Amazon S3 でマルチリージョンアクセスポイントを作成するには、以下の作業を行います。
-
マルチリージョンアクセスポイントの名前を指定します。
-
マルチリージョンアクセスポイントのリクエストを処理するそれぞれの AWS リージョン でバケットを 1 つ選択します。
-
マルチリージョンアクセスポイントに Amazon S3 パブリックアクセスブロックを設定します。
このすべての情報は、Amazon S3 が非同期で処理する作成リクエストで提供します。Amazon S3 は、非同期作成リクエストのステータスをモニタリングするために使用できるトークンを提供しています。
ポリシーを保存する前に、AWS Identity and Access Management Access Analyzer でセキュリティ警告、エラー、一般的な警告、および提案を解決してください。IAM Access Analyzer は、IAM ポリシーの文法およびベストプラクティス に対してポリシーチェックを行います。これらのチェックにより、機能的でセキュリティのベストプラクティスに準拠したポリシーを作成するのに、役立つ結果と実行可能なレコメンデーションが示されます。IAM Access Analyzer を使用したポリシーの検証の詳細については、IAM ユーザーガイドの IAM Access Analyzer のポリシーの検証を参照してください。IAM Access Analyzer によって返される警告、エラー、および提案のリストを表示するには、IAM Access Analyzer ポリシーチェックリファレンスを参照してください。
API を使用する場合、マルチリージョンアクセスポイントの作成リクエストは非同期です。マルチリージョンアクセスポイントを作成するリクエストを送信すると、Amazon S3 はリクエストを同期的に承認します。次に、作成リクエストの進行状況を追跡するために使用できるトークンをすぐに返します。マルチリージョンアクセスポイントを作成および管理するための非同期要リクエストの追跡の詳細については、「マルチリージョンアクセスポイントでのサポートされている API オペレーションの使用」を参照してください。
マルチリージョンアクセスポイントを作成すると、そのアクセスコントロールポリシーを作成できます。それぞれのマルチリージョンアクセスポイントには、ポリシーを関連付けることができます。マルチリージョンアクセスポイントポリシーは、リソース、ユーザー、またはその他の条件別にマルチリージョンアクセスポイントの使用を制限するために使用できるリソースベースのポリシーです。
注記
アプリケーションまたはユーザーがマルチリージョンアクセスポイントを介してオブジェクトにアクセスできるようにするには、次の両方のポリシーでリクエストを許可する必要があります。
-
マルチリージョンアクセスポイントのアクセスポリシー
-
オブジェクトを含む基になるバケットのアクセスポリシー
2 つのポリシーが異なる場合は、より制限の厳しいポリシーが優先されます。
マルチリージョンアクセスポイントのアクセス許可管理を簡素化するために、バケットからマルチリージョンアクセスポイントにアクセスコントロールを委任できます。詳細については、「マルチリージョンアクセスポイントポリシーの例」を参照してください。
マルチリージョンアクセスポイントでバケットを使用しても、既存のバケット名または Amazon リソースネーム (ARN) を使用してバケットにアクセスする場合のバケットの動作は変わりません。バケットに対する既存のすべてのオペレーションは、以前と同じように動作します。マルチリージョンアクセスポイントポリシーに含めた制限は、そのマルチリージョンアクセスポイントを介したリクエストにのみ適用されます。
マルチリージョンアクセスポイントのポリシーは、作成後に更新できますが、ポリシーを削除することはできません。ただし、マルチリージョンアクセスポイントポリシーを更新して、すべてのアクセス許可を拒否することができます。
トピック
