Amazon EFS AWS DataSync による転送の設定 - AWS DataSync
Amazon EFS ファイルシステムへのアクセスAmazon EFS 転送に関する考慮事項Amazon EFS の転送ロケーションの作成IAM ポリシーを使用して Amazon EFS ファイルシステムにアクセスする

2023 年 12 月 7 日より、バージョン 1 DataSync のエージェントは廃止されます。 DataSync コンソールの [エージェント] ページをチェックして、影響を受けるエージェントがいないか確認してください。その場合は、データ転送やストレージ検出の中断を避けるため、その前にそれらのエージェントを交換してください。さらにサポートが必要な場合は、お問い合わせくださいAWS Support

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EFS AWS DataSync による転送の設定

Amazon EFS ファイルシステムとの間でデータを転送するには、AWS DataSync転送場所を作成する必要があります。 DataSync この場所をデータ転送のソースまたは宛先として使用できます。

Amazon EFS ファイルシステムへのアクセス

DataSync ネットワークインターフェイスを使用して、仮想プライベートクラウド (VPC) から Amazon EFS ファイルシステムをルートユーザーとしてマウントします。

ロケーションを作成するときは、ネットワークファイルシステム (NFS) ポート 2049 DataSync を使用して Amazon EFS ファイルシステムのマウントターゲットまたはアクセスポイントに接続するために使用するサブネットとセキュリティグループを指定します

DataSync アクセスが制限されるように設定された Amazon EFS ファイルシステムをマウントすることもできます。たとえば、ファイルシステムへの接続に必要なレベルのアクセス権限を与える AWS Identity and Access Management DataSync (IAM) ロールを指定できます。詳細については、「IAM ポリシーを使用して Amazon EFS ファイルシステムにアクセスする」を参照してください。

Amazon EFS 転送に関する考慮事項

Amazon EFS DataSync ファイルシステムの転送場所を作成するときは、次の点を考慮してください。

  • 一緒に使用する VPC DataSync にはデフォルトテナンシーが必要です。専用テナンシーを持つ VPC はサポートされていません。詳細については、「VPC の操作」を参照してください。

  • バーストスループットモードで Amazon EFS ファイルシステムを作成すると、2.1 TB 分のバーストクレジットが割り当てられます。すべての Amazon EFS ファイルシステムでは、バーストスループットモードでは毎秒最大 100 MB のスループットをバーストできます。Amazon S3 スタンダードクラスのストレージが 1 TiB を超えるファイルシステムでは、バーストクレジットが利用可能な場合、1 TB あたり 100 MiB を処理できます。

    DataSync ファイルシステムのバーストクレジットを消費します。これが原因で、アプリケーションのパフォーマンスに影響を及ぼす可能性があります。 DataSync アクティブなワークロードのあるファイルシステムで使用する場合は、Amazon EFS エラスティックスループットモードまたはプロビジョンドスループットモードの使用を検討してください。

  • 汎用パフォーマンスモードの Amazon EFS ファイルシステムでは、1 秒間に 35,000 ファイルシステムのオペレーションに制限されています。この制限は、 DataSync ファイルのコピー時に達成できる最大スループットに影響する可能性があります。

    データまたはメタデータを読み取る操作では、1 つのファイル操作が消費されます。データを書き込んだり、メタデータを更新したりする操作には 5 つのファイル操作が必要です。つまり、ファイルシステムは 1 秒あたり 35,000 回の読み取り操作、7,000 回の書き込み操作、またはこの 2 つの組み合わせをサポートできるということです。ファイル操作は、接続しているすべてのクライアントからカウントされます。

    詳細については、Amazon Elastic File System ユーザーガイドの「Amazon EFS のパフォーマンス」を参照してください。

Amazon EFS の転送ロケーションの作成

転送場所を作成するには、既存の Amazon EFS ファイルシステムが必要です。まだお持ちでない場合は、Amazon Elastic ファイルシステムユーザーガイドの「Amazon ElasAmazon Elastic File System 使用開始」を参照してください

Amazon EFS ロケーションを作成するには

  1. https://console.aws.amazon.com/datasync/ AWS DataSync でコンソールを開きます。

  2. 左側のナビゲーションペインで [データ転送] を展開し、[ロケーション] と [ロケーションの作成] を選択します。

  3. [ロケーションタイプ] には、Amazon EFS ファイルシステムを選択します

    後でこの場所を送信元あるいは送信先として設定します。

  4. [ファイルシステム] では、場所として使用する Amazon EFS ファイルシステムを選択します。

    後でこの場所を送信元あるいは送信先として設定します。

  5. [マウントパス] には、Amazon EFS ファイルシステムのマウントパスを入力します。

    これにより、 DataSync データを読み書きする場所を指定します (ソースロケーションかデスティネーションロケーションかによって異なります)。

    デフォルトでは、ルートディレクトリ (設定した場合はアクセスポイント) DataSync を使用します。フォワードスラッシュ (例:) を使用してサブディレクトリを指定することもできます。/path/to/directory

  6. [サブネット] では、 DataSync 転送中のトラフィックを管理するためのネットワークインターフェースを作成するサブネットを選択します

    サブネットは次の場所にある必要があります。

    • Amazon EFS ファイルシステムと同じ VPC 内にあります。

    • 少なくとも 1 つのファイルシステムマウントターゲットと同じアベイラビリティーゾーンにある。

    注記

    ファイルシステムのマウントターゲットが含まれるサブネットを指定する必要はありません。

  7. [セキュリティグループ] では、Amazon EFS ファイルシステムのマウントターゲットに関連付けられているセキュリティグループを選択します。

    注記

    指定するセキュリティグループは、NFS ポート 2049 でのインバウンドトラフィックを許可する必要があります。詳細については、Amazon Elastic File System ユーザーガイドのAmazon EC2 インスタンスとマウントターゲットでの VPC セキュリティグループの使用」を参照してください。

  8. 転送中の暗号化では、ファイルシステムとの間でデータをコピーするときに、トランスポート層セキュリティ (TLS) 暗号化を使用するかどうかを選択します。 DataSync

    注記

    自分の位置情報でアクセスポイント、IAM ロール、またはその両方を設定する場合は、この設定を有効にする必要があります。

  9. (オプション) EFS アクセスポイントの場合は、Amazon EFS DataSync ファイルシステムのマウントに使用できるアクセスポイントを選択します。

  10. (オプション) IAM ロールには、 DataSync ファイルシステムへのアクセスを許可するロールを指定します。

    このロールの作成方法については、を参照してください。IAM ポリシーを使用して Amazon EFS ファイルシステムにアクセスする

  11. (オプション)「タグを追加」を選択してファイルシステムにタグを付けます。

    タグは、場所の管理、フィルタリング、検索に便利なキー値ペアです。

  12. [場所を作成] を選択します。

IAM ポリシーを使用して Amazon EFS ファイルシステムにアクセスする

IAM ポリシーを使用して、Amazon EFS ファイルシステムをより高いレベルのセキュリティで設定できます。ファイルシステムポリシーでは、 DataSync ファイルシステムとの接続を引き続き許可する IAM ロールを指定できます。

注記

IAM ロールを使用するには、 DataSyncファイルシステムの場所を作成するときに TLS の転送中暗号化を有効にする必要があります。

詳細については、Amazon Elastic File System ユーザーガイドの「IAM を使用してファイルシステムデータアクセスを制御する」を参照してください。

の IAM ロールの作成 DataSync

DataSync 信頼されたエンティティとしてのロールを作成します。

IAM ロールを作成するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. 左側のナビゲーションペインの [アクセス管理] で [ロール] を選択し、[ロールの作成] を選択します。

  3. 「信頼されるエンティティの選択」 ページの「信頼できるエンティティタイプ」で、「カスタム信頼ポリシー」を選択します。

  4. 次の JSON をポリシーエディタに貼り付けます。

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": "datasync.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }]
}

  5. [次へ] をクリックします。[Add permissions] (アクセス許可を追加する) ページで Next (次へ) を選択します。

  6. ロールに名前を付け、[Create role] を選択します。

Amazon EFS ファイルシステムの場所を作成するときに、このロールを指定します。

Amazon EFS ファイルシステムポリシーの例

以下のサンプル IAM ポリシーには、Amazon EFS ファイルシステム (ポリシーではとして識別されるfs-1234567890abcdef0) へのアクセスを制限するのに役立つ要素が含まれています。

  • Principal: DataSync ファイルシステムに接続する権限を付与する IAM ロールを指定します。

  • Action: DataSync root アクセスを許可し、ファイルシステムへの読み取りと書き込みを許可します。

  • aws:SecureTransport: NFS クライアントがファイルシステムに接続するときに TLS を使用することを要求します。

  • elasticfilesystem:AccessPointArn: 特定のアクセスポイント経由でのみファイルシステムへのアクセスを許可します。

{
    "Version": "2012-10-17",
    "Id": "ExampleEFSFileSystemPolicy",
    "Statement": [{
        "Sid": "AccessEFSFileSystem",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/MyDataSyncRole"
        },
        "Action": [
            "elasticfilesystem:ClientMount",
            "elasticfilesystem:ClientWrite",
            "elasticfilesystem:ClientRootAccess"
        ],
        "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-1234567890abcdef0",
        "Condition": {
            "Bool": {
                "aws:SecureTransport": "true"
            },
            "StringEquals": {
                "elasticfilesystem:AccessPointArn": "arn:aws:elasticfilesystem:us-east-1:111122223333:access-point/fsap-abcdef01234567890"
            }
        }
    }]
}