他の AWS アカウントから S3 オブジェクトをコピーする方法を教えてください。

別のアカウントからコピーされた S3 オブジェクトをコピー先アカウントが所有していることを確認するには、クロスアカウントコピーを実行するアクセス許可を送信先アカウントに付与します。クロスアカウントのアクセス許可を設定して、アカウント A のソースバケットからアカウント B の送信先バケットにオブジェクトをコピーするには、以下の手順に従います。

1.    アカウント A のソースバケットに、バケットポリシーを添付します。

2.    アカウント B のユーザーまたはロールに AWS Identity and Access Management (IAM) ポリシーを添付します。

3.    アカウント B の IAM ユーザーまたはロールを使用して、クロスアカウントコピーを実行します。

重要: ソースバケットまたは送信先バケットで AWS Key Management Service (AWS KMS) を有効にしたデフォルトの暗号化がある場合は、AWS KMS キーに関連するアクセス許可も変更する必要があります。手順については、「Amazon S3 バケットにカスタム AWS KMS キーを使用したデフォルトの暗号化があります」を参照してください。ユーザーにバケットからのダウンロードとバケットへのアップロードを許可するにはどうすればよいですか? 

デフォルトでは、S3 オブジェクトの所有者はオブジェクトをアップロードしたアカウントです。そのため、クロスアカウントコピーを実行するアクセス許可を送信先アカウントに付与することで、コピーされたオブジェクトをコピー先が所有していることを確認できます。アクセスコントロールリスト (ACL) を bucket-owner-full-control に変更することで、オブジェクトの所有権を変更することもできます。ただし、オブジェクト ACL は複数のオブジェクトに対する管理が困難な場合があるため、プログラムによるクロスアカウントアクセス許可を送信先アカウントに付与することを推奨します。

オブジェクトの所有権は、バケットポリシーを使用してアクセス許可を管理するために重要です。バケットポリシーをバケット内のオブジェクトに適用するには、そのオブジェクトがバケットを所有するアカウントによって所有されている必要があります。オブジェクトの ACL を使用して、オブジェクトのアクセス許可を管理することもできます。ただし、オブジェクト ACL は複数のオブジェクトに対する管理が困難な場合があるため、アクセス許可を設定するための一元的な方法として、バケットポリシーを使用することを推奨します。

アカウント A のソースバケットにバケットポリシーを添付する

1.    アカウント B (送信先アカウント) の IAM ID (ユーザーまたはロール) の Amazon リソースネーム (ARN) を取得します。

2.    次のように、アカウント A から、アカウント B の IAM ID がオブジェクトを取得することを許可するソースバケットに、バケットポリシーを添付します。 

重要: [Principal] の値については、 arn:aws:iam::222222222222:user/Jane を、アカウント B の IAM ID の ARN に置き換えます。

アカウント B のユーザーまたはロールに IAM ポリシーを添付する

1.    アカウント B から、IAM ユーザーまたはロールがアカウント A のソースバケットからアカウント B の送信先バケットにオブジェクトをコピーできる IAM カスタマー管理ポリシーを作成します。ポリシーは次の例のようになります。

2.    アカウント間でオブジェクトをコピーするために使用する IAM ユーザーまたはロールに、カスタマー管理ポリシーを添付します。

アカウント B の IAM ユーザーまたはロールを使用して、クロスアカウントコピーを実行する

バケットポリシーと IAM ポリシーを設定すると、アカウント B の IAM ユーザーまたはロールはアカウント A からアカウント B へのコピーを実行できます。次に、アカウント B がコピー済みオブジェクトを所有します。

アカウント A のソースバケットからすべてのコンテンツをアカウント B の送信先バケットに同期するには、アカウント B の IAM ユーザーまたはロールで AWS コマンドラインインターフェイス (AWS CLI) を使用して sync コマンドを実行します。