の Amazon EFS のロケーションを作成するAWS DataSync - AWS DataSync

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の Amazon EFS のロケーションを作成するAWS DataSync

ロケーションは、Amazon EFS ファイルシステムのエンドポイントです。 AWS DataSync場所を送信元あるいは送信先として使用することができます。

Amazon EFS ファイルシステムへのアクセス

DataSync は、ネットワークインターフェイスを使用して Amazon EFS ファイルシステムを root ユーザーとして仮想プライベートクラウド (VPC) からマウントします。

ロケーションを作成する際には、ネットワークファイルシステム (NFS) ポート 2049 DataSync を使用して Amazon EFS ファイルシステムのマウントターゲットまたはアクセスポイントへの接続に使用するサブネットとセキュリティグループを指定します

DataSync アクセスが制限されるように設定された Amazon EFS ファイルシステムをマウントすることもできます。たとえば、 DataSync ファイルシステムへの接続に必要なレベルの権限を付与するAWS Identity and Access Management (IAM) ロールを指定できます。詳細については、「IAM ポリシーを使用して Amazon EFS ファイルシステムにアクセスする」を参照してください。

Amazon EFS のロケーションに関する考慮事項

Amazon EFS DataSync ファイルシステムの場所を作成するときに、次の事項を考慮してください。

  • と一緒に使用する VPC DataSync にはデフォルトテナンシーが必要です。専用テナンシーのある VPC はサポートされていません。詳細については「」を参照してください

  • バーストスループットモードで Amazon EFS ファイルシステムを作成すると、2.1 TB 分のバーストクレジットが割り当てられます。バーストスループットモードでは、すべての Amazon EFS ファイルシステムで最大 100 MB/秒のスループットを達成できます。Amazon S3 スタンダードクラスのストレージが 1 TiB を超えるファイルシステムでは、バーストクレジットが使用可能な場合、1 TB あたり 100 MiB をドライブできます。

    DataSync ファイルシステムのバーストクレジットを消費します。これが原因で、アプリケーションのパフォーマンスに影響を及ぼす可能性があります。 DataSync アクティブなワークロードがあるファイルシステムで使用する場合は、EFS プロビジョンドスループットを使用することを検討してください。

  • 汎用パフォーマンスモードの Amazon EFS ファイルシステムでは、1 秒間に 35,000 ファイルシステムのオペレーションに制限されています。この制限によって、 DataSync ファイルのコピー時に達成できる最大スループットに影響を及ぼす可能性があります。

    データまたはメタデータを読み取り操作では 1 回のファイル操作が消費されます。データの書き込みまたはメタデータの更新操作では、5 回のファイル操作が消費されます。つまり、ファイルシステムは 1 秒あたり 35,000 回の読み取り操作、7,000 回の書き込み操作、あるいはその両方の組み合わせをサポートできます。ファイル操作は、接続しているすべてのクライアントからカウントされます。

    詳細については、Amazon Elastic File System ユーザーガイドの「Amazon EFS のパフォーマンス」を参照してください。

ロケーションの作成

場所を作成するには、既存の Amazon EFS ファイルシステムが必要です。持っていない場合は、Amazon Elastic File System User Guide の Amazon Elastic File System の使用開始」を参照してください

Amazon EFS のロケーションを作成するには

  1. https://console.aws.amazon.com/datasync/AWS DataSync でコンソールを開きます。

  2. 左側のナビゲーションペインで [場所] を選択し、[位置情報の作成] を選択します。

  3. ロケーションタイプにはAmazon EFS ファイルシステムを選択します

    後でこの場所を送信元あるいは送信先として設定します。

  4. [File system] で、場所として使用する Amazon EFS ファイルシステムを選択します。

    後でこの場所を送信元あるいは送信先として設定します。

  5. マウントパスで、Amazon EFS ファイルシステムのマウントパスを入力します。

    これにより、 DataSync データを読み書きする場所を指定します (送信元あるいは送信先の場所によって異なります)。

    デフォルトでは、ルートディレクトリ (または設定した場合はアクセスポイント) DataSync を使用します。フォワードスラッシュ (など/path/to/directory) を使用してサブディレクトリを指定することもできます。

  6. [Subnet (サブネット)] で、 DataSync 転送中のトラフィックを管理するためのネットワークインターフェイスを作成するサブネットを選択します。

    サブネットは次の場所にある必要があります。

    • Amazon EFS ファイルシステムと同じ VPC にあります。

    • 少なくとも 1 台のファイルシステムマウントターゲットと同じアベイラビリティーゾーン内。

    注記

    ファイルシステムのマウントターゲットが含まれるサブネットを指定する必要はありません。

  7. [セキュリティグループ] で、Amazon EFS ファイルシステムのマウントターゲットに関連付けられているセキュリティグループを選択します。

    注記

    指定するセキュリティグループは、NFS ポート 2049 でのインバウンドトラフィックを許可する必要があります。詳細については、Amazon Elastic File System ユーザーガイドの「Amazon EC2 インスタンスとマウントターゲットに VPC セキュリティグループを使用する」を参照してください

  8. 転送時の暗号化では、 DataSync ファイルシステムとの間でデータをコピーするときに Transport Layer Security (TLS) 暗号化を使用するかどうかを選択します。

    注記

    アクセスポイント、IAM ロール、またはその両方をロケーションで設定する場合は、この設定を有効にする必要があります。

  9. (オプション) EFS アクセスポイントの場合は、Amazon EFS DataSync ファイルシステムのマウントに使用できるアクセスポイントを選択します。

  10. (オプション) IAM ロールには、 DataSync ファイルシステムへのアクセスを許可するロールを指定します。

    このロールの作成については「」」を参照してください。IAM ポリシーを使用して Amazon EFS ファイルシステムにアクセスする

  11. (オプション) [タグを追加] を選択してファイルシステムにタグを付けます。

    タグは、場所の管理、フィルタリング、検索に便利なキー値ペアです。

  12. [ロケーションを作成] を選択します。

IAM ポリシーを使用して Amazon EFS ファイルシステムにアクセスする

IAM ポリシーを使用して、Amazon EFS ファイルシステムをより高いレベルのセキュリティで設定できます。ファイルシステムポリシーでは、 DataSync ファイルシステムとの接続を許可する IAM ロールを指定できます。

注記

IAM ロールを使用するには、 DataSyncファイルシステムの場所を作成するときに、転送中の暗号化の TLS を有効にする必要があります。

詳細については、Amazon Elastic File System User Guide の IAM を使用したファイルシステムデータアクセスの制御を参照してください

の IAM ロール DataSync

DataSync 信頼できるエンティティとしてロールを作成します。

IAM ロールを作成するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. 左側のナビゲーションペインの [アクセス管理] で [ロール] を選択し、[ロールの作成] を選択します。

  3. [信頼できるエンティティの選択] ページの [信頼できるエンティティタイプ] で、[カスタム信頼ポリシー] を選択します。

  4. 以下の JSON をポリシーエディタに貼り付けます。

    { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole" }] }
  5. [Next] (次へ) を選択します。[Add permissions] (アクセス許可を追加する) ページで Next (次へ) を選択します。

  6. ロールに名前を付けて、[ロールの作成] を選択します。

Amazon EFS ファイルシステムの場所を作成するときに、このロールを指定します。

Amazon EFS ファイルシステムポリシーの例

以下のサンプル IAM ポリシーには、Amazon EFS ファイルシステム (ポリシーではとして識別されますfs-1234567890abcdef0) へのアクセスを制限するのに役立つ要素が含まれています。

  • Principal: DataSync ファイルシステムに接続する権限を与える IAM ロールを指定します。

  • Action: DataSync ルートアクセスを許可し、ファイルシステムへの読み取りと書き込みを許可します。

  • aws:SecureTransport: ファイルシステムに接続するときに NFS クライアントに TLS の使用が必要です。

  • elasticfilesystem:AccessPointArn: 特定のアクセスポイントからのみファイルシステムへのアクセスを許可します。

{ "Version": "2012-10-17", "Id": "ExampleEFSFileSystemPolicy", "Statement": [{ "Sid": "AccessEFSFileSystem", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/MyDataSyncRole" }, "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientRootAccess" ], "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-1234567890abcdef0", "Condition": { "Bool": { "aws:SecureTransport": "true" }, "StringEquals": { "elasticfilesystem:AccessPointArn": "arn:aws:elasticfilesystem:us-east-1:111122223333:access-point/fsap-abcdef01234567890" } } }] }