Amazon Glacier のよくある質問

Q: Amazon Glacier とは何ですか?

Amazon Glacier は、きわめて低コストのストレージサービスで、データのバックアップやアーカイブのために、安全で耐久性が高く、柔軟な運用が可能なストレージを提供します。Amazon Glacier では、1 か月あたり 0.004 USD/GB という低額で安心してデータを保存できます。Amazon Glacier を利用すると、ストレージの運用と規模拡大/縮小に伴う管理作業を AWS に任せることができるため、容量計画、ハードウェアの準備、データレプリケーション、ハードウェア障害の検出と修復、時間のかかるハードウェア移行に頭を悩ますことはなくなります。

Q: Amazon Glacier は、企業や政府機関などの組織にとってどのようなメリットがあるのですか?

Amazon Glacier を利用すると、企業や組織のデータを月単位や年単位で、あるいはそれ以上の長期にわたって保管する作業が容易になり、高いコスト効果が得られます。コスト効果に優れた Amazon Glacier ならば、より多くのデータを将来の分析や参照のために保管しておくことができます。お客様は、ストレージインフラストラクチャの運用と保守ではなく、ビジネスに集中できるようになります。コンプライアンスストレージを必要とされているお客様は、Vault Lock を使用してコンプライアンスコントロールをデプロイすることで、規制とコンプライアンスアーカイブの要件を満たすことができます。

Q: Amazon Glacier と Amazon Simple Storage Service (Amazon S3) のどちらを選択すればよいでしょうか?

Amazon S3 は、耐久性とセキュリティを特徴とする、シンプルで高速のストレージサービスです。開発者がウェブスケールコンピューティングを容易に実現できるように設計されています。Amazon S3 が適しているのは、低レイテンシーを必要としている場合や、データへのアクセス頻度が高い場合です。ストレージコストの低さが最も重要で、データにミリ秒単位でアクセスする必要がない場合は、Amazon Glacier を使用してください。

Q: どのようなデータを保存できますか?

実質的にはどのようなフォーマットのどのような種類のデータでも格納できます。また、Vault Lock を使用してコンプライアンスストレージコントロールをデプロイし、変更不可能な、Write Once Read Many (WORM) 形式で規制とコンプライアンスのアーカイブを保存できます。詳細については、アマゾン ウェブ サービスライセンシングアグリーメントを参照してください。

Q: Amazon は、Amazon Glacier に保管されているデータに関して何を行うのですか?

Amazon は、お客様のデータを保管し、データに関連する利用の追跡を行いますが、これは請求処理を行うためです。Amazon は、Amazon Glacier のサービス提供とは無関係の目的でお客様のデータにアクセスすることはありません。ただし、法律によって求められる場合を除きます。詳細については、アマゾン ウェブ サービスライセンシングアグリーメントを参照してください。

Q: Amazon Glacier を使用するにはどうすればよいですか?

Amazon Glacier には、シンプルな、標準ベースの REST Web サービスインターフェースがあり、さらに Java と .NET の SDK も備えています。AWS マネジメントコンソールを使用して、Amazon Glacier のセットアップを行います。これで、データのアップロードと取り出しをプログラムから実行できるようになります。Glacier の API と SDK の詳細については、こちらのドキュメントを参照してください。

Q: Amazon Glacier の耐久性はどれくらいですか?

Amazon Glacier は、アーカイブの平均年間耐久性が 99.999999999% となるように設計されています。このサービスでは、データが冗長化されて複数の施設に保存され、各施設内では複数のデバイスに保存されます。耐久性を高めるために、Amazon Glacier でのアーカイブアップロード時は、データを複数の施設に同時に格納してから SUCCESS が返されます。Glacier では、体系的なデータ完全性チェックが定期的に実行されるほか、自動的な自己修復の機能が組み込まれています。

Q: Amazon Glacier の中で、データはどのように整理されますか?

Amazon Glacier では、データはアーカイブとして保管されます。各アーカイブに一意のアーカイブ ID が割り当てられるので、後でこの ID を使用してそのデータを取り出すことができます。1 つのアーカイブにファイルを 1 つだけ入れることも、多数のファイルをまとめて 1 つのアーカイブとしてアップロードすることもできます。アーカイブのアップロード先はボールトです。ボールトとはアーカイブの集合であり、これを使用してデータを整理します。

Q: どれほどの量のデータを保存できますか。

Amazon Glacier に保管できるデータの総量の上限はありません。個々のアーカイブのサイズについては、40 TB までという制限があります。

Q: Amazon Glacier を使用して保管できるデータの最小量はどれくらいですか?

Amazon Glacier に保管できるデータ量の下限はなく、個々のアーカイブのサイズが 1 バイト以上 40 TB 以下であれば保管できます。

Q: AWS マネジメントコンソールでは Amazon Glacier がサポートされますか?

はい。AWS マネジメントコンソールには、ボールトの作成と設定の機能があり、Glacier のセットアップをすばやく行うことができます。AWS マネジメントコンソールにアクセスするには、ここをクリックしてください。

Q: Amazon Glacier を使用するには、どれくらいの費用がかかりますか?

Amazon Glacier では、ストレージの料金は 1 か月あたり 0.004 USD/GB からとなっており、実際に使用した量に対してお支払いいただきます。セットアップ料金は不要で、ほとんどのアーカイブ用途では総コストは主としてストレージコストが占めることになります。

アップロードのリクエストの料金は、1,000 リクエストにつき 0.05 USD からとなっています。さらに、Glacier に保存されるアーカイブは、最低 90 日間のストレージを専有し、90 日経過する前に削除されたアーカイブについては、残りの期間保存されていた場合と同じ料金が発生します。Amazon Glacier は、アクセス頻度が低いデータの長期保管を目的としているため、ほとんどのお客様については、この料金が発生することはないはずです。

AWS 側のコストが低ければ、料金は安くなります。料金の中には、Amazon Glacier のリージョンによって異なるものもあり、お客様のボールトの場所に基づいて決定されます。同じリージョン内の Amazon EC2 と Amazon Glacier の間で転送されるデータについては、データ転送料金はかかりません。それぞれ異なるリージョンにある Amazon EC2 と Amazon Glacier の間（例えば Amazon EC2 が北カリフォルニアリージョンで、Amazon Glacier が米国東部バージニア北部リージョン）で転送されるデータについては、転送の両側でインターネットデータ転送料金が発生します。

Glacier の料金体系の詳細については、Glacier 料金表のページをご覧ください。

Q: ストレージ料金はどのように計算されるのですか?

ある月の請求対象となるストレージの量は、使用されたストレージのその月全体の平均に基づいて決定され、「GB-月」単位で表します。各アーカイブのサイズは、アップロードされたデータの量に 32 KB を加えて計算されます。この加算分は、インデックス登録とメタデータ（例えばアーカイブの説明）の分です。この追加データは、お客様のアーカイブを特定して取り出すのに必要です。次に示すのは、ストレージコストを、米国東部（バージニア北部）リージョンの料金表を使用して計算する方法の例です。

アップロードしたアーカイブの数が 100,000 で、個々のサイズが 1 GB ならば、ストレージの合計は次のようになります。

アーカイブ 1 つ当たり 1.000032 GB x 100,000 アーカイブ = 100,003.20 GB

これらのアーカイブを 1 か月間保管すると、請求額は次のようになります。

100,003.20 GB-月 x 0.004 USD = 400.01 USD

アップロードしたアーカイブの数が 200,000 で、個々のサイズが 0.5 GB ならば、ストレージの合計は次のようになります。

アーカイブ 1 つ当たり 0.500032 GB x 200,000 アーカイブ = 100,006.40 GB

これらのアーカイブを 1 か月間保管すると、請求額は次のようになります。

100,006.40 GB-月 x 0.004 USD = 400.03 USD

ストレージ使用量は「TimedStorage-ByteHrs」を単位として測定され、その値を月末に合計してその月の請求額が計算されます。例えば、サイズが 1 GB（オーバーヘッドの 32 KB を含む）のアーカイブ 1 個を 1 日間、米国東部（バージニア北部）リージョンで保管した場合のストレージ使用量は次のようになります。

1,073,741,824 バイト x 1 日 x 24 時間 = 25,769,803,776 バイト-時間

この値を GB-月単位に換算すると、次のようになります（その月の日数が 30 日とします）。

25,769,803,776 バイト-時間 x（1 GB / 1,073,741,824 バイト）x（1 か月 / 720 時間）= 0.03 GB-月

したがって、その日のストレージ料金は次のようになります。

0.03 GB-月 x 0.004 USD = 0.00012 USD

Glacier の料金体系の詳細と他のリージョンでの料金については、Glacier 料金表のページをご覧ください。

Q: Amazon Glacier のリージョンによって料金が異なるのはなぜですか?

AWS 側のコストが低ければ、料金は安くなります。例えば、米国東部（バージニア北部）でのコストは、米国西部（北カリフォルニア）よりも低くなっています。

Q: Amazon Glacier の使用に対する課金と請求はどのように行われるのですか?

サービスの使用を始めるためのセットアップ料金は必要ありません。月末に、その月の料金が自動的にお客様のクレジットカードに請求されます。お客様の Amazon Web Services アカウントにログインし、[お客様のウェブサービスアカウント] の下にある [アカウントアクティビティ] をクリックすることにより、Amazon Web Services ウェブサイト上で、いつでも、請求期間の課金額を閲覧することができます。

Q: 無料で取り出せるデータの量はどれくらいですか?

Glacier では無料利用枠で 10 GB を提供しています。無料で提供される Amazon Glacier データの量は月当たり 10GB です。その月のいつでも無料利用枠を使用できます。これは [Standard] 取り出しに適用されます。

Q: Amazon Glacier を使用するには、どれくらいの費用がかかりますか?

Glacier からデータを取り出す方法は 3 通りあり、それぞれの GB 当たりの取り出しコストやアーカイブごとのリクエストコスト (すなわち 1 つのアーカイブのリクエストを 1 リクエストとしてカウント) が異なります。[Expedited] 取り出しでは、GB 当たり 0.03 USD、およびリクエスト当たり 0.01 USD のコストがかかります。[Standard] 取り出しでは、GB 当たり 0.01 USD、および 1,000 リクエスト当たり 0.05 USD のコストがかかります。[Bulk] 取り出しでは、GB 当たり 0.0025 USD、および1,000 リクエスト当たり 0.025 USD のコストがかかります。

例えば、[Expedited] 取り出しを使用し、サイズが 1 GB のアーカイブを 10 個リクエストした場合、このコストは 10 x 0.03 USD + 10 x 0.01 USD = 0.40 USD となります。

[Standard] 取り出しを使用して 1 GB あるアーカイブを 500 個取り出すと、そのコストは 500 GB x 0.01 USD + 500 x 0.05 USD/1,000 = 5.025 USD となります。

最後に、[Bulk] 取り出しを使用して、1 GB あるアーカイブを 500 個取り出す場合、そのコストは 500 GB x 0.0025 USD + 500 x 0.025/1,000 USD = 1.2625 USD になります。

Glacier の料金体系の詳細については、Glacier 料金表のページをご覧ください。

Q: アーカイブの特定のレンジのみを取り出す場合、どのように請求されるのですか?

レンジ取り出し料金は、Amazon Glacier からの通常の取り出しと同様に細かく規定されています。指定したレンジで取り出されたデータ量についてのみ、GB あたりの料金が課金されます。

Q: 3 か月経過前にデータを削除した場合は、どのように請求されるのですか?

Amazon Glacier は、データを月単位や年単位で、あるいはそれ以上の長期にわたって保持するという用途のために設計されています。Amazon Glacier からデータを無料で削除できるのは、削除されるアーカイブが 3 か月以上保管されていた場合です。アップロードされてから 3 か月未満でアーカイブを削除する場合は、早期削除料金をいただきます。米国東部 (バージニア北部) リージョンでは、3 か月未満で削除された場合の早期削除料金は 0.012 USD/GB を按分計算したものとなります。そのため 1 GB のデータをアップロードの 1 か月後に削除すると、早期削除料金の 0.008 USD が課金されます。1 GB のデータを 2 か月後に削除した場合は、早期削除料金は 0.004 USD となります。

他のリージョンの料金については、Glacier 料金表のページをご覧ください。

Q: 総所有コスト (TCO) はどれくらいになりますか?

Amazon Glacier は、データのアーカイブや長期バックアップを目的とした、安全性と耐久性に優れたきわめて低コストのクラウドストレージサービスです。データの量にかかわらず、1 か月あたり 0.004 USD/GB という低額で安心してデータを保存できるので、オンプレミスのソリューションに比べてコストを大幅に削減できます。低コストに抑えつつさまざまな取り出しニーズに対応するために、Amazon Glacier にはアーカイブへのアクセスについて、数分から数時間までの 3 つのオプションが用意されています。Amazon Glacier ストレージの総所有コスト (TCO) は、データアクセスのパターンによって異なります。以下に、取り出されることが一切ないディープアーカイブから、大部分のデータがアクセスされるアクティブなワークロードにわたる、さまざまなユースケースの例を挙げます。

TCO の例 1: Amazon Glacier に 1 PB のデータをアップロードし、平均アーカイブサイズは 1 GB で、データの取り出しは一切行わないと仮定しましょう。最初に 1 PB をアップロードするときには、アップロードリクエスト料金が 1,048,576 GB x 0.05 USD/1,000 = 52.43 USD かかります。次に、継続的なストレージコストは、月あたり 1,048,576 GB x 0.004 USD = 4,194.30 USD (すなわち年あたり 50,331.65 USD) です。

TCO の例 2: ここでは、例 1 と同じストレージで、[Bulk] 取り出しを使用して 1 日平均 3 TB (3,072 GB) の取り出しを行い、合計 3,072 個のアーカイブの平均アーカイブサイズは 1 GB であったと仮定します。これで、月あたり 90 TB、すなわち月あたりデータの 8.8% が取り出されたことになります。1 日あたりの合計取り出し料金は、3,072 x 0.0025 USD + 3,072 x 0.025 USD/1,000 = 7.76 USD となり、これは月あたりで 232.70 USD、年あたりで 2,792.45 USD です。ストレージコストを追加した年間の総所有コストは、50,331.65 USD + 2,792.45 USD = 53,124.10 USD となります。この例では、取り出し料金は Glacier の合計料金の 5.3% を占めるだけです。1 GB 保存するごとにかかる月あたりの合計コストは、取り出し料金を含めて 0.004222 USD/GB です。

TCO の例 2: ここでは、例 1 と同じストレージで、[Standard] 取り出しを使用して 1日平均 1TB (1,024 GB) の取り出しを行い、時には緊急リクエストのために 1 日あたり平均 10 GB の [Expedited] 取り出しを使用すると仮定します。ここでは、平均アーカイブサイズは 1 GB だとします。 これで、月あたり 30.3 TB、すなわち月あたりデータの 3% が取り出されたことになります。1 日あたりの合計取り出し料金は、(1,024 x 0.01 USD + 1,024 x 0.05 USD/1000) + (10 x 0.03 USD + 10 x 0.01 USD) = 10.69 USD となり、これは月あたりで 320.74 USD、年あたりで 3,848.83 USD です。ストレージコストを追加した年間の総所有コストは、50,331.65 USD + 3,848.83 USD = 54,180.48 USD となります。この例では、取り出し料金は Glacier の合計料金の 7.1% を占めるだけです。1 GB 保存するごとにかかる月あたりの合計コストは、取り出し料金を含めて 0.0043 USD/GB です。

Glacier の料金体系の詳細については、Glacier 料金表のページをご覧ください。

Q: 料金は税込みですか?

別途記載がない限り、表示される料金には VAT、売上税、その他取引に対して適用される一切の税金等および関税は含まれません。日本の居住者であるお客様が AWS サービスをご利用になった場合には、料金とあわせて別途消費税をご請求させていただきます。詳細はこちらをご覧ください。

Q: 保管されているデータへのアクセスを制御するにはどうすればよいですか?

デフォルトでは、データにアクセスできるのはアカウント所有者本人だけです。Amazon Glacier 内のデータに対する他のユーザーのアクセスをコントロールするには、AWS Identity and Access Management（AWS IAM）サービスを使用します。AWS IAM ポリシーをセットアップして、その中でアカウント内のどのユーザーにそのボールトでの操作の権利を与えるかを指定してください。

Q: データは暗号化されますか?

はい。このサービスで保管されるデータはすべて、サーバー側で暗号化されます。Amazon Glacier によって、キー管理とキー保護が自動的に行われます。Amazon Glacier では、ブロック暗号の中で最も強力である 256 ビット Advanced Encryption Standard（AES-256）が使用されます。256 ビットは、AES に対して定義されているキーサイズの中で最大です。キーをお客様自身で管理することをご希望の場合は、データを暗号化してからアップロードしてください。

Q: Amazon Glacier では IAM のアクセス許可がサポートされますか?

はい。Glacier では、AWS Identity and Access Management（IAM）サービス統合を通して、API レベルのアクセス許可がサポートされます。

IAM の詳細については、以下のサイトをご覧ください:

• AWS Identity and Access Management
• AWS Identity and Access Management スタートガイド
• AWS Identity and Access Management の使用
  

Q: アーカイブとは何ですか?

アーカイブとは、長期保管する情報のまとまりです。Amazon Glacier では、データをアーカイブとして保管します。ファイルを 1 つだけアーカイブとしてアップロードすることもできますが、データをまとめたほうがコストが低くなります。TAR や ZIP などの一般的な形式で複数のファイルを 1 つにまとめてから、Amazon Glacier にアップロードします。保管できるデータの総量とアーカイブの数の制限はありません。個々の Amazon Glacier アーカイブは、サイズが 1 バイト以上 40 TB 以下であれば保管できます。1 回のアップロードリクエストでアップロードできるアーカイブの最大サイズは 4 GB です。100 MB を超える場合は、マルチパートアップロード機能の使用を検討してください。Amazon Glacier に保管されているアーカイブは変更不可能です。つまり、アーカイブのアップロードと削除はできますが、編集や上書きはできません。

Q: アーカイブを削除するにはどうすればよいですか?

アーカイブの削除はいつでもできます。アーカイブへの課金は、削除リクエストが成功した時点で停止し、それ以降はアーカイブそのものがアクセス不可能になります。アーカイブがアップロードされてから 3 か月未満で削除された場合は、削除料金をいただきます (詳細については、請求のセクションをご覧ください)。

Q: 大きなアーカイブをアップロードするにはどうすればよいですか?

大きなアーカイブ（100 MB 以上）をアップロードするときは、マルチパートアップロードを使用するとスループットと確実性が向上します。マルチパートアップロードとは、大きなアーカイブを小さく分割して個別にアップロードする機能です。分割した各部分のアップロードがすべて正常に終了すると、結合されて 1 つのアーカイブとなります。

Q: ボールトとは何ですか?

ボールトを使用するとアーカイブを Amazon Glacier にまとめてグループ化できます。Amazon Glacier ではボールトを使用してデータを整理します。各アーカイブは、お客様指定のボールトに格納されます。保管するデータへのアクセスをコントロールするには、AWS Identity and Access Management (IAM) サービスを使用してボールトレベルのアクセスポリシーを設定します。通知ポリシーをボールトに関連付けることもできます。この機能を利用すると、取り出しをリクエストしたデータがダウンロード可能になったときに、アカウント所有者またはアプリケーションに通知するよう設定することができます。Amazon Simple Notification Service（Amazon SNS）を使用して通知をセットアップする方法の詳細については、ここをクリックしてください。

Q: 作成できるボールトの数はどれくらいですか?

1 つのアカウントで、1 リージョンあたり最大 1,000 個のボールトを作成できます。

Q: Amazon Glacier のボールトを効果的に管理するにはどうすればよいですか?

Amazon Glacier では、Glacier のボールトにタグを付けて、リソースとコストを容易に管理できるようになりました。タグはユーザーが定義し、ボールトに関連付けることができるラベルです。タグを使用すると、AWS コストレポートなどのオペレーションにフィルタリング機能が追加されます。例えば、タグを使用すれば、組織の複数の部門にまたがって、または他のカテゴリ別に Glacier のコストと使用を割り当てることができます。ボールトにタグを付けるには、Glacier コンソールまたは Glacier API を使用します。詳細については、Tagging Your Amazon Glacier Vaults を参照してください。

Q: ボールトを削除するにはどうすればよいですか?

アーカイブが 1 つも格納されていないボールトは、AWS マネジメントコンソール、Amazon Glacier API、または SDK を使用して削除できます。ボールトを削除した後で、同じ名前のボールトを再作成することもできます。ボールトにアーカイブが格納されている場合は、そのアーカイブをすべて削除した後でなければ、ボールトを削除することはできません。

Q: ボールトアクセスポリシーとは何ですか?

ボールトアクセスポリシーは、Glacier ボールト（リソース）に直接アタッチして、ボールトにアクセスできるユーザーを指定し、それらのユーザーがそのボールトに実行できるアクションを指定できるリソースベースのポリシーです。詳細については、Amazon Glacier 開発者ガイドの Amazon Glacier Access Control with Vault Access Policies を参照してください。

Q: ボールトアクセスポリシーは、AWS Identity and Access Management (IAM) ポリシーに基づくアクセスコントロールとはどのように異なりますか?

アクセス権限は、ユーザーベースの権限、またはリソースベースの権限という 2 とおりの方法で割り当てることができます。IAM ポリシーに基づくアクセスコンとロールは、ユーザーベースで、IAM ポリシーを IAM ユーザーまたはグループに割り当て、Glacier ボールトに対する読み取り、書き込み、および削除アクセス権限を制御します。ボールトアクセスポリシーによるアクセスコントロールは、リソースベースで、ボールトに直接アクセスポリシーをアタッチし、すべてのユーザーへのアクセスを管理します。ボールトアクセスポリシーにより、特定のユースケースをよりシンプルにすることができます。例えば、ビジネスクリティカルなボールトの情報が誤って削除されないようにするために、すべてのユーザーの削除の試行を拒否するボールトアクセスポリシーを作成することができます。このデータ保護手順は、AWS マネジメントコンソールで数分で実施できます。監査を実施したり、IAM ポリシーによってユーザーに割り当てられている削除アクセス権限を取り消したりする必要はありません。

Q: ボールトアクセスポリシーを使用してクロスアカウントアクセスを管理できますか?

はい、できます。例えば、ビジネスパートナーに別の AWS アカウントでボールトに対する読み取り専用アクセス権を付与できます。これには、ボールトのアクセスポリシーにそのアカウントを追加し、その読み取り専用アクティビティが許可されることを指定するだけです。

Q: クロスアカウントアクセスシナリオの請求はどのように行われますか?

ボールトオーナーのアカウントは、クロスアカウントアクセス時に発生した料金が請求されます。例えば、アリス（アカウント A）が、アリスの「映画」ボールトへのアクセス権をボブ（アカウント B）に付与し、ボブによるデータのアップロードを許可したとします。ボブが 1 GB のデータをアップロードする 1,000 件のリクエストを行った場合、アリスのアカウント（アカウント A）には 1000 件のリクエストについての請求と、1 GB のデータが削除されるまでこのデータに対する請求が行われます。ボブのアカウント（アカウント B）には、これらの請求は行われません。

Q: ボールトアクセスポリシーを作成し管理するにはどうすればよいですか?

AWS Glacier コンソールで、または AWS SDK のボールトアクセス API を使用して、ボールトアクセスポリシーを作成し、管理することができます。詳細については、Amazon Glacier 開発者ガイドの Amazon Glacier Access Control with Vault Access Policies を参照してください。

Q: ボールトアクセスポリシーは何個持つことができますか?

ボールトごとに 1 つのボールトアクセスポリシーを設定できます。ボールトアクセスポリシーを単一のロケーションとして使用すると、ボールトアクセスを持つユーザーと各ユーザーに許可されているアクションのリストを確認することができます。

Q: Vault Lock とは何ですか?

Vault Lock により、ロック可能なポリシー（Vault Lock ポリシー）を使用して個別の Glacier ボールトにコンプライアンスコントロールを簡単にデプロイおよび適用できます。ロックされると、Vault Lock ポリシーは変更できなくなり、指定したコントロールが Glacier によって適用されるので、コンプライアンス目標を達成しやすくなります。詳細については、Amazon Glacier 開発者ガイドの「Amazon Glacier Vault Lock」を参照してください。

Q: Vault Lock を使用すると、どのタイプのコンプライアンスコントロールをデプロイできますか?

AWS Identity and Access Management (IAM) ポリシー言語を使用して、Vault Lock ポリシーでさまざまなコンプライアンスコントロールをデプロイできます。例えば、"Write Once Read Many" (WORM) または時間ベースの記録保存を簡単に設定して、規制アーカイブを実現できます。詳細については、Amazon Glacier 開発者ガイドの「Amazon Glacier Vault Lock」を参照してください。

Q: Vault Lock では、どのようにコンプライアンスコントロールを適用しますか?

Vault Lock では、ロック可能なポリシー（Vault Lock ポリシー）を使用してコンプライアンスコントロールを適用します。Vault Lock ポリシーは一度ロックされると変更できなくなり、Glacier では、指定したコンプライアンスコントロールによって明示的に許可されているデータ操作のみが許可されます。また、Vault Lock により、ボールトで保護するアーカイブがなくなるまでロックされたポリシーを削除または変更できないようにすることができます。詳細については、Amazon Glacier 開発者ガイドの「Locking a Vault for compliance」を参照してください。

Q: Vault Lock ポリシーは、ボールトアクセスポリシーとどのような違いがありますか?

両方のポリシーともボールトへのアクセスコントロールを実施しますが、Vault Lock ポリシーは変更不可能にすることができ、コンプライアンスコントロールを強力に適用できます。Vault Lock ポリシーを使用して、一般に制約が多く "設定したら後は放置" という性質の規制コントロールとコンプライアンスコントロールをデプロイできます。並行してボールトアクセスポリシーを使用し、コンプライアンスと関係がなく、一時的で、頻繁に変更が発生しやすいアクセスコントロールを実装できます。この 2 つのポリシーを並行して使用することで、ガバナンスと柔軟性を実現できます。

Q: 金融サービス規制に基づいて、どの AWS 電子ストレージサービスが評価されてきましたか?

金融サービス業界のお客様のために、Vault Lock は、SEC 規則 17a-4(f)、FINRA 規則 4511、CFTC 規制 1.31 の規制要件を満たす、削除も書き換えもできない形式でレコードを保持する必要があるブローカーディーラー用の追加サポートを提供しています。規制アーカイブを元の形式で必要な期間のみ保持するために、レコード保持期間を簡単に指定できます。また、訴訟ホールドが除去されるまで無期限にデータを保持する訴訟ホールド期間を設けることができます。

Q: 規制担当者に通知するための SEC 17a-4(f)(2)(i) と CFTC 1.31(c) の要件をサポートしているのはどの AWS ドキュメントですか?

規制担当者または選択した「Designated Examining Authority (DEA)」に対して、Cohasset Assessment のコピーと一緒に、電子ストレージの AWS Glacier を使用するための通知が提供されます。これらの要件において、AWS は Designated Third Party (D3P) ではありません。必ず D3P を選択し、DEA に対する通知にこの情報を含めるようにしてください。

Q: Amazon Glacier Vault Lock を使用して他のどんな管理を適用できますか?

状況によっては、無期限にわたってコンプライアンスアーカイブを訴訟ホールドにする必要に直面します。ボールトを特定の方法でタグ付けした場合は Glacier の削除機能の使用を拒否するというボールトアクセスポリシーを作成することによって、訴訟ホールドを Glacier Vault で開始できます。Glacier Vault Lock は、時間に基づく保持および訴訟ホールドに加え、ガバナンス強化のために不変にできる、各種コンプライアンス制御を実装するためにも使用できます。例えば、機密情報が含まれるボールトに対するデータアクセス/読み取りアクティビティすべてにおいて多要素認証を適用するなどです。

Q: Vault Lock はどのように設定しますか?

Vault Lock は AWS Glacier コンソールで設定するか、AWS SDK の Vault Lock API を使用できます。詳細については、Amazon Glacier 開発者ガイドの「Getting Started with Amazon Glacier Vault Lock」を参照してください。