認可

AWS S3カードを初めてフローに追加すると、Oktaにより接続を構成するよう求められます。アカウント情報を保存すると、将来のAWS S3フローで接続を再利用できるようになります。

注:

複数の接続を作成し、接続（Connections）ページから管理できます。

アクションカードから新規接続を作成するには、次の手順を実行します。

新規接続（New Connection）をクリックします。
接続ニックネーム（Connection Nickname）を入力します。これは、チームで共有するために複数のAWS S3接続の作成を計画している場合に便利です。
アカウントID（Account ID）から、関連付けられているロールの信頼ポリシーへIDをコピーします。サードパーティが所有するAWSアカウントへのアクセスの提供を参照してください。
外部ID（External ID）から、関連付けられているロールの信頼ポリシーにIDをコピーします。サードパーティが所有するAWSアカウントへのアクセスの提供を参照してください。
Role Amazon Resource Name（ARN）（ロールAmazonリソースネーム（ARN））（Role Amazon Resource Name (ARN)）を入力します。IAM識別子を参照してください。
作成（Create）をクリックします。

注:

AWS S3の操作用に作成したロールには、IAMポリシーが添付されている必要があります。IAMポリシーを利用することで、AWS S3コネクターが実行する可能性があるアクションの指定によってAWSリソースへのアクセスを管理できます。AWS管理のポリシーまたは顧客管理のポリシーを添付できます。次のコードは、顧客管理のAWSポリシーの例を示しています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:GetObjectRetention",
                "s3:DeleteObjectVersion",
                "s3:GetObjectVersionTagging",
                "s3:PutBucketOwnershipControls",
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:GetObjectLegalHold",
                "s3:BypassGovernanceRetention",
                "s3:PutObject",
                "s3:GetObject",
                "s3:PutBucketTagging",
                "s3:PutLifecycleConfiguration",
                "s3:GetObjectTagging",
                "s3:PutBucketAcl",
                "s3:PutObjectTagging",
                "s3:PutBucketObjectLockConfiguration",
                "s3:DeleteObject",
                "s3:DeleteBucket",
                "s3:PutBucketVersioning",
                "s3:PutObjectAcl",
                "s3:GetObjectVersion",
                "s3:PutObjectLegalHold",
                "kms:GenerateDataKey",
                "s3:GetBucketObjectLockConfiguration",
                "s3:PutObjectRetention"
            ],
            "Resource": "*"
        }
    ]
}