Amazon S3 Access Points

S3 の各アクセスポイントは、ユースケースやアプリケーションに合ったアクセスポリシーに従って設定されます。たとえば、お使いのデータレイクのユーザーグループやアプリケーショングループにアクセス権限を付与する S3 バケットに対してアクセスポイントを作成できます。Access Point が 1 つあれば、単一のユーザーやアプリケーション、またはアカウント内やアカウント間のユーザーグループやアプリケーショングループがサポートされるため、各アクセスポイントを別個に管理できます。

すべてアクセスポイントは単一のバケットと関連付けられています。また、ネットワークの発信元制御とパブリックアクセスのブロック制御が含まれます。たとえば、AWS クラウドとは論理的に分離された仮想プライベートクラウドからのストレージアクセスだけを許可するネットワーク発信元制御によって、アクセスポイントを作成できます。また、定義されたプレフィックスを持つオブジェクトや、特定のタグを持つオブジェクトだけにアクセスを許可するように設定されたアクセスポイントポリシーによって、アクセスポイントを作成することもできます。 アクセスポイントを使用してデータへのパブリックアクセスを提供する場合は、バケットレベルでブロックパブリックアクセスをオフにする必要があります。すべての新しいバケットでは、ブロックパブリックアクセスがデフォルトでオンになっています。

アクセスポイントを介して共有バケットのデータにアクセスするには、次の 2 つの方法があります。S3 オブジェクトのオペレーションでは、バケット名の代わりにアクセスポイントの ARN を使用することができます。スタンダードな S3 バケット名の形式でバケット名を必要とするリクエストには、代わりにアクセスポイントのエイリアスを使用できます。S3 Access Points のエイリアスは自動的に生成され、データアクセスにバケット名を使用する場面でどこでも S3 バケット名と入れ替え可能です。バケットにアクセスポイントが作成されるたびに、S3 は自動的に新しい Access Point Alias を生成します。対応するオペレーションや AWS のサービスの全容については、S3 ドキュメントをご覧ください。

S3 Access Points によって、お使いのアプリケーションセットから S3 上の共有データセットへのデータアクセスの管理がシンプル化されます。たった 1 つの複雑なバケットポリシーを管理するのに、数百におよぶアクセス許可ルールの書き込み、読み取り、追跡、監査をする必要はなくなりました。S3 Access Points を使用すると、特定のアプリケーション向けに用意されたポリシーを使用して共有データセットへのアクセスを許可するアクセスポイントをアプリケーションに合わせて作成できます。

• 大規模な共有データセット: Access Points を使用すると、ある 1 つの大型サイズのバケットポリシーを分割して、共有データセットにアクセスする必要のある各アプリケーション向けに個別のアクセスポイントポリシーを単独で作成できます。このため、あるアプリケーションに対して正しいアクセスポリシーを作成するのがこれまでよりも簡単になり、ほかのアプリケーションが共有データセット内で実行していることを気にする必要はありません。
  
• データを安全にコピー: AWS の内部ネットワークや VPC を利用して、S3 Copy API を使って同一リージョンの Access Point 間でデータを高速、安全にコピーします。
  
• VPC へのアクセスを制限: 1 つの S3 アクセスポイントで、Virtual Private Cloud (VPC) を経由するすべての S3 ストレージアクセスを制限できます。 また、サービスコントロールポリシー (SCP) を作成して、すべてのアクセスポイントを Virtual Private Cloud (VPC) に制限して、データをプライベートネットワーク内でファイアウォール管理できます。
• 新しいアクセスポリシーをテスト: アクセスポイントを使用すると、アプリケーションをアクセスポイントに移行するときやアクセスポリシーを既存のアクセスポイントにコピーするときには事前に新しいアクセスポリシーを簡単にテストできます。
• 特定のアカウント ID にアクセスを制限: S3 Access Points を使用すると、特定のアカウント ID が所有するアクセスポイント (必然的にバケットも) だけにアクセスを制限するように VPC エンドポイントポリシーを指定できます。この結果、同じアカウント内のバケット群へのアクセスを許可すると同時に VPC エンドポイント経由のほかの S3 アクセスを拒否するアクセスポリシーの作成が簡単になります。
• 一意の名前を付与: S3 Access Points では、アカウント内およびリージョン内で一意であれば、どんな名前でも指定できます。たとえば、「test」というアクセスポイントを、アカウントごとに、リージョンごとに設定できます。

アクセスポイントの作成目的がデータ取り込み、変換、制限付き読み込みアクセス、または無制限アクセスのいずれであっても、S3 Access Points を使用すると、共有 S3 バケット内のデータへのアクセスの作成、共有や維持がシンプルになります。

AWS Data Exchange for Amazon S3 は、データプロバイダーの Amazon S3 データへの直接アクセスにより、インサイトへの時間を加速させます。AWS Data Exchange for Amazon S3 は、ストレージコストの最適化やデータライセンス管理の簡素化など、サードパーティーのデータファイルを簡単に検索、サブスクライブ、利用できるようにします。 

サブスクライブ後は、AWS Data Exchange が管理する専用の S3 Access Point を通じて、プロバイダーの S3 バケットへのアクセス権が自動的に付与されます。S3 Access Point のエイリアスを使用することで、Amazon Athena、Amazon SageMaker Feature Store、Amazon EMR などの AWS サービスとの共有ファイルを、データのコピーを作成または管理する必要なく、簡単に解析することができます。 

詳しくは、AWS Data Exchange for Amazon S3 の製品ページをご覧ください。

アクセスポイント作成を開始するにあたって追加料金は発生しません。バケットは新規のものでも既存のものでも使用できます。AWS マネジメントコンソール、AWS コマンドラインインターフェイス (CLI)、アプリケーションプログラミングインタフェース (API)、AWS ソフトウェア開発キット (SDK) のいずれかのクライアントから開始できます。アクセスポイントの追加、表示、削除も、S3 コンソールおよび CLI によるアクセスポイントポリシーの編集も簡単にできます。アクセスポイントポリシーの書き込みはバケットポリシーとまったく同じで、IAM ルールによってアクセス許可を統制します。

さらに、CloudFormation テンプレートを使用してアクセスポイントがご利用いただけるようにもなります。AWS CloudTrail ログを使用すると、「アクセスポイントの作成」や「アクセスポイントの削除」のようなアクセスポイントオペレーションのモニタリング、監査が可能です。AWS SCP をサポートする AWS Organizations を使用すると、アクセスポイントの使用量を制御できます。

詳細については、S3 Access Points のドキュメントを参照してください。