IAMユーザー経由のAssumeRoleのルールとガイドライン認証

• •一時的なセキュリティ認証情報を要求するIAMユーザーまたはIAMロールは、AWSリソースへのアクセス権を持っていてはいけません。
• •認証済みIAMユーザーまたはIAMロールのみ、AWS Security Token Service（AWS STS）から一時セキュリティ資格情報を要求できます。
• •タスクを実行する前に、一時セキュリティ資格情報の有効期間が、そのタスクを実行するのに十分な長さであることを確認してください。実行中のタスクに対して、一時セキュリティ資格情報の有効期間を延長することはできません。
例えば、Amazon S3に対して読み取りと書き込みを行って、一時的なセキュリティ資格情報の有効期限が切れた場合、一時的なセキュリティ資格情報の期間を延長することはできないため、タスクが失敗します。
• •一時セキュリティ資格情報の有効期限が切れると、AWSは、その資格情報を使ったリソースへのアクセスをIAMユーザーまたはIAMロールに許可しません。マッピングで現在使用している一時セキュリティ資格情報の有効期限が切れる前に、新しい一時セキュリティ資格情報を要求する必要があります。
• •詳細モードのマッピングの場合、［一時的な資格情報の期間］の詳細なソースプロパティで設定した時間が経過した後でも、一時的なセキュリティ資格情報は期限切れにはなりません。
• •一時セキュリティ資格情報を使用するのに、AWSアカウントのルートユーザー資格情報を使用しないでください。一時セキュリティ資格情報を使用するには、IAMユーザーの資格情報を使用する必要があります。
• •マッピング内のソースとターゲットの両方が同じAmazon S3バケットを指している場合は、ソーストランスフォーメーションとターゲットトランスフォーメーションで同じAmazon S3接続が使用されます。異なる2つのAmazon S3接続を使用する場合は、両方の接続に対して接続プロパティで同じ値を設定します。
• •マッピング内のソースとターゲットが異なるAmazon S3バケットを指している場合、異なる2つのAmazon S3接続を使用できます。
両方の接続に対して、接続プロパティで異なる値を設定できます。ただし、接続プロパティで［ロールの引き受けにEC2ロールを使用］チェックボックスをオンにする必要があります。また、ソースプロパティとターゲットプロパティの［一時的な資格情報の期間］フィールドにも同じ値を指定する必要があります。
• •マッピングで、異なるIAMロールを持つ同じAmazon S3バケットに対して2つ以上のAmazon S3データソースを設定した場合、各IAMロールが他のIAMロールのデータソースにアクセスできるようにする必要があります。
• •2つのデータソースを持つマッピングで、一方のAmazon S3データソースはユーザー資格情報を使用するように設定し、もう一方のデータソースはIAMロールを使用するように設定する場合は、次のルールを考慮してください。
• - 最初のデータソースのIAMユーザーは、2番目のAmazon S3データソースのIAMロールを引き受けることもできるようにする必要があります。
• - 2番目のデータソース用に設定したIAMロールは、最初のAmazon S3データソースへのアクセス権を持つようにする必要もあります。