翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Transfer Family ウェブアプリケーションの IAM ロールを設定する
<a name="webapp-roles"></a>

2 つのロールが必要です。1 つはウェブアプリケーションの ID ベアラーロールとして使用し、もう 1 つはアクセス許可の設定に使用します。ID ベアラーロールは、認証されたユーザーの ID をセッションに含めるロールです。これは、ユーザーに代わってデータアクセスを S3 Access Grants にリクエストするために使用されます。

**注記**  
ID ベアラーロールを作成する手順はスキップできます。Transfer Family サービスで ID ベアラーロールを作成する方法については、「」を参照してください[Transfer Family ウェブアプリを作成する](webapp-configure.md#web-app-create)。  
アクセス許可ロールを作成する手順はスキップできます。アクセス許可を作成する手順で、S3 ロケーションを登録するステップで、**新しいロールを作成する**を選択します。

**ID ベアラーロールを作成する**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。

1. **ロール**を選択し、**ロールを作成します**。

1. **カスタム信頼ポリシー**を選択し、次のコードに貼り付けます。

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service":"transfer.amazonaws.com"
               },
               "Action": [
                   "sts:AssumeRole",
                   "sts:SetContext"
               ]
           }
       ]
   }
   ```

1. **次へ** を選択し、アクセス**許可の追加** をスキップして、次**へ** を再度選択します。

1. など、名前を入力します`web-app-identity-bearer`。

1. **ロールの作成** を選択して、ID ベアラーロールを作成します。

1. リストから作成したロールを選択し、アクセス**許可ポリシー**パネルでアクセス**許可の追加** > **インラインポリシーの作成**を選択します。

1. **ポリシーエディタ**で **JSON** を選択し、次のコードブロックに貼り付けます。

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "s3:GetDataAccess",
                   "s3:ListCallerAccessGrants",
                   "s3:ListAccessGrantsInstances"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

1. ポリシー名に と入力し`AllowS3AccessGrants`、**ポリシーの作成**を選択します。

次に、S3 Access Grants が被付与者に一時的な認証情報を提供するために引き受けるロールを作成します。

**注記**  
サービスが ID ベアラーロールを作成することを許可すると、そのロールは混乱した代理保護を設定します。したがって、そのコードはここに表示されるコードとは異なります。

**アクセス許可ロールを作成する**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。

1. **ロール**を選択し、**ロールを作成します**。このロールには、 の S3 データにアクセスするアクセス許可が必要です AWS リージョン。

1. **カスタム信頼ポリシー**を選択し、次のコードに貼り付けます。

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": "access-grants.s3.amazonaws.com"
               },
               "Action": [
                   "sts:AssumeRole",
                   "sts:SetContext"
               ]
           }
       ]
   }
   ```

1. [「場所の登録](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-location-register.html)」の説明に従って、**次へ** 最小限のポリシーを追加します。推奨されませんが、**AmazonS3FullAccess** 管理ポリシーを追加できます。これは、ニーズに対して許容しすぎる可能性があります。

1. **Next** を選択し、名前を入力します (例: `access-grants-location`)。

1. **ロールを作成する**を選択します。

**注記**  
サービスがアクセス許可ロールを作成することを許可すると、そのロールは混乱した代理保護を設定します。したがって、そのコードはここに表示されるコードとは異なります。