Amazon S3 は、「バケット」と呼ばれるリソースにオブジェクトとしてデータを保存します。バケットには必要なだけいくらでもオブジェクトを保存でき、バケット内のオブジェクトを書き込み、読み取り、削除できます。オブジェクトの最大サイズは 5 テラバイトです。

バケットへのアクセスを制御でき(例えば、バケット内のオブジェクトを作成、削除、取得できるユーザーを管理)、バケットとそのオブジェクトに対するアクセスログを表示でき、バケットが保存される AWS リージョンを選択してレイテンシーを最適化し、コストを最小限に抑え、規制要件に対応できます。

今すぐ AWS を始めるには

Amazon S3 を無料で始める
またはコンソールにサインイン

AWS の無料利用枠には Amazon S3 のストレージ 5 GB、20,000 Get リクエスト、2,000 Put リクエストが含まれます。

AWS アカウント作成の流れはこちら »

S3_ProductPage_Banner

Amazon S3 は全面的なストレージプラットフォームとして設計されています。1 GB ごとのデータの所有者にとっての価値を考えてみてください。

シンプルさ。Amazon S3 はシンプルさのために構築されており、ウェブベースの管理コンソール、モバイルアプリ、完全な REST API および SDK を備え、サードパーティ製のテクノロジーとの統合も容易です。

耐久性。 Amazon S3 は世界中のリージョンで使用でき、各リージョン内での地理的冗長性が含まれ、リージョン間でレプリケートすることもできます。さらに、ポイントインタイムリカバリのためにオブジェクトの複数のバージョンを保持できます。

スケーラビリティ。毎日、数兆個ものオブジェクトを保護するため、世界中のお客様が Amazon S3 を利用しています。コストは必要に応じて拡大および縮小し、グローバルなデプロイも数分で実行できます。金融サービス、ヘルスケア、メディアおよびエンターテインメントといった産業では、ビッグデータ、分析、コード変換、およびアプリケーションアーカイブの構築に利用されています。

セキュリティ。Amazon S3 は、SSL でのデータ転送と、アップロード後のデータの自動暗号化をサポートします。また、バケットポリシーを構成して、オブジェクトの権限を管理し、AWS Identity and Access Management (IAM) を使用したデータへのアクセスを制御できます。

AWS の他のサービスとの幅広い統合。セキュリティ (IAM および KMS)、アラート (CloudWatch、CloudTrail およびイベント通知)、コンピューティング (Lambda)、およびデータベース (EMR、Redshift) といったサービスが、Amazon S3 と直接統合するよう設計されています。

クラウドデータ移行オプション。AWS ストレージには、クラウドへのデータ転送のサポートに特化した複数の方法が用意されています。

企業規模のストレージ管理。 S3 ストレージマネジメント機能によって、ストレージ最適化、データセキュリティ、および管理効率に対するデータ駆動型のアプローチを取ることができます。


Amazon 3 ストレージマネジメント機能によって、お客様はストレージ最適化、コンプライアンス、および管理効率に対するデータ駆動型のアプローチを取ることができます。これらの機能を連携させることで、ワークロードのパフォーマンスの向上、コンプライアンスの促進、ビジネスプロセスワークフローの効率化、よりインテリジェントなストレージの階層化によるストレージのコストとパフォーマンスの最適化が可能になります。

詳細

Amazon S3 には、S3 コンソール、SDK、または ISV との統合を介して簡単にアクセスできます。S3 は、Java、PHP、.NET、Python、Node.js、Ruby 用の AWS SDK および AWS Mobile SDK でサポートされています。SDK ライブラリは基本となる REST API をラップし、プログラミング作業を簡素化します。

詳細

Amazon S3 は重要なデータを保存するための耐久性のあるインフラストラクチャを提供し、オブジェクトの 99.999999999% の耐久性を実現するように設計されています。データは冗長化されて複数の施設に保存され、各施設では複数のデバイスに保存されます。

詳細

Amazon ではクラウドデータマイグレーションに複数のオプションを提供しており、シンプルかつコスト効果の高い方法で、Amazon S3 から大量のデータを移動できます。お客様は S3 へのまたは S3 からのデータ転送について、ネットワーク最適化方式、物理ディスクベース方式、またはサードパーティーコネクタ方式から選択できます。

詳細

Amazon S3 は、データに誰が、どのように、いつ、どこでアクセスできるかを管理および監視するための複数のメカニズムを提供します。VPC エンドポイントは、ゲートウェイまたは NAT インスタンスなしに安全に接続できます。

詳細

S3 標準に加えて、頻繁にアクセスしないデータのためのより低価格の標準 – 低頻度アクセス (標準 – IA) オプションおよび可能な限り低いコストでコールドデータをアーカイブするための Amazon Glacier があります。

詳細はこちら


Amazon S3 では、データ使用パターンに実用的な洞察を加え、管理ポリシーによってストレージを管理するツールを提供することで、データを簡単に管理できます。これらの管理機能はすべて、Amazon S3 API または AWS マネジメントコンソールを使用して容易に管理できます。Amazon S3 が提供するさまざまなデータの管理に関する機能について、詳しく説明します。

Amazon S3 オブジェクトのタグ付けにより、Amazon S3 オブジェクトのアクセスを管理および制御できます。S3 オブジェクトタグとは S3 オブジェクトに適用されるキーと値のペアのことで、オブジェクトの存続期間中にいつでも作成、更新、または削除できます。これによって、Identity and Access Management (IAM) ポリシーを作成したり、S3 ライフサイクルポリシーを設定したり、ストレージメトリクスをカスタマイズしたりできるようになります。その後、これらのオブジェクトレベルのタグにより、ストレージクラス間での移行を管理したり、バックグラウンドでオブジェクトを有効期限切れにしたりできます。

Amazon S3 は、お客様のデータに誰が、どのように、いつ、どこでアクセスすることができるかをコントロールできる柔軟性を提供するいくつかのメカニズムをサポートしています。Amazon S3 は、4種類のアクセスコントロールメカニズムを提供しています: Identity and Access Management(IAM)ポリシー、アクセスコントロールリスト(ACL)、バケットポリシー、およびクエリ文字列認証です。IAM により、複数の従業員がいる組織は、単一の AWS アカウントの下で複数のユーザーを作成・管理することができます。IAM ポリシーにより、お客様は Amazon S3 バケットやオブジェクトに対して細かく分けられたコントロールを IAM ユーザーに付与することができます。ACL を使用して、個々のオブジェクトに特定のアクセス許可を選択的に追加(付与)することができます。Amazon S3 バケットポリシーは、単一のバケット内のオブジェクトの一部またはすべてにわたってアクセス許可を追加・拒否するのに使用することができます。クエリ文字列認証を使用して、事前定義された期限に有効な URL を通して Amazon S3 のオブジェクトを共有することができます。

HTTPS プロトコルを使用して SSL の暗号化されたエンドポイント経由で、Amazon S3 にデータを安全にアップロード/ダウンロードすることができます。Amazon S3 ではまた、格納されているデータの暗号化における複数のオプションをご用意しています。独自の暗号化キーを管理したい場合は、Amazon S3 の暗号化クライアントのようなクライアント暗号化ライブラリを使用して、Amazon S3 にアップロードする前にデータを暗号化することができます。または、Amazon S3 に暗号化キーの管理をまかせたい場合は、Amazon S3 のサーバー側の暗号化(SSE)を使用することができます。Amazon S3 の SSE により、オブジェクトを書き込む際に追加のリクエストヘッダーを単純に追加するだけで、アップロード時にデータを暗号化することができます。データが取得された時に、自動的に復号化が行われます。

Amazon S3 はまた、お客様の Amazon S3 リソースに対して行われたリクエストのロギングをサポートしています。それに対して行われたリクエストのアクセスログレコードを作成するように Amazon S3 バケットを設定することができます。これらのサーバーアクセスログは、バケットやその中のオブジェクトに対して行われたすべてのリクエストをキャプチャするので、これは監査目的に使用することができます。

Amazon S3 で利用できるセキュリティ機能の詳細については、Amazon S3 開発者ガイドアクセスコントロールおよびデータの暗号化のトピックをご参照ください。Amazon S3 を含む AWS のセキュリティ概要については、Amazon Web Services: セキュリティプロセスの概要の資料をご参照ください。

ストレージクラス分析では、低頻度でアクセスされるストレージを低コストのストレージクラスに移行するために、S3 バケット内のオブジェクトのアクセス頻度を監視できます。この新しい S3 分析機能では、適切なオブジェクトを S3 標準 – IA に移行できるようにするため、使用パターンを観察して低頻度でアクセスされるストレージを検出します。バケット、プレフィックス、またはオブジェクトタグ全体をモニタリングするようにストレージクラス分析ポリシーを構成できます。S3 分析でデータが標準 – IA への移行対象であることが検出されたら、これらの結果に基づいて新しいライフサイクルポリシーを簡単に作成できます。この機能には、指定したバケット、プレフィックス、またはタグレベルでのストレージ使用状況の詳細な日単位の分析も含まれ、これは S3 バケットにエクスポートできます。 

Amazon S3 CloudWatch では、統合されたモニタリング機能とアラーム機能をさまざまなメトリクスのホストで利用でき、エンドユーザーへのサービスの向上に役立ちます。1 分の CloudWatch メトリクスの受信、CloudWatch アラームの設定、および CloudWatch ダッシュボードへのアクセスによって、Amazon S3 ストレージの運用とパフォーマンスをリアルタイムで確認できます。クラウドストレージに依存するウェブアプリケーションやモバイルアプリケーションの場合、これらを使用すると、オペレーションの問題を迅速に特定して対応できます。これらの 1 分のメトリクスは S3 バケットレベルで利用可能です。また、共有プレフィックスやオブジェクトタグを使用して収集されたメトリクスのフィルタを柔軟に定義でき、メトリクスのフィルタを特定のビジネスアプリケーション、ワークフロー、または内部組織に合わせることができます。

AWS CloudTrail を使用すると、S3 オブジェクトについてのバケットレベル (管理イベント) とオブジェクトレベルの API アクティビティ (データイベント) をキャプチャできます。データイベントには、GET、HEAD、Get Object ACL などの読み取り操作と、PUT や POST などの書き込み操作が含まれます。キャプチャされる詳細によって、さまざまなタイプのセキュリティ、監査、ガバナンス、およびコンプライアンスのユースケースをサポートできます。S3 データイベントの詳細については、AWS CloudTrail のページを参照してください。

Amazon S3 では、コストとパフォーマンスの特性を自動的に割り当てて、データの進化と共にそれらを変更することができます。また、容量のプロビジョニング、低コスト階層への自動移行、法令遵守ポリシー、およびスケジュールされた最終削除を含め、データライフサイクル管理の共通タスクを自動化することもできます。

データの保存日数経過に伴い、製品に障害が発生したり製品が耐用年数に達すると、Amazon S3 は、新しいハードウェアへのデータ移行を自動的かつ透過的に処理します。このため客様は、費用と時間がかかりリスクも伴うハードウェア移行を実施する必要がなくなります。データの保存日数経過に伴ってデータを自動的に低コストのストレージに移行するライフサイクルポリシーを、Amazon S3 に直接設定できます。Amazon S3 オブジェクトをデータの期間に基づいて、標準 – 低頻度アクセス(標準 – IA)または Amazon Glacier へ自動的に移行するためのルールを定義できます。ライフサイクルポリシーはバケット、プレフィックス、またはオブジェクトタグ別に設定でき、お客様のユースケースに最適な間隔を指定できます。

データの保存期間が終了すると、Amazon S3 はデータを定期的に削除するか、大容量を一斉に削除するかを選択するオプションを提供します。定期的にデータを削除する場合、事前定義された期間後、オブジェクト一式を削除するようにルールを定義できます。これらのルールは、標準または標準 – IA に保存されているオブジェクトおよび Amazon Glacier にアーカイブされているオブジェクトに適用できます。

また、Amazon S3 オブジェクトのバージョンに応じたライフサイクルルールを定義して、ストレージコストを節約することもできます。例えば、オブジェクトの古いバージョンが不要になったときにそのバージョンを自動的 (かつ明確) に削除するルールを作成し、コストを削減し、パフォーマンスを向上させることができます。または、古いバージョンを標準 – IA または Amazon Glacier のいずれかに自動的に移行するルールを作成し、ストレージコストをさらに削減することもできます。

クロスリージョン レプリケーション(CRR)では、レプリケーション元バケットにアップロードされたすべてのオブジェクトが、選択した別の AWS リージョンにあるレプリケーション先バケットにレプリケートされます。オブジェクトに関連付けられたメタデータ、ACL、およびオブジェクトタグもレプリケーションに含まれます。レプリケーション元バケットで CRR を設定した後に、オブジェクトのデータ、メタデータ、ACL、またはオブジェクトタグの変更が発生すると、レプリケーション先バケットへの新しいレプリケーションがトリガーされます。

CRR はバケットレベルの設定で、AWS マネジメントコンソール、REST API、AWS CLI、AWS SDK のいずれかを使用して別のリージョンにあるレプリケーション先バケットを指定することで、バケットの CRR を有効にします。CRR を有効にするには、レプリケーション元バケットとレプリケーション先バケットの両方でバージョニングを有効にする必要があります。CRR の詳細については、「Amazon S3 開発者ガイド」の「Cross-Region Replication」を参照してください。

Amazon S3 には、コストの管理とコントロールのためのさまざまな機能があります。AWS マネジメントコンソールまたは Amazon S3 API を使用して Amazon S3 バケットにタグを適用すると、例えばコストセンター、アプリケーション名、所有者など、ビジネス上の複数の側面でコストを割り当てることができます。その後、これらのコストの詳細をアマゾン ウェブ サービスのコスト配分レポートを使用して確認できます。このレポートは、バケットタグ別に集計した利用量とコストを示します。コスト割り当てとタグ付けの詳細については、About AWS Account Billing を参照してください。Amazon S3 バケットのタグ付けの詳細については、Amazon S3 開発者ガイドバケットのタグ付けに関するトピックをご覧ください。

Amazon CloudWatch を使用して、請求書の Amazon S3 料金のモニタリングに役立つ請求アラートを受信することができます。推定請求額が指定したしきい値に達した時に自動的に通知を受信するようにアラートを設定することができます。請求アラートの詳細については、請求アラートのページをご覧いただくか、Amazon CloudWatch 開発者ガイド推定料金のモニタリングのトピックをご覧ください。

Amazon S3 のイベント通知は、Amazon S3 でオブジェクトがアップロードまたは保存されたときのアクションに対する応答で送信できます。通知メッセージは Amazon SNS または Amazon SQS で送信でき、AWS Lambda に直接配信して AWS Lambda 機能を呼び出すこともできます。

Amazon S3 イベント通知を使用すると、Amazon S3 に保存されているオブジェクトの変更に応答して、ワークフローの実行、アラートの送出、その他のアクションの実行が行えます。Amazon S3 イベント通知を使用すれば、メディアファイルがアップロードされたときのコード変換、データファイルが利用可能になったときのデータ処理、Amazon S3 オブジェクトのその他のデータストアへの同期といったアクションの実行をトリガーできます。オブジェクト名のプレフィックスおよびサフィックスに基づいてイベント通知を設定することも可能です。例えば、「images/」で始まるオブジェクト名の時に通知を受け取るよう選択できます。Amazon S3 オブジェクトのセカンダリインデックスの同期維持に使用する場合もあります。

Amazon S3 イベント通知はバケットレベルでセットアップされ、Amazon S3 コンソール、REST API、または AWS SDK を使用して設定できます。

詳細については、Amazon S3 開発者ガイドAmazon S3 イベントの通知の設定トピックを参照してください。


Amazon S3 は、ミッションクリティカルで重要なデータストレージのために設計された、極めて堅牢なストレージインフラストラクチャです。Amazon S3 では、データが複数の施設および施設内の複数のデバイスに冗長的に保管されます。耐久性を高めるため、Amazon S3 は、データが正常に保存されたことを確認する前に、データを複数の施設に同期的に保存します。さらに Amazon S3 は、ネットワークの全トラフィックに対してチェックサムを計算し、データの保存または取得時のデータパケットの損傷を検出します。従来型のシステムでは、データの検証と修復にかなりの人的作業が必要になることもありますが、Amazon S3 では、体系的なデータ完全性チェックが定期的に実施されるほか、自己修復を自動的に行うように設計されています。

標準は:

  • Amazon S3 サービスレベルアグリーメントで可用性が裏づけられています。
  • 指定された 1 年にわたり、99.999999999% の堅牢性と、99.99% の可用性を提供するよう設計されています。
  • 2 拠点で同時にデータ喪失を起こしても、お客様のデータが維持されるよう設計されています。

標準 – 低頻度アクセス(標準 – IA)は:

  • Amazon S3 サービスレベルアグリーメント (SLA) で可用性が裏づけられています。
  • 指定された 1 年にわたり、オブジェクトの 99.999999999% の耐久性と、99.9% の可用性を提供するよう設計されています。
  • 2 拠点で同時にデータ損失を起こしても、お客様のデータが維持されるよう設計されています。

Amazon Glacier は:

  • 指定された 1 年にわたり、オブジェクトの 99.999999999% の耐久性を提供するよう設計されています。
  • 2 拠点で同時にデータ損失を起こしても、お客様のデータが維持されるよう設計されています。

Amazon では、データをクラウドに高速に移行することを可能にする一連のツールを提供しています。これらには、既存のネットワークを最適化または置換するツールや既存のワークフローを S3 に統合するツールが含まれています。

Amazon S3 Transfer Acceleration は、Amazon S3 バケットの長距離の転送速度を最大化するように設計されています。これは、お客様のクライアントに最も近い Amazon エッジロケーションと Amazon S3 バケット間で実行される高度に最適化されたネットワークブリッジを介して、HTTP トラフィックおよび HTTPS トラフィックを伝送することによって機能します。管理する必要のあるゲートウェイサーバー、開く必要のあるファイアウォール、統合する必要のある特定のポートまたはクライアント、あるいは、支払う必要のある前払い料金は一切ありません。アプリケーションがデータ転送に使用する Amazon S3 エンドポイントを変更するのみで、アクセラレーションが自動的に適用されます。Transfer Acceleration は次の場合に使用します。

  • 国や大陸を超えるなどバケットから離れている場所にあるクライアントからのアップロードを迅速化する必要がある場合。
  • クライアントが独自のデータセンター外にあり、Amazon S3 に到達するためにパブリックインターネットに依存している場合。独自のデータセンター内のクライアントについては、AWS Direct Connect を検討してください。

詳細

Amazon S3 には、コストの管理とコントロールのためのさまざまな機能があります。AWS マネジメントコンソールまたは Amazon S3 API を使用して Amazon S3 バケットにタグを適用すると、例えばコストセンター、アプリケーション名、所有者など、ビジネス上の複数の側面でコストを割り当てることができます。その後、これらのコストの詳細をアマゾン ウェブ サービスのコスト配分レポートを使用して確認できます。このレポートは、タグ別に集計した利用量とコストを示します。コスト割り当てとタグ付けの詳細については、About AWS Account Billing を参照してください。S3 バケットのタグ付けの詳細については、Amazon S3 開発者ガイドバケットのタグ付けに関するトピックをご覧ください。

Amazon CloudWatch を使用して、請求書の Amazon S3 料金のモニタリングに役立つ請求アラートを受信することができます。推定請求額が指定したしきい値に達した時に自動的に通知を受信するようにアラートを設定することができます。請求アラートの詳細については、請求アラートのページをご覧いただくか、Amazon CloudWatch 開発者ガイド推定料金のモニタリングのトピックをご覧ください。

AWS Storage Gateway を使用して、既存のオンプレミスのデータやストレージシステムを簡単に Amazon S3 と連携させることができます。つまり、既存のシステム、ソフトウェア、プロセス、データを最小限の中断で、バックアップ、移行、階層化、バーストのためのクラウドに効率化することができます。

詳細

データの転送と取り出しの簡素化のために、多数の ISV パートナーが Amazon S3 と統合されています。認定 AWS パートナーソリューションのリストについては、AWS ストレージパートナーソリューションのページを参照してください。


Amazon S3 に格納されたデータはデフォルトで保護され、バケットとオブジェクトの所有者のみが、自分が作成した Amazon S3 のリソースにアクセスできます。Amazon S3 は、複数のアクセスコントロールメカニズムだけでなく、保存時の安全な転送と格納を行うための暗号化をサポートしています。Amazon S3 のデータ保護機能により、意図しないユーザーアクション、アプリケーションエラー、インフラストラクチャ障害によるデータ損失に対して、論理的・物理的の両面の障害からデータを保護することができます。PCI や HIPAA などの規制基準を遵守しなければならないお客様には、Amazon S3 のデータ保護機能を、コンプライアンス達成における全体的な戦略の一部としてご利用いただけます。Amazon S3 が提供する様々なデータのセキュリティおよび信頼性に関する機能は下に詳細な説明があります。

Amazon Macie では、AWS 内の機密データの検出、分類、保護が機械学習によって自動的に行われます。Amazon Macie では、個人情報 (PII) や知的財産などの機密データが認識されます。また、ダッシュボードやアラートが提供されるため、データのアクセスや移動状況を確認できます。この完全マネージドサービスでは、データアクセスアクティビティの異常が継続的にモニタリングされ、不正アクセスの危険や不注意によるデータ漏洩が検出された場合には詳細なアラートが生成されます。

Amazon S3 は、お客様のデータに誰が、どのように、いつ、どこでアクセスすることができるかを柔軟にコントロールできるメカニズムをサポートしています。Amazon S3 は、4 種類のアクセスコントロールメカニズムを備えています。AWS Identity and Access Management (IAM) ポリシー、アクセスコントロールリスト (ACL)、バケットポリシー、およびクエリ文字列認証です。IAM を使用すると、単一の AWS アカウントで複数のユーザーを作成し管理できます。IAM ポリシーにより、お客様は Amazon S3 バケットやオブジェクトに対して細かく分けられたコントロールを IAM ユーザーに付与することができます。ACL を使用して、個々のオブジェクトに特定のアクセス許可を選択的に追加(付与)することができます。Amazon S3 バケットポリシーは、単一のバケット内のオブジェクトの一部または全体にわたってアクセス許可を追加または拒否するために使用できます。クエリ文字列認証を使用すると、指定した期間に有効な URL を通して Amazon S3 のオブジェクトを共有できます。

Amazon Virtual Private Cloud (Amazon VPC) から、VPC エンドポイントを使用して Amazon S3 にアクセスできます。VPC エンドポイントは設定が簡単で、インターネットゲートウェイやネットワークアドレス変換 (NAT) インスタンスを設定せずに、Amazon S3 への信頼できる接続を提供します。VPC エンドポイントを使用すれば、Amazon VPC と Amazon S3 との間のデータは Amazon のネットワーク内で転送されるようになり、お客様のインスタンスをインターネットトラフィックから守るのに役立ちます。Amazon S3 用の Amazon VPC エンドポイントは、複数レベルのセキュリティコントロールを備え、S3 バケットへのアクセスの制限をサポートします。まず、Amazon S3 バケットへのリクエストが、VPC エンドポイントを使用した VPC からのものであることを要求できます。さらに、特定の VPC エンドポイントを通じたアクセスが許可されるバケット、リクエスト、ユーザー、またはグループを管理できます。

HTTPS プロトコルを使用して SSL で暗号化されたエンドポイント経由で、Amazon S3 にデータを安全にアップロード/ダウンロードできます。Amazon S3 は、保存時のデータを自動で暗号化でき、複数のキー管理方法を提供します。また、Amazon S3 の暗号化クライアントなどのクライアント暗号化ライブラリを使用して、Amazon S3 にアップロードする前にデータを暗号化できます。

サーバー側暗号化(SSE)を使用して Amazon S3 が保存時のデータを暗号化するように選択した場合、Amazon S3 は書き込み時にデータを自動的に暗号化し、取得時に自動的にデータを復号します。Amazon S3 SSE は、保存時のデータを暗号化するとき、Advanced Encryption Standard(AES) 256 ビット対称キーを使用します。Amazon S3 でサーバー側暗号化を選択する場合、3 種類の暗号化キー管理方法があります。

SSE と Amazon S3 キー管理(SSE-S3)

SSE-S3 では、Amazon S3 は保存時のデータを暗号化し、暗号化キーを自動的に管理します。

SSE と顧客提供のキー(SSE-C)

SSE-C では、Amazon S3 はユーザーが提供するカスタム暗号化キーを使用して保存時のデータを暗号化します。SSE-C を使用するには、カスタム暗号化キーをアップロード要求に含めるだけです。Amazon S3 はそのキーを使用してオブジェクトを暗号化し、暗号化されたデータを安全に保存します。同様に、暗号化されたオブジェクトを取得するには、カスタム暗号化キーを提供します。Amazon S3 は取得の一部としてオブジェクトを復号します。Amazon S3 は暗号化キーをどこにも保存しません。Amazon S3 が要求を完了すると、キーはすぐに破棄されます。

SSE と AWS KMS(SSE-KMS)

SSE-KMS では、Amazon S3 はユーザーが AWS Key Management Service(KMS)で管理するキーを使用して保存時のデータを暗号化します。キー管理に AWS KMS を使用するといくつかの利点があります。AWS KMS では、マスターキーの使用に対して別の権限があり、制御階層が追加されるだけでなく、Amazon S3 に格納されているオブジェクトへの非承認アクセスに対する保護を提供できます。AWS KMS では監査証跡が提供されるので、誰がキーを使用してどのオブジェクトにいつアクセスしたのかがわかるだけでなく、データ復号権限を持たないユーザーからのデータアクセス試行の失敗を確認できます。さらに、AWS KMS では追加のセキュリティコントロールを提供し、PCI-DSS、HIPAA/HITECH、FedRAMP の各業界要件に準拠する顧客をサポートします。

詳細については、Amazon S3 開発者ガイドデータ暗号化の使用のトピックを参照してください。

Amazon S3 はまた、お客様の Amazon S3 リソースに対して行われたリクエストのロギングをサポートしています。それに対して行われたリクエストのアクセスログレコードを作成するように Amazon S3 バケットを設定することができます。これらのサーバーアクセスログは、バケットやその中のオブジェクトに対して行われたすべてのリクエストをキャプチャするので、監査目的に利用できます。

Amazon S3 で利用できるセキュリティ機能の詳細については、Amazon S3 開発者ガイドアクセスコントロールのトピックをご参照ください。Amazon S3 を含む AWS のセキュリティの概要については、アマゾン ウェブ サービス: セキュリティプロセスの概要を参照してください。

Amazon S3 はバージョニング機能でさらなる保護能力を提供します。バージョニングを使用して、Amazon S3 バケットに格納されたあらゆるオブジェクトのあらゆるバージョンを、格納、取得、復元することができます。これによって、意図せぬユーザーアクションやアプリケーションの障害から、簡単に回復することができます。デフォルトでは、リクエストは最も新しく書き込まれたバージョンを取得するようになっています。リクエストでバージョンを指定することによって、オブジェクトの旧バージョンを取得することができます。ストレージ料金は、格納される各バージョンに対して適用されます。ライフサイクルルールを設定して、複数のバージョンのオブジェクトを保存する期間と料金を自動的に管理できます。

Amazon S3 は、Multi-Factor Authentication(MFA)Delete で追加のセキュリティを提供します。この機能を有効にすると、オブジェクトの以前のバージョンを保護するため、Amazon S3 に保存されているオブジェクトを削除するには多要素認証デバイスの使用が必要になります。

Amazon S3 バケットで MFA Delete を有効した場合、次の 2 つの形態の認証を一緒に指定すると、バケットのバージョニング状態のみを変更したり、あるいはオブジェクトバージョンを永久に削除したりすることができます。

  • AWS アカウント認証情報
  • 有効なシリアル番号、スペース、および承認済みの認証デバイスに表示される 6 桁のコードの連結文字

詳細

Amazon S3 はクエリ文字列認証をサポートしており、お客様が指定した期間だけ有効な URL を生成できます。この期間限定 URL は、ソフトウェアのダウンロードや、ユーザーがオブジェクトにアクセスできる期間を制限したい他のアプリケーションに便利です。詳細


このサービスのご利用には、アマゾン ウェブ サービスカスタマーアグリーメントが適用されます。