AWS Snowball Edgeは新規顧客には利用できなくなりました。新規のお客様は、オンライン転送AWS DataSync
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Snowball Edge コンソールのアクセスコントロールとジョブの作成
すべてのAWSサービスと同様に、 へのアクセスには、 がリクエストの認証AWSに使用できる認証情報AWS Snowball Edgeが必要です。これらの認証情報には、Amazon S3 バケットやAWS Lambda function.AWS Snowball Edge differs などのAWSリソースにアクセスするためのアクセス許可が必要です。
-
のジョブには Amazon リソースネーム (ARNs AWS Snowball Edgeがありません。
-
オンプレミスのデバイスに対する物理/ネットワークアクセスコントロールは、お客様の責任で行っていただきます。
AWS Identity and Access Management (IAM) の使用方法とAWS Snowball Edge、 でリソースにアクセスできるユーザーを制御することでリソースを保護する方法の Identity and Access Management AWS Snowball Edge、およびローカルアクセスコントロールの推奨事項の詳細についてはAWS クラウド、「」を参照してください。
でのリソースへのアクセス許可の管理の概要AWS クラウド
すべてのAWSリソースは によって所有されAWS アカウント、リソースを作成またはアクセスするアクセス許可はアクセス許可ポリシーによって管理されます。アカウント管理者は、IAM ID (ユーザー、グループ、ロール) にアクセス許可ポリシーをアタッチできます。一部のサービス ( などAWS Lambda) では、リソースにアクセス許可ポリシーのアタッチもサポートされています。
注記
アカウント管理者 (または管理者ユーザー) は、管理者権限を持つユーザーです。詳細については、「IAM ユーザーガイド」の「IAM のベストプラクティス」を参照してください。
リソースおよびオペレーション
ではAWS Snowball Edge、プライマリリソースはジョブです。AWS Snowball Edgeには Snowball や デバイスなどのAWS Snowball Edgeデバイスもありますが、これらのデバイスは既存のジョブのコンテキストでのみ使用できます。Amazon S3 バケットおよび Lambda 関数は、それぞれ Amazon S3 と Lambda のリソースです。
前述のとおり、ジョブには関連付けられた Amazon リソースネーム (ARN) はありません。ただし、Amazon S3 バケットなどの他のサービスのリソースには、以下の表に示すように、一意の ARN が関連付けられています。
| リソースタイプ | ARN 形式 |
|---|---|
| S3 バケット | arn:aws:s3: |
AWS Snowball Edgeには、ジョブを作成および管理するための一連のオペレーションが用意されています。使用可能なオペレーションのリストについては、AWS Snowball Edge API リファレンスを参照してください。
リソース所有権について
は、リソースを作成したユーザーに関係なく、アカウントで作成されたリソースAWS アカウントを所有します。具体的には、リソース所有者は、リソース作成リクエストAWS アカウントを認証するプリンシパルエンティティ (ルートアカウント、IAM ユーザー、または IAM ロール) の です。次の例は、この仕組みを示しています。
-
のAWS アカウントルートアカウントの認証情報を使用して S3 バケットを作成する場合、AWS アカウントはリソースの所有者です ( ではAWS Snowball Edge、リソースはジョブです)。
-
で IAM ユーザーを作成しAWS アカウント、そのユーザーに Snowball Edge デバイスを注文するジョブを作成するアクセス許可を付与すると、そのユーザーは Snowball Edge デバイスを注文するジョブを作成できます。ただし、ユーザーが属AWS アカウントする がジョブリソースを所有します。
-
ジョブを作成するアクセス許可AWS アカウントを持つ で IAM ロールを作成する場合、ロールを引き受けることができるすべてのユーザーが Snowball Edge デバイスを注文するジョブを作成できます。ロールが属AWS アカウントする がジョブリソースを所有します。
でのリソースへのアクセスの管理AWS クラウド
アクセス権限ポリシー では、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス許可ポリシーを作成するために使用可能なオプションについて説明します。
注記
このセクションでは、 のコンテキストでの IAM の使用について説明しますAWS Snowball Edge。ここでは、IAM サービスに関する詳細情報を提供しません。完全な IAM ドキュメンテーションについては、「IAM ユーザーガイド」の「IAM とは」を参照してください。IAM ポリシー構文の詳細と説明については、「IAM ユーザーガイド」の「AWS IAM ポリシーリファレンス」を参照してください。
IAM アイデンティティにアタッチされたポリシーはアイデンティティベースのポリシー (IAM ポリシー) と呼ばれ、リソースにアタッチされたポリシーはリソースベースのポリシーと呼ばれます。 はアイデンティティベースのポリシー (IAM ポリシー) のみAWS Snowball Edgeをサポートします。
トピック
リソースベースのポリシー
Amazon S3 などの他のサービスでは、リソースベースの許可ポリシーもサポートされています。たとえば、S3 バケットにポリシーをアタッチして、そのバケットへのアクセス許可を管理できます。AWS Snowball Edgeはリソースベースのポリシーをサポートしていません。
ポリシー要素 (アクション、効果、プリンシパル) の指定
各ジョブで (リソースおよびオペレーション を参照)、サービスは一連の API オペレーション (AWS Snowball Edge API リファレンスリファレンスを参照) を定義してそのジョブを作成、管理します。これらの API オペレーションのアクセス許可を付与するために、 はポリシーで指定できる一連のアクションAWS Snowball Edgeを定義します。たとえば、ジョブの場合、次のアクションが定義されます。CreateJob、CancelJob、および DescribeJob。API オペレーションを実行する場合に、複数のアクションで権限が必要となる場合があることに注意してください。
最も基本的なポリシーの要素を次に示します。
-
リソース– ポリシーで Amazon リソースネーム (ARN) を使用して、ポリシーを適用するリソースを識別します。詳細については、「リソースおよびオペレーション」を参照してください。
注記
これは、Amazon S3、Amazon EC2、AWS Lambda AWS KMS、およびその他の多くの サービスでサポートされています。
Snowball では、IAM ポリシーステートメントの
Resource要素でのリソース ARN の指定はサポートされていません。Snowball へのアクセスを許可するには、ポリシーで“Resource”: “*”を指定します。 -
アクション – アクションキーワードを使用して、許可または拒否するリソース操作を特定します。たとえば、指定した
Effectに応じて、snowball:*は、すべてのオペレーションの実行をユーザーに許可または拒否します。注記
これは、Amazon EC2、Amazon S3、および IAM でサポートされています。
-
効果 – ユーザーが特定のアクションを要求する際の効果を指定します。許可または拒否のいずれかになります。リソースへのアクセスを明示的に付与 (許可) していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。
注記
これは、Amazon EC2、Amazon S3、および IAM でサポートされています。
-
プリンシパル – ID ベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが黙示的なプリンシパルとなります。リソースベースのポリシーでは、アクセス許可を受け取るユーザー、アカウント、サービス、またはその他のエンティティを指定します (リソースベースのポリシーにのみ適用されます)。AWS Snowball Edgeはリソースベースのポリシーをサポートしていません。
IAM ポリシーの構文と記述の詳細については、「IAM ユーザーガイド」の「AWS IAM ポリシーリファレンス」を参照してください。
すべてのAWS Snowball Edge API アクションを示す表については、「」を参照してくださいAWS Snowball Edge API アクセス許可: アクション、リソース、および条件リファレンス。
ポリシーでの条件の指定
許可を付与するとき、IAM ポリシー言語を使用して、ポリシーが有効になる必要がある条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「IAM ユーザーガイド」の「条件」を参照してください。
条件を表すには、あらかじめ定義された条件キーを使用します。AWS Snowball Edgeに固有の条件キーはありません。ただし、必要に応じて使用できるAWS広範な条件キーがあります。AWS全体のキーの完全なリストについては、IAM ユーザーガイドの「条件に使用可能なキー」を参照してください。
AWSの 管理 (事前定義) ポリシーAWS Snowball Edge
AWSは、 によって作成および管理されるスタンドアロン IAM ポリシーを提供することで、多くの一般的なユースケースに対処しますAWS。マネージドポリシーは、一般的ユースケースに必要な許可を付与することで、どの許可が必要なのかをユーザーが調査する必要をなくすることができます。詳細については、「IAM ユーザーガイド」の「AWSマネージドポリシー」を参照してください。
では、以下のAWS管理ポリシーを使用できますAWS Snowball Edge。
Snowball Edge の IAM ロールポリシーの作成
IAM ロールポリシーは、Amazon S3 バケットに対する読み取り/書き込み権限を付与して作成する必要があります。IAM ロールには Snowball Edge との信頼関係も必要です。信頼関係を持つことは、データのインポートとエクスポートのどちらを行うかに応じて、 が Snowball と Amazon S3 バケットにデータを書き込むAWSことができることを意味します。
で Snowball Edge デバイスを注文するジョブを作成する場合AWS Snow ファミリーマネジメントコンソール、必要な IAM ロールの作成は、 アクセス許可セクションのステップ 4 で行われます。これは自動プロセスです。Snowball Edge が引き受けることを許可する IAM ロールは、転送されたデータを持つ Snowball が到着した場合にのみ、バケットにデータを書き込むために使用されますAWS。このプロセスを以下の手順で示します。
用の IAM ロールを作成するには
-
にサインインAWS マネジメントコンソールし、https://console.aws.amazon.com/importexport/
でAWS Snowball Edgeコンソールを開きます。 -
[ジョブの作成] を選択します。
-
最初のステップで、Amazon S3 へのインポートジョブの詳細を入力してから、[Next (次へ)] を選択します。
-
2 番目のステップでは、[Permission] で、[Create/Select IAM Role] を選択します。
IAM マネジメントコンソールが開き、指定した Amazon S3 バケットにオブジェクトをコピーするためにAWSで使用する IAM ロール が表示されます。
-
このページで詳細を確認し、[許可] を選択します。
に戻ります。ここでAWS Snow ファミリーマネジメントコンソール、選択した IAM ロール ARN には、先ほど作成した IAM ロールの Amazon リソースネーム (ARN) が含まれます。
-
[Next] (次へ) を選択して、 ロールの作成を終了します。
前述の手順により、データをインポート先となる Amazon S3 バケットへの書き込み権限を持つ IAM ロールが作成されます。作成する IAM ロールは、インポートジョブ用であるか、エクスポートジョブ用であるかによって、次のいずれかの構造になります。
インポートジョブ用の IAM ロール
AWS KMSマネージドキーによるサーバー側の暗号化 (SSE-KMS) を使用してインポートジョブに関連付けられた Amazon S3 バケットを暗号化する場合は、IAM ロールに次のステートメントも追加する必要があります。
{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111" }
オブジェクトのサイズが大きい場合、インポートプロセスに使用される Amazon S3 クライアントはマルチパートアップロードを使用します。SSE-KMS を使用してマルチパートアップロードを開始すると、アップロードされたすべてのパートは指定されたAWS KMSキーを使用して暗号化されます。パートは暗号化されているため、マルチパートアップロードを完了するために組み立てる前に、パートを復号する必要があります。そのため、SSE-KMS を使用して Amazon S3 へのマルチパートアップロードを実行するときは、AWS KMSキー (kms:Decrypt) を復号するアクセス許可が必要です。
以下に示しているのは、kms:Decrypt アクセス許可が求められるインポートジョブに必要な IAM ロールの例です。
{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey","kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111" }
以下に示しているのは、エクスポートジョブに必要な IAM ロールの例です。
AWS KMSマネージドキーによるサーバー側の暗号化を使用してエクスポートジョブに関連付けられた Amazon S3 バケットを暗号化する場合は、IAM ロールに次のステートメントも追加する必要があります。
{ "Effect": "Allow", "Action": [ “kms:Decrypt” ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111" }
独自のカスタム IAM ポリシーを作成して、AWS Snowball Edgeジョブ管理用の API オペレーションのアクセス許可を許可できます。これらのカスタムポリシーは、それらのアクセス許可が必要な IAM ユーザーまたはグループにアタッチできます。