S3 ストレージレンズによるデータ保護 - Amazon Simple Storage Service

S3 ストレージレンズによるデータ保護

Amazon S3 ストレージレンズのデータ保護メトリクスを使用して、データ保護のベストプラクティスが適用されていないバケットを特定できます。これらのメトリクスを使用して対策を講じ、ベストプラクティスに沿った標準設定を適用して、アカウントや組織内のさまざまなバケットにわたってデータを保護できます。例えば、データ保護メトリクスを使用して、デフォルトの暗号化に AWS Key Management Service (AWS KMS) キー (SSE-KMS) を使用しないバケットや、AWS Signature Version 2 (SigV2) を使用するリクエストを特定できます。

以下のユースケースでは、S3 ストレージレンズダッシュボードを使用して外れ値を特定し、S3 バケット全体にデータ保護のベストプラクティスを適用する戦略を提供します。

AWS KMS によるデフォルトの暗号化 (SSE-KMS) でサーバー側暗号化を使用しないバケットを識別する

Amazon S3 のデフォルトの暗号化を使用して、S3 バケットのデフォルト暗号化の動作を設定できます。詳細については、「Amazon S3 バケット向けのサーバー側のデフォルトの暗号化動作の設定」を参照してください。

[SSE-KMS enabled bucket count] (SSE-KMS 対応バケット数) と[% SSE-KMS enabled buckets] (% SSE-KMS 対応バケット) メトリクスを使用して、デフォルトの暗号化に AWS KMS キー (SSE-KMS) によるサーバー側暗号化を使用しているバケットを特定できます。S3 ストレージレンズは、暗号化されていないバイト、暗号化されていないオブジェクト、暗号化されたバイト、および暗号化されたオブジェクトのメトリクスも提供します。メトリクスの一覧については、「Amazon S3 Storage Lens のメトリクスに関する用語集」を参照してください。

SSE-KMS 暗号化メトリクスを一般的な暗号化メトリクスのコンテキストで分析すると、SSE-KMS を使用していないバケットを特定できます。アカウントまたは組織のすべてのバケットに SSE-KMS を使用する場合は、これらのバケットのデフォルトの暗号化設定を SSE-KMS を使用するように更新できます。SSE-KMS に加え、Amazon S3 で管理されたキー (SSE-S3) またはお客様から提供されたキー (SSE-C) によりサーバー側の暗号化を使用できます。詳細については、「暗号化によるデータの保護」を参照してください。

ステップ 1: どのバケットがデフォルトの暗号化に SSE-KMS を使用しているかを特定する

  1. AWS Management Console にサインインし、Amazon S3 コンソール https://console.aws.amazon.com/s3/ を開きます。

  2. ナビゲーションペインで、[Storage Lens] (ストレージレンズ)、[Dashboards] (ダッシュボード) の順にクリックします。

  3. [Dashboards] (ダッシュボード) リストで、表示するダッシュボードを選択します。

  4. [Trends and distributions] (傾向とディストリビューション) セクションで、プライマリメトリクスには [% SSE-KMS enabled bucket count] (% SSE-KMS 対応バケット数) を選択し、セカンダリメトリクスには [% encrypted bytes] (% 暗号化バイト数) を選択します。

    [Trend for date] (日付の傾向) グラフが更新され、SSE-KMS と暗号化されたバイトの傾向が表示されます。

  5. SSE-KMS の詳細なバケットレベルのインサイトを表示するには:

    1. グラフ上のポイントを選択します。より詳細なインサイトの選択肢が記載されたボックスが表示されます。

    2. [Buckets] (バケット) ディメンションを選択します。次に、[Apply] (適用) を選択します。

  6. [Distribution by buckets for date] (日付のバケット別分布) グラフで、[SSE-KMS enabled bucket count] (SSE-KMS 対応のバケット数) メトリクスを選択します。

  7. これで、SSE-KMS が有効になっているバケットと有効になっていないバケットを確認できます。

ステップ 2: バケットのデフォルトの暗号化設定を更新する

どのバケットが [% encrypted bytes] (% 暗号化バイト) のコンテキストで SSE-KMS を使用するかを確認できたので、SSE-KMS を使用しないバケットを特定できます。その後、オプションで S3 コンソール内のこれらのバケットに移動し、デフォルトの暗号化設定を SSE-KMS または SSE-S3 を使用するように更新できます。詳細については、「デフォルトの暗号化の設定」を参照してください。

S3 バージョニングが有効なバケットを識別する

S3 バージョニング機能を有効にすると、同じオブジェクトの複数のバージョンが保持されます。これらは、オブジェクトが誤って削除された、または上書きされた場合にデータをすばやく回復させるために使用できます。[Versioning-enabled bucket count] (バージョニングが有効なバケット数) メトリクスを使用して、どのバケットが S3 バージョニングを使用しているかを確認できます。次に、S3 コンソールでアクションを実行して、他のバケットの S3 バージョニングを有効にできます。

ステップ 1: S3 バージョニングが有効なバケットを識別する

  1. AWS Management Console にサインインし、Amazon S3 コンソール (https://console.aws.amazon.com/s3/) を開きます。

  2. ナビゲーションペインで、[Storage Lens]、[ダッシュボード] の順にクリックします。

  3. [Dashboards] (ダッシュボード) リストで、表示するダッシュボードを選択します。

  4. [Trends and distributions] (傾向とディストリビューション) セクションで、プライマリメトリクスには [Versioning-enabled bucket count] (バージョニングが有効なバケット数) を選択し、セカンダリメトリクスには [Buckets] (バケット) を選択します。

    [Trend for date] (日付の傾向) グラフが更新され、S3 バージョニングが有効なバケットの傾向が表示されます。トレンドラインのすぐ下に、[Storage class distribution] (ストレージクラスディストリビューション) と[Region distribution] (リージョンディストリビューション) サブセクションが表示されます。

  5. [Trend for date] (日付の傾向) グラフに表示されているバケットについてより詳細なインサイトを表示して、より詳細な分析を実行できるようにするには、次の操作を行います。

    1. グラフ上のポイントを選択します。より詳細なインサイトの選択肢が記載されたボックスが表示されます。

    2. データに適用するディメンションを [Account] (アカウント)、[AWS リージョン][Storage class] (ストレージクラス)、[Bucket] (バケット) から選択して、より詳細な分析を行います。次に、[Apply] (適用) を選択します。

  6. [Bubble analysis by buckets for date] (日付別のバケットによるバブル分析) セクションで、[Versioning-enabled bucket count] (バージョニングが有効なバケット数)、[Buckets] (バケット)、[Active buckets] (アクティブバケット) のメトリクスを選択します。

    [Bubble analysis by buckets for date] (日付別のバケットごとのバブル分析) セクションが更新され、選択したメトリクスのデータが表示されます。このデータを使用して、合計バケット数に関連して、どのバケットで S3 バージョニングが有効になっているかを確認できます。[Bubble analysis by buckets for date] (日付のバケットによるバブル分析) セクションでは、バブルの [X-axis](X 軸)、[Y-axis] (Y 軸)、および [Size] (サイズ) を表す 3 つのメトリクスを使用して、バケットを複数のディメンションにプロットできます。

ステップ 2: S3 バージョニングを有効にする

S3 バージョニングが有効になっているバケットを特定したら、S3 バージョニングが有効になっていないバケット、またはバージョニングが停止されているバケットを特定できます。次に、オプションで S3 コンソールでこれらのバケットのバージョニングを有効にできます。詳細については、「バケットでのバージョニングの有効化」を参照してください。

AWS Signature Version 2 (SigV2) を使用したリクエストを識別する

[All unsupported signature requests] (すべてのサポートされていない署名リクエスト) メトリクスを使用して、AWS Signature Version 2 (SigV2) を使用するリクエストを特定できます。このデータは、SigV2 を使用している特定のアプリケーションを特定するのに役立ちます。その後、これらのアプリケーションを AWS Signature Version 4 (SigV4) に移行できます。

SigV4 はすべての新しい S3 アプリケーションに推奨される署名方法です。SigV4 はセキュリティが向上し、すべての AWS リージョン でサポートされています。詳細については、「Amazon S3 更新 - SigV2 の非推奨期間の延長および変更」を参照してください。

前提条件

[All unsupported signature requests] (すべてのサポートされていない署名リクエスト) を S3 ストレージレンズダッシュボードに表示するには、S3 ストレージレンズの [Advanced metrics and recommendations] (高度なメトリクスとレコメンデーション) を有効にしてから、[Advanced data protection metrics] (高度なデータ保護メトリクス) を選択します。詳細については、「Amazon S3 Storage Lens ダッシュボードの作成と更新」を参照してください。

ステップ 1: SigV2 署名の傾向を AWS アカウント、リージョン、バケット別に調べる

  1. AWS Management Console にサインインし、Amazon S3 コンソール https://console.aws.amazon.com/s3/ を開きます。

  2. ナビゲーションペインで、[Storage Lens] (ストレージレンズ)、[Dashboards] (ダッシュボード) の順にクリックします。

  3. [Dashboards] (ダッシュボード) リストで、表示するダッシュボードを選択します。

  4. SigV2 を使用するリクエストがある特定のバケット、アカウント、リージョンを特定するには:

    1. [Top N] (トップ N) の [Top N overview for date] (日付のトップ N 概要) に、データを表示したいバケットの数を入力します。

    2. [Metric] (メトリクス) では、[Data protection] (データ保護) カテゴリから [All unsupported signature requests] (すべてのサポートされていない署名リクエスト) を選択します。

      [Top N overview for date] (日付のトップ N 概要) が更新され、アカウント、AWS リージョン、バケット別に SigV2 リクエストのデータが表示されます。[Top N overview for date] (日付のトップ N の概要) セクションには、前日または前週からの変化率と、傾向を視覚化するスパークラインも表示されます。この傾向は、無料メトリクスの場合は 14 日間、高度なメトリクスとレコメンデーションの場合は 30 日間の傾向です。

      注記

      S3 ストレージレンズの高度なメトリクスとレコメンデーションの場合、メトリクスは 15 か月間クエリで利用できます。詳細については、「メトリクスの選択」を参照してください。

ステップ 2: SigV2 リクエストを通じてアプリケーションからアクセスされるバケットを特定する

  1. AWS Management Console にサインインし、Amazon S3 コンソール https://console.aws.amazon.com/s3/ を開きます。

  2. ナビゲーションペインで、[Storage Lens] (ストレージレンズ)、[Dashboards] (ダッシュボード) の順にクリックします。

  3. [Dashboards] (ダッシュボード) リストで、表示するダッシュボードを選択します。

  4. ストレージレンズダッシュボードで、[Bucket] (バケット) タブを選択します。

  5. [Buckets] (バケット) セクションまで下にスクロールします。[Metrics categories] (メトリクスのカテゴリ) で、[Data protection] (データ保護) を選択します。次に、[Summary] (概要) を選択解除します。

    [Buckets] (バケット) リストが更新され、表示されているバケットで利用可能なすべての [Data protection] (データ保護) メトリクスが表示されます。

  6. [Buckets] (バケット) リストをフィルタリングして特定のデータ保護メトリクスのみを表示するには、設定アイコン ( A screenshot that shows the preferences icon in the S3 Storage Lens dashboard. ) を選択します。

  7. 次の項目だけが選択された状態になるまで、他のすべてのデータ保護メトリクスを選択解除します。

    • [All unsupported signature requests] (すべてのサポートされていない署名リクエスト)

    • [% all unsupported signature requests] (% すべてのサポートされていない署名リクエスト)

  8. (オプション) [Page size] (ページサイズ) で、リストに表示するバケットの数を選択します。

  9. [確認] を選択します。

    [Buckets] (バケット) リストが更新され、SigV2 リクエストのバケットレベルのメトリクスが表示されます。このデータを使用して、SigV2 リクエストがある特定のバケットを特定できます。次に、この情報を使用してアプリケーションを SigV4 に移行できます。詳細については、Amazon Simple Storage Service API リファレンスの「リクエストの認証 (AWS 署名バージョン 4)」を参照してください。

各バケットのレプリケーションルールの総数を数える

S3 レプリケーションを使用すると、Amazon S3 バケット間でオブジェクトを自動で非同期的にコピーできます。オブジェクトのレプリケーション用に設定されたバケットは、同じ AWS アカウント が所有することも、異なるアカウントが所有することもできます。詳細については、「オブジェクトのレプリケーション」を参照してください。

S3 ストレージレンズのレプリケーションルール数メトリクスを使用して、レプリケーション用に設定されているバケットに関する詳細なバケットごとの情報を取得できます。この情報には、バケット内とリージョン内およびバケット間とリージョン間のレプリケーションルールが含まれます。

前提条件

レプリケーションルール数メトリクスを S3 ストレージレンズダッシュボードに表示するには、S3 ストレージレンズ [Advanced metrics and recommendations] (高度なメトリクスとレコメンデーション) を有効にしてから、[Advanced data protection metrics] (高度なデータ保護メトリクス) を選択します。詳細については、「Amazon S3 Storage Lens ダッシュボードの作成と更新」を参照してください。

ステップ 1: 各バケットのレプリケーションルールの総数を数える

  1. AWS Management Console にサインインし、Amazon S3 コンソール https://console.aws.amazon.com/s3/ を開きます。

  2. ナビゲーションペインで、[Storage Lens] (ストレージレンズ)、[Dashboards] (ダッシュボード) の順にクリックします。

  3. [Dashboards] (ダッシュボード) リストで、表示するダッシュボードを選択します。

  4. ストレージレンズダッシュボードで、[Bucket] (バケット) タブを選択します。

  5. [Buckets] (バケット) セクションまで下にスクロールします。[Metrics categories] (メトリクスのカテゴリ) で、[Data protection] (データ保護) を選択します。次に、[Summary] (概要) を選択解除します。

  6. [Buckets] (バケット) リストをフィルタリングしてレプリケーションルール数メトリクスのみを表示するには、設定アイコン ( A screenshot that shows the preferences icon in the S3 Storage Lens dashboard. ) を選択します。

  7. レプリケーションルール数メトリクスだけが選択された状態になるまで、他のすべてのデータ保護メトリクスを選択解除します。

    • [Same-Region Replication rule count] (同一リージョンレプリケーションのルール数)

    • [Cross-Region Replication rule count] (クロスリージョンレプリケーションルール数)

    • [Same-account replication rule count] (同一アカウントレプリケーションのルール数)

    • [Cross-account replication rule count] (クロスリージョンレプリケーションルール数)

    • [Total replication rule count] (レプリケーションルールの合計数)

  8. (オプション) [Page size] (ページサイズ) で、リストに表示するバケットの数を選択します。

  9. [確認] を選択します。

ステップ 2: レプリケーションルールを追加する

バケットごとのレプリケーションルール数が決まったら、オプションで追加のレプリケーションルールを作成できます。詳細については、「ライブレプリケーションの設定例」を参照してください。

オブジェクトロックバイトのパーセンテージを識別する

S3 オブジェクトロックでは、write-once-read-many (WORM) モデルを使用してオブジェクトを保存できます。オブジェクトロックを使用して、オブジェクトが削除または上書きされることを、一定期間または無期限に防止できます。オブジェクトロックは、バケットを作成する場合にのみ有効にでき、S3 バージョニングも有効化できます。ただし、個々のオブジェクトバージョンの保存期間を編集したり、オブジェクトロックが有効になっているバケットにリーガルホールドを適用したりできます。詳細については、「S3 オブジェクトロックの使用」を参照してください。

S3 ストレージレンズのオブジェクトロックメトリクスを使用して、アカウントまたは組織の [% Object Lock bytes] (% オブジェクトロックバイト) メトリクスを確認できます。この情報を使用して、アカウントまたは組織内のどのバケットがデータ保護のベストプラクティスに従っていないかを特定できます。

  1. AWS Management Console にサインインし、Amazon S3 コンソール https://console.aws.amazon.com/s3/ を開きます。

  2. ナビゲーションペインで、[Storage Lens] (ストレージレンズ)、[Dashboards] (ダッシュボード) の順にクリックします。

  3. [Dashboards] (ダッシュボード) リストで、表示するダッシュボードを選択します。

  4. [Snapshot] (スナップショット) セクションの [Metrics categories] (メトリクスのカテゴリ) で、[Data protection] (データ保護) を選択します。

    [Snapshot] (スナップショット) セクションが更新され、[% Object Lock bytes] (% オブジェクトロックバイト) メトリクスを含むデータ保護メトリクスが表示されます。アカウントまたは組織のオブジェクトロックバイトの全体のパーセンテージを確認できます。

  5. バケットあたりの [% Object Lock bytes] (% オブジェクトロックバイト) を確認するには、[Top N overview] (トップ N の概要) セクションまでスクロールしてください。

    オブジェクトロックのオブジェクトレベルのデータを取得するには、[Object Lock object count] (オブジェクトロックオブジェクト数) と[% Object Lock objects] (% オブジェクトロックオブジェクト) メトリクスを使用することもできます。

  6. [Metric] (メトリクス) には、[Data protection] (データ保護) カテゴリから [% Object Lock bytes] (% オブジェクトロックバイト) を選択します。

    デフォルトでは、[Top N overview for date] (日付のトップ N の概要) セクションには、上位 3 つのバケットのメトリクスが表示されます。[Top N] (トップ N) のフィールドでバケット数を増やすことができます。[Top N overview for date] (日付のトップ N の概要) セクションには、前日または前週からの変化率と、傾向を視覚化するスパークラインも表示されます。この傾向は、無料メトリクスの場合は 14 日間、高度なメトリクスとレコメンデーションの場合は 30 日間の傾向です。

    注記

    S3 ストレージレンズの高度なメトリクスとレコメンデーションの場合、メトリクスは 15 か月間クエリで利用できます。詳細については、「メトリクスの選択」を参照してください。

  7. [% Object Lock bytes] (% オブジェクトロックバイト) については、次のデータを確認してください。

    • [Top number accounts] (上位アカウント数) – [% Object Lock bytes] (% オブジェクトロックバイト) が最も高いアカウントと最も低いアカウントを確認できます。

    • [Top number Regions] (上位リージョン数) – リージョン別の [% Object Lock bytes] (% オブジェクトロックバイト) の内訳を表示します。

    • [Top number buckets] (上位バケット数) – [% Object Lock bytes] (% オブジェクトロックバイト) が最も高いバケットと最も低いバケットを確認できます。