翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # Transfer Family ウェブアプリの Amazon S3 Access Grants を設定する このトピックでは、Amazon S3 Access Grants を使用してアクセス許可を追加する方法について説明します。このアクセス許可は、企業ディレクトリ内のユーザーとグループに直接データへのアクセスを定義し、許可に基づいてjust-in-time、最小特権、一時的な認証情報を提供します。S3 Access Grants インスタンスの個々の許可により、企業ディレクトリ内の特定のユーザーまたはグループが、S3 Access Grants インスタンスに登録されているロケーション内でアクセスできるようになります。詳細については、「Amazon [S3 ユーザーガイド」の「S3 Access Grants の概念](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-concepts.html)」を参照してください。 Amazon S3 **注記** Transfer Family ウェブアプリ以外の S3 Access Grants で IAM Identity Center ディレクトリを使用することはできません。 ID の伝播には Amazon S3 アクセス許可を指定する必要があります。Amazon S3 アクセス許可は、エンドユーザーがアクセスする必要があるデータを保存します。エンドユーザーが Transfer Family ウェブアプリにサインインすると、S3 Access Grants はユーザーの ID を信頼されたアプリケーションに渡します。このセクションでは、Amazon S3 アクセス許可インスタンスを追加および設定し、Amazon S3 バケットのアクセス許可を設定する方法について説明します。 **注記** アクセス許可の設定を完了するために必要なため、[IAM Identity Center インスタンスの ARN](webapp-identity-center.md#identity-center-arn) とユーザーまたはグループ ID を用意します。 **Amazon S3 Access Grants を使用して権限を作成するには** 1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) で Amazon S3 コンソールを開きます。 1. バケットを作成するか、ウェブアプリで使用する既存のバケットを書き留めます。バケットの作成については、[Amazon S3ユーザーガイド](https://docs.aws.amazon.com/AmazonS3/latest/userguide/)」を参照してください。 1. 左側のナビゲーションペインから、**アクセス許可**を選択します。 1. **S3 Access Grants インスタンスの作成**を選択し、次の情報を入力します。 + your***-Region* が である your-Region で IAM Identity Center インスタンスを追加する** を選択します AWS リージョン。 **ID プロバイダーとして IAM Identity Center を使用していない場合は、このボックスをオフにしておきます。 + IAM Identity Center インスタンス ARN に貼り付けます。 ![\[Amazon S3 Create Access Grants インスタンスダイアログとサンプル値を示す画面。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/webapp-grants-instance.png) **[次へ]** を選択して続行します。 1. **S3 バケットまたはプレフィックスをロケーションとして登録します**。デフォルトの場所 を登録し`s3://`、IAM ロールにマッピングすることをお勧めします。このデフォルトパスの場所は、アカウントの 内のすべての Amazon S3 バケットへのアクセスを対象とし AWS リージョン ています。アクセス許可を作成するときは、デフォルトの場所内のバケット、プレフィックス、またはオブジェクトにスコープを絞り込むことができます。 以下の情報を指定します。 + **スコープ**には、バケットを参照するか、バケットの名前を入力し、オプションでプレフィックスを入力します。 + IAM ロールで、**新しいロールの作成**を選択して、サービスにロールを作成させます。 または、「」で説明されているように、ロールを自分で作成し[Transfer Family ウェブアプリケーションの IAM ロールを設定する](webapp-roles.md)、ここにその ARN を入力することもできます。 ![\[Amazon S3 Register S3 Buckets or prefixes as locations ダイアログとデフォルトの Scope および Create new role settings を示す画面。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/webapp-grants-register-new.png) **[次へ]** を選択して続行します。 1. **グラントの作成**画面で、次の詳細を入力します。 + アクセス**許可 で**、**読み取り**と**書き込み**を選択します。アクセス許可のアクセス許可は読み取り専用でも読み取りと書き込みでもかまいませんが、書き込み専用はサポートされていません。 + **被付与者タイプ**で、**IAM アイデンティティセンターからディレクトリアイデンティティ**を選択します。 + **ディレクトリアイデンティティタイプ**で、今すぐ登録するタイプに応じて、**ユーザー**または**グループ**を選択します。 + **IAM Identity Center のユーザー/グループ ID** で、ユーザーまたはグループの ID を貼り付けます。この ID は、**IAM Identity Center** コンソールと、ユーザーとグループテーブルの Transfer Family ウェブアプリで使用できます。 ![\[Amazon S3 Create Grant ダイアログとサンプル値を示す画面。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/webapp-access-grant-details.png) [**次へ**] を選択します。 1. 画面の設定を確認します。すべて正しい場合は、**完了**を選択してアクセス許可を作成します。または、**Cancel **または **Previous** を選択して変更を加えることもできます。 ![\[レビューと終了ダイアログとサンプル値を示す画面。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/webapp-access-grants-review.png) ![\[リストビューに新しいアクセス許可を示す画面。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/webapp-access-grants-finished.png) これで、ウェブアプリのセットアップは完了です。設定したユーザーとグループは、アクセスポイントでウェブアプリにアクセスし、ログインして、ファイルをアップロードおよびダウンロードできます。