S3テナント用のグループの作成

S3テナント アカウントに対するアクセス権限を管理するには、ローカル グループを作成するか、フェデレーテッド グループをインポートします。必要に応じて、各グループにS3ポリシーを指定することもできます。

開始する前に

手順

  1. [Access Control] > [Groups]を選択します。

    [Access Control] > [Groups]ページのスクリーンショット
  2. [Add]をクリックします。
  3. ローカル グループを作成する場合は[Local]を選択し、以前に設定したアイデンティティ ソースからグループをインポートする場合は[Federated]を選択します。
  4. グループの名前を入力します。
    選択した項目 入力する内容
    Local このグループの表示名と一意の名前の両方。表示名はあとで編集できます。
    Federated フェデレーテッド グループの一意の名前。
    注:Active Directoryの場合は、sAMAccountName属性に関連付けられた一意の名前です。OpenLDAPの場合は、uid属性に関連付けられた一意の名前です。
  5. [Management Permissions]セクションで、このグループに割り当てるテナント アカウントの権限を選択します。
    「テナント管理権限」を参照してください。
  6. このグループにグループ ポリシーを適用する場合は、[S3 Policy]テキスト ボックスにJSON形式の文字列を入力します。

    [Add Group]ダイアログ ボックスのスクリーンショット

    JSON文字列は入力時に検証されるので、有効なグループ ポリシー用文字列のみを保存できます。

    各グループ ポリシーのサイズは5,120バイトまでに制限されています。

    ポリシー ステートメントでは、次の構造で権限が指定されます。
    <Principal> is allowed/denied to perform <Action> to <Resource> when <Condition> applies

    グループ ポリシーには、<Principal>を指定しなくてもかまいません。プリンシパルは、単にポリシーの指定対象であるグループを示すものです。

    たとえば次のグループ ポリシーでは、S3テナント アカウントが所有するすべてのリソースに対してあらゆる処理を実行する権限がグループ メンバーに与えられます。

    {
     "Statement": [
     {
       "Action": "s3:*",
       "Effect": "Allow",
       "Resource": "urn:sgws:s3:::*"
     }
     ]
    }
    
    注:言語の構文や例など、グループ ポリシーの詳細については、『S3(Simple Storage Service)実装ガイド』を参照してください。
  7. [Save]をクリックします。

    キャッシングのために、新しいグループ ポリシーが有効になるまでに最大で15分を要します。