S3 Access Points の仕組み

Diagram_S3_Access_Points

S3 の各アクセスポイントは、ユースケースやアプリケーションに合ったアクセスポリシーに従って設定されます。たとえば、お使いのデータレイクのユーザーグループやアプリケーショングループにアクセス権限を付与する S3 バケットに対してアクセスポイントを作成できます。S3 アクセスポイントが 1 つあれば、単一のユーザーやアプリケーション、またはユーザーグループやアプリケーショングループがサポートされるため、各アクセスポイントを別個に管理できます。

すべてアクセスポイントは単一のバケットと関連付けられています。また、ネットワークの発信元制御とパブリックアクセスのブロック制御が含まれます。たとえば、AWS クラウドとは論理的に分離された仮想プライベートクラウドからのストレージアクセスだけを許可するネットワーク発信元制御によって、アクセスポイントを作成できます。また、たとえば「finance」のような定義済みのプレフィックスを持つオブジェクトだけにアクセスを許可するように設定されたアクセスポイントポリシーによって、アクセスポイントを作成することもできます。

各アクセスポイントには一意の DNS 名が含まれているため、AWS アカウント内および AWS リージョン内で一意となる名前を選ぶことによって、既存または新規のバケットを指定できます。ある VPC に制限されたアクセスポイントを使用すると、簡便かつ監査可能な状態で S3 データを VPC 内に保存できます。さらに、AWS サービスコントロールポリシーを使用して、組織内のすべての新規アクセスポイントを VPC 経由のアクセスに限定できるようになりました。

S3 Access Points を利用するタイミング

S3 Access Points によって、お使いのアプリケーションセットから S3 上の共有データセットへのデータアクセスの管理がシンプル化されます。たった 1 つの複雑なバケットポリシーを管理するのに、数百におよぶアクセス許可ルールの書き込み、読み取り、追跡、監査をする必要はなくなりました。S3 Access Points を使用すると、特定のアプリケーション向けに用意されたポリシーを使用して共有データセットへのアクセスを許可するアクセスポイントをアプリケーションに合わせて作成できます。

  • 大規模な共有データセット: Access Points を使用すると、ある 1 つの大型サイズのバケットポリシーを分割して、共有データセットにアクセスする必要のある各アプリケーション向けに個別のアクセスポイントポリシーを単独で作成できます。このため、あるアプリケーションに対して正しいアクセスポリシーを作成するのがこれまでよりも簡単になり、ほかのアプリケーションが共有データセット内で実行していることを気にする必要はありません。
  • VPC へのアクセスを制限: 1 つの S3 アクセスポイントで、Virtual Private Cloud (VPC) を経由するすべての S3 ストレージアクセスを制限できます。 また、サービスコントロールポリシー (SCP) を作成して、すべてのアクセスポイントを Virtual Private Cloud (VPC) に制限して、データをプライベートネットワーク内でファイアウォール管理できます。
  • 新しいアクセスポリシーをテスト: アクセスポイントを使用すると、アプリケーションをアクセスポイントに移行するときやアクセスポリシーを既存のアクセスポイントにコピーするときには事前に新しいアクセスポリシーを簡単にテストできます。
  • 特定のアカウント ID にアクセスを制限: S3 Access Points を使用すると、特定のアカウント ID が所有するアクセスポイント (必然的にバケットも) だけにアクセスを制限するように VPC エンドポイントポリシーを指定できます。この結果、同じアカウント内のバケット群へのアクセスを許可すると同時に VPC エンドポイント経由のほかの S3 アクセスを拒否するアクセスポリシーの作成が簡単になります。
  • 一意の名前を付与: S3 Access Points では、アカウント内およびリージョン内で一意であれば、どんな名前でも指定できます。たとえば、「test」というアクセスポイントを、アカウントごとに、リージョンごとに設定できます。

アクセスポイントの作成目的がデータ取り込み、変換、制限付き読み込みアクセス、無制限アクセスのいずれであっても、S3 Access Points を使用すると、共有 S3 バケットへのアクセスの作成や維持がシンプル化されます。

S3 Access Points のご利用開始にあたって

アクセスポイント作成を開始するにあたって追加料金は発生しません。バケットは新規のものでも既存のものでも使用できます。AWS マネジメントコンソール、AWS コマンドラインインターフェイス (CLI)、アプリケーションプログラミングインタフェース (API)、AWS ソフトウェア開発キット (SDK) のいずれかのクライアントから開始できます。アクセスポイントの追加、表示、削除も、S3 コンソールおよび CLI によるアクセスポイントポリシーの編集も簡単にできます。アクセスポイントポリシーの書き込みはバケットポリシーとまったく同じで、IAM ルールによってアクセス許可を統制します。

さらに、CloudFormation テンプレートを使用してアクセスポイントがご利用いただけるようにもなります。AWS CloudTrail ログを使用すると、「アクセスポイントの作成」や「アクセスポイントの削除」のようなアクセスポイントオペレーションのモニタリング、監査が可能です。AWS SCP をサポートする AWS Organizations を使用すると、アクセスポイントの使用量を制御できます。

Product-Page_Standard-Icons_01_Product-Features_SqInk
料金の詳細を確認する

実際に使用した分のみ、お支払いいただきます。最低料金設定はありません。

詳細 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
無料のアカウントにサインアップ

AWS 無料利用枠にすぐにアクセスできます。 

サインアップ 
Product-Page_Standard-Icons_03_Start-Building_SqInk
コンソールで構築を開始する

AWS マネジメントコンソールで Amazon S3 を使った構築を始めましょう。

サインイン