Snow Family デバイスを使用するための前提条件 - AWS Snowball Edge デベロッパーガイド
にサインアップする AWS アカウント管理アクセスを持つユーザーを作成する環境について特殊文字の使用を使用した Amazon S3 暗号化 AWS KMSサーバー側の暗号化による Amazon S3 の暗号化Snow Family デバイスで Amazon S3 アダプターをインポートジョブ/エクスポートジョブに使用するための前提条件Snow Family デバイスの Amazon S3 互換ストレージを使用するための前提条件Snow Family デバイスでコンピューティングインスタンスを使用するための前提条件

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Snow Family デバイスを使用するための前提条件

Snow Family デバイスの使用を開始する前に、 AWS アカウントをお持ちでない場合はサインアップする必要があります。また、Snow Family デバイスで使用するデータインスタンスとコンピューティングインスタンスを設定する方法についても学習することをお勧めします。

AWS Snowball Edge はリージョン固有のサービスです。そのため、ジョブを計画する前に、そのサービスがお客様の AWS リージョンで利用可能であることを確認してください。ロケーションと Amazon S3 バケットが同じ AWS リージョン または同じ国にあることを確認します。これは、デバイスの注文能力に影響するためです。

ローカルエッジコンピューティングとストレージジョブ用にコンピューティング最適化されたデバイスで、Snow Family デバイスの Amazon S3 互換ストレージを使用するには、注文時にデバイスに S3 容量をプロビジョニングする必要があります。Snow Family デバイスの Amazon S3 互換ストレージは、ローカルバケット管理をサポートしているため、デバイスを受け取った後、デバイスまたはクラスターに S3 バケットを作成できます。

注文プロセスの一環として、 AWS Identity and Access Management (IAM) ロールと (AWS KMS) AWS Key Management Service キーを作成します。KMS キーは、ジョブのロック解除コードを暗号化するために使用されます。IAM ロールとKMSキーの作成の詳細については、「Snow Family デバイスを注文するジョブの作成」を参照してください。

注記

アジアパシフィック (ムンバイ) では、Amazon on Internet Services Private Limited () によって AWS リージョン サービスが提供されますAISPL。アジアパシフィック (ムンバイ) での Amazon Web Services へのサインアップについては AWS リージョン、「 へのサインアップAISPL」を参照してください。

にサインアップする AWS アカウント

がない場合は AWS アカウント、次の手順を実行して作成します。

にサインアップするには AWS アカウント

  1. https://portal.aws.amazon.com/billing/サインアップ を開きます。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、通話呼び出しを受け取り、電話キーパッドで検証コードを入力するように求められます。

    にサインアップすると AWS アカウント、 AWS アカウントのルートユーザーが作成されます。ルートユーザーには、アカウントのすべての AWS サービス とリソースへのアクセス権があります。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。

AWS サインアッププロセスが完了すると、 から確認メールが送信されます。https://aws.amazon.com/アカウント] をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。

管理アクセスを持つユーザーを作成する

にサインアップしたら AWS アカウント、 を保護し AWS アカウントのルートユーザー、 を有効にして AWS IAM Identity Center、日常的なタスクにルートユーザーを使用しないように管理ユーザーを作成します。

のセキュリティ保護 AWS アカウントのルートユーザー

  1. ルートユーザーを選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者AWS Management Consoleとして にサインインします。次のページでパスワードを入力します。

    ルートユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドルートユーザーとしてサインインするを参照してください。

  2. ルートユーザーの多要素認証 (MFA) を有効にします。

    手順については、「 ユーザーガイド」の AWS アカウント 「ルートユーザーの仮想MFAデバイスを有効にする (コンソール)IAM」を参照してください。

管理アクセスを持つユーザーを作成する

  1. IAM Identity Center を有効にします。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「AWS IAM Identity Centerの有効化」を参照してください。

  2. IAM Identity Center で、ユーザーに管理アクセス権を付与します。

    を ID ソース IAM アイデンティティセンターディレクトリ として使用する方法のチュートリアルについては、「 ユーザーガイド」の「デフォルト でユーザーアクセス IAM アイデンティティセンターディレクトリを設定するAWS IAM Identity Center 」を参照してください。

管理アクセス権を持つユーザーとしてサインインする

  • IAM Identity Center ユーザーでサインインするには、IAMIdentity Center ユーザーの作成時に E メールアドレスにURL送信されたサインインを使用します。

    IAM Identity Center ユーザーを使用してサインインする方法については、「 ユーザーガイド」の AWS 「 アクセスポータルにサインインする」を参照してください。 AWS サインイン

追加のユーザーにアクセス権を割り当てる

  1. IAM Identity Center で、最小特権のアクセス許可を適用するベストプラクティスに従うアクセス許可セットを作成します。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」を参照してください。

  2. グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「グループの参加」を参照してください。

環境について

データセットとローカル環境のセットアップについて理解しておくと、データ転送を実行する際に役立ちます。ご注文の前に、次の点について考慮してください。

どのようなデータを転送するか。

AWS Snowball Edge では、小さなファイルを大量に転送しようとすると正常に動作しません。Snowball Edge では、個々のオブジェクトが暗号化されるためです。小さなファイルとは、1 MB 未満のファイルなどのことです。Edge AWS Snowball デバイスに転送する前に、圧縮することをお勧めします。また、各ディレクトリ内のファイルやディレクトリの数は、500,000 を超えないようにすることをお勧めします。

転送中のデータにアクセスするか。

静的なデータセットであることが重要です (転送中にユーザーやシステムによってデータにアクセスされることがないこと)。そうでない場合、チェックサムの不一致によってファイルの転送が失敗する可能性があります。ファイルは転送されず、Failed のようにマークされます。

データの破損を防ぐため、データ転送中に AWS Snowball Edge デバイスを切断したり、ネットワーク設定を変更したりしないでください。ファイルは、デバイスへの書き込み中、静的な状態になっている必要があります。デバイスへの書き込み中にファイルが変更されると、読み取り/書き込み競合が発生する可能性があります。

ネットワークは AWS Snowball データ転送をサポートしますか?

Snowball Edge はRJ45、、SFP+、または QSFP+ ネットワークアダプターをサポートしています。スイッチがギガビットスイッチであることを確認してください。スイッチのブランドによりますが、ギガビットまたは 10/100/1000 などと表示されています。Snowball Edge デバイスは、メガビットスイッチまたは 10/100 スイッチをサポートしていません。

特殊文字を含むファイル名の処理

オブジェクトの名前に特殊文字が含まれていると、エラーが発生する可能性があることに注意してください。Amazon S3 では特殊文字を使用できますが、次の文字の使用は避けることを強くお勧めします。

  • バックスラッシュ ("\")

  • 左中括弧 ("{")

  • 右中括弧 ("}")

  • 左角括弧 ("[")

  • 右角括弧 ("]")

  • 小なり記号 ("<")

  • 大なり記号 (">")

  • 印刷不可能なASCII文字 (128~255 進数文字)

  • カレット ("^")

  • パーセント記号 ("%")

  • アクサングラーブ/バックティック ("`")

  • 引用符

  • チルダ ("~")

  • シャープ記号 ("#")

  • 縦棒/パイプ ("|")

ファイルにオブジェクト名にこれらの文字が 1 つ以上含まれている場合は、オブジェクトの名前を変更してから AWS Snowball Edge デバイスにコピーします。ファイル名にスペースが含まれている Windows ユーザーは、個々のオブジェクトをコピーしたり、再帰コマンドを実行したりする際に注意が必要です。コマンドでは、名前にスペースを含むオブジェクトの名前を引用符で囲みます。このようなファイルの例を以下に示します。

オペレーティングシステム ファイル名: test file.txt

Windows

“C:\Users\<username>\desktop\test file.txt”

iOS

/Users/<username>/test\ file.txt

Linux

/home/<username>/test\ file.txt
注記

転送されるオブジェクトメタデータは、オブジェクト名とサイズのみです。

を使用した Amazon S3 暗号化 AWS KMS

デフォルトの AWS マネージド暗号化キーまたはカスタマーマネージド暗号化キーを使用して、データのインポートまたはエクスポート時にデータを保護できます。

AWS KMS マネージドキーでの Amazon S3 デフォルトバケット暗号化の使用

で AWS マネージド暗号化を有効にするには AWS KMS

  1. で Amazon S3 コンソールを開きますhttps://console.aws.amazon.com/s3/

  2. 暗号化する Amazon S3 バケットを選択します。

  3. 右側に表示されるウィザードで、[Properties] (プロパティ)を選択します。

  4. [Default encryption] (デフォルトの暗号化) ボックスで、[Disabled] (無効)を選択し (このオプションは灰色で表示されます)、デフォルトの暗号化を有効にします。

  5. 暗号化方法として AWS-KMS を選択し、使用するKMSキーを選択します。このキーは、バケットPUT内のオブジェクトを暗号化するために使用されます。

  6. [保存] を選択します。

Snowball Edge ジョブが作成されたら、データをインポートする前に、既存のIAMロールポリシーにステートメントを追加します。これは、注文プロセス中に作成したロールです。デフォルトのロール名は、ジョブタイプに応じて Snowball-import-s3-only-role または Snowball-export-s3-only-role のようになります。

以下は、このようなステートメントの使用例です。

データをインポートする場合

AWS KMS マネージドキーによるサーバー側の暗号化 (SSE-KMS) を使用してインポートジョブに関連付けられた Amazon S3 バケットを暗号化する場合は、次のステートメントもIAMロールに追加する必要があります。

例 Snowball インポートIAMロールの例
{
    "Effect": "Allow",
    "Action": [
        "kms: GenerateDataKey",
	"kms: Decrypt"
    ],
    "Resource":"arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

データをエクスポートする場合

AWS KMS マネージドキーによるサーバー側の暗号化を使用してエクスポートジョブに関連付けられた Amazon S3 バケットを暗号化する場合は、次のステートメントもIAMロールに追加する必要があります。

例 Snowball エクスポートIAMロール
{
    "Effect": "Allow",
    "Action": [
        "kms:Decrypt"
    ],
    "Resource":"arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

AWS KMS カスタマーキーでの S3 デフォルトバケット暗号化の使用

デフォルトの Amazon S3 バケット暗号化を独自のKMSキーで使用して、インポートおよびエクスポートするデータを保護できます。

データをインポートする場合

でカスタマーマネージド暗号化を有効にするには AWS KMS

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/kms で AWS Key Management Service (AWS KMS) コンソールを開きます。

  2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクタを使用します。

  3. 左側のナビゲーションペインで、カスタマーマネージドキー を選択し、使用するバケットに関連付けられたKMSキーを選択します。

  4. まだ展開されていない場合、[Key Policy] (キーポリシー) を展開します。

  5. 「キーユーザー」セクションで、「追加」を選択し、IAMロールを検索します。IAM ロールを選択し、 を追加 を選択します。

  6. または、[Switch to Policy view] (ポリシービューへの切り替え) を選択してキーポリシードキュメントを表示し、キーポリシーにステートメントを追加することもできます。以下は ポリシーの例です。

例 AWS KMS カスタマーマネージドキーのポリシーの
{
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {
    "AWS": [
      "arn:aws:iam::111122223333:role/snowball-import-s3-only-role"
    ]
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Resource": "*"
}

このポリシーが AWS KMS カスタマーマネージドキーに追加されると、Snowball ジョブに関連付けられたIAMロールも更新する必要があります。デフォルトのロールは snowball-import-s3-only-role です。

例 Snowball インポートIAMロールの
{
  "Effect": "Allow",
  "Action": [
    "kms: GenerateDataKey",
    "kms: Decrypt"
  ],
  "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

詳細については、「でのアイデンティティベースのポリシー (IAM ポリシー) の使用 AWS Snowball」を参照してください。

使用されているKMSキーは次のようになります。

“Resource”:“arn:aws:kms:region:AccoundID:key/*”

データをエクスポートする場合

例 AWS KMS カスタマーマネージドキーのポリシーの
{
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {
    "AWS": [
      "arn:aws:iam::111122223333:role/snowball-import-s3-only-role"
    ]
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Resource": "*"
}

このポリシーが AWS KMS カスタマーマネージドキーに追加されると、Snowball ジョブに関連付けられたIAMロールも更新する必要があります。デフォルトのロールは次のように表示されます。

snowball-export-s3-only-role

例 Snowball エクスポートIAMロールの
{
  "Effect": "Allow",
  "Action": [
    "kms: GenerateDataKey",
    "kms: Decrypt"
  ],
  "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

このポリシーが AWS KMS カスタマーマネージドキーに追加されると、Snowball ジョブに関連付けられたIAMロールも更新する必要があります。デフォルトのロールは snowball-export-s3-only-role です。

サーバー側の暗号化による Amazon S3 の暗号化

AWS Snowball は、Amazon S3 マネージド暗号化キー (SSE-S3) によるサーバー側の暗号化をサポートします。サーバー側の暗号化は保管中のデータを保護するもので、SSE-S3 には Amazon S3 に保管中のデータを保護するための強力な多要素暗号化があります。SSE-S3 の詳細については、Amazon Simple Storage Service ユーザーガイド「Amazon S3-Managed暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護」を参照してください。

注記

現在、 はお客様が用意したキー (-SSEC) によるサーバー側の暗号化をサポート AWS Snowball していません。ただし、インポートされたデータを保護するためにそのSSEタイプを使用したり、エクスポートするデータで既に使用したりする場合があります。このような場合は、以下の点に注意してください。

  • インポート – SSE-C を使用して S3 にインポートしたオブジェクトを暗号化する場合は、そのバケットのバケットポリシーの一部として SSE- KMSまたは SSE-S3 暗号化が確立された別のバケットにそれらのオブジェクトをコピーします。

  • エクスポート – SSE-C で暗号化されたオブジェクトをエクスポートする場合は、まずそれらのオブジェクトを、サーバー側の暗号化がないか、そのバケットのバケットポリシーで SSE- KMSまたは SSE-S3 が指定されている別のバケットにコピーします。

Snow Family デバイスで Amazon S3 アダプターをインポートジョブ/エクスポートジョブに使用するための前提条件

Snow Family デバイスで S3 アダプターを使用すると、デバイスを使用してオンプレミスのデータソースからクラウドまたはクラウドからオンプレミスのデータストレージにデータを移動できます。詳細については、「Snow Family デバイスとの間でのデータ移行に Amazon S3 アダプターを使用したファイルの転送」を参照してください。

ジョブに関連付けられた Amazon S3 バケットでは、Amazon S3 Standard ストレージクラスを使用する必要があります。最初のジョブを作成する前に、以下の点に留意してください。

Amazon S3 にデータをインポートするジョブについては、以下のステップに従ってください。

Amazon S3 からデータをエクスポートする前に、以下のステップに従ってください。

  • ジョブの作成時に、エクスポートされるデータを確認します。詳細については、「Snowball Edge デバイスにデータをエクスポートするときに Amazon S3 オブジェクトキーを使用する」を参照してください。

  • ファイル名にコロン (:) を含むファイルがある場合は、Amazon S3 でファイル名を変更してから、これらを取得するエクスポートジョブを作成します。ファイル名にコロンが含まれている場合は、ファイルを Microsoft Windows Server にエクスポートすることはできません。

Snow Family デバイスの Amazon S3 互換ストレージを使用するための前提条件

Snow Family デバイスの Amazon S3 互換ストレージは、エッジロケーションのデバイスにデータを保存し、そのデータをローカルコンピューティングオペレーションに使用するときに使用します。ローカルコンピューティングオペレーションに使用されるデータは、デバイスが返されたときに Amazon S3 にインポートされません。

ローカルコンピューティング用および Amazon S3 互換ストレージを備えたストレージ用の Snow デバイスを注文する場合は、次の点に注意してください。

  • デバイスの注文時に、Amazon S3 ストレージ容量をプロビジョニングします。そのため、デバイスを注文する前に、ストレージのニーズを検討してください。

  • Amazon S3 バケットは、Snow Family デバイスの注文時ではなく、受領後にデバイス上で作成できます。

  • Snow Family デバイスで Amazon S3 互換ストレージを使用するには、最新バージョンの AWS CLI (v2.11.15 以降)、Snowball Edge クライアント、または をダウンロード AWS OpsHub し、コンピュータにインストールする必要があります。 Amazon S3

  • デバイスを受け取ったら、本ガイドの「Snow Family デバイスの Amazon S3 互換ストレージを使用する」に従って、Snow Family デバイスの Amazon S3 互換ストレージを設定、起動、使用します。

Snow Family デバイスでコンピューティングインスタンスを使用するための前提条件

、、および インスタンスタイプを使用してsbe1、 AWS Snowball Edge でホストされている Amazon EC2互換コンピューティングsbe-csbe-gインスタンスを実行できます。

  • sbe1 インスタンスタイプは、Snowball Edge Storage Optimized オプションを備えたデバイスで動作します。

  • sbe-c インスタンスタイプは、Snowball Edge Compute Optimized オプションを備えたデバイスで動作します。

  • Snowball Edge Compute Optimized with GPUオプションを使用すると、 sbe-cインスタンスタイプと sbe-gインスタンスタイプの両方がデバイスで動作します。

Snowball Edge デバイスのオプションでサポートされるすべてのコンピューティングインスタンスタイプは、 AWS Snowball Edge デバイスに固有です。クラウドベースのインスタンスと同様に、これらのインスタンスを起動するには Amazon マシンイメージ (AMIs) が必要です。Snowball Edge ジョブを作成する前に、インスタンスAMIの を選択します。

Snowball Edge でコンピューティングインスタンスを使用するには、ジョブを作成して Snow Family デバイスを注文し、 を指定しますAMIs。これを行うには、 AWS Snowball マネジメントコンソール、 AWS Command Line Interface (AWS CLI)、または のいずれかを使用します AWS SDKs。一般的に、インスタンスを使用するには、ジョブの作成前にハウスキーピングの前提条件をいくつか実行する必要があります。

コンピューティングインスタンスを使用するジョブの場合、ジョブAMIsに を追加する前に、 AMIに AWS アカウント があり、サポートされているイメージタイプである必要があります。現在、サポートされている AMIsは、以下のオペレーティングシステムに基づいています。

注記

Ubuntu 16.04 LTS - Xenial (HVM) イメージは、 ではサポートされなくなりましたが AWS Marketplace、Amazon EC2 VM Import/Export を介して Snowball Edge デバイスで使用でき、 でローカルで実行されますAMIs。

これらのイメージは、AWS Marketplace から取得できます。

SSH を使用して Snowball Edge で実行されているインスタンスに接続する場合は、独自のキーペアを使用するか、Snowball Edge でキーペアを作成できます。 AWS OpsHub を使用してデバイスにキーペアを作成するには、「」を参照してくださいでの EC2互換インスタンスのキーペアの操作 AWS OpsHub。を使用してデバイスにキーペア AWS CLI を作成するには、「」のcreate-key-pair「」を参照してくださいSnow Family デバイスでサポートされている EC2互換 AWS CLI コマンドのリスト。キーペアと Amazon Linux 2 の詳細については、「Amazon ユーザーガイド」の「Amazon EC2キーペアと Linux インスタンスEC2」を参照してください。

デバイスでコンピューティングインスタンスを使用する際の固有の情報については、「Snow Family デバイスでの Amazon EC2互換コンピューティングインスタンスの使用」を参照してください。