概要
Amazon S3 Access Points は、S3 と連動するアプリケーションまたは AWS サービスのデータアクセス管理を簡素化します。データレイク、メディアアーカイブ、ユーザー生成コンテンツなどの共有データセットを所有するお客様は、S3 Access Points を使用して、カスタマイズされた名前とアクセス許可を持つ個別のアクセスポイントを各アプリケーションに作成することで、何百ものアプリケーションのデータアクセスを簡単に制御してスケールできます。S3 Access Points は、S3 内にあるかのように Amazon FSx for OpenZFS ファイルシステムに保存されたファイルデータにアクセスするためにも使用できるので、アプリケーションを変更したり、ファイルストレージからデータを移動したりすることなく、S3 と連動するアプリケーションやサービスでデータを使用できます。
ユースケース
- 大規模な共有データセット向けのアクセスポリシーをスケール: S3 Access Points を使用すると、1 つの大規模なバケットポリシーを、共有データセットにアクセスする必要のある各アプリケーションに対する個別のアクセスポイントポリシーに細分化できます。このため、あるアプリケーションに対して正しいアクセスポリシーを作成するのがこれまでよりも簡単になり、ほかのアプリケーションが共有データセット内で実行していることを気にする必要はありません。
- 一意の名前で命名: S3 Access Points では、アカウントやリージョン内で一意であれば、どんな名前でも指定できます。例えば、アカウントとリージョンごとに「test」というアクセスポイントを設定できます。
- S3 と連動するアプリケーションやサービスで FSx for OpenZFS に保存されたファイルデータを使用: Amazon S3 バケット内にあるかのように FSx for OpenZFS ファイルシステムに保存されたファイルデータにアクセスできるため、データをリファクタリングしたり、ファイルシステムから取得したりしなくても、S3 と連動するさまざまな人工知能 (AI)、機械学習、分析サービスとアプリケーションを使用してデータを操作することができます。
- アクセスを VPC と特定のアカウント ID に制限: 1 つの S3 Access Point で、すべての S3 ストレージアクセスを仮想プライベートクラウド (VPC) 経由のアクセスに制限できます。すべてのアクセスポイントが VPC に制限されることを義務付けるサービスコントロールポリシー (SCP) を作成して、データをプライベートネットワーク内でファイアウォール保護することもできます。また、特定のアカウント ID が所有するアクセスポイント (ひいてはバケット) のみにアクセスを制限する VPC エンドポイントポリシーを指定することも可能です。これは、同じアカウント内のバケットへのアクセスを許可しても、VPC エンドポイント経由の他の S3 アクセスは拒否するアクセスポリシーの作成を簡素化します。
- 個別のアクセスポリシーを確立してテスト: アクセスポイントを使用することで、アクセスポイントにアプリケーションを移行したり、既存のアクセスポイントにポリシーをコピーしたりする前に、アプリケーション固有のアクセスコントロールポリシーを確立して、個別にテストできます。