations/my-configuration.json"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:GetBucketVersioning",
        "s3:ListBucketVersions",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "*"
    } 
  ]
}

  5. [ポリシーの確認] を選択します。

  6. レビューポリシー ページの 名前 ボックスに名前を入力し、続いて説明を入力します。

  7. ポリシーの作成 を選択します。ロールページが再度表示されます。

S3 オブジェクトにアクセスするための IAM ロールの作成

S3 オブジェクトに保存されている設定を AWS AppConfig が取得できるようにする IAM ロールを作成するには、以下の手順に従います。

Amazon S3 オブジェクトにアクセスするための IAM ポリシーを作成するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで ロールを選択してから、ロールを作成する を選択します。

  3. 信頼するエンティティのタイプを選択AWSサービス ( ) を選択します。

  4. ユースケースの選択 セクションの 一般的ユースケースEC2 を選択して、次へ: アクセス許可 を選択します。

  5. アクセス権限ポリシーをアタッチする ページで、検索ボックスに前の手順で作成したポリシーの名前を入力します。

  6. ポリシーを選択して、次へ: タグ を選択します。

  7. タグ (オプショナル) の追加 ページでキーと任意の値を入力して、次へ: 確認 を選択します。

  8. 確認 ページの ロール名 フィールドに名前を入力し、続いて説明を入力します。

  9. ロールを作成するを選択します。ロールページが再度表示されます。

  10. ロール ページで作成したロールを選択して、概要 ページを開きます。ロール名ロール ARN を書き留めます。このロール ARN は、このトピックで後述する設定プロファイルの作成時に指定します。

信頼関係の作成

次の手順を使用して、先ほど作成したロールが AWS AppConfig を信頼するように設定します。

信頼関係を追加するには

  1. 作成したロールの 概要 ページで 信頼関係 タブを選択し、信頼関係の編集 を選択します。

  2. 次の例に示すように、"ec2.amazonaws.com" を削除して "appconfig.amazonaws.com" を追加します。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "appconfig.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  3. 信頼ポリシーの更新 を選択します。