Amazon S3 のロケーションを作成する - AWS DataSync

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon S3 のロケーションを作成する

AnAWS DataSync ロケーションは、Amazon S3 バケットのエンドポイントです。データをコピーするときに、場所を送信元あるいは送信先として使用できます。

ロケーションを作成する前に、何を理解しているか確認してください DataSync バケットにアクセスする必要がある、Amazon S3 ストレージクラスの仕組み、および Amazon S3 転送に固有のその他の考慮事項

S3 バケットへのアクセス

DataSync は、Amazon S3 バケットへのアクセスが必要です。これを行うには、以下の操作をします。 DataSync 以下を仮定しますAWS Identity and Access ManagementIAM ポリシーがある (IAM) ロールとAWS Security Token Service(AWS STS) 信頼関係。ポリシーによって、このロールが実行できるアクションが決まります。

DataSync このロールは自動的に作成できますが、手動でロールを作成する必要がある場合があります。詳細については、「IAM ポリシーを使用して S3 バケットにアクセスする」を参照してください。

Amazon S3 ロケーションのストレージクラスに関する考慮事項

DataSync オブジェクトを直接に転送できますAmazon S3 ストレージクラスAmazon S3 の場所を作成するときに指定するもの。一部のストレージクラスの動作は、Amazon S3 のストレージコストに影響する場合があります。詳細については、「Amazon S3 の料金」を参照してください。

重要

S3 バケットにコピーされた新しいオブジェクトは、Amazon S3 ロケーションの作成時に指定したストレージクラスを使用して保存されます。 DataSync バケット内の既存のオブジェクトのストレージクラスは変更されません(そのオブジェクトがソースロケーションで変更された場合でも)。

Amazon S3 ストレージクラス 考慮事項
S3 Standard アクセスが頻繁なファイルを、地理的に分散した複数のアベイラビリティーゾーンに冗長的に保存するには、[S3 Standard] を選択します。これは、ストレージクラスを指定しない場合のデフォルトです。
S3 Intelligent-Tiering

[S3 Intelligent-Tiering] を選択すると、最もコスト効率の高いストレージアクセス階層に自動的にデータを移動して、ストレージコストを最適化できます。

S3 Intelligent-Tiering ストレージクラスに保存されているオブジェクトごとに月額料金を支払います。この Amazon S3 料金には、データアクセスパターンのモニタリングと階層間でのオブジェクトの移動が含まれます。

S3 Standard – IA

アクセスが頻繁ではないオブジェクトデータを、地理的に分散した複数のアベイラビリティーゾーンに冗長的に保存するには、S3 Standard – IA を選択します。

S3 Standard – IA ストレージクラスにオブジェクトを保存すると、上書き、削除、または取得に対して追加料金が発生する可能性があります。これらのオブジェクトを変更する頻度、これらのオブジェクトを保持する期間、およびオブジェクトへの必要なアクセス頻度を検討します。オブジェクトデータまたはメタデータの変更は、オブジェクトを削除して置き換える新しいオブジェクトを作成することと同じです。これにより、S3 Standard — IA ストレージクラスに保存されているオブジェクトに対して追加料金が発生します。

128 KB 未満のオブジェクトは、S3 Standard – IA ストレージアクセスのオブジェクトあたりの最小容量料金より小さくなります。これらのオブジェクトは S3 Standardストレージクラスに保存されます。

S3 1 ゾーン - IA

アクセスが頻繁ではないファイルを 1 つのアベイラビリティーゾーンに保存するには、S3 1 ゾーン – IA を選択します。

S3 1 ゾーン – IA ストレージクラスにオブジェクトを保存すると、上書き、削除、または取得に対して追加料金が発生する可能性があります。これらのオブジェクトを変更する頻度、これらのオブジェクトを保持する期間、およびオブジェクトへの必要なアクセス頻度を検討します。オブジェクトデータまたはメタデータの変更は、オブジェクトを削除して置き換える新しいオブジェクトを作成することと同じです。これにより、S3 1 ゾーン – IA ストレージクラスに保存されているオブジェクトに対して追加料金が発生します。

128 KB 未満のオブジェクトは、S3 1 ゾーン – IA 低頻度アクセスストレージクラスのオブジェクトあたりの最小容量料金より小さくなります。これらのオブジェクトは S3 Standardストレージクラスに保存されます。

S3 Glacier Flexible Retrieval

よりアクティブなアーカイブについては、S3 Glacier Flexible Retrieval を選択します。

S3 Glacier Flexible Retrieval にオブジェクトを保存すると、上書き、削除、取得に対して追加料金が発生する場合があります。これらのオブジェクトを変更する頻度、これらのオブジェクトを保持する期間、およびオブジェクトへの必要なアクセス頻度を検討します。オブジェクトデータまたはメタデータの変更は、オブジェクトを削除して置き換える新しいオブジェクトを作成することと同じです。これにより、S3 Glacier Flexible Retrieval ストレージクラスに保存されているオブジェクトに対して追加料金が発生します。

40 KB 未満のオブジェクトは、S3 Glacier Flexible Retrieval ストレージクラスのオブジェクトあたりの最小容量料金より小さくなります。これらのオブジェクトは S3 Standardストレージクラスに保存されます。

このストレージクラスにアーカイブされたオブジェクトは、事前にリストアする必要があります DataSync それらのペアを読み取ります。詳細については、 を参照してください。アーカイブされたオブジェクトの操作()Amazon S3 ユーザーガイド

S3 Glacier Flexible Retrieval を使用する場合は、転送されるデータのみを確認転送終了時にデータとメタデータのチェックサムを比較します。を使用することはできません送信先のすべてのデータを確認するこのストレージクラスのオプション。これは、送信先からすべての既存のオブジェクトを取得する必要があるためです。

S3 Glacier Deep Archive

長期のデータ保持、およびデータのアクセス回数が年 1、2 回のデジタル保存のためのファイルのアーカイブには、[S3 Glacier Deep Archive] を選択します。

S3 Glacier Deep Archive にオブジェクトを保存すると、上書き、削除、取得に対して追加料金が発生する場合があります。これらのオブジェクトを変更する頻度、これらのオブジェクトを保持する期間、およびオブジェクトへの必要なアクセス頻度を検討します。オブジェクトデータまたはメタデータの変更は、オブジェクトを削除して置き換える新しいオブジェクトを作成することと同じです。これにより、S3 Glacier Deep Archive ストレージクラスに保存されているオブジェクトに対して追加料金が発生します。

40 KB 未満のオブジェクトは、S3 Glacier Deep Archive ストレージクラスのオブジェクトあたりの最小容量料金より小さくなります。これらのオブジェクトは S3 Standardストレージクラスに保存されます。

このストレージクラスにアーカイブされたオブジェクトは、事前にリストアする必要があります DataSync それらのペアを読み取ります。詳細については、 を参照してください。アーカイブされたオブジェクトの操作()Amazon S3 ユーザーガイド

S3 Glacier Deep Archive を使用する場合は、転送されるデータのみを確認転送終了時にデータとメタデータのチェックサムを比較します。[Verify all data in the destination (送信先のすべてのデータを検証)] は、このストレージクラスで使用できるオプションではありません。これは、送信先からすべての既存のオブジェクトを取得する必要があるためです。

S3 Outposts

Outposts の Amazon S3 のストレージクラス

Amazon S3 の場所に関するその他の考慮事項

Amazon S3 をと併用する場合 DataSync、次の点に注意してください。

  • オブジェクトデータまたはメタデータの変更は、オブジェクトを削除して置き換えることと同じです。これらの変更により、次のシナリオでは追加料金が発生します。

    • オブジェクトのバージョニングを使用する場合 – オブジェクトデータまたはメタデータへの変更によってオブジェクトの新しいバージョンが作成されます。

    • ストレージクラスを使用すると、オブジェクトの上書き、削除、または取得に対して追加料金が発生する可能性があります— オブジェクトデータまたはメタデータを変更すると、このような料金が発生します。詳細については、「Amazon S3 ロケーションのストレージクラスに関する考慮事項」を参照してください。

  • Amazon S3 でオブジェクトのバージョニングを使用する場合、 DataSync タスクを 1 回実行すると、Amazon S3 オブジェクトの複数のバージョンが作成される場合があります。

  • ストレージコストの管理に役立つように、S3 バケットにマルチパートアップロードバケットポリシーを作成することが推奨されます。詳細については、『』を参照してください。Amazon S3 ユーザーガイド

ロケーションの作成

ロケーションを作成するには、既存の S3 バケットが必要です。ない場合は、次を参照してください。Amazon S3 の開始方法()Amazon S3 ユーザーガイド

Amazon S3 の場所を作成するには

  1. を開きます。AWS DataSyncコンソールhttps://console.aws.amazon.com/datasync/

  2. に移動しますLocationsページを開いて選択ロケーションの作成

  3. にとってロケーション、選択してくださいSimple Storage Service (Amazon S3)

  4. にとってS3 バケットで、ロケーションとして使用するバケットを選択します。(作成時) DataSync タスクは後で、この場所がソースロケーションかデスティネーションロケーションかを指定します。)

    S3 バケットがAWS Outpostsリソースについては、Amazon S3 アクセスポイントを指定する必要があります。詳細については、次を参照してください。Amazon S3 アクセスポイントを使用したデータアクセスの管理()Amazon S3 ユーザーガイド

  5. にとってS3 ストレージクラスで、オブジェクトに使用させたいストレージクラスを選択します。

    詳細については、次を参照してください。Amazon S3 ロケーションのストレージクラスに関する考慮事項。 DataSync デフォルトでは、Outposts の Amazon S3 の S3 Outposts ストレージクラスが使用されます。

  6. (Amazon S3 on Outposts のみ)エージェントで、の Amazon リソースネーム (ARN) を指定します DataSync Outpost のエージェント。

    詳細については、「AWS Outpostsのエージェントをデプロイする」を参照してください。

  7. にとってフォルダ、S3 バケットに次のプレフィックスを入力します DataSync読み取りまたは書き込みを行います (バケットが送信元あるいは送信先の場所によって異なります)。

    注記

    接頭辞をスラッシュで始めることはできません (例:/photos) または次のような連続したスラッシュを含めてくださいphotos//2006/January

  8. [IAM role] (IAM ロール) で、次のいずれかを実行します。

    • 選択してください自動生成にとって DataSync これにより、S3 バケットへのアクセスに必要なアクセス権限を持つ IAM ロールを自動的に作成します。

      もし DataSync 以前にこの S3 バケットの IAM ロールを作成しましたが、デフォルトではこのロールが選択されます。

    • 作成したカスタム IAM ロールを選択します。詳細については、「Amazon S3 バケットにアクセスするための IAM ロールを手動で作成」を参照してください。

  9. (オプション) [] の順に選択しますタグの追加Amazon S3 の場所をタグ付けします。

    タグは、場所の管理、フィルタリング、検索に便利なキー値ペアです。

  10. 選択してくださいロケーションの作成

IAM ポリシーを使用して S3 バケットにアクセスする

S3 バケットのセキュリティ設定によっては、許可を与えるカスタム IAM ポリシーを作成する必要がある場合があります DataSync バケットにアクセスするため。

Amazon S3 バケットにアクセスするための IAM ロールを手動で作成

ながら DataSync 必要な S3 バケット権限を持つ IAM ロールを作成できます。また、自分でロールを設定することもできます。

Amazon S3 バケットにアクセスするための IAM ロールを手動で作成するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. 左のナビゲーションペインでアクセス管理、選択してくださいロール[] の順に選択しますロールの作成

  3. 上に信頼されたエンティティを選択ページ信頼されたエンティティタイプ、選択してくださいAWS のサービス

  4. にとってユースケース、選択してくださいDataSyncドロップダウンリストで [] を選択します。DataSync -S3 ロケーション[Next] (次へ) を選択します。

  5. 上にアクセス許可を追加するページ、選択amazonS3FullAccessの S3 バケット用AWS リージョン。[Next] (次へ) を選択します。

    以下の制限されたポリシーを手動で作成できますamazonS3FullAccess。例を示します。

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetBucketLocation", "s3:ListBucket", "s3:ListBucketMultipartUploads" ], "Effect": "Allow", "Resource": "YourS3BucketArn" }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:GetObject", "s3:ListMultipartUploadParts", "s3:GetObjectTagging", "s3:PutObjectTagging", "s3:PutObject" ], "Effect": "Allow", "Resource": "YourS3BucketArn/*" } ] }

    Outposts の Amazon S3 については、次のポリシーを使用します。

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3-outposts:ListBucket", "s3-outposts:ListBucketMultipartUploads" ], "Effect": "Allow", "Resource": [ "s3OutpostsBucketArn", "s3OutpostsAccessPointArn" ], "Condition": { "StringLike": { "s3-outposts:DataAccessPointArn": "s3OutpostsAccessPointArn" } } }, { "Action": [ "s3-outposts:AbortMultipartUpload", "s3-outposts:DeleteObject", "s3-outposts:GetObject", "s3-outposts:ListMultipartUploadParts", "s3-outposts:GetObjectTagging", "s3-outposts:PutObjectTagging" ], "Effect": "Allow", "Resource": [ "s3OutpostsBucketArn/*", "s3OutpostsAccessPointArn" ], "Condition": { "StringLike": { "s3-outposts:DataAccessPointArn": "s3OutpostsAccessPointArn" } } }, { "Effect": "Allow", "Action": [ "s3-outposts:GetAccessPoint" ], "Resource": "s3OutpostsAccessPointArn" } ] }
  6. ロールに名前をつけて選択してくださいロールの作成

  7. を開きます。AWS DataSyncコンソールhttps://console.aws.amazon.com/datasync/

  8. IAM ロール設定の横にある更新ボタンを選択し、作成したロールを選択します。

サービス間での混乱した代理問題の防止

を防ぐにはサービス間での混乱した代理問題、次のものを使用することをお勧めしますaws:SourceArnそしてaws:SourceAccountIAM ロールの信頼ポリシーにあるグローバル条件コンテキストキー。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "StringLike": { "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*" } } } ] }

サーバー側の暗号化による S3 バケットへのアクセス

DataSync データのコピー先またはコピー元サーバー側の暗号化を使用する S3 バケット。バケットが使用する暗号化キーの種類によって、許可するカスタムポリシーが必要かどうかが決まります DataSync バケットにアクセスするため。

使用する場合 DataSync サーバー側の暗号化を使用する S3 バケットでは、次の点に注意してください。

  • S3 バケットがAWS管理キー– DataSync すべてのリソースが同じであれば、デフォルトでバケットのオブジェクトにアクセスできますAWS アカウント。

  • S3 バケットがカスタマーマネージドで暗号化されている場合AWS Key Management Service(AWS KMS) key (SSE-KMS)キーのポリシー以下の IAM ロールを含める必要があります DataSync がバケットにアクセスするため。

  • S3 バケットがカスタマー管理の SSE-KMS キーで暗号化されていて、別のキーで暗号化されている場合AWS アカウント– DataSync 他のバケットにアクセスするための許可が必要AWS アカウント。これを設定するには、次の操作を行います。

  • S3 バケットがお客様が提供する暗号化キー (SSE-C) で暗号化されている場合– DataSyncこのバケットにはアクセスできません。

次の例は、キーポリシーカスタマー管理の SSE-KMS キー用。ポリシーは、サーバー側の暗号化を使用する S3 バケットに関連付けられます。以下の値は設定によって異なります。

  • あなたのアカウント— あなたのAWS アカウント。

  • your-admin-role— キーを管理できる IAM ロール。(これは IAM ユーザーでもかまいません。)

  • your-datasync-role— 許可する IAM ロール DataSync バケットにアクセスするときにキーを使用する。

{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::your-account:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::your-account:role/your-admin-role" }, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::your-account:role/your-datasync-role" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:DescribeKey", "kms:GetPublicKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::your-account:role/your-datasync-role" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" } } } ] }