Amazon S3 には、データの整理や管理を対象としたさまざまな機能があり、特定のユースケースをサポートして、コスト効率を高めるほか、セキュリティを強化し、コンプライアンス要件を満たすことができます。データは「バケット」と呼ばれるリソース内のオブジェクトとして保存され、オブジェクトあたりのサイズは最大 5 テラバイトです。S3 機能には、オブジェクトにメタデータタグを追加する機能、S3 ストレージクラス全体でデータを移動および保存する機能、データアクセス制御を設定および実施する機能、アクセス許可のないユーザーからデータを保護する機能、大規模なデータ分析を実行する機能、オブジェクトおよびバケットレベルでデータをモニタリングする機能などがあります。 

ストレージ管理およびモニタリング

Amazon S3 のフラットで非階層な構造や、数多くの管理機能は、あらゆる規模の企業や業界のお客様が、ビジネスやチームにとって価値のある方法でデータを整理する上で役立っています。オブジェクトはすべて、S3 バケットに保存され、プレフィックスと呼ばれる共有の名前で整理できます。S3 オブジェクトタグと呼ばれるキーと値のペアを各オブジェクトに最大 10 個付加することもできます。これは、オブジェクトのライフサイクル内で作成、更新、および削除することができます。オブジェクトと対応するタグ、バケット、プレフィックスをそれぞれ追跡するには、S3 インベントリレポートを使用して、S3 バケット内に保存したオブジェクト、または特定のプレフィックス、それぞれのメタデータおよび暗号化ステータスで一覧表示します。S3 インベントリは、毎日または毎週のレポートを生成するように設定できます。

ストレージ管理

S3 バケット名、プレフィックス、オブジェクトタグ、および S3 インベントリを使用すると、データを分類して報告後、他の S3 機能を設定して対策を講じることができます。 S3 バッチオペレーションを使用すると、規模に関係なく、Amazon S3 のデータを簡単に管理することができます。数千または数十億のオブジェクトが保存されていても変わりません。S3 バッチオペレーションでは、バケット間のオブジェクトのコピー、オブジェクトタグセットを置き換え、アクセスコントロールの変更、Amazon S3 Glacier からのアーカイブされたオブジェクトの復元を 1 回の S3 API リクエスト、または Amazon S3 管理コンソールで 数回クリックして復元できます。また、S3 バッチオペレーションを使用してオブジェクト全体で AWS Lambda 関数を実行し、カスタムのビジネスロジック (例: データの処理や画像ファイルのトランスコード) を実行することもできます。開始するには、S3 インベントリレポートを使用するか、カスタムリストでターゲットオブジェクトのリストを指定し、事前に入力したメニューから目的の操作を選択します。S3 バッチオペレーションリクエストを行うと、変更がすべて完了したことを示す通知とレポートが送信されます。(プレビューにサインアップしてください。)

Amazon S3 では、データのバージョン管理の維持、偶発的な削除の防止に加え、他の AWS リージョンのデータをレプリケートする機能もサポートしています。S3 バージョニングを使用すると、Amazon S3 に保存したオブジェクトのすべてのバージョンの保存、取り出し、復元を簡単に行うことができます。これにより、意図的なユーザーアクションやアプリケーション障害が発生しても復元することができます。偶発的な削除を防止するには、S3 バケットの [Multi-Factor Authentication (MFA) Delete] を有効にします。MFA Delete が有効なバケットに保存されているオブジェクトを削除しようとすると、2 種類の認証 (AWS アカウント認証と、有効なシリアル番号、スペース、承認された認証デバイス (ハードウェアキー fob や Universal 2nd Factor (U2F) セキュリティキー) に表示される 6 桁のコードを連結したもの) を求められます。S3 クロスリージョンレプリケーション (CRR) を使用すると、オブジェクト (およびそのメタデータとオブジェクトタグ) を他の AWS リージョンにレプリケートして、レイテンシー、コンプライアンス、セキュリティ、災害復旧などのユースケースを削減できます。S3 CRR はソース S3 バケットに設定されており、オブジェクトは別の AWS リージョンの出力先のバケットにレプリケートされます。

また、S3 オブジェクトロックで Write Once Read Many (WORM) ポリシーを適用することもできます。この S3 管理機能では、お客様定義の保持期間中にオブジェクトバージョンの削除はブロックされるため、データ保護の追加レイヤーとして、またはコンプライアンス義務を満たすために保持ポリシーを適用することができます。事前定義されたリテンション期日またはリーガルホールド期日以前のオブジェクトバージョンの削除を防ぐには、ワークロードを既存の WORM システムから Amazon S3 に移行し、S3 オブジェクトロックをオブジェクトレベルおよびバケットレベルで設定します。S3 オブジェクトロックが設定されているオブジェクトは、S3 ライフサイクルポリシーを使用して別のストレージクラスに移動しても、WORM 保護はそのまま適用されます。S3 オブジェクトロックが設定されているオブジェクトを追跡するには、オブジェクトの WORM ステータスを含む S3 インベントリレポートを参照します。S3 オブジェクトロックは、2 つのうちいずれかのモードで設定できます。ガバナンスモードでデプロイされると、特定の IAM アクセス許可を持つ AWS アカウントはオブジェクトから S3 オブジェクトロックを削除できます。規制を遵守するためにより強力なイミュータビリティが必要な場合は、コンプライアンスモードを使用することができます。コンプライアンスモードでは、ルートアカウントを含め、どのユーザーも無効にすることはできません。

ストレージの監視

これらの管理機能に加えて、S3 機能やその他の AWS サービスを使用して、S3 リソースの使用状況をモニタリングおよび制御することができます。S3 バケットにタグを適用して、複数のビジネスディメンション (例: コストセンター、アプリケーション名、所有者) にコストを割り当て、AWS コスト割り当てレポートを使用してバケットタグで集計された使用量とコストを表示できます。また、Amazon CloudWatch を使用して、AWS リソースのオペレーションの状態を追跡し、ユーザーが定義したしきい値を超えると送信される請求アラートを設定することもできます。AWS モニタリングサービスには他にも、バケットレベルおよびオブジェクトレベルでアクティビティを追跡してレポートする AWS CloudTrail があります。S3 イベント通知を設定して、S3 リソースに特定の変更が加えられたときに、ワークフロー、アラートをトリガーして AWS Lambda を呼び出すことができます。S3 イベント通知を使用して、Amazon S3 にアップロードされたメディアファイルを自動的にトランスコードしたり、使用可能になったときにデータファイルを処理したり、オブジェクトを他のデータストアと同期させたりすることができます。

ストレージクラス

Amazon S3 では、次のようなさまざまな S3 ストレージクラスにデータを格納できます: S3 スタンダードS3 Intelligent-TieringS3 標準 – 低頻度アクセス (S3 Standard-IA)S3 1 ゾーン - 低頻度アクセス (S3 One Zone-IA), Amazon S3 Glacier (S3 Glacier)Amazon S3 Glacier Deep Archive (S3 Glacier Deep Archive) (近日公開予定)。

すべての S3 ストレージクラスが、対応するコストで特定のデータアクセスレベルをサポートしています。つまり、アクセス頻度の高いミッションクリティカルな本稼働データは S3 Standard、アクセス頻度の低いデータは S3 Standard-IA または S3 One Zone-IA に保存することでコストを節約し、アーカイブストレージクラス (S3 Glacier および S3 Glacier Deep Archive) にアーカイブすることによってコストを最小限に抑えることができます。S3 ストレージクラス分析を使用して、オブジェクト間のアクセスパターンをモニタリングし、低コストのストレージクラスに移動する必要のあるデータを検出することができます。その結果、この情報を使用して、データ転送の S3 ライフサイクルポリシーを設定することができます。また、S3 ライフサイクルポリシーを使用して、ライフサイクルの終了時にオブジェクトを期限切れに設定することもできます。S3 Intelligent-Tiering では、アクセスパターンが変化するか、不明なパターンのデータを格納することができます。これにより、高頻度のアクセス階層と、低コストで低頻度のアクセス階層の間のアクセスパターンの変化に応じて、自動的にデータを移動してコストを削減します。

アクセス管理およびセキュリティ

アクセス管理

Amazon S3 のデータを保護するために、デフォルトでは、ユーザーは作成した S3 リソースにのみアクセスすることができます。次のアクセス管理機能のいずれか、または組み合わせを使用して、他のユーザーにアクセス権を付与することができます: AWS Identity and Access Management (IAM) (ユーザーの作成とアクセス権の管理)、アクセスコントロールリスト (ACL) (認証されたユーザーによる個々のオブジェクトへのアクセスを許可)、バケットポリシー (1 つの S3 バケット内のすべてのオブジェクトに対するアクセス許可を設定)、クエリ文字列認証 (一時 URL を使用して他のユーザーに制限付きアクセスを付与)。Amazon S3 では、S3 リソースに対して行われたリクエストを一覧表示する監査ログもサポートしており、アクセスしたユーザーとアクセスされたデータを明確に把握することができます。

セキュリティ

Amazon S3 は、アクセス許可のないユーザーによるデータへのアクセスをブロックする柔軟なセキュリティ機能を提供します。VPC エンドポイントを使用して Amazon Virtual Private Cloud (Amazon VPC) から S3 リソースに接続します。Amazon S3 は、サーバー側の暗号化 (3 つのキー管理オプション付き) とクライアント側の暗号化 (データアップロード用) をいずれもサポートしています。S3 オブジェクトの暗号化ステータスを確認するには、S3 インベントリを使用します (S3 インベントリの詳細については「ストレージ管理」を参照)。

S3 ブロックのパブリックアクセス
は、S3 バケットとオブジェクトにパブリックアクセス権を付与しない一連のセキュリティコントロールです。Amazon S3 管理コンソールで数回クリックするだけで、AWS アカウント内のすべてのバケットまたは特定の S3 バケットに S3 ブロックパブリックアクセス設定を適用することができます。設定が AWS アカウントに適用されると、既存または新しいバケットと、そのアカウントに関連付けられたオブジェクトは、パブリックアクセスを防止する設定を継承します。S3 ブロックパブリックアクセス設定は、他の S3 アクセス許可よりも優先され、オブジェクトの追加方法、バケットの作成方法、または既存のアクセス許可があるかどうかに関係なく、アカウント管理者は「パブリックアクセスなし」ポリシーを適用しやすくなります。S3 ブロックパブリックアクセスコントロールは監査可能で、制御レイヤーを追加します。また、AWS Trusted Advisor のバケットのアクセス許可チェック、AWS CloudTrail ログ、Amazon CloudWatch アラームを使用します。

また、Amazon Macie を使用して、Amazon S3 に保存されている機密データを検出、分類、保護することもできます。また、機械学習機能を使用して、個人情報 (PII) や知的財産などの機密データを認識します。このサービスのダッシュボードやアラートで、データのアクセスや移動の状況を確認できます。また、Amazon Macie では、特異なデータアクセスパターンを継続的にモニタリングし、不正アクセスの危険や不注意によるデータ漏洩が検出された場合にアラートを生成します。

詳細については、「S3 アクセス管理およびセキュリティ」と「Amazon S3 のデータの保護」を参照してください »

すぐに活用できるクエリ

Amazon S3 には、データのクエリを実行する組み込み機能と無料サービスがあります。別の分析プラットフォームやデータウェアハウスにコピーしてローディングする必要はありません。つまり、Amazon S3 に保存されたデータに対して、ビッグデータ分析を直接実行できます。S3 Select は、クエリのパフォーマンスを最大 400% 向上させ、クエリのコストを最大 80% 削減するように設計された S3 機能です。この機能を使用するには、オブジェクト全体ではなく、単純な SQL 式を使用してオブジェクトのメタデータのサブセットを取り出します。このオブジェクトのサイズは最大 5 テラバイトです。

Amazon S3 は AWS 分析サービス、Amazon Athena および Amazon Redshift Spectrum とも互換性があります。Amazon Athena では、Amazon S3 のデータに対して、クエリを実行できます。別のサービスやプラットフォームにロードする必要はありません。標準の SQL 式を使用してデータを分析後、数秒で結果を取得します。この結果は、一般的にアドホックデータの検出に使用されます。Amazon Redshift Spectrum は、Amazon S3 で保管中のデータに対して直接 SQL クエリを実行します。複雑なクエリや大規模なデータセット (最大エクサバイト) に適しています。Amazon Athena および Amazon Redshift は、共通のデータカタログおよび共通のデータフォーマットを共有しているため、Amazon S3 の同じデータセットに対していずれも使用することができます。

大容量データを転送する

AWS には、データを AWS クラウドに簡単かつ迅速に、安全に転送するための一連のデータ移行サービスがあります。S3 Transfer Acceleration は、S3 バケットの長距離の転送速度を最大化するように設計されています。ペタバイトからエクサバイト単位のような非常に大規模なデータを AWS クラウドに転送する場合は、AWS SnowballAWS Snowball EdgeAWS Snowmobile を使用することを検討してください。高速なインターネットの 5 分の 1 程度のコストに抑えられる場合があります。これらの AWS Snow サービスは、安全な物理デバイスを使用してロード経由でデータを移行することで、ネットワークコストや転送時間、セキュリティなどの移行に伴う問題を解決に導きます。

オンプレミスアプリケーションを維持し、クラウドストレージアーキテクチャを有効にする場合は、AWS Storage Gateway (ハイブリッドクラウドストレージサービス) を使用してオンプレミス環境を Amazon S3 にシームレスに接続できます。また、AWS DataSync を使用して、オンプレミスストレージと AWS (Amazon S3 を含む) 間のデータ転送を自動化することもできます。これにより、オープンソースツールよりも最大 10 倍高速にデータを転送できます。Secure File Transfer Protocol (SFTP) を使用して Amazon S3 との間でファイルを直接転送する場合は、サードパーティーと安全にファイル交換することができる完全マネージド型サービス、AWS Transfer for SFTP を使用します。

また、AWS パートナーネットワーク (APN) のサードパーティープロバイダーと連携してハイブリッドストレージアーキテクチャをデプロイしたり、Amazon S3 を既存のアプリケーションやワークフローに統合したり、AWS クラウドとの間でデータを転送したりすることもできます。

想定される使用目的と制約

このサービスのご利用にはアマゾン ウェブ サービスカスタマーアグリーメントが適用されます »

始める準備はできましたか?

Product-Page_Standard-Icons_01_Product-Features_SqInk
料金の詳細

実際に使用した分のみ、お支払いいただきます。最低料金設定はありません。

詳細 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
無料のアカウントにサインアップ

AWS 無料利用枠を使用して、早速 Amazon S3 をお試しください。 

サインアップ 
Product-Page_Standard-Icons_03_Start-Building_SqInk
AWS コンソールで構築を開始する

Amazon S3 は AWS コンソールから無料で構築することができます。

開始方法