Amazon S3 Access Points

Amazon S3 の共有データセットへのアクセスを簡単に管理する

概要

用途が分析、機械学習、リアルタイムのモニタリング、その他のデータレイクのユースケースのいずれであっても、さまざまなアプリケーション、チーム、および個人がデータを集約してアクセスする共有データセットを保存する場所として、Amazon S3 を利用されるお客様が増えています。こういった共有バケットへのアクセス管理では、アクセス許可レベルが異なる数十から数百におよぶアプリケーションへのアクセスをコントロールする単一のバケットポリシーが必要です。アプリケーションセットが拡大するにつれて、バケットポリシーも複雑になり、管理に時間がかかるようになります。変更が別のアプリケーションに思いがけないインパクトを与えないように監査する必要が生じます。

S3 の機能である Amazon S3 Access Points は、S3 にデータを保存するあらゆる AWS のサービスやお客様のアプリケーションのデータアクセスを簡素化します。S3 Access Points では、お客様はアクセスポイントごとに固有のアクセスコントロールポリシーを作成し、共有データセットへのアクセスを容易にコントロールできます。データレイク、メディアアーカイブ、ユーザーが作成したコンテンツなどの共有データセットをお持ちのお客様は、各アプリケーション用にカスタマイズした名前とアクセス許可によってアクセスポイントを個別化して作成することで、数百に及ぶようなアプリケーション群に対してもアクセスを簡単にスケーリングできます。すべてのアクセスポイントを仮想プライベートクラウド (VPC) に制限して、お客様のプライベートネットワーク内で S3 のデータアクセスをファイアウォール管理できます。また、AWS サービスコントロールポリシーを使用することで、すべてのアクセスポイントを確実に VPC に制限できます。S3 Access Points は追加料金なしで、すべてのリージョンでご利用いただけます。

S3 Access Points の仕組み

S3 の各アクセスポイントは、ユースケースやアプリケーションに合ったアクセスポリシーに従って設定されます。たとえば、お使いのデータレイクのユーザーグループやアプリケーショングループにアクセス権限を付与する S3 バケットに対してアクセスポイントを作成できます。Access Point が 1 つあれば、単一のユーザーやアプリケーション、またはアカウント内やアカウント間のユーザーグループやアプリケーショングループがサポートされるため、各アクセスポイントを別個に管理できます。

すべてアクセスポイントは単一のバケットと関連付けられています。また、ネットワークの発信元制御とパブリックアクセスのブロック制御が含まれます。たとえば、AWS クラウドとは論理的に分離された仮想プライベートクラウドからのストレージアクセスだけを許可するネットワーク発信元制御によって、アクセスポイントを作成できます。また、定義されたプレフィックスを持つオブジェクトや、特定のタグを持つオブジェクトだけにアクセスを許可するように設定されたアクセスポイントポリシーによって、アクセスポイントを作成することもできます。 アクセスポイントを使用してデータへのパブリックアクセスを提供する場合は、バケットレベルでブロックパブリックアクセスをオフにする必要があります。すべての新しいバケットでは、ブロックパブリックアクセスがデフォルトでオンになっています。

アクセスポイントを介して共有バケットのデータにアクセスするには、次の 2 つの方法があります。S3 オブジェクトのオペレーションでは、バケット名の代わりにアクセスポイントの ARN を使用することができます。スタンダードな S3 バケット名の形式でバケット名を必要とするリクエストには、代わりにアクセスポイントのエイリアスを使用できます。S3 Access Points のエイリアスは自動的に生成され、データアクセスにバケット名を使用する場面でどこでも S3 バケット名と入れ替え可能です。バケットにアクセスポイントが作成されるたびに、S3 は自動的に新しい Access Point Alias を生成します。互換性のあるオペレーションや AWS のサービスの全容については、S3 ドキュメントにアクセスしてください。

S3 Access Points を利用するタイミング

S3 Access Points によって、お使いのアプリケーションセットから S3 上の共有データセットへのデータアクセスの管理がシンプル化されます。たった 1 つの複雑なバケットポリシーを管理するのに、数百におよぶアクセス許可ルールの書き込み、読み取り、追跡、監査をする必要はなくなりました。S3 Access Points を使用すると、特定のアプリケーション向けに用意されたポリシーを使用して共有データセットへのアクセスを許可するアクセスポイントをアプリケーションに合わせて作成できます。

  • 大規模な共有データセット: Access Point を使用すると、ある 1 つの大規模なバケットポリシーを分割して、共有データセットにアクセスする必要のある各アプリケーション向けに個別のアクセスポイントポリシーを単独で作成できます。このため、あるアプリケーションに対して正しいアクセスポリシーを作成するのがこれまでよりも簡単になり、ほかのアプリケーションが共有データセット内で実行していることを気にする必要はありません。
  • データを安全にコピー: AWS の内部ネットワークや VPC を利用して、S3 Copy API を用いて同一リージョンの Access Point 間でデータを高速かつ安全にコピーします。
  • VPC へのアクセスを制限: 1 つの S3 Access Point で、仮想プライベートクラウド (VPC) を経由するすべての S3 ストレージアクセスを制限できます。 また、サービスコントロールポリシー (SCP) を作成して、すべてのアクセスポイントを Virtual Private Cloud (VPC) に制限して、データをプライベートネットワーク内でファイアウォール管理できます。
  • 新しいアクセスポリシーをテスト: アクセスポイントを使用すると、アプリケーションをアクセスポイントに移行する前、またはアクセスポリシーを既存のアクセスポイントにコピーする前に、新しいアクセスポリシーを簡単にテストできます。
  • 特定のアカウント ID にアクセスを制限: S3 Access Points を使用すると、特定のアカウント ID が所有するアクセスポイント (必然的にバケットも) だけにアクセスを制限するように VPC エンドポイントポリシーを指定できます。この結果、同じアカウント内のバケット群へのアクセスを許可すると同時に VPC エンドポイント経由のほかの S3 アクセスを拒否するアクセスポリシーの作成が簡単になります。
  • 一意の名前を付与: S3 Access Points では、アカウント内およびリージョン内で一意である任意の名前を指定できます。たとえば、「test」というアクセスポイントを、アカウントごとに、リージョンごとに設定できます。

アクセスポイントの作成目的がデータ取り込み、変換、制限付き読み込みアクセス、または無制限アクセスのいずれであっても、S3 Access Points を使用すると、共有 S3 バケット内のデータへのアクセスの作成、共有や維持がシンプルになります。

AWS Data Exchange は S3 Access Points をどのように使用しますか?

AWS Data Exchange for Amazon S3 は、データプロバイダーの Amazon S3 データへの直接アクセスにより、インサイトへの時間を加速させます。AWS Data Exchange for Amazon S3 は、ストレージコストの最適化やデータライセンス管理の簡素化など、サードパーティーのデータファイルを簡単に検索、サブスクライブ、利用できるようにします。 

サブスクライブ後は、AWS Data Exchange が管理する専用の S3 Access Point を通じて、プロバイダーの S3 バケットへのアクセス権が自動的に付与されます。S3 Access Point のエイリアスを使用することで、Amazon Athena、Amazon SageMaker Feature Store、Amazon EMR などの AWS サービスとの共有ファイルを、データのコピーを作成または管理する必要なく、簡単に解析することができます。 

詳細については、AWS Data Exchange for Amazon S3 の製品ページをご覧ください。

S3 Access Points のご利用開始にあたって

アクセスポイント作成を開始するにあたって追加料金は発生しません。バケットは新規のものでも既存のものでも使用できます。AWS マネジメントコンソール、AWS コマンドラインインターフェイス (CLI)、アプリケーションプログラミングインタフェース (API)、AWS ソフトウェア開発キット (SDK) のいずれかのクライアントから開始できます。アクセスポイントの追加、表示、削除も、S3 コンソールおよび CLI によるアクセスポイントポリシーの編集も簡単にできます。アクセスポイントポリシーの書き込みはバケットポリシーとまったく同じで、IAM ルールによってアクセス許可を統制します。

さらに、CloudFormation テンプレートを使用してアクセスポイントがご利用いただけるようにもなります。AWS CloudTrail ログを使用すると、「アクセスポイントの作成」や「アクセスポイントの削除」のようなアクセスポイントオペレーションのモニタリング、監査が可能です。AWS SCP をサポートする AWS Organizations を使用すると、アクセスポイントの使用量を制御できます。

詳細については、S3 Access Points のドキュメントを参照してください。