Amazon S3への接続

プロパティ	説明
接続名	接続の名前。各接続名は組織内で一意である必要があります。接続名には、英数字、スペース、および次の特殊文字を含めることができます。_ .+ -, 最大長は255文字です。
説明	接続の説明。最大長は4000文字です。
タイプ	Amazon S3 V2
シークレットコンテナの使用	組織に対して設定されているSecrets Managerにこの接続の機密資格情報を保存します。このプロパティは、組織にSecrets Managerが設定されている場合にのみ表示されます。接続でシークレットコンテナを有効にすると、Secure AgentがSecrets Managerからどの資格情報を取得するかを選択できます。このオプションを無効にした場合、資格情報は組織の設定方法に応じてリポジトリまたはローカルSecure Agentに保存されます。 Secrets Managerを設定および使用する方法については、Secrets manager configurationを参照してください。
ランタイム環境	タスクを実行するランタイム環境の名前。 Secure Agent、Hosted Agent、またはサーバーレスランタイム環境を選択します。

認証タイプ

基本認証

基本認証には、AWSアカウントからのアクセスキーとシークレットキーの値が必要です。

次の表に、標準認証の基本的な接続プロパティとその説明を示します。

プロパティ	説明
アクセスキー	Amazon S3バケットにアクセスするためのアクセスキー。
秘密鍵	Amazon S3バケットにアクセスするためのシークレットキー。秘密鍵はアクセスキーに関連付けられており、アカウントを一意に識別します。
フォルダパス	Amazon S3バケット名、またはAmazon S3オブジェクトが保存されているAmazon S3バケット内のフォルダパス。例: <バケット名>/<フォルダ名>
リージョン名	アクセス先のバケットのAWSリージョン。次のいずれかのリージョンを選択します。 - アフリカ(ケープタウン) - アジアパシフィック（ムンバイ） - アシスパシフィック（ジャカルタ） - アジアパシフィック（大阪） - アジアパシフィック（ソウル） - アジアパシフィック（シンガポール） - アジアパシフィック（シドニー） - アジアパシフィック（東京） - アジアパシフィック（香港） - AWS GovCloud（米国） - AWS GovCloud（米国東部） - カナダ（中部） - 中国（北京） - 中国（寧夏） - 欧州（アイルランド） - 欧州（フランクフルト） - 欧州（ロンドン） - 欧州（ミラノ） - EU（パリ） - EU（ストックホルム） - 南米（サンパウロ） - 中東（バーレーン） - 中東（UAE） - 米国東部（バージニア北部） - 米国東部（オハイオ） - 米国ISO東部 - 米国ISOB東部（オハイオ） - 米国ISO西部 - 米国西部（北カリフォルニア） - 米国西部（オレゴン）デフォルトは［米国東部（バージニア北部）］です。

IAM認証

IAM認証には、Amazon S3オブジェクトへのフォルダパスのみが必要です。EC2ロールには、フォルダへのアクセス権が割り当てられている必要があります。

次の表に、AWS IAM認証の基本接続プロパティとその説明を示します。

プロパティ

説明

フォルダパス

Amazon S3バケット名、またはAmazon S3オブジェクトが保存されているAmazon S3バケット内のフォルダパス。

例: <バケット名>/<フォルダ名>

リージョン名

アクセス先のバケットのAWSリージョン。

次のいずれかのリージョンを選択します。

- アフリカ(ケープタウン)
- アジアパシフィック（ムンバイ）
- アシスパシフィック（ジャカルタ）
- アジアパシフィック（大阪）
- アジアパシフィック（ソウル）
- アジアパシフィック（シンガポール）
- アジアパシフィック（シドニー）
- アジアパシフィック（東京）
- アジアパシフィック（香港）
- AWS GovCloud（米国）
- AWS GovCloud（米国東部）
- カナダ（中部）
- 中国（北京）
- 中国（寧夏）
- 欧州（アイルランド）
- 欧州（フランクフルト）
- 欧州（ロンドン）
- 欧州（ミラノ）
- EU（パリ）
- EU（ストックホルム）
- 南米（サンパウロ）
- 中東（バーレーン）
- 中東（UAE）
- 米国東部（バージニア北部）
- 米国東部（オハイオ）
- 米国ISO東部
- 米国ISOB東部（オハイオ）
- 米国ISO西部
- 米国西部（北カリフォルニア）
- 米国西部（オレゴン）

デフォルトは［米国東部（バージニア北部）］です。

EC2ロール認証経由のAssumeRole

EC2ロール認証経由のAssumeRoleでは、EC2ロールがIAMロールARNオプションで指定された別のIAMロールを引き受けることができるようにする必要があります。

次の表に、EC2 ロール認証経由のAssumeRoleの基本的な接続プロパティとその説明を示します。

プロパティ	説明
フォルダパス	Amazon S3バケット名、またはAmazon S3オブジェクトが保存されているAmazon S3バケット内のフォルダパス。例: <バケット名>/<フォルダ名>
領域名	アクセス先のバケットのAWS領域。次のいずれかのリージョンを選択します。 - アフリカ(ケープタウン) - アジアパシフィック（ムンバイ） - アシスパシフィック（ジャカルタ） - アジアパシフィック(大阪) - アジアパシフィック（ソウル） - アジアパシフィック（シンガポール） - アジアパシフィック（シドニー） - アジアパシフィック（東京） - アジアパシフィック（香港） - AWS GovCloud(米国) - AWS GovCloud （米国東部） - カナダ（中部） - 中国（北京） - 中国（寧夏） - 欧州（アイルランド） - 欧州（フランクフルト） - 欧州(ロンドン) - 欧州（ミラノ） - 欧州(パリ) - 欧州(ストックホルム) - 南米（サンパウロ） - 中東(バーレーン) - 中東（UAE） - 米国東部（バージニア北部） - 米国東部（オハイオ） - 米国ISO東部 - 米国ISOB東部（オハイオ） - 米国ISO西部 - 米国西部（北カリフォルニア） - 米国西部（オレゴン）デフォルトは［米国東部（バージニア北部）］です。
IAMロールARN	動的に生成された一時的なセキュリティ資格情報を使用するためにユーザーが引き受けるAWS Identity and Access Management（IAM）ロールのAmazon Resource Name（ARN）。一時的なセキュリティ資格情報を使用してAWSリソースにアクセスする場合は、ARN値を入力します。注: エージェントにAmazon S3バケットへのアクセス権限を付与するIAMロールを削除しても、テスト接続は成功します。 IAMロールのARNの取得方法の詳細については、AWSのマニュアルを参照してください。
外部ID	AWSアカウントの外部ID。外部IDを使用すると、Amazon S3バケットが別のAWSアカウントにある場合に、Amazon S3バケットへのより安全なアクセスが可能になります。
ロールの引き受けにEC2ロールを使用	IAMロールARNオプションで指定された別のIAMロールをEC2ロールが引き受けることができるようになります。デフォルトでは、このプロパティは選択されていません。注: EC2ロールには、同じアカウントまたは異なるアカウントからIAMロールを引き受けるための権限がアタッチされたポリシーが必要です。

IAMユーザー認証経由のAssumeRole

IAMユーザー認証経由のAssumeRoleには、IAMユーザーのアクセスキーとシークレットキーの値、およびIAMロールのARNが必要です。

次の表に、IAMユーザー認証経由のAssumeRoleの基本的な接続プロパティとその説明を示します。

プロパティ	説明
アクセスキー	Amazon S3バケットにアクセスするためのアクセスキー。
秘密鍵	Amazon S3バケットにアクセスするためのシークレットキー。秘密鍵はアクセスキーに関連付けられており、アカウントを一意に識別します。
フォルダパス	Amazon S3バケット名、またはAmazon S3オブジェクトが保存されているAmazon S3バケット内のフォルダパス。例: <バケット名>/<フォルダ名>
リージョン名	アクセス先のバケットのAWSリージョン。次のいずれかのリージョンを選択します。 - アフリカ(ケープタウン) - アジアパシフィック（ムンバイ） - アシスパシフィック（ジャカルタ） - アジアパシフィック（大阪） - アジアパシフィック（ソウル） - アジアパシフィック（シンガポール） - アジアパシフィック（シドニー） - アジアパシフィック（東京） - アジアパシフィック（香港） - AWS GovCloud（米国） - AWS GovCloud（米国東部） - カナダ（中部） - 中国（北京） - 中国（寧夏） - 欧州（アイルランド） - 欧州（フランクフルト） - 欧州（ロンドン） - 欧州（ミラノ） - EU（パリ） - EU（ストックホルム） - 南米（サンパウロ） - 中東（バーレーン） - 中東（UAE） - 米国東部（バージニア北部） - 米国東部（オハイオ） - 米国ISO東部 - 米国ISOB東部（オハイオ） - 米国ISO西部 - 米国西部（北カリフォルニア） - 米国西部（オレゴン）デフォルトは［米国東部（バージニア北部）］です。
IAMロールARN	動的に生成された一時的なセキュリティ資格情報を使用するためにユーザーが引き受けるAWS Identity and Access Management（IAM）ロールのAmazon Resource Name（ARN）。一時的なセキュリティ資格情報を使用してAWSリソースにアクセスする場合はこのプロパティの値を入力します。注: エージェントによるAmazon S3バケットへのアクセスを有効にするIAMロールを削除して接続を作成してもテスト接続は成功します。 IAMロールのARNの取得方法の詳細については、AWSのマニュアルを参照してください。
外部ID	AWSアカウントの外部ID。外部IDを使用すると、Amazon S3バケットが別のAWSアカウントにある場合に、Amazon S3バケットへのより安全なアクセスが可能になります。

資格情報プロファイルファイルの認証

資格情報プロファイルファイル認証には、資格情報プロファイルファイルのパスとプロファイル名が必要です。

資格情報プロファイルファイル認証は、詳細モードのマッピングには適用されません。

次の表に、資格情報プロファイルファイル認証の基本的な接続プロパティを示します。

プロパティ	説明
フォルダパス	Amazon S3バケット名、またはAmazon S3オブジェクトが保存されているAmazon S3バケット内のフォルダパス。例: <バケット名>/<フォルダ名>
領域名	アクセス先のバケットのAWS領域。次のいずれかのリージョンを選択します。 - アフリカ(ケープタウン) - アジアパシフィック（ムンバイ） - アシスパシフィック（ジャカルタ） - アジアパシフィック(大阪) - アジアパシフィック（ソウル） - アジアパシフィック（シンガポール） - アジアパシフィック（シドニー） - アジアパシフィック（東京） - アジアパシフィック（香港） - AWS GovCloud(米国) - AWS GovCloud （米国東部） - カナダ（中部） - 中国（北京） - 中国（寧夏） - 欧州（アイルランド） - 欧州（フランクフルト） - 欧州(ロンドン) - 欧州（ミラノ） - 欧州(パリ) - 欧州(ストックホルム) - 南米（サンパウロ） - 中東(バーレーン) - 中東（UAE） - 米国東部（バージニア北部） - 米国東部（オハイオ） - 米国ISO東部 - 米国ISOB東部（オハイオ） - 米国ISO西部 - 米国西部（北カリフォルニア） - 米国西部（オレゴン）デフォルトは［米国東部（バージニア北部）］です。
その他の認証タイプ¹	資格情報プロファイルファイル認証を使用してAmazon S3に接続するかどうかを決定します。次のいずれかの認証タイプを選択します。 - NONE。資格情報プロファイルファイル認証を使用しない場合に選択します。 - 認証情報プロファイルファイルの認証。資格情報プロファイルファイル認証を使用して、認証情報ファイルから Amazon S3 認証情報にアクセスする場合に選択します。認証プロファイルファイルのパスとプロファイル名を入力して、Amazon S3に接続します。資格情報プロファイルファイル認証を設定する際は、永続的なIAM資格情報または一時セッショントークンを使用できます。デフォルトは［なし］です。
資格情報プロファイルのファイルパス¹	資格情報プロファイルファイルのパス。資格情報プロファイルのパスを入力しない場合、Secure Agentはホームディレクトリの次のデフォルトの場所にある、使用可能な資格情報プロファイルファイルを使用します。 ~/.aws/credentials
プロファイル名¹	Amazon S3リソースにアクセスするための資格情報を取得するために使用される資格情報プロファイルファイル内のプロファイルの名前。プロファイル名を入力しない場合、資格情報プロファイルファイルのデフォルトプロファイルの資格情報が使用されます。
¹マッピングにのみ適用されます。

フェデレーションSSO認証

フェデレーティッドユーザーシングルサインオン認証には、フェデレーティッドユーザーのユーザー名とパスワード、IdP SSO URL、SAML IDプロバイダのARN、およびフェデレーティッドユーザーが引き受けるIAMロールのARNが必要です。SSOにはADFS 3.0（IDP）のみを使用できます。

フェデレーションユーザーシングルサインオン認証は、詳細モードのマッピングには適用されません。

次の表に、フェデレーションシングルサインオン認証の基本的な接続プロパティとその説明を示します。

プロパティ	説明
フォルダパス	Amazon S3バケット名、またはAmazon S3オブジェクトが保存されているAmazon S3バケット内のフォルダパス。例: <バケット名>/<フォルダ名>
領域名	アクセス先のバケットのAWS領域。次のいずれかのリージョンを選択します。 - アフリカ(ケープタウン) - アジアパシフィック（ムンバイ） - アシスパシフィック（ジャカルタ） - アジアパシフィック(大阪) - アジアパシフィック（ソウル） - アジアパシフィック（シンガポール） - アジアパシフィック（シドニー） - アジアパシフィック（東京） - アジアパシフィック（香港） - AWS GovCloud(米国) - AWS GovCloud （米国東部） - カナダ（中部） - 中国（北京） - 中国（寧夏） - 欧州（アイルランド） - 欧州（フランクフルト） - 欧州(ロンドン) - 欧州（ミラノ） - 欧州(パリ) - 欧州(ストックホルム) - 南米（サンパウロ） - 中東(バーレーン) - 中東（UAE） - 米国東部（バージニア北部） - 米国東部（オハイオ） - 米国ISO東部 - 米国ISOB東部（オハイオ） - 米国ISO西部 - 米国西部（北カリフォルニア） - 米国西部（オレゴン）デフォルトは［米国東部（バージニア北部）］です。
フェデレーションSSO IDp	AWSアカウントで使用する、統合ユーザーシングルサインオンのSAML 2.0対応IDプロバイダ。 SSOにはADFS 3.0（IDP）のみを使用できます。統合ユーザーシングルサインオンを使用しない場合は、［なし］を選択します。
統合ユーザー名	IDプロバイダ経由でAWSアカウントにアクセスする統合ユーザーのユーザー名。
統合ユーザーパスワード	IDプロバイダ経由でAWSアカウントにアクセスする統合ユーザーのパスワード。
IdP SSO URL	AWSに使用するIDプロバイダのシングルサインオンURL。
SAML IDプロバイダARN	IDプロバイダを信頼できるプロバイダとして登録するためにAWS管理者が作成した、SAML IDプロバイダのARN。
ロールARN	統合ユーザーに引き継がれたIAMロールのARN。

詳細設定

プロパティ	説明
S3アカウントタイプ	Amazon S3アカウントのタイプ。次のオプションから選択します。 - Amazon S3ストレージ。Amazon S3サービスを使用できるようにします。 - S3互換ストレージ。Scality RINGやMinIOなどのサードパーティのストレージプロバイダのエンドポイントを使用できるようにします。デフォルトはAmazon S3ストレージです。
RESTエンドポイント	S3互換ストレージに必要なS3ストレージエンドポイント。 S3ストレージエンドポイントをHTTPまたはHTTPS形式で入力します。例えば、http://s3.isv.scality.comと指定します。
S3 VPCエンドポイントタイプ¹	Amazon S3用のAmazon Virtual Private Cloudエンドポイントのタイプ。 VPCエンドポイントを使用して、Amazon S3とのプライベート通信を有効にすることができます。次のいずれかのオプションを選択します。 - なし。VPCエンドポイントを使用しない場合に選択します。 - ゲートウェイエンドポイント。インタフェースエンドポイントを介してAmazon S3とのプライベート通信を確立する場合に選択します。ゲートウェイエンドポイントは、S3トラフィックをS3ゲートウェイエンドポイントに転送するために使用されるルートテーブル内のルートのターゲットです。 - インタフェースエンドポイント。サブネットのIPアドレス範囲のプライベートIPアドレスを使用するインタフェースエンドポイント経由でAmazon S3とのプライベート通信を確立する場合に選択します。これは、AWSのサービス宛てのトラフィックのエントリポイントとして機能します。デフォルトは［なし］です。
Amazon S3のエンドポイントDNS名¹	Amazon S3インタフェースエンドポイントのDNS名。 DNS名は以下の形式で入力します。 bucket.<インタフェースエンドポイントのDNS名>
STS VPCエンドポイントタイプ¹	AWS Security Token Service用のAmazon Virtual Private Cloudエンドポイントのタイプ。
AWS STSのエンドポイントDNS名¹	AWS STSインタフェースエンドポイントのDNS名。
KMS VPCエンドポイントタイプ¹	AWS Key Management Service用のAmazon Virtual Private Cloudエンドポイントのタイプ。
AWS KMSのエンドポイントDNS名¹	AWS KMSインタフェースエンドポイントのDNS名。
マスタ対称キー	クライアントサイド暗号化を使用する場合の、Base64形式で示す256ビットのAES暗号化キー。暗号化キーは、サードパーティ製ツールを使用して生成できます。
顧客マスタキーID	AWS Key Management Service（AWS KMS）によって生成された顧客マスタキーIDまたはエイリアス名、またはアカウント間アクセス用のカスタムキーのAmazonリソース名（ARN）。注: 詳細モードのマッピングでは、アカウント間アクセスは使用できません。 Amazon S3バケットが存在するリージョンの顧客マスタキーを生成する必要があります。次のマスタキーを指定できます。 - 顧客が生成した顧客マスタキー。クライアントサイドまたはサーバーサイドの暗号化を有効にします。 - デフォルトの顧客マスタキー。クライアントサイドまたはサーバーサイドの暗号化を有効にします。アカウントの管理者ユーザーのみがデフォルトの顧客マスタキーIDを使用してクライアントサイド暗号化を有効にできます。
¹マッピングにのみ適用されます。