S3 バージョニング、S3 オブジェクトロック、S3 レプリケーションを使用して、Amazon S3 上のデータを偶発的な削除やアプリケーションのバグから保護する

1.1 – Amazon S3 コンソールにサインインする

• まだ作成していない場合は AWS アカウントを作成します。
• アカウント情報を使用して、AWS マネジメントコンソールにログインします。
• AWS コンソールのサービス検索バーで、S3 と入力します。 サービス検索結果セクションで、[S3] を選択します。
  

1.2 – S3 バケットを作成する

• 左側のナビゲーションペインで、[バケット] を選択し、[バケット] セクションで [バケットを作成する] を選択します。
  

1.3

• バケットにわかりやすい名前を入力します。バケット名は、すべての AWS アカウントでグローバルに一意です。選択した名前でエラーが発生した場合は、別の組み合わせを試してください。次に、バケットを作成する [AWS リージョン] を選択します。
  

1.4

• 次に、[オブジェクト所有権] セクションで、ACL を無効とするデフォルト設定のままにします。オブジェクトごとに個別にアクセスを制御する必要があるような特殊な状況を除いて、ACL (アクセスコントロールリスト) を無効にすることをお勧めします。オブジェクト所有権を使用すると、ACL を無効にし、ポリシーに基づいてアクセスを制御できます。詳細については、「Amazon S3 ユーザーガイド」を参照してください。
  

 1.5

• このバケットのブロックパブリックアクセス設定では、デフォルトのブロックパブリックアクセス設定がこのワークロードに適しているため、デフォルト設定のままにしてください。
  

1.6 – バージョニングを有効にする

• 次に、[バケットのバージョニング] セクションで、バージョニングが有効になっていることを確認します。 Amazon S3 のバージョニングとは、オブジェクトの複数のバリアントを同じバケットに保持する手段です。S3 バージョニング機能を使用して、バケットに保存されたあらゆるオブジェクトのあらゆるバージョンを保持、取得、復元することができます。S3 バージョニングを使用すると、意図せぬユーザー操作からもアプリケーションの障害からも簡単に回復できます。バケットのバージョニングを有効にすると、Amazon S3 が同じオブジェクトに対する複数の書き込みリクエストを同時に受け取った場合でも、それらのオブジェクトはすべて保存されます。
  

1.7 – デフォルトの暗号化を有効にする

• 次に、[デフォルト暗号化] セクションで、バケットのデフォルト暗号化を有効にします。これらの設定は、アップロード処理で保管時の暗号化の詳細を定義していないバケットにアップロードされたオブジェクトに適用されます。このワークロードでは、[サーバー側の暗号化] で [有効化] を選択します。次に、[暗号化キータイプ] で [Amazon S3 管理キー (SSE-S3)] を選択します。ワークロード要件が SSE-S3 で満たされない場合、AWS Key Management Service (AWS KMS) を使用することもできます。Amazon S3 が AWS KMS を使用する方法の詳細については、「AWS Key Management Service デベロッパーガイド」を参照してください。

1.8

• 次に、[詳細設定] セクションの [オブジェクトロック] で、[有効化] を選択します。
• S3 オブジェクトロックを使用して、write-once-read-many (WORM) モデルを使用してオブジェクトを保存できます。S3 オブジェクトロックは、一定期間、または無期限にオブジェクトの削除や上書きを防止するのに役立ちます。S3 オブジェクトロックを使用すると、WORM ストレージを必要とする規制要件を満たすことも、オブジェクトの変更と削除に対する保護の別のレイヤーを追加することもできます。
• このステップでは、バケットのオブジェクトロックが有効になっただけであることに注意してください。[保存モード] や [保存期間] などの固有の設定は、チュートリアルの後半で設定します。
• [バケットの作成] を選択して S3 バケットを作成します。
  

2.1 – オブジェクトをアップロードする

• ワークステーションで、「Version 1」というテキストを含むテキストファイルを作成し、ワークステーションに保存します。
  

2.2

• Amazon S3 コンソールから、ステップ 1 で作成したバケットを検索し、バケット名を選択します。
  

• 次に、[オブジェクト] タブを選択します。そして、[オブジェクト] セクション内から [アップロード] を選択します。
  

2.3

• 次に、[アップロード] セクションで、[ファイルを追加] を選択します。ローカルファイルシステムに移動して、上記で作成したテストファイルを見つけます。適切なファイルを選択し、[開く] を選択します。ファイルは、[ファイルとフォルダ] セクションに表示されます。残りのオプションはデフォルト設定のままで、[アップロード] ボタンを選択します。
  

2.4

• ファイルのアップロード操作が完了すると、アップロードが成功したかどうかを示すステータスメッセージが表示されます。この場合、ファイルは正常にアップロードされました。次に、[閉じる] を選択します。
  

• S3 コンソールにオブジェクトが表示されます。
  

2.5

• ワークステーションで、作成済のファイルを編集します。テキストを「Version 2」に変更し、同じファイル名で保存します。ステップ 2.2～ステップ 2.4 を繰り返して、更新したファイルを Amazon S3 にアップロードします。
  

2.6

• バケット内のオブジェクトのバージョンのリストを表示するには、[バージョンの表示] を選択します。コンソールには、オブジェクトバージョンごとに固有のバージョン ID、オブジェクトバージョンが作成された日付と時刻、およびその他のプロパティが表示されます。 

S3 オブジェクトのバージョニングを有効にしたので、そのオブジェクトのすべてのバージョンは引き続き Amazon S3 バケットに保存され、取得または復元できるようになりました。S3 バージョニングを有効化すると、Amazon S3 バケットの所有者だけがバージョンを完全に削除できます。オブジェクトに対して DELETE 操作をすると、それ以降の単純な (バージョン管理に含めない) リクエストではオブジェクトが取得できなくなりますが、以前のバージョンとして S3 に保存されます。

バージョニングが有効になっている場合、単純な DELETE ではオブジェクトを完全に削除することができません。代わりに、Amazon S3 はバケットに削除マーカーを挿入し、そのマーカーは新しい ID を持つオブジェクトの最新バージョンになります。 

最新以外のバージョンのオブジェクトを保持すると、ストレージコストが増加する可能性があります。[ライフサイクルルール] を設定して、複数のバージョンのオブジェクトを保存する存続期間とコストを管理できます。ライフサイクル ルールを設定して、これらの古いバージョンを完全に削除したり、より低コストのストレージで保護期間を追加したりすることができます。また、以前のすべてのバージョンを低コストの Amazon S3 Glacier Instant Retrieval または Amazon S3 Glacier Flexible Retrieval ストレージクラスにアーカイブし、100 日後に削除するルールを設定することで、ストレージコストを抑えつつ、データ変更のロールバックのために 100 日間のウィンドウを設けることができます。

最上位オブジェクトの左側にあるチェックボックスを選択し、[開く] を選択します。このオブジェクトはファイルの最新バージョンを表し、「Version 2」と表示されます。古いバージョンのオブジェクトでも同じ処理を繰り返し、「Version 1」と表示されていることを確認します。

2.7 – オブジェクト削除のデモンストレーション

• バージョンのリストを折りたたむには、[バージョンの表示] をオフにします。 

テキスト入力フィールドに「delete」と入力し、[オブジェクトの削除] ボタンを選択します。

• [閉じる] を選択します。

• 次に、[オブジェクト] タブで、オブジェクトが削除されたことを確認できます。

• [バージョンの表示] をオンにします。 最上位のオブジェクトが [タイプ] 列の下に 削除マーカーとしてリストされていますが、オブジェクトの両方のバージョンが引き続き使用できます。

2.8 – オブジェクトの復元をデモンストレーション

• オブジェクトを復元するには、最上位オブジェクトのチェックボックスを選択して 削除マーカー を削除します。その後、[削除] を選択します。

• テキスト入力フィールドに「permanently delete」(完全に削除) と入力し、[オブジェクトの削除] を選択します。

• [閉じる] を選択します。

• 削除マーカーを削除すると、オブジェクトが復元されました。
• 最上位オブジェクトの左側にあるチェックボックスを選択し、[開く] を選択します。このオブジェクトは Version 2 として開きます。

• 古いバージョンのオブジェクトの左側にあるチェックボックスを選択し、[開く] を選択します。このオブジェクトは、Version 1 として開きます。

2.9 – 特定のバージョンのオブジェクトを完全に削除する

削除マーカーを作成せずに特定のバージョンのオブジェクトを削除することもできます。次のステップでは、オブジェクトの最新バージョンを削除します。

• [バージョンの表示] のトグルをオンの状態で、最上位オブジェクトの左側にあるチェックボックスを選択して、[削除] を選択します。

• テキスト入力フィールドに「permanently delete」(完全に削除) と入力し、[オブジェクトの削除] を選択します。

• オブジェクトの最新バージョンが削除されました。
• これを確認するには、残りのオブジェクトの左側にあるチェックボックスを選択して、[開く] を選択します。 
• 上記の選択を行うと、ブラウザに新しいタブが開き、「Version 1」 というテキストが表示されます。
  

• Amazon S3 レプリケーション

Amazon S3 レプリケーションを使用すると、Amazon S3 バケット間でオブジェクトを自動で非同期的にコピーできます。オブジェクトのレプリケーション用に設定されたバケットは、同じ AWS アカウントが所有することも別のアカウントが所有することもできます。オブジェクトは、1 つの送信先バケットまたは複数の送信先バケットにレプリケートできます。送信先バケットは、異なる AWS リージョンに置くことも、ソースバケットと同じリージョン 内に置くこともできます。

S3 レプリケーションでは、ソースバケットとターゲットバケットの両方で S3 バージョニングを有効にする必要があります。  

ソースバケットで S3 オブジェクトロックが有効になっている場合は、送信先バケットでも S3 オブジェクトロックが有効になっている必要があります。オブジェクトロックが有効になっているバケットでレプリケーションを有効にするには、まず AWS サポートに問い合わせする必要があります。Amazon S3 は、保持情報が適用されたオブジェクトをレプリケートするときに、同じ保持制御をレプリカに適用し、送信先バケットに設定されているデフォルトの保持期間を上書きします。ソースバケット内のオブジェクトに保持制御が適用されておらず、またデフォルトの保持期間が設定されている送信先バケットにレプリケートする場合、送信先バケットのデフォルトの保持期間がオブジェクトレプリカに適用されます。 

ロギングオプション

• AWS CloudTrail

Amazon S3 は、Amazon S3 内のユーザー、ロール、または AWS サービスによって実行されたアクションの記録を提供するサービスである AWS CloudTrail と統合されています。CloudTrail は、Amazon S3 コンソールからの呼び出しや Amazon S3 API へのコード呼び出しなど、Amazon S3 の API コールのサブセットをイベントとしてキャプチャします。

• Amazon S3 サーバーのアクセスログ

サーバーアクセスログは、バケットに対して行われたリクエストの詳細な記録を提供します。サーバーアクセスログは、多くのアプリケーションに役立ちます。例えば、アクセスログ情報はセキュリティやアクセス監査に役立ちます。また、顧客ベースについて学び、Amazon S3 の請求額を理解するのにも役立ちます。

• AWS Backup

AWS Backup を使用して、AWS のサービスとハイブリッドワークロード全体でデータ保護を一元化および自動化できます。AWS Backup は、費用効果が高く、ポリシーベースのフルマネージドサービスを提供し、大規模なデータ保護をさらに簡素化します。また、AWS Backup は、データ保護に関する規制コンプライアンスやビジネスポリシーのサポートにも役立ちます。  

Amazon S3 は、サポートするさまざまな AWS Backup リソースの 1 つです。AWS Backup は、S3 バージョニングも活用しています。