Amazon S3 には、データの整理や管理を対象としたさまざまな機能があり、特定のユースケースをサポートして、コスト効率を高めるほか、セキュリティを強化し、コンプライアンス要件を満たすことができます。データは「バケット」と呼ばれるリソース内のオブジェクトとして保存され、オブジェクトあたりのサイズは最大 5 テラバイトです。S3 機能には、オブジェクトにメタデータタグを追加する機能、S3 ストレージクラス全体でデータを移動および保存する機能、データアクセス制御を設定および実施する機能、アクセス許可のないユーザーからデータを保護する機能、ビッグデータ分析を実行する機能、オブジェクトおよびバケットレベルでデータをモニタリングする機能などがあります。オブジェクトは S3 Access Points から、またはバケットのホスト名から直接アクセス可能です。

ストレージ管理およびモニタリング

Amazon S3 のフラットで非階層な構造や、数多くの管理機能は、あらゆる規模の企業や業界のお客様が、ビジネスやチームにとって価値のある方法でデータを整理する上で役立っています。オブジェクトはすべて、S3 バケットに保存され、プレフィックスと呼ばれる共有の名前で整理できます。S3 オブジェクトタグと呼ばれるキーと値のペアを各オブジェクトに最大 10 個付加することもできます。これは、オブジェクトのライフサイクル内で作成、更新、および削除することができます。オブジェクトと対応するタグ、バケット、プレフィックスをそれぞれ追跡するには、S3 インベントリレポートを使用して、S3 バケット内に保存したオブジェクト、または特定のプレフィックス、それぞれのメタデータおよび暗号化ステータスで一覧表示します。S3 インベントリは、毎日または毎週のレポートを生成するように設定できます。

ストレージ管理

S3 バケット名、プレフィックス、オブジェクトタグ、および S3 インベントリを使用すると、データを分類して報告後、他の S3 機能を設定して対策を講じることができます。 S3 バッチオペレーションを使用すると、規模に関係なく、Amazon S3 のデータを簡単に管理することができます。数千または数十億のオブジェクトが保存されていても変わりません。S3 バッチオペレーションでは、バケット間のオブジェクトのコピー、オブジェクトタグセットを置き換え、アクセスコントロールの変更、Amazon S3 Glacier からのアーカイブされたオブジェクトの復元を 1 回の S3 API リクエスト、または Amazon S3 管理コンソールで数回クリックして復元できます。また、S3 バッチオペレーションを使用してオブジェクト全体で AWS Lambda 関数を実行し、カスタムのビジネスロジック (例: データの処理や画像ファイルのトランスコード) を実行することもできます。開始するには、S3 インベントリレポートを使用するか、カスタムリストでターゲットオブジェクトのリストを指定し、事前に入力したメニューから目的の操作を選択します。S3 バッチオペレーションリクエストを行うと、変更がすべて完了したことを示す通知とレポートが送信されます。ビデオチュートリアルを見て、S3 バッチオペレーションについて詳しくご覧ください。 

Amazon S3 では、データのバージョン管理の維持、偶発的な削除の防止に加え、同一または異なる AWS リージョンのデータをレプリケートする機能もサポートしています。S3 バージョニングを使用すると、Amazon S3 に保存したオブジェクトのすべてのバージョンの保存、取り出し、復元を簡単に行うことができます。これにより、意図的なユーザーアクションやアプリケーション障害が発生しても復元することができます。偶発的な削除を防止するには、S3 バケットの [Multi-Factor Authentication (MFA) Delete] を有効にします。MFA Delete が有効なバケットに保存されているオブジェクトを削除しようとすると、2 種類の認証 (AWS アカウント認証と、有効なシリアル番号、スペース、ハードウェアキー fob や Universal 2nd Factor (U2F) セキュリティキーなどの承認された認証デバイスに表示される 6 桁のコードを連結したもの) を求められます。

S3 レプリケーションを使用すると、オブジェクト (およびそのメタデータとオブジェクトタグ) を同一または異なる AWS リージョンにレプリケートして、レイテンシー、コンプライアンス、セキュリティ、災害復旧などのユースケースを削減できます。S3 クロスリージョンレプリケーション (CRR) はソース S3 バケットに設定されており、オブジェクトは別の AWS リージョンの出力先のバケットにレプリケートされます。 Amazon S3 セイムリージョンレプリケーション (SRR) では、同一リージョンのバケット間でオブジェクトをレプリケートします。Amazon S3 レプリケーション時間制御 (S3 RTC) では、SLA およびレプリケーション時間の可視化を提供することにより、データレプリケーションに関するコンプライアンス要件への対応をサポートします。

また、S3 オブジェクトロックで Write Once Read Many (WORM) ポリシーを適用することもできます。この S3 管理機能では、お客様定義の保持期間中にオブジェクトバージョンの削除はブロックされるため、データ保護の追加レイヤーとして、またはコンプライアンス義務を満たすために保持ポリシーを適用することができます。事前定義されたリテンション期日またはリーガルホールド期日以前のオブジェクトバージョンの削除を防ぐには、ワークロードを既存の WORM システムから Amazon S3 に移行し、S3 オブジェクトロックをオブジェクトレベルおよびバケットレベルで設定します。S3 オブジェクトロックが設定されているオブジェクトは、S3 ライフサイクルポリシーを使用して別のストレージクラスに移動しても、WORM 保護はそのまま適用されます。S3 オブジェクトロックが設定されているオブジェクトを追跡するには、オブジェクトの WORM ステータスを含む S3 インベントリレポートを参照します。S3 オブジェクトロックは、2 つのうちいずれかのモードで設定できます。ガバナンスモードでデプロイされると、特定の IAM アクセス許可を持つ AWS アカウントはオブジェクトから S3 オブジェクトロックを削除できます。規制を遵守するためにより強力なイミュータビリティが必要な場合は、コンプライアンスモードを使用することができます。コンプライアンスモードでは、ルートアカウントを含め、どのユーザーも無効にすることはできません。

ストレージの監視

これらの管理機能に加えて、S3 機能やその他の AWS サービスを使用して、S3 リソースの使用状況をモニタリングおよび制御することができます。S3 バケットにタグを適用して、複数のビジネスディメンション (例: コストセンター、アプリケーション名、所有者) にコストを割り当て、AWS コスト割り当てレポートを使用してバケットタグで集計された使用量とコストを表示できます。また、Amazon CloudWatch を使用して、AWS リソースのオペレーションの状態を追跡し、ユーザーが定義したしきい値を超えると送信される請求アラートを設定することもできます。AWS モニタリングサービスには他にも、バケットレベルおよびオブジェクトレベルでアクティビティを追跡してレポートする AWS CloudTrail があります。S3 イベント通知を設定して、S3 リソースに特定の変更が加えられたときに、ワークフロー、アラートをトリガーして AWS Lambda を呼び出すことができます。S3 イベント通知を使用して、Amazon S3 にアップロードされたメディアファイルを自動的にトランスコードしたり、使用可能になったときにデータファイルを処理したり、オブジェクトを他のデータストアと同期させたりすることができます。

ストレージクラス

Amazon S3 では、次のようなさまざまな S3 ストレージクラスにデータを格納できます: S3 スタンダードS3 Intelligent-TieringS3 標準 – 低頻度アクセス (S3 Standard-IA)S3 1 ゾーン - 低頻度アクセス (S3 One Zone-IA), Amazon S3 Glacier (S3 Glacier)Amazon S3 Glacier Deep Archive (S3 Glacier Deep Archive)

すべての S3 ストレージクラスが、対応するコストで特定のデータアクセスレベルをサポートしています。つまり、アクセス頻度の高いミッションクリティカルな本稼働データは S3 Standard、アクセス頻度の低いデータは S3 Standard-IA または S3 One Zone-IA に保存することでコストを節約し、アーカイブストレージクラス (S3 Glacier および S3 Glacier Deep Archive) にアーカイブすることによってコストを最小限に抑えることができます。S3 ストレージクラス分析を使用して、オブジェクト間のアクセスパターンをモニタリングし、低コストのストレージクラスに移動する必要のあるデータを検出することができます。その結果、この情報を使用して、データ転送の S3 ライフサイクルポリシーを設定することができます。また、S3 ライフサイクルポリシーを使用して、ライフサイクルの終了時にオブジェクトを期限切れに設定することもできます。S3 Intelligent-Tiering では、アクセスパターンが変化するか、不明なパターンのデータを格納することができます。これにより、高頻度のアクセス階層と、低コストで低頻度のアクセス階層の間のアクセスパターンの変化に応じて、自動的にデータを移動してコストを削減します。

アクセス管理およびセキュリティ

アクセス管理

デフォルトでは、Amazon S3 のデータを保護するために、ユーザーは作成した S3 リソースにのみアクセスすることができます。次のアクセス管理機能のいずれか、または組み合わせを使用して、他のユーザーにアクセス権を付与することができます。AWS Identity and Access Management (IAM) (ユーザーの作成とアクセス権の管理)、アクセスコントロールリスト (ACL) (認証されたユーザーによる個々のオブジェクトへのアクセスを許可)、バケットポリシー (1 つの S3 バケット内のすべてのオブジェクトに対するアクセス許可を設定)、S3 Access Points (アクセスポイントの名前および個別のアプリケーションまたはアプリケーションセットに対するアクセス権限を作成して、共有データセットへのデータアクセス管理をシンプル化)、クエリ文字列認証 (一時 URL によるその他のユーザーへの時間制限付きアクセス権限の付与)。Amazon S3 では、S3 リソースに対して行われたリクエストを一覧表示する監査ログもサポートしており、アクセスしたユーザーとアクセスされたデータを明確に把握することができます。

セキュリティ

Amazon S3 は、アクセス許可のないユーザーによるデータへのアクセスをブロックする柔軟なセキュリティ機能を提供します。VPC エンドポイントを使用して Amazon Virtual Private Cloud (Amazon VPC) から S3 リソースに接続します。Amazon S3 は、サーバー側の暗号化 (3 つのキー管理オプション付き) とクライアント側の暗号化 (データアップロード用) をいずれもサポートしています。S3 オブジェクトの暗号化ステータスを確認するには、S3 インベントリを使用します (S3 インベントリの詳細については「ストレージ管理」を参照)。

S3 ブロックのパブリックアクセス
は、S3 バケットとオブジェクトにパブリックアクセス権を付与しない一連のセキュリティコントロールです。Amazon S3 管理コンソールで数回クリックするだけで、AWS アカウント内のすべてのバケットまたは特定の S3 バケットに S3 ブロックパブリックアクセス設定を適用することができます。設定が AWS アカウントに適用されると、既存または新しいバケットと、そのアカウントに関連付けられたオブジェクトは、パブリックアクセスを防止する設定を継承します。S3 ブロックパブリックアクセス設定は、他の S3 アクセス許可よりも優先され、オブジェクトの追加方法、バケットの作成方法、または既存のアクセス許可があるかどうかに関係なく、アカウント管理者は「パブリックアクセスなし」ポリシーを適用しやすくなります。S3 ブロックパブリックアクセスコントロールは監査可能で、制御レイヤーを追加します。また、AWS Trusted Advisor のバケットのアクセス許可チェック、AWS CloudTrail ログ、Amazon CloudWatch アラームを使用します。 パブリックにアクセス可能にしたくないすべてのアカウントとバケットに対しては、ブロックパブリックアクセスを有効にする必要があります。

Virtual Private Cloud (VPC) に制限された S3 Access Points を使用すると、プライベートネットワーク内の S3 データを簡単にファイアウォール保護できます。さらに、AWS サービスコントロールポリシーを使用して、組織内のすべての新規 S3 アクセスポイントを VPC 経由のアクセスに限定できます。

Access Analyzer for S3 は、バケットアクセスポリシーをモニタリングし、ポリシーによって S3 リソースへの意図したアクセスのみが提供されるようにする新しい機能です。Access Analyzer for S3 では、バケットアクセスポリシーを評価し、意図しないアクセスの可能性があるバケットを検出して迅速に修正できるようにします。バケットへの共有アクセスの可能性を示す結果をレビューするときには、S3 マネジメントコンソールで 1 回クリックするだけで、バケットへのすべてのパブリックアクセスをブロックできます。監査目的で、Access Analyzer for S3 の結果を CSV レポートとしてダウンロードできます。 

IAM は、ユーザーまたはロールが最後に S3 や関連するアクションを使用したときのタイムスタンプを提供することにより、アクセスを分析し、アクセス許可を減らして最小限のアクセス許可を容易に達成できるようにします。この「最後にアクセスされた」情報を使用して、S3 アクセスを分析し、未使用のアクセス許可を識別して、確実に削除することができます。さらに詳しくは、サービスの最終アクセス時間データを使用したアクセス許可の調整をご覧ください。

また、Amazon Macie を使用して、Amazon S3 に保存されている機密データを検出、保護することもできます。Macie ではバケットレベルで完全な S3 インベントリが自動的に収集され、すべてのバケットが継続的に評価されるため、パブリックにアクセス可能なバケット、暗号化されていないバケット、またはお客様の組織外の AWS アカウントと共有したバケットや複製したバケットにアラートが表示されます。その後、選択したバケットに機械学習とパターンマッチング手法を適用し、個人識別情報 (PII) などの機密データを特定してアラートを発信します。生成されたセキュリティの結果は Amazon CloudWatch Events をプッシュします。これにより、既存のワークフローシステムとの統合や、AWS Step Functions などのサービス (パブリックバケットを閉じる、リソースタグを追加するなどのアクションを実行する) を使用した自動修復のトリガーが容易になります。

詳細については、「S3 アクセス管理およびセキュリティ」と「Amazon S3 のデータの保護」を参照してください »

すぐに活用できるクエリ

Amazon S3 には、データのクエリを実行する組み込み機能と無料サービスがあります。別の分析プラットフォームやデータウェアハウスにコピーしてローディングする必要はありません。つまり、Amazon S3 に保存されたデータに対して、ビッグデータ分析を直接実行できます。S3 Select は、クエリのパフォーマンスを最大 400% 向上させ、クエリのコストを最大 80% 削減するように設計された S3 機能です。この機能を使用するには、オブジェクト全体ではなく、単純な SQL 式を使用してオブジェクトのデータのサブセットを取り出します。このオブジェクトのサイズは最大 5 テラバイトです。

Amazon S3 は AWS 分析サービス、Amazon Athena および Amazon Redshift Spectrum とも互換性があります。Amazon Athena では、Amazon S3 のデータに対して、クエリを実行できます。別のサービスやプラットフォームにロードする必要はありません。標準の SQL 式を使用してデータを分析後、数秒で結果を取得します。この結果は、一般的にアドホックデータの検出に使用されます。Amazon Redshift Spectrum は、Amazon S3 で保管中のデータに対して直接 SQL クエリを実行します。複雑なクエリや大規模なデータセット (最大エクサバイト) に適しています。Amazon Athena および Amazon Redshift は、共通のデータカタログおよび共通のデータフォーマットを共有しているため、Amazon S3 の同じデータセットに対していずれも使用することができます。

データ転送

AWS ではデータ転送サービスのポートフォリオをご用意して、あらゆるデータ移行プロジェクトに最適なソリューションを提供しています。データの移行にとって、接続性レベルは重要な要因となります。AWS は、お客様が抱える、ハイブリッドクラウドストレージや、オンラインおよびオフラインでのデータ転送のニーズに対応するための機能をご提供します。

ハイブリッドクラウドストレージ: AWS Storage Gateway は、お客様によるオンプレミスアプリケーションの AWS ストレージへのシームレスな接続と拡張を可能にする、ハイブリッドクラウドストレージサービスです。お客様は、Storage Gateway を使うことで、テープライブラリのクラウドストレージへの置き換え、クラウドストレージによるファイル共有の実施、および、オンプレミスアプリケーションが AWS 内のデータにアクセスするための低レイテンシーキャッシュの作成などが、シームレスに行えます。 

オンラインデータ転送: AWS DataSync により、数百テラバイトにおよぶ数百万のファイルを Amazon S3 に簡単かつ効率的に転送することができ、オープンソースツールと比較して最大 10 倍高速です。DataSync は、スクリプトコピージョブ、転送のスケジューリングやモニタリング、データ検証、ネットワーク利用量の最適化などを含む手動作業の多くを、省略あるいは自動で処理します。AWS Transfer Family は、SFTP、FTPS、および FTP を使用して、Amazon S3 にシンプルでシームレスなフルマネージド型のファイル転送を提供します。 Amazon S3 Transfer Acceleration で、クライアントと Amazon S3 バケットの間での長距離ファイル転送を高速化できます。

オンラインデータ転送: AWS Snow Family は、ネットワーク容量に制限があったり、本来接続できないようなエッジロケーション専用に作られています。これにより、過酷な環境下でもストレージとコンピューティング機能を利用できるようになります。AWS Snowball サービスは、データ収集、処理、移行のために、堅牢で可搬性のあるストレージデバイスとエッジコンピューティングデバイスを使用します。お客様は、AWS に対するオフラインデータ転送のための、Snowball の物理デバイスを出荷できます。AWS Snowmobile はエクサバイト規模のデータ転送サービスです。ビデオライブラリや画像リポジトリ、またはデータセンター全体まで、膨大な量のデータをクラウドに移動できます。

また、AWS パートナーネットワーク (APN) のサードパーティープロバイダーと連携してハイブリッドストレージアーキテクチャをデプロイしたり、Amazon S3 を既存のアプリケーションやワークフローに統合したり、AWS クラウドとの間でデータを転送したりすることもできます。

想定される使用目的と制約

このサービスのご利用にはアマゾン ウェブ サービスカスタマーアグリーメントが適用されます »

始める準備はできましたか?

Product-Page_Standard-Icons_01_Product-Features_SqInk
料金の詳細

実際に使用した分のみ、お支払いいただきます。最低料金設定はありません。

詳細 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
無料のアカウントにサインアップ

AWS 無料利用枠を使用して、早速 Amazon S3 をお試しください。 

サインアップ 
Product-Page_Standard-Icons_03_Start-Building_SqInk
AWS コンソールで構築を開始する

Amazon S3 は AWS コンソールから無料で構築することができます。

開始方法