プリンシパルリソースディレクトリバケットのアクションディレクトリバケットの条件キー

IAM を使用したリージョンエンドポイント API オペレーションの承認

AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に管理するうえで役立つ AWS のサービスです。IAM 管理者は、どのユーザーが認証 (サインイン) して、どのユーザーにリソースの使用を許可する (アクセス許可を持たせる) かを制御します。IAMは追加料金なしでご利用いただけます。

デフォルトでは、ユーザーにはディレクトリバケットと S3 Express One Zone オペレーションのためのアクセス許可はありません。ディレクトリバケットへのアクセス権限を付与するには、IAM を使用してユーザー、グループ、またはロールを作成し、それらのアイデンティティにアクセス許可をアタッチします。IAM の詳細については、「IAM ユーザーガイド」の「IAM でのセキュリティのベストプラクティス」を参照してください。

アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。

AWS IAM Identity Center 内のユーザーとグループ — アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」の手順に従ってください。
アイデンティティプロバイダーを介して IAM で管理されているユーザー — ID フェデレーションのロールを作成します。詳細については、「IAM ユーザーガイド」の「サードパーティー ID プロバイダー (フェデレーション) 用のロールの作成」を参照してください。
IAM ロールとユーザー — ユーザーが引き受けることができるロールを作成します。詳細については、「IAM ユーザーガイド」の「 IAM ユーザーにアクセス許可を委任するロールの作成」を参照してください。

S3 Express One Zone 向けの IAM の詳細については、次のトピックを参照してください。

トピック

プリンシパル

バケットへのアクセスを許可するリソースベースのポリシーを作成する場合は、Principal 要素を使用して、そのリソースに対するアクションまたはオペレーションをリクエストできるユーザーまたはアプリケーションを指定する必要があります。ディレクトリバケットポリシーでは、次のプリンシパルを使用できます。

AWS アカウント。
IAM ユーザー
IAM ロール
フェデレーションユーザー

詳細については、IAM ユーザーガイドPrincipalのを参照してください。

リソース

ディレクトリバケットの Amazon リソースネーム (ARN) には、s3express 名前空間、AWS リージョン、AWS アカウント ID、アベイラビリティーゾーン ID を含むディレクトリバケット名が含まれます。ディレクトリバケットにアクセスしてアクションを実行するには、次の ARN 形式を使用する必要があります。


arn:aws:s3express:region:account-id:bucket/base-bucket-name--zone-id--x-s3

ARN の詳細については、「IAM ユーザーガイド」の「Amazon Resource Names (ARNs)」を参照してください。リソースの詳細については、「IAM ユーザーガイド」の「IAM JSON ポリシー要素: Resource」を参照してください。

ディレクトリバケットのアクション

IAM ポリシーまたはリソースベースのポリシーで、どの S3 on Outposts アクションを許可または拒否するかを定義します。アクションは特定の API オペレーションに対応しています。ディレクトリバケットを使用する場合、S3 Express One Zone 名前空間を使用してアクセス許可を付与できます。この名前空間は s3express です。

s3express:CreateSession アクセス許可を付与すると、CreateSession API オペレーションはゾーンのエンドポイント API (またはオブジェクトレベル) オペレーションにアクセスする際にセッショントークンを取得できるようになります。このようなセッショントークンは、その他すべてのゾーンのエンドポイント API オペレーションへのアクセスを許可するために使用される認証情報を返します。この結果、IAM ポリシーを使用してゾーンの API オペレーションにアクセス許可を付与する必要がなくなります。代わりに、セッショントークンによりアクセスが実現します。ゾーンエンドポイント API オペレーションとアクセス許可のリストについては、「Authenticating and authorizing requests」を参照してください。

ゾーンとリージョンのエンドポイント API オペレーションの詳細については、「ディレクトリバケットのネットワーク」を参照してください。CreateSession API オペレーションの詳細については、「Amazon Simple Storage Service API リファレンス」の「CreateSession」を参照してください。.

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、単独のアクションが複数のオペレーションへのアクセスを制御する場合もあります。バケットレベルのアクションへのアクセスは IAM アイデンティティベースのポリシー (ユーザーまたはロール) でのみ付与でき、バケットポリシーでは付与できません。

注記

ディレクトリバケットのアクセスポイントを使用してバケットまたはオブジェクトオペレーションへのアクセスを制御する場合は、次の点に注意してください。

アクセスポイントを使用してバケットオペレーションへのアクセスを制御する方法については、「ディレクトリバケットのアクセスポイントのポリシーでのバケットオペレーション」を参照してください。
アクセスポイントを使用してオブジェクトオペレーションへのアクセスを制御する方法については、「ディレクトリバケットのアクセスポイントのポリシーでのオブジェクトオペレーション」を参照してください。
アクセスポイントポリシーの設定方法の詳細については、「ディレクトリバケットのアクセスポイントを使用するための IAM ポリシーの設定」を参照してください。

次の表は、アクションと条件キーを示しています。

アクション	API	説明	アクセスレベル	条件キー
`s3express:CreateBucket`	`CreateBucket`	上がらしいバケット作成のための権限	書き込み	`s3express:authType` `s3express:LocationName` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:CreateSession`	ゾーンエンドポイント API オペレーション	セッショントークンを作成するアクセス許可を付与します。このセッショントークンは、`CopyObject`、`PutObject`、`GetObject`、`HeadBucket` など、すべてのゾーン (オブジェクトレベル) API オペレーションへのアクセスを許可するために使用します。	書き込み	`s3express:authType` `s3express:SessionMode` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:signatureAge` `s3express:TlsVersion` `s3express:x-amz-content-sha256` `s3express:x-amz-server-side-encryption` `s3express:x-amz-server-side-encryption-aws-kms-key-id`
`s3express:DeleteBucket`	`DeleteBucket`	URI で指定されたバケットを削除するアクセス許可を付与します。	書き込み	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:DeleteBucketPolicy`	`DeleteBucketPolicy`	指定されたバケットのポリシーを削除するアクセス許可を付与します。	権限の管理	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:GetBucketPolicy`	`GetBucketPolicy`	指定されたバケットのポリシーを戻すアクセス許可を付与します。	読み取り	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:GetEncryptionConfiguration`	`GetBucketEncryption`	ディレクトリバケットにデフォルトの暗号化設定を返すアクセス許可を付与します。	読み取り	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:ListAllMyDirectoryBuckets`	`ListDirectoryBuckets`	認証されたリクエストの送信者が所有するすべてのディレクトリバケットを一覧表示するアクセス許可を付与します。	リスト	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:PutBucketPolicy`	`PutBucketPolicy`	バケットのバケットポリシーを追加または置き換えるアクセス許可を付与します。	権限の管理	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:PutBucketPolicy`	`PutBucketPolicy`	バケットのバケットポリシーを追加または置き換えるアクセス許可を付与します。	権限の管理	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:PutEncryptionConfiguration`	`PutBucketEncryption`、または `DeleteBucketEncryption`	ディレクトリバケットの暗号化設定を設定するアクセス許可を付与します	書き込み	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:CreateAccessPoint`	`CreateAccessPoint`	ディレクトリバケットに関連付けるアクセスポイントを作成するアクセス許可を付与します。	書き込み	s3express:DataAccessPointAccount s3express:DataAccessPointArn s3express:AccessPointNetworkOrigin s3express:authType s3express:LocationName s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
`s3express:ListAccessPointsForDirectoryBuckets`	`ListAccessPointsForDirectoryBuckets`	アクセスポイントを一覧表示するアクセス許可を付与します。	リスト	s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
`s3express:GetAccessPoint`	`GetAccessPoint`	指定したアクセスポイントに関する設定情報を返すアクセス許可を付与します。	読み取り	s3express:DataAccessPointAccount s3express:DataAccessPointAccount s3express:DataAccessPointArn s3express:AccessPointNetworkOrigin s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
`s3express:DeleteAccessPoint`	`DeleteAccessPoint`	URI 内の指定したアクセスポイントを削除するアクセス許可を付与します。	書き込み	s3express:DataAccessPointAccount s3express:DataAccessPointAccount s3express:DataAccessPointArn s3express:AccessPointNetworkOrigin s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
`s3express:DeleteAccessPointPolicy`	`DeleteAccessPointPolicy`	指定したアクセスポイントのポリシーを削除するアクセスを許可します。	権限の管理	s3express:DataAccessPointAccount s3express:DataAccessPointArn s3express:AccessPointNetworkOrigin s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
`s3express:GetAccessPointPolicy`	`GetAccessPointPolicy`	指定したアクセスポイントに関連付けられたアクセスポイントポリシーを返すアクセス許可を付与します。	読み取り	s3express:DataAccessPointAccount s3express:DataAccessPointAccount s3express:DataAccessPointArn s3express:AccessPointNetworkOrigin s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
`s3express:PutAccessPointPolicy`	`PutAccessPointPolicy`	指定したアクセスポイントにアクセスポリシーを関連付けるアクセス許可を付与します。	権限の管理	s3express:DataAccessPointAccount s3express:DataAccessPointArn s3express:AccessPointNetworkOrigin s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
`s3express:DeleteAccessPointScope`	`DeleteAccessPointScope`	指定したアクセスポイントの範囲の設定を削除するアクセス許可を付与します。	権限の管理	s3express:DataAccessPointAccount s3express:DataAccessPointArn s3express:AccessPointNetworkOrigin s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
`s3express:GetAccessPointScope`	`GetAccessPointScope`	指定したアクセスポイントに関連付けられた範囲の設定を返すアクセス許可を付与します。	読み取り	s3express:DataAccessPointAccount s3express:DataAccessPointArn s3express:AccessPointNetworkOrigin s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
`s3express:PutAccessPointScope`	`PutAccessPointScope`	アクセスポイントを指定されたアクセスポイントの範囲の設定に関連付けるアクセス許可を付与します。	権限の管理	s3express:DataAccessPointAccount s3express:DataAccessPointArn s3express:AccessPointNetworkOrigin s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256

ディレクトリバケットの条件キー

IAM ポリシーの Condition 要素で使用できる条件キーは以下のとおりです。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。

条件キー	説明	タイプ
`s3express:authType`	認証方式でアクセスをフィルタリングします受信するリクエストが特定の認証方法を使用するように制限するには、このオプションの条件キーを使用します。例えば、この条件キーを使用すると、リクエスト認証のために HTTP `Authorization` ヘッダーのみの使用を指定できます。有効な値:`REST-HEADER`、`REST-QUERY-STRING`\|	String
`s3express:LocationName`	`CreateBucket` API オペレーションへのアクセスを、`usw2-az1` などの特定のアベイラビリティーゾーン ID (AZ ID) でフィルタリングします。値の例: `usw2-az1`	String
`s3express:ResourceAccount`	リソース所有者の AWS アカウント ID でアクセスをフィルタリングします特定の AWS アカウント ID が所有するディレクトリバケットへのユーザー、ロール、またはアプリケーションアクセスを制限するには、`aws:ResourceAccount` または `s3express:ResourceAccount` 条件キーを使用できます。この条件キーは、AWS Identity and Access Management (IAM) ID ポリシーまたは仮想プライベートクラウド (VPC) エンドポイントポリシーのいずれかで使用できます。例えば、この条件キーを使用して、VPC 内でユーザーの所有していないバケットにクライアントがアクセスできないように制限できます。値の例: `111122223333`	String
`s3express:SessionMode`	`CreateSession` API オペレーションがリクエストしたアクセス許可でアクセスをフィルタリングします。デフォルトでは、このセッションは `ReadWrite` です。この条件キーを使用して、`ReadOnly` アクセスを制限したり、`ReadWrite` アクセスを明示的に拒否したりできます。詳細については、「Amazon Simple Storage Service API リファレンス」の「ディレクトリバケットのバケットポリシーの例」と「CreateSession」を参照してください。有効な値:`ReadWrite`、`ReadOnly`\|	String
`s3express:signatureAge`	リクエスト署名の経過時間 (ミリ秒単位) でアクセスをフィルタリングしますこの条件は、署名付き URL でのみ機能します。 AWS Signature Version 4 では、署名キーは最大 7 日間有効です。したがって、署名の有効期間も最大 7 日間となります。詳細については、「Amazon Simple Storage Service API リファレンス」の「Introduction to Signing Requests」(リクエスト署名の導入) を参照してください。この条件を使用すると、署名の有効期間をさらに制限できます。値の例: `600000`	数値
`s3express:signatureversion`	認証されたリクエストでサポートされる AWS 署名のバージョンを識別します。リクエストの認証用に Signature Version 4 がサポートされるようになりました。有効な値: `"AWS4-HMAC-SHA256"` (Signature Version 4 を識別)	String
`s3express:TlsVersion`	クライアントが使用する TLS バージョンでアクセスをフィルタリングします `s3:TlsVersion` 条件キーを使用して、クライアントが使用する TLS バージョンに基づいてディレクトリバケットへのユーザーまたはアプリケーションのアクセスを制限する IAM ポリシー、仮想プライベートクラウドエンドポイント (VPCE) ポリシー、またはバケットポリシーを作成できます。この条件キーを使用して、最小の TLS バージョンを必要とするポリシーを作成することもできます。値の例: `1.3`	数値
`s3express:x-amz-content-sha256`	バケット内の未署名のコンテンツでアクセスをフィルタリングしますこの条件キーを使用すると、バケット内にある署名されていないコンテンツを許可しません。 `Authorization` ヘッダーを使用するリクエストに Signature Version 4 を使用する場合、署名計算に `x-amz-content-sha256` ヘッダーを追加してから、その値をハッシュペイロードに設定します。バケットポリシーでこの条件キーを使用すると、ペイロードが署名されていないアップロードを拒否できます。例: リクエスト認証において、`Authorization` ヘッダーを使用するアップロードを拒否し、ペイロードには署名しません。詳細については、「Amazon Simple Storage Service API リファレンス」の「Transferring payload in a single chunk」(ペイロードを 1 つのチャンクで転送する) を参照してください。署名付き URL を使用するアップロードを拒否します。署名済み URL は常に `UNSIGNED_PAYLOAD` を持ちます。詳細については、「Amazon Simple Storage Service API リファレンス」の「Authenticating Requests」(認証リクエスト) 「Authentication methods」(認証メソッド) を参照してください。有効な値: `UNSIGNED-PAYLOAD`	String
`s3express:x-amz-server-side-encryption`	サーバー側の暗号化でアクセスをフィルタリングします有効な値:`"AES256"`、`aws:kms`\|	String
`s3express:x-amz-server-side-encryption-aws-kms-key-id`	サーバー側の暗号化のための AWS KMS カスタマーマネージド CMK で、アクセスをフィルタリングします値の例: `"arn:aws:kms:region:acct-id:key/key-id"`	ARN

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

リクエストの認証と承認

アイデンティティベースのポリシー