翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon S3 バケットにファイルシステムにリンクする
Amazon FSx for Lustre ファイルシステムを Simple Storage Service (Amazon S3) のデータリポジトリにリンクできます。リンクは、ファイルシステムの作成時、またはファイルシステムの作成後いつでも作成できます。
ファイルシステム上のディレクトリと S3 バケットまたはプレフィックス間のリンクは、*データリポジトリの関連付け (DRA)* と呼ばれます。FSx for Lustre ファイルシステムには、最大 8 つのデータリポジトリの関連付けを設定できます。最大 8 つの DRA リクエストをキューに入れることができますが、ファイルシステムに対して一度に処理できるリクエストは 1 つだけです。各 DRA には、一意の FSx for Lustre ファイルシステムディレクトリと、それに関連付けられた一意の S3 バケットまたはプレフィックスが必要です。
**注記**
データリポジトリの関連付け、自動エクスポート、複数のリポジトリのサポートは、FSx for Lustre 2.10 ファイルシステムと `Scratch 1` ファイルシステムでは使用できません。
S3 データリポジトリ上のオブジェクトにファイルシステム上のファイルとディレクトリとしてアクセスするには、ファイルおよびディレクトリのメタデータをファイルシステムにロードする必要があります。DRA を作成する際に、リンク先のデータリポジトリからメタデータをロードしたり、データリポジトリのインポートタスクを使用して、FSx for Lustre ファイルシステムを使用してアクセスするファイルやディレクトリのバッチのメタデータを後でロードしたりできます。また、自動エクスポートを使用して、オブジェクトがデータリポジトリに追加、変更、削除された場合にメタデータを自動的にロードすることもできます。
DRA は、自動インポートのみ、自動エクスポートのみ、またはその両方に設定できます。自動インポートと自動エクスポートの両方で設定されたデータリポジトリの関連付けは、ファイルシステムとリンクされた S3 バケット間で両方向にデータを転送します。S3 バケット内のデータに変更を加えると、FSx for Lustre が変更を検出し、その変更をファイルシステムに自動的にインポートします。ファイルを作成、変更、または削除すると、アプリケーションがファイルの変更を完了した後、FSx for Lustre が変更を非同期的に Amazon S3 に自動でエクスポートします。
**重要**
ファイルシステムと S3 バケットの両方で同じファイルを変更する場合は、アプリケーションレベルを調整して競合を防ぐ必要があります。FSx for Lustre では、複数の場所での競合する書き込みを防止できません。
不変属性でマークされたファイルの場合、FSx for Lustre は、FSx for Lustre ファイルシステムと、ファイルシステムにリンクされた S3 バケット間の変更を同期できません。不変フラグを長期間設定すると、Amazon FSx と S3 間のデータ移動のパフォーマンスが低下する可能性があります。
データリポジトリの関連付けを作成すると、次のプロパティを設定できます。
+ **ファイルシステムパス** - ディレクトリを指すファイルシステム上のローカルパス (`/ns1/` など) またはサブディレクトリ (`/ns1/subdir/` など) を指すファイルシステムのローカルパスを入力します。入力されたデータは、以下の指定されたデータリポジトリパスで 特定のデータに 1 対 1 でマッピングされます。名前の先頭のスラッシュは必須です。2 つのデータリポジトリの関連付けは、重複するファイルシステムパスを持つことはできません。例えば、データリポジトリがファイルシステムパス `/ns1` に関連付けられている場合、ファイルシステムパス `/ns1/ns2` に別のデータリポジトリをリンクすることはできません。
**注記**
ファイルシステムパスとしてスラッシュ (`/`) のみを指定した場合、ファイルシステムにリンクできるデータリポジトリは 1 つだけです。「/」は、ファイルシステムに関連付けられた最初のデータリポジトリのファイルシステムパスとしてのみ指定できます。
+ **データリポジトリパス** - S3 データリポジトリにパスを入力します。パスには、次の S3 バケットまたは `s3://bucket-name/prefix/` 形式のプレフィックスを使用できます。このプロパティは、S3 データリポジトリのファイルのインポート先またはエクスポート先を指定します。特に指定しなければ、FSx for Lustre はデータリポジトリのパスに末尾の「/」を追加します。例えば、`s3://amzn-s3-demo-bucket/my-prefix` のデータリポジトリのパスを指定すると、FSx for Lustre はそれを `s3://amzn-s3-demo-bucket/my-prefix/` として解釈します。
2 つのデータリポジトリの関連付けは、重複するデータリポジトリパスを持つことはできません。例えば、パス `s3://amzn-s3-demo-bucket/my-prefix/` があるデータリポジトリがファイルシステムにリンクされている場合、データリポジトリのパス `s3://amzn-s3-demo-bucket/my-prefix/my-sub-prefix` と別のデータリポジトリの関連付けを作成することはできません。
+ **リポジトリからメタデータをインポートする** - このオプションを選択すると、データリポジトリの関連付けを作成した直後にデータリポジトリ全体からメタデータをインポートできます。または、データリポジトリのインポートタスクを実行して、データリポジトリの関連付けが作成された後でも、リンクされたデータリポジトリのメタデータのすべてまたはサブセットをファイルシステムにロードできます。
+ **設定のインポート** - リンクされた S3 バケットからファイルシステムに自動的にインポートされる、更新されたオブジェクトのタイプ (新規、変更、および削除の任意の組み合わせ) を指定するインポートポリシーを選択します。自動インポート (新規、変更、削除) は、コンソールからデータリポジトリを追加するとデフォルトで有効になりますが、 AWS CLI または Amazon FSx API を使用する場合はデフォルトで無効になります。
+ **設定をエクスポートする** - S3 バケットに自動的にエクスポートされる更新されたオブジェクトのタイプ (新規、変更、および削除の任意の組み合わせ) を指定するエクスポートポリシーを選択します。自動エクスポート (新規、変更、削除) は、コンソールからデータリポジトリを追加するとデフォルトで有効になりますが、 AWS CLI または Amazon FSx API を使用する場合はデフォルトで無効になります。
**ファイルシステムパス**と**データリポジトリパス**の設定により、Amazon FSx のパスと S3 のオブジェクトキーが 1 対 1 でマッピングされます。
**Topics**
+ [S3 バケットへのリンクの作成](create-linked-dra.md)
+ [データリポジトリの関連付け設定の更新](update-dra-settings.md)
+ [S3 バケットへの関連付けを削除する](delete-linked-dra.md)
+ [データリポジトリの関連付けの詳細の表示](view-dra-details.md)
+ [データリポジトリの関連付けのライフサイクル状態](dra-lifecycles.md)
+ [サーバー側で暗号化された Simple Storage Service (Amazon S3) バケットの使用](s3-server-side-encryption-support.md)
# S3 バケットへのリンクの作成
以下の手順では、 AWS マネジメントコンソール および AWS Command Line Interface () を使用して、FSx for Lustre ファイルシステムのデータリポジトリを既存の S3 バケットに関連付けるプロセスについて説明しますAWS CLI。S3 バケットをファイルシステムがリンクする方法については、「[Simple Storage Service (Amazon S3) でデータリポジトリを使用する許可を追加する](setting-up.md#fsx-adding-permissions-s3)」を参照してください。
**注記**
データリポジトリは、ファイルシステムバックアップが有効になっているファイルシステムにリンクすることはできません。データリポジトリをリンクする前にバックアップを無効にします。
## ファイルシステムの作成中に S3 バケットをリンクするには (コンソール)
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で Amazon FSx コンソールを開きます。
1. 「はじめに」[ステップ 1: FSx for Lustre ファイルシステムの作成](getting-started.md#getting-started-step1) セクションで説明されている新しいファイルシステムを作成する手順に従います。
1. **[Data Repository Import/Export -*optional*]** (データリポジトリ インポート / エクスポート - オプション) セクションを開きます。この機能は、デフォルトでは無効になっています。
1. **[Import data from and export data to S3]** (データを S3 からインポートし、データを S3 にエクスポートする) を選択します。
1. **データリポジトリ関連付け情報** ダイアログで、以下のフィールドに情報を入力します。
+ **ファイルシステムパス**: S3 データリポジトリに関連付けられる Amazon FSx ファイルシステム内に、ハイレベルディレクトリの名前 (`/ns1` など) またはサブディレクトリの名前 (`/ns1/subdir` など) を入力します。パスの先頭のスラッシュが必要です。2 つのデータリポジトリの関連付けは、重複するファイルシステムパスを持つことはできません。例えば、データリポジトリがファイルシステムパス `/ns1` に関連付けられている場合、ファイルシステムパス `/ns1/ns2` に別のデータリポジトリをリンクすることはできません。**ファイルシステムパス** 設定は、ファイルシステムのすべてのデータリポジトリの関連付けで一意である必要があります。
+ **データリポジトリパス**: ファイルシステムに関連付ける既存の S3 バケットまたはプレフィックスのパスを入力します (例えば、`s3://amzn-s3-demo-bucket/my-prefix`)。2 つのデータリポジトリの関連付けは、重複するデータリポジトリパスを持つことはできません。**データリポジトリパス** 設定は、ファイルシステムのすべてのデータリポジトリの関連付けで一意である必要があります。
+ **リポジトリからメタデータをインポートする**: このプロパティを選択すると、オプションで、リンクが作成された直後にメタデータをインポートするデータリポジトリのインポートタスクを実行できます。
1. **設定のインポート-オプション** で、**[Import Policy]** (ポリシーのインポート) を設定します。これにより、S3 バケット内のオブジェクトを追加、変更、または削除する際に、ファイルおよびディレクトリのリストを最新の状態に保つ方法が決定されます。例えば、**[New]** (新規) をクリックして、S3 バケットで作成された新しいオブジェクトのメタデータをファイルシステムにインポートします。インポートポリシーの詳細については、「[S3 バケットから更新を自動的にインポートする](autoimport-data-repo-dra.md)」を参照してください。
1. **[Export Policy]** (ポリシーをエクスポートする) で、ファイルシステム内のオブジェクトを追加、変更、または削除するときに、リンクされた S3 バケットにファイルをエクスポートする方法を決定するエクスポートポリシーを設定します。例えば、**[Changed]** (変更済) を選択して、ファイルシステム上でコンテンツまたはメタデータが変更されたオブジェクトをエクスポートします。ポリシーのエクスポートの詳細については、「[S3 バケットに更新を自動的にエクスポートする](autoexport-data-repo-dra.md)」を参照してください。
1. ファイルシステム作成ウィザードの次のセクションに進みます。
## S3 バケットを既存のファイルシステム (コンソール) にリンクするには
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で Amazon FSx コンソールを開きます。
1. ダッシュボードから、**[File systems]** (ファイルシステム) を選択します。次に、データリポジトリの関連付けを作成する対象のファイルシステムを選択します。
1. **[Data repository]** (データリポジトリ) タブを選択します。
1. **[Data repository associations]** (データリポジトリ関連) ペインで、**[Create data repository association]** (データリポジトリの関連付けを作成する) を選択します。
1. **[Data repository association information]** (データリポジトリ関連付け情報) ダイアログで、以下のフィールドに情報を入力します。
+ **ファイルシステムパス**: S3 データリポジトリに関連付けられる Amazon FSx ファイルシステム内に、ハイレベルディレクトリの名前 (`/ns1` など) またはサブディレクトリの名前 (`/ns1/subdir` など) を入力します。パスの先頭のスラッシュが必要です。2 つのデータリポジトリの関連付けは、重複するファイルシステムパスを持つことはできません。例えば、データリポジトリがファイルシステムパス `/ns1` に関連付けられている場合、ファイルシステムパス `/ns1/ns2` に別のデータリポジトリをリンクすることはできません。**ファイルシステムパス** 設定は、ファイルシステムのすべてのデータリポジトリの関連付けで一意である必要があります。
+ **データリポジトリパス**: ファイルシステムに関連付ける既存の S3 バケットまたはプレフィックスのパスを入力します (例えば、`s3://amzn-s3-demo-bucket/my-prefix`)。2 つのデータリポジトリの関連付けは、重複するデータリポジトリパスを持つことはできません。**データリポジトリパス** 設定は、ファイルシステムのすべてのデータリポジトリの関連付けで一意である必要があります。
+ **リポジトリからメタデータをインポートする**: このプロパティを選択すると、オプションで、リンクが作成された直後にメタデータをインポートするデータリポジトリのインポートタスクを実行できます。
1. **設定のインポート-オプション** で、**[Import Policy]** (ポリシーのインポート) を設定します。これにより、S3 バケット内のオブジェクトを追加、変更、または削除する際に、ファイルおよびディレクトリのリストを最新の状態に保つ方法が決定されます。例えば、**[New]** (新規) をクリックして、S3 バケットで作成された新しいオブジェクトのメタデータをファイルシステムにインポートします。インポートポリシーの詳細については、「[S3 バケットから更新を自動的にインポートする](autoimport-data-repo-dra.md)」を参照してください。
1. **[Export Policy]** (ポリシーをエクスポートする) で、ファイルシステム内のオブジェクトを追加、変更、または削除するときに、リンクされた S3 バケットにファイルをエクスポートする方法を決定するエクスポートポリシーを設定します。例えば、**[Changed]** (変更済) を選択して、ファイルシステム上でコンテンツまたはメタデータが変更されたオブジェクトをエクスポートします。ポリシーのエクスポートの詳細については、「[S3 バケットに更新を自動的にエクスポートする](autoexport-data-repo-dra.md)」を参照してください。
1. **[作成]** を選択します。
## ファイルシステムを S3 バケット (AWS CLI) にリンクするには
次の例では、Amazon FSx ファイルシステムを S3 バケットにリンクするデータリポジトリの関連付けを作成します。これには、新規または変更されたファイルをファイルシステムにインポートするインポートポリシーと、新規、変更、または削除したファイルをリンクされた S3 バケットにエクスポートするエクスポートポリシーを使用します。
+ データリポジトリの関連付けを作成するには、以下に示すように、Amazon FSx CLI コマンド `create-data-repository-association` を使用します。
```
$ aws fsx create-data-repository-association \
--file-system-id fs-0123456789abcdef0 \
--file-system-path /ns1/path1/ \
--data-repository-path s3://amzn-s3-demo-bucket/myprefix/ \
--s3 "AutoImportPolicy={Events=[NEW,CHANGED,DELETED]},AutoExportPolicy={Events=[NEW,CHANGED,DELETED]}"
```
Amazon FSx は、DRA の JSON 記述をすぐに返します。DRA は非同期に作成されます。
このコマンドを使用すると、ファイルシステムの作成が完了する前でも、データリポジトリの関連付けを作成できます。ファイルシステムが使用可能になった後、リクエストはキューに入れられ、データリポジトリの関連付けが作成されます。
# データリポジトリの関連付け設定の更新
既存のデータリポジトリの関連付けの設定は、以下の手順で示すように AWS マネジメントコンソール、 AWS CLI、および Amazon FSx API を使用して更新できます。
**注記**
DRA の作成後は DRA の `File system path` または `Data repository path` を更新することはできません。`File system path` または `Data repository path` を変更する場合は、DRA を削除してから再度作成する必要があります。
## 既存のデータリポジトリ関連付けの設定を更新するには (コンソール)
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で Amazon FSx コンソールを開きます。
1. ダッシュボードから、**[File systems]** (ファイルシステム) をクリックし、管理するファイルシステムを選択します。
1. **[Data repository]** (データリポジトリ) タブを選択します。
1. **[Data repository associations]** (データリポジトリ関連) ペインで、変更するデータリポジトリ関連付けを選択します。
1. **[Update]** (更新) を選択します。データリポジトリの関連付けの編集ダイアログが表示されます。
1. **[Import settings - optional]** (設定のインポート-オプション) で、**[Import Policy]** (ポリシーのインポート) を更新することができます。インポートポリシーの詳細については、「[S3 バケットから更新を自動的にインポートする](autoimport-data-repo-dra.md)」を参照してください。
1. **[Export settings - optional]** (エクスポート設定 - オプション) でエクスポートポリシーを更新できます。ポリシーのエクスポートの詳細については、「[S3 バケットに更新を自動的にエクスポートする](autoexport-data-repo-dra.md)」を参照してください。
1. **[Update]** (更新) を選択します。
## 既存のデータリポジトリの関連付けの設定を更新するには (CLI)
+ データリポジトリの関連付けを更新するには、以下に示すように Amazon FSx CLI コマンド `update-data-repository-association` を使用します。
```
$ aws fsx update-data-repository-association \
--association-id 'dra-872abab4b4503bfc2' \
--s3 "AutoImportPolicy={Events=[NEW,CHANGED,DELETED]},AutoExportPolicy={Events=[NEW,CHANGED,DELETED]}"
```
データリポジトリ関連付けのインポートポリシーおよびエクスポートポリシーが正常に更新されると、Amazon FSx は更新されたデータリポジトリ関連付けの説明を JSON として返します。
# S3 バケットへの関連付けを削除する
次の手順では、 AWS マネジメントコンソール と AWS Command Line Interface () を使用して、既存の Amazon FSx ファイルシステムから既存の S3 バケットにデータリポジトリの関連付けを削除するプロセスについて説明しますAWS CLI。データリポジトリの関連付けを削除すると、S3 バケットからファイルシステムのリンクが解除されます。
## ファイルシステムから S3 バケットへのリンクを削除するには (コンソール)
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で Amazon FSx コンソールを開きます。
1. ダッシュボードから、**[File systems]** (ファイルシステム) を選択します。次に、データリポジトリの関連付けを削除するファイルシステムを選択します。
1. **[Data repository]** (データリポジトリ) タブを選択します。
1. **[Data repository associations]** (データリポジトリ関連) ペインで、削除するデータリポジトリの関連付けを選択します。
1. **[Actions]** (アクション) で、**[Delete association]** (関連付けを削除する) を選択します。
1. **[削除]** ダイアログで、**[ファイルシステム内のデータを削除する]** を選択して、データリポジトリの関連付けに対応するファイルシステム内のデータを物理的に削除することができます。
同一のファイルシステムパスを使用しつつ、別の S3 バケットプレフィックスを参照する新しいデータリポジトリ関連付けを作成する予定がある場合、またはファイルシステム内のデータが不要になった場合は、このオプションを選択します。
1. **[Delete]** (削除) をクリックして、ファイルシステムからデータリポジトリの関連付けを削除します。
## ファイルシステムから S3 バケット (AWS CLI) へのリンクを削除するには
次の例では、Amazon FSx ファイルシステムを S3 バケットにリンクするデータリポジトリの関連付けを削除します。`--association-id` パラメータは、削除するデータリポジトリの関連付けの ID を指定します。
+ データリポジトリの関連付けを削除するには、以下に示すように Amazon FSx CLI コマンド `delete-data-repository-association` を使用します。
```
$ aws fsx delete-data-repository-association \
--association-id dra-872abab4b4503bfc \
--delete-data-in-file-system false
```
データリポジトリの関連付けを正常に削除すると、Amazon FSx はその説明を JSON として返します。
**同じファイルシステムパスで DRAs を再作成する**
同じファイルシステムパスを使用するデータリポジトリの関連付けを削除して再作成することはお勧めしません。DRA を削除し、後で同じファイルシステムパスを使用して新しい DRA を作成すると、一部のファイルは以前に削除された DRA から HSM 状態を保持する場合があります。
以前に削除された DRA によって管理された再作成された DRA からファイルをエクスポートする必要がある場合は、以下のコマンドを使用してそれらのファイルをダーティとしてマークし、データリポジトリのエクスポートタスクを実行する必要があります。
```
sudo lfs hsm_set --dirty file_path
```
# データリポジトリの関連付けの詳細の表示
FSx for Lustre コンソール、、および API を使用して AWS CLI、データリポジトリの関連付けの詳細を表示できます。詳細には、DRA の関連付け ID、ファイルシステムパス、データリポジトリパス、インポート設定、エクスポート設定、ステータス、および関連するファイルシステムの ID が含まれます。
## DRA の詳細を表示するには (コンソール)
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で Amazon FSx コンソールを開きます。
1. ダッシュボードから、**[File system]** (ファイルシステム) を選択してから、データリポジトリの関連付けの詳細を表示するファイルシステムを選択します。
1. **[Data repository]** (データリポジトリ) タブを選択します。
1. **[Data repository associations]** (データリポジトリ関連) ペインで、表示するデータリポジトリの関連付けを選択します。**[Summary]** (概要) ページが表示され、DRA の詳細が表示されます。
![\[データリポジトリ関連付けの Amazon FSx の詳細ページ。\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/LustreGuide/images/dra-describe.png)
## DRA の詳細を表示するには (CLI)
+ 特定のデータリポジトリ関連付けの詳細を表示するには、以下に示すように Amazon FSx CLI `describe-data-repository-associations` コマンドを使用します。
```
$ aws fsx describe-data-repository-associations \
--association-ids dra-872abab4b4503bfc2
```
Amazon FSx は、データリポジトリの関連付けの説明を JSON として返します。
# データリポジトリの関連付けのライフサイクル状態
データリポジトリの関連付けのライフサイクル状態は、特定の DRA に関するステータス情報を提供します。データリポジトリ関連付けには、次の **ライフサイクル状態** があります。
+ **作成中** - Amazon FSx は、ファイルシステムとリンクされたデータリポジトリの間にデータリポジトリの関連付けを作成しています。データリポジトリは使用できません。
+ **使用可能** - データリポジトリの関連付けを使用できます。
+ **更新中** - データリポジトリの関連付けは、可用性に影響する可能性があるお客様が開始した更新を実行しています。
+ **削除中** - データリポジトリの関連付けは、お客様が開始した削除を実行しています。
+ **設定が不適切です** - Amazon FSx は、データリポジトリの関連付け設定が修正されるまで、S3 バケットから更新を自動的にインポートしたり、S3 バケットに更新を自動的にエクスポートしたりすることはできません。
DRA は、以下の理由で **設定ミス** になる可能性があります:
+ Amazon FSx には、S3 バケットにアクセスするために必要な IAM アクセス許可がありません。
+ これは、S3 バケットの FSx イベント通知設定が削除または変更されます。
+ S3 バケットには、FSx イベントタイプと重複する既存のイベント通知があります。
根本的な問題を解決した後、DRA は 15 分以内に自動的に **Available** 状態に戻るか、[update-data-repository-association](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-data-repository-association.html) AWS CLI コマンドを使用してすぐに状態変更をトリガーできます。
+ **失敗** - データリポジトリの関連付けは、回復できないターミナル状態にあります (例えば、ファイルシステムパスが削除される、S3 バケットが削除されるなど)。
Amazon FSx コンソール、、および Amazon FSx API を使用して AWS Command Line Interface、データリポジトリの関連付けのライフサイクル状態を表示できます。詳細については、「[データリポジトリの関連付けの詳細の表示](view-dra-details.md)」を参照してください。
# サーバー側で暗号化された Simple Storage Service (Amazon S3) バケットの使用
FSx for Lustre は、S3 マネージドキー (SSE-S3) と に保存されている (SSE-KMS) によるサーバー側の暗号化を使用する Amazon S3 バケットをサポートしています。 S3-managed AWS KMS keys AWS Key Management Service
S3 バケットに書き込むときに Amazon FSx でデータを暗号化するには、S3 バケットのデフォルトの暗号化を SSE-S3 または SSE-KMS に設定する必要があります。詳細については、「*Amazon S3 ユーザーガイド*」の「[デフォルトの暗号化の設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html)」を参照してください。S3 バケットにファイルを書き込む場合、Amazon FSx は S3 バケットのデフォルトの暗号化ポリシーに従います。
デフォルトでは、Amazon FSx は SSE-S3 を使用して暗号化された S3 バケットをサポートします。SSE-KMS 暗号化を使用して暗号化された S3 バケットに Amazon FSx ファイルシステムをリンクする場合は、Amazon FSx が KMS キーを使用して S3 バケット内のオブジェクトを暗号化および復号化できるようにするステートメントをカスタマー管理キーポリシーに追加する必要があります。
次のステートメントは、特定の Amazon FSx ファイルシステムで、特定の S3 バケットのオブジェクトを暗号化および復号化することを許可します。*bucket\$1name*。
```
{
"Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fsx_file_system_id"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "aws_account_id",
"kms:ViaService": "s3.bucket-region.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
}
}
}
```
**注記**
CMK で KMS を使用して S3 バケットキーを有効にして S3 バケットを暗号化する場合は、次の例で示すとおり、`EncryptionContext` をオブジェクト ARN ではなくバケット ARN に設定します。
```
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name"
}
```
次のポリシーステートメントでは、アカウント内のすべての Amazon FSx ファイルシステムが特定の S3 バケットにリンクすることを許可します。
```
{
"Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "s3.bucket-region.amazonaws.com",
"kms:CallerAccount": "aws_account_id"
},
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws_partition:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fs-*"
}
}
}
```
## 別の AWS アカウント または共有 VPC からのサーバー側の暗号化された Amazon S3 バケットへのアクセス
FSx for Lustre ファイルシステムを暗号化した Simple Storage Service (Amazon S3) バケットを作成したら、`AWSServiceRoleForFSxS3Access_fs-01234567890` リンクされた S3 バケットからデータを読み書きする前に S3 バケットを暗号化するために使用される KMS キーへのサービスリンクロール (SLR) アクセス。KMS キーに対するアクセス許可が既にある IAM ロールを使用できます。
**注記**
この IAM ロールは、KMS キー / S3 バケットが属するアカウントではなく、FSx for Lustre ファイルシステムが作成されたアカウント (S3 SLR と同じアカウント) に存在する必要があります。
IAM ロールを使用して次の AWS KMS API を呼び出し、S3 SLR が S3 オブジェクトへのアクセス許可を取得できるように S3 SLR の許可を作成します。SLR に関連付けられている ARN を見つけるには、ファイルシステム ID を検索文字列として使用して IAM ロールを検索します。
```
$ aws kms create-grant --region fs_account_region \
--key-id arn:aws:kms:s3_bucket_account_region:s3_bucket_account:key/key_id \
--grantee-principal arn:aws:iam::fs_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_file-system-id \
--operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"
```
サービスにリンクされたロールの詳細については、「[Amazon FSx のサービスリンクロールの使用](using-service-linked-roles.md)」を参照してください。