# S3 ストレージレンズによるデータ保護
Amazon S3 ストレージレンズのデータ保護メトリクスを使用して、データ保護のベストプラクティスが適用されていないバケットを特定できます。これらのメトリクスを使用して対策を講じ、ベストプラクティスに沿った標準設定を適用して、アカウントや組織内のさまざまなバケットにわたってデータを保護できます。例えば、データ保護メトリクスを使用して、デフォルトの暗号化に AWS Key Management Service (AWS KMS) キー (SSE-KMS) を使用しないバケットや、AWS Signature Version 2 (SigV2) を使用するリクエストを特定できます。
以下のユースケースでは、S3 ストレージレンズダッシュボードを使用して外れ値を特定し、S3 バケット全体にデータ保護のベストプラクティスを適用する戦略を提供します。
**Topics**
+ [AWS KMS によるデフォルトの暗号化 (SSE-KMS) でサーバー側暗号化を使用しないバケットを識別する](#storage-lens-sse-kms)
+ [S3 バージョニングが有効なバケットを識別する](#storage-lens-data-protection-versioning)
+ [AWS Signature Version 2 (SigV2) を使用したリクエストを識別する](#storage-lens-data-protection-sigv)
+ [各バケットのレプリケーションルールの総数を数える](#storage-lens-data-protection-replication-rule)
+ [オブジェクトロックバイトのパーセンテージを識別する](#storage-lens-data-protection-object-lock)
## AWS KMS によるデフォルトの暗号化 (SSE-KMS) でサーバー側暗号化を使用しないバケットを識別する
Amazon S3 のデフォルトの暗号化を使用して、S3 バケットのデフォルト暗号化の動作を設定できます。詳細については、「[Amazon S3 バケット向けのサーバー側のデフォルトの暗号化動作の設定](bucket-encryption.md)」を参照してください。
**[SSE-KMS enabled bucket count]** (SSE-KMS 対応バケット数) と**[% SSE-KMS enabled buckets]** (% SSE-KMS 対応バケット) メトリクスを使用して、デフォルトの暗号化に AWS KMS キー (SSE-KMS) によるサーバー側暗号化を使用しているバケットを特定できます。S3 ストレージレンズは、暗号化されていないバイト、暗号化されていないオブジェクト、暗号化されたバイト、および暗号化されたオブジェクトのメトリクスも提供します。メトリクスの一覧については、「[Amazon S3 Storage Lens のメトリクスに関する用語集](storage_lens_metrics_glossary.md)」を参照してください。
SSE-KMS 暗号化メトリクスを一般的な暗号化メトリクスのコンテキストで分析すると、SSE-KMS を使用していないバケットを特定できます。アカウントまたは組織のすべてのバケットに SSE-KMS を使用する場合は、これらのバケットのデフォルトの暗号化設定を SSE-KMS を使用するように更新できます。SSE-KMS に加え、Amazon S3 で管理されたキー (SSE-S3) またはお客様から提供されたキー (SSE-C) によりサーバー側の暗号化を使用できます。詳細については、「[暗号化によるデータの保護](UsingEncryption.md)」を参照してください。
### ステップ 1: どのバケットがデフォルトの暗号化に SSE-KMS を使用しているかを特定する
1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) を開きます。
1. ナビゲーションペインで、**[Storage Lens]** (ストレージレンズ)、**[Dashboards]** (ダッシュボード) の順にクリックします。
1. **[Dashboards]** (ダッシュボード) リストで、表示するダッシュボードを選択します。
1. **[Trends and distributions]** (傾向とディストリビューション) セクションで、プライマリメトリクスには **[% SSE-KMS enabled bucket count]** (% SSE-KMS 対応バケット数) を選択し、セカンダリメトリクスには **[% encrypted bytes]** (% 暗号化バイト数) を選択します。
**[*日付*の傾向]** グラフが更新され、SSE-KMS と暗号化されたバイトの傾向が表示されます。
1. SSE-KMS の詳細なバケットレベルのインサイトを表示するには:
1. グラフ上のポイントを選択します。より詳細なインサイトの選択肢が記載されたボックスが表示されます。
1. **[Buckets]** (バケット) ディメンションを選択します。次に、**[適用]**をクリックします。
1. **[*日付*のバケット別分布]** グラフで、**[SSE-KMS が有効なバケット数]** メトリクスを選択します。
1. これで、SSE-KMS が有効になっているバケットと有効になっていないバケットを確認できます。
### ステップ 2: バケットのデフォルトの暗号化設定を更新する
どのバケットが **[% encrypted bytes]** (% 暗号化バイト) のコンテキストで SSE-KMS を使用するかを確認できたので、SSE-KMS を使用しないバケットを特定できます。その後、オプションで S3 コンソール内のこれらのバケットに移動し、デフォルトの暗号化設定を SSE-KMS または SSE-S3 を使用するように更新できます。詳細については、「[デフォルトの暗号化の設定](default-bucket-encryption.md)」を参照してください。
## S3 バージョニングが有効なバケットを識別する
S3 バージョニング機能を有効にすると、同じオブジェクトの複数のバージョンが保持されます。これらは、オブジェクトが誤って削除された、または上書きされた場合にデータをすばやく回復させるために使用できます。**[Versioning-enabled bucket count]** (バージョニングが有効なバケット数) メトリクスを使用して、どのバケットが S3 バージョニングを使用しているかを確認できます。次に、S3 コンソールでアクションを実行して、他のバケットの S3 バージョニングを有効にできます。
### ステップ 1: S3 バージョニングが有効なバケットを識別する
1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。
1. ナビゲーションペインで、[**Storage Lens**]、[**ダッシュボード**] の順にクリックします。
1. **[Dashboards]** (ダッシュボード) リストで、表示するダッシュボードを選択します。
1. **[Trends and distributions]** (傾向とディストリビューション) セクションで、プライマリメトリクスには **[Versioning-enabled bucket count]** (バージョニングが有効なバケット数) を選択し、セカンダリメトリクスには **[Buckets]** (バケット) を選択します。
**[*日付*の傾向]** グラフが更新され、S3 バージョニングが有効なバケットの傾向が表示されます。トレンドラインのすぐ下に、**[Storage class distribution]** (ストレージクラスディストリビューション) と**[Region distribution]** (リージョンディストリビューション) サブセクションが表示されます。
1. **[*日付*の傾向]** グラフに表示されているバケットについてより詳細なインサイトを表示して、より詳細な分析を実行できるようにするには、次の操作を行います。
1. グラフ上のポイントを選択します。より詳細なインサイトの選択肢が記載されたボックスが表示されます。
1. データに適用するディメンションを **[Account]** (アカウント)、**[AWS リージョン]**、**[Storage class]** (ストレージクラス)、**[Bucket]** (バケット) から選択して、より詳細な分析を行います。次に、**[適用]**をクリックします。
1. **[*日付*別のバケットによるバブル分析]** セクションで、**[バージョニングが有効なバケット数]**、**[バケット]**、**[アクティブバケット]** のメトリクスを選択します。
**[Bubble analysis by buckets for date]** (日付別のバケットごとのバブル分析) セクションが更新され、選択したメトリクスのデータが表示されます。**このデータを使用して、合計バケット数に関連して、どのバケットで S3 バージョニングが有効になっているかを確認できます。**[*日付*別のバケットごとのバブル分析]** セクションでは、バブルの **[X 軸]**、**[Y 軸]**、**[サイズ]** を表す 3 つのメトリクスを使用して、バケットを複数のディメンションにプロットできます。
### ステップ 2: S3 バージョニングを有効にする
S3 バージョニングが有効になっているバケットを特定したら、S3 バージョニングが有効になっていないバケット、またはバージョニングが停止されているバケットを特定できます。次に、オプションで S3 コンソールでこれらのバケットのバージョニングを有効にできます。詳細については、「[バケットでのバージョニングの有効化](manage-versioning-examples.md)」を参照してください。
## AWS Signature Version 2 (SigV2) を使用したリクエストを識別する
**[All unsupported signature requests]** (すべてのサポートされていない署名リクエスト) メトリクスを使用して、AWS Signature Version 2 (SigV2) を使用するリクエストを特定できます。このデータは、SigV2 を使用している特定のアプリケーションを特定するのに役立ちます。その後、これらのアプリケーションを AWS Signature Version 4 (SigV4) に移行できます。
SigV4 はすべての新しい S3 アプリケーションに推奨される署名方法です。SigV4 はセキュリティが向上し、すべての AWS リージョン でサポートされています。詳細については、「[Amazon S3 更新 - SigV2 の非推奨期間の延長および変更](https://aws.amazon.com/blogs/aws/amazon-s3-update-sigv2-deprecation-period-extended-modified/)」を参照してください。
**前提条件**
**[All unsupported signature requests]** (すべてのサポートされていない署名リクエスト) を S3 ストレージレンズダッシュボードに表示するには、S3 ストレージレンズの **[Advanced metrics and recommendations]** (高度なメトリクスとレコメンデーション) を有効にしてから、**[Advanced data protection metrics]** (高度なデータ保護メトリクス) を選択します。詳細については、「[S3 コンソールの使用](storage_lens_editing.md#storage_lens_console_editing)」を参照してください。
### ステップ 1: SigV2 署名の傾向を AWS アカウント、リージョン、バケット別に調べる
1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) を開きます。
1. ナビゲーションペインで、**[Storage Lens]** (ストレージレンズ)、**[Dashboards]** (ダッシュボード) の順にクリックします。
1. **[Dashboards]** (ダッシュボード) リストで、表示するダッシュボードを選択します。
1. SigV2 を使用するリクエストがある特定のバケット、アカウント、リージョンを特定するには:
1. **[上位 N]** の **[*日付*の上位 N の概要]** に、データを表示したいバケットの数を入力します。
1. **[Metric]** (メトリクス) では、**[Data protection]** (データ保護) カテゴリから **[All unsupported signature requests]** (すべてのサポートされていない署名リクエスト) を選択します。
**[*日付*の上位 N の概要]** が更新され、アカウント、AWS リージョン、バケット別に SigV2 リクエストのデータが表示されます。**[*日付*の上位 N の概要]** セクションには、前日または前週からの変化率と、傾向を視覚化するスパークラインも表示されます。この傾向は、無料メトリクスの場合は 14 日間、高度なメトリクスとレコメンデーションの場合は 30 日間の傾向です。
**注記**
S3 ストレージレンズの高度なメトリクスとレコメンデーションの場合、メトリクスは 15 か月間クエリで利用できます。詳細については、「[メトリクスの選択](storage_lens_basics_metrics_recommendations.md#storage_lens_basics_metrics_selection)」を参照してください。
### ステップ 2: SigV2 リクエストを通じてアプリケーションからアクセスされるバケットを特定する
1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) を開きます。
1. ナビゲーションペインで、**[Storage Lens]** (ストレージレンズ)、**[Dashboards]** (ダッシュボード) の順にクリックします。
1. **[Dashboards]** (ダッシュボード) リストで、表示するダッシュボードを選択します。
1. ストレージレンズダッシュボードで、**[Bucket]** (バケット) タブを選択します。
1. **[Buckets]** (バケット) セクションまで下にスクロールします。**[Metrics categories]** (メトリクスのカテゴリ) で、**[Data protection]** (データ保護) を選択します。次に、**[Summary]** (概要) を選択解除します。
**[Buckets]** (バケット) リストが更新され、表示されているバケットで利用可能なすべての **[Data protection]** (データ保護) メトリクスが表示されます。
1. **[Buckets]** (バケット) リストをフィルタリングして特定のデータ保護メトリクスのみを表示するには、設定アイコン () を選択します。
1. 次の項目だけが選択された状態になるまで、他のすべてのデータ保護メトリクスを選択解除します。
+ **All unsupported signature requests] (すべてのサポートされていない署名リクエスト**
+ **[% all unsupported signature requests] (% すべてのサポートされていない署名リクエスト**)
1. (オプション) **[Page size]** (ページサイズ) で、リストに表示するバケットの数を選択します。
1. **[確認]** を選択します。
**[Buckets]** (バケット) リストが更新され、SigV2 リクエストのバケットレベルのメトリクスが表示されます。このデータを使用して、SigV2 リクエストがある特定のバケットを特定できます。次に、この情報を使用してアプリケーションを SigV4 に移行できます。詳細については、*Amazon Simple Storage Service API リファレンス*の「[リクエストの認証 (AWS 署名バージョン 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html)」を参照してください。
## 各バケットのレプリケーションルールの総数を数える
S3 レプリケーションを使用すると、Amazon S3 バケット間でオブジェクトを自動で非同期的にコピーできます。オブジェクトのレプリケーション用に設定されたバケットは、同じ AWS アカウント が所有することも、異なるアカウントが所有することもできます。詳細については、「[リージョン内およびリージョン間でのオブジェクトのレプリケート](replication.md)」を参照してください。
S3 ストレージレンズのレプリケーションルール数メトリクスを使用して、レプリケーション用に設定されているバケットに関する詳細なバケットごとの情報を取得できます。この情報には、バケット内とリージョン内およびバケット間とリージョン間のレプリケーションルールが含まれます。
**前提条件**
レプリケーションルール数メトリクスを S3 ストレージレンズダッシュボードに表示するには、S3 ストレージレンズ **[Advanced metrics and recommendations]** (高度なメトリクスとレコメンデーション) を有効にしてから、**[Advanced data protection metrics]** (高度なデータ保護メトリクス) を選択します。詳細については、「[S3 コンソールの使用](storage_lens_editing.md#storage_lens_console_editing)」を参照してください。
### ステップ 1: 各バケットのレプリケーションルールの総数を数える
1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) を開きます。
1. ナビゲーションペインで、**[Storage Lens]** (ストレージレンズ)、**[Dashboards]** (ダッシュボード) の順にクリックします。
1. **[Dashboards]** (ダッシュボード) リストで、表示するダッシュボードを選択します。
1. ストレージレンズダッシュボードで、**[Bucket]** (バケット) タブを選択します。
1. **[Buckets]** (バケット) セクションまで下にスクロールします。**[Metrics categories]** (メトリクスのカテゴリ) で、**[Data protection]** (データ保護) を選択します。次に、**[Summary]** (概要) を選択解除します。
1. **[Buckets]** (バケット) リストをフィルタリングしてレプリケーションルール数メトリクスのみを表示するには、設定アイコン () を選択します。
1. レプリケーションルール数メトリクスだけが選択された状態になるまで、他のすべてのデータ保護メトリクスを選択解除します。
+ **Same-Region Replication rule count] (同一リージョンレプリケーションのルール数**
+ **Cross-Region Replication rule count] (クロスリージョンレプリケーションルール数**
+ **Same-account replication rule count] (同一アカウントレプリケーションのルール数**
+ **Cross-account replication rule count] (クロスリージョンレプリケーションルール数**
+ **Total replication rule count] (レプリケーションルールの合計数**
1. (オプション) **[Page size]** (ページサイズ) で、リストに表示するバケットの数を選択します。
1. **[確認]** を選択します。
### ステップ 2: レプリケーションルールを追加する
バケットごとのレプリケーションルール数が決まったら、オプションで追加のレプリケーションルールを作成できます。詳細については、「[ライブレプリケーションの設定例](replication-example-walkthroughs.md)」を参照してください。
## オブジェクトロックバイトのパーセンテージを識別する
S3 オブジェクトロックでは、*write-once-read-many (WORM)* モデルを使用してオブジェクトを保存できます。オブジェクトロックを使用して、オブジェクトが削除または上書きされることを、一定期間または無期限に防止できます。オブジェクトロックは、バケットを作成する場合にのみ有効にでき、S3 バージョニングも有効化できます。ただし、個々のオブジェクトバージョンの保存期間を編集したり、オブジェクトロックが有効になっているバケットにリーガルホールドを適用したりできます。詳細については、「[S3 Object Lock を使用したオブジェクトのロック](object-lock.md)」を参照してください。
S3 ストレージレンズのオブジェクトロックメトリクスを使用して、アカウントまたは組織の **[% Object Lock bytes]** (% オブジェクトロックバイト) メトリクスを確認できます。この情報を使用して、アカウントまたは組織内のどのバケットがデータ保護のベストプラクティスに従っていないかを特定できます。
1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) を開きます。
1. ナビゲーションペインで、**[Storage Lens]** (ストレージレンズ)、**[Dashboards]** (ダッシュボード) の順にクリックします。
1. **[Dashboards]** (ダッシュボード) リストで、表示するダッシュボードを選択します。
1. **[Snapshot]** (スナップショット) セクションの **[Metrics categories]** (メトリクスのカテゴリ) で、**[Data protection]** (データ保護) を選択します。
**[Snapshot]** (スナップショット) セクションが更新され、**[% Object Lock bytes]** (% オブジェクトロックバイト) メトリクスを含むデータ保護メトリクスが表示されます。アカウントまたは組織のオブジェクトロックバイトの全体のパーセンテージを確認できます。
1. バケットあたりの **[% Object Lock bytes]** (% オブジェクトロックバイト) を確認するには、**[Top N overview]** (トップ N の概要) セクションまでスクロールしてください。
オブジェクトロックのオブジェクトレベルのデータを取得するには、**[Object Lock object count]** (オブジェクトロックオブジェクト数) と**[% Object Lock objects]** (% オブジェクトロックオブジェクト) メトリクスを使用することもできます。
1. **[Metric]** (メトリクス) には、**[Data protection]** (データ保護) カテゴリから **[% Object Lock bytes]** (% オブジェクトロックバイト) を選択します。
デフォルトでは、**[*日付*の上位 N の概要]** セクションには、上位 3 つのバケットのメトリクスが表示されます。**[Top N]** (トップ N) のフィールドでバケット数を増やすことができます。**[*日付*の上位 N の概要]** セクションには、前日または前週からの変化率と、傾向を視覚化するスパークラインも表示されます。この傾向は、無料メトリクスの場合は 14 日間、高度なメトリクスとレコメンデーションの場合は 30 日間の傾向です。
**注記**
S3 ストレージレンズの高度なメトリクスとレコメンデーションの場合、メトリクスは 15 か月間クエリで利用できます。詳細については、「[メトリクスの選択](storage_lens_basics_metrics_recommendations.md#storage_lens_basics_metrics_selection)」を参照してください。
1. **[% Object Lock bytes]** (% オブジェクトロックバイト) については、次のデータを確認してください。
+ **[上位アカウント*数*]** – **[Object Lock のバイト数 %]** が最も高いアカウントと最も低いアカウントを確認できます。
+ **[上位リージョン*数*]** – リージョン別の **[Object Lock のバイト数 %]** の内訳を表示します。
+ **[上位バケット*数*]** – **[Object Lock のバイト数 %]** が最も高いバケットと最も低いバケットを確認できます。