Amazon コネクタの管理

組織の管理者が次のタスクを実行すると、ユーザーはAmazon コネクタを使用できます。

•認証を管理します。次の2つの方法のいずれかを使用します。

- アクセスキーIDとシークレットアクセスキーを作成する。

Amazon S3接続を設定する場合、アクセスキーIDとシークレットアクセスキーの値を指定します。アクセスキーIDとシークレットアクセスキーの作成の詳細については、AWSのマニュアルを参照してください。

- AWS Identity and Access Management（IAM）認証を設定してセキュリティを強化する。

IAM認証を使用する場合は、アクセスキーIDとシークレットアクセスキーをAmazon S3接続で明示的に指定しないでください。

•クライアントサイド暗号化を有効にする場合は、マスタ対称キーを作成します。

•サーバー側の暗号化を有効にする場合は、AWS Key Management Service（AWS KMS）で管理された顧客マスタキーを作成します。

•Amazon S3コネクタ用の最小のAmazon S3バケットポリシーを作成します。

最小のAmazon IAMポリシーの作成

AWSコンソールでIAMポリシーを設定できます。Amazon IAM認証を使用して、Amazon S3リソースへのアクセスを安全に制御します。

有効なAWS資格情報があり、IAM認証を使用する場合は、Amazon S3接続を作成するときに、アクセスキーとシークレットキーを指定する必要はありません。

ユーザーがAmazon S3バケットに対してデータの読み取りおよび書き込みを正常に実行するために使用できる必要な最小のアクションは、次のとおりです。

•PutObject

•GetObject

•DeleteObject

•ListBucket

•GetBucketPolicy

以下の最小のAmazon IAMポリシーのサンプルを使用できます。

{
"Version": "2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Action":[
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:ListBucket",
"s3:GetBucketPolicy"
],
"Resource": [
"arn:aws:s3:::<bucket_name>/*",
"arn:aws:s3:::<bucket_name>"
]
}
]
}

IAM認証

必要に応じて、接続でアクセスキーと秘密鍵を入力しない場合、Amazon S3 コネクタではAWS資格情報プロバイダチェーンが使用され、資格情報が次の順序で検索されます。

1. AWS_ACCESS_KEY_IDとAWS_SECRET_ACCESS_KEYまたはAWS_ACCESS_KEYとAWS_SECRET_KEY環境変数。

2. aws.accessKeyIdとaws.secretKey javaシステムプロパティ。

3. デフォルトの場所~/.aws/credentialsにある資格情報プロファイルファイル。

4. Amazon EC2メタデータサービスによって配信されるインスタンスプロファイル資格情報。

Secure AgentがAmazon Elastic Compute Cloud（EC2）システムで実行している場合は、IAM認証を設定できます。

EC2でIAM認証を設定するには、次の手順を実行します。

1. 最小のAmazon S3バケットポリシーを作成します。

2. Amazon EC2ロールを作成します。Amazon EC2ロールは、EC2システムを作成する場合に使用されます。Amazon EC2ロールの作成の詳細については、AWSのマニュアルを参照してください。

3. 最小のAmazon S3バケットポリシーをAmazon EC2ロールにリンクします。

4. EC2インスタンスを作成します。手順2で作成したAmazon EC2ロールをEC2インスタンスに割り当てます。

5. EC2システムにセキュアエージェントをインストールします。

セッションを実行するときに、Amazon S3リソースへのアクセスを安全に制御するためにIAM認証を使用します。