# マルチリージョンアクセスポイントの作成
<a name="CreatingMultiRegionAccessPoints"></a>

Amazon S3 でマルチリージョンアクセスポイントを作成するには、以下の作業を行います。
+ マルチリージョンアクセスポイントの名前を指定します。
+ マルチリージョンアクセスポイントのリクエストを処理するそれぞれの AWS リージョン でバケットを 1 つ選択します。
+ マルチリージョンアクセスポイントに Amazon S3 パブリックアクセスブロックを設定します。

このすべての情報は、Amazon S3 が非同期で処理する作成リクエストで提供します。Amazon S3 は、非同期作成リクエストのステータスをモニタリングするために使用できるトークンを提供しています。

ポリシーを保存する前に、AWS Identity and Access Management Access Analyzer でセキュリティ警告、エラー、一般的な警告、および提案を解決してください。IAM Access Analyzer は、IAM [ポリシーの文法](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html)および[ベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) に対してポリシーチェックを行います。これらのチェックにより、機能的でセキュリティのベストプラクティスに準拠したポリシーを作成するのに、役立つ結果と実行可能なレコメンデーションが示されます。IAM Access Analyzer を使用したポリシーの検証の詳細については、*IAM ユーザーガイド*の [IAM Access Analyzer のポリシーの検証](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)を参照してください。IAM Access Analyzer によって返される警告、エラー、および提案のリストを表示するには、[IAM Access Analyzer ポリシーチェックリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html)を参照してください。

API を使用する場合、マルチリージョンアクセスポイントの作成リクエストは非同期です。マルチリージョンアクセスポイントを作成するリクエストを送信すると、Amazon S3 はリクエストを同期的に承認します。次に、作成リクエストの進行状況を追跡するために使用できるトークンをすぐに返します。マルチリージョンアクセスポイントを作成および管理するための非同期要リクエストの追跡の詳細については、「[マルチリージョンアクセスポイントでのサポートされている API オペレーションの使用](MrapOperations.md)」を参照してください。

マルチリージョンアクセスポイントを作成すると、そのアクセスコントロールポリシーを作成できます。それぞれのマルチリージョンアクセスポイントには、ポリシーを関連付けることができます。マルチリージョンアクセスポイントポリシーは、リソース、ユーザー、またはその他の条件別にマルチリージョンアクセスポイントの使用を制限するために使用できるリソースベースのポリシーです。

**注記**  
アプリケーションまたはユーザーがマルチリージョンアクセスポイントを介してオブジェクトにアクセスできるようにするには、次の両方のポリシーでリクエストを許可する必要があります。  
マルチリージョンアクセスポイントのアクセスポリシー
オブジェクトを含む基になるバケットのアクセスポリシー
2 つのポリシーが異なる場合は、より制限の厳しいポリシーが優先されます。  
マルチリージョンアクセスポイントのアクセス許可管理を簡素化するために、バケットからマルチリージョンアクセスポイントにアクセスコントロールを委任できます。詳細については、「[マルチリージョンアクセスポイントポリシーの例](MultiRegionAccessPointPermissions.md#MultiRegionAccessPointPolicyExamples)」を参照してください。

マルチリージョンアクセスポイントでバケットを使用しても、既存のバケット名または Amazon リソースネーム (ARN) を使用してバケットにアクセスする場合のバケットの動作は変わりません。バケットに対する既存のすべてのオペレーションは、以前と同じように動作します。マルチリージョンアクセスポイントポリシーに含めた制限は、そのマルチリージョンアクセスポイントを介したリクエストにのみ適用されます。

マルチリージョンアクセスポイントのポリシーは、作成後に更新できますが、ポリシーを削除することはできません。ただし、マルチリージョンアクセスポイントポリシーを更新して、すべてのアクセス許可を拒否することができます。

**Topics**
+ [Amazon S3 マルチリージョンアクセスポイントの命名規則](multi-region-access-point-naming.md)
+ [Amazon S3 マルチリージョンアクセスポイントのバケットを選択するためのルール](multi-region-access-point-buckets.md)
+ [Amazon S3 マルチリージョンアクセスポイントを作成する](multi-region-access-point-create-examples.md)
+ [Amazon S3 のマルチリージョンアクセスポイントを使用したパブリックアクセスのブロック](multi-region-access-point-block-public-access.md)
+ [Amazon S3 マルチリージョンアクセスポイントの設定の詳細を表示する](multi-region-access-point-view-examples.md)
+ [マルチリージョンアクセスポイントの削除](multi-region-access-point-delete-examples.md)

# Amazon S3 マルチリージョンアクセスポイントの命名規則
<a name="multi-region-access-point-naming"></a>

マルチリージョンアクセスポイントを作成するときは、名前を付けます。これは、選択した文字列です。マルチリージョンアクセスポイントの作成後は名前を変更できません。名前は、AWS アカウント で一意であり、[マルチリージョンアクセスポイントの制約および制限事項](MultiRegionAccessPointRestrictions.md) に記載されている命名要件に準拠している必要があります。マルチリージョンアクセスポイントを識別しやすくするために、自分にとって意味のある名前、組織にとって意味のある名前、またはシナリオを反映した名前を使用します。

この名前は、`GetMultiRegionAccessPoint` および `PutMultiRegionAccessPointPolicy` などのマルチリージョンアクセスポイント管理オペレーションを呼び出す際に使用します。この名前は、マルチリージョンアクセスポイントへのリクエストの送信には使用されないため、マルチリージョンアクセスポイントを使用してリクエストを行うクライアントに対して公開する必要はありません。

Amazon S3 がマルチリージョンアクセスポイントを作成すると、自動的にエイリアスが割り当てられます。このエイリアスは、`.mrap` で終わる一意の英数字文字列です。エイリアスは、マルチリージョンアクセスポイントのホスト名と Amazon リソースネーム (ARN) を構築するために使用されます。また、完全修飾名は、マルチリージョンアクセスポイントのエイリアスにも基づいています。

マルチリージョンアクセスポイントの名前をエイリアスから特定することはできません。そのため、イリアスを公開しても、マルチリージョンアクセスポイントの名前、目的、所有者を公開する危険性はありません。Amazon S3 は、新しいマルチリージョンアクセスポイントごとにエイリアスを選択し、エイリアスを変更することはできません。マルチリージョンアクセスポイントのアドレス指定方法の詳細については、「[マルチリージョンアクセスポイントを使用したリクエスト](MultiRegionAccessPointRequests.md)」を参照してください。

マルチリージョンアクセスポイントのエイリアスは、時間が経過しても一意であり、マルチリージョンアクセスポイントの名前や構成には基づいていません。マルチリージョンアクセスポイントを作成し、それを削除し、同じ名前と構成で別のものを作成した場合、2 番目のマルチリージョンアクセスポイントのエイリアスは最初のものと異なります。新しいマルチリージョンアクセスポイントは、以前のマルチリージョンアクセスポイントと同じエイリアスを持つことはできません。

# Amazon S3 マルチリージョンアクセスポイントのバケットを選択するためのルール
<a name="multi-region-access-point-buckets"></a>

それぞれのマルチリージョンアクセスポイントは、リクエストを処理するリージョンに関連付けられています。マルチリージョンアクセスポイントは、それぞれのリージョンの 1 つのバケットだけに関連付けられる必要があります。マルチリージョンアクセスポイントを作成するために、リクエストで各バケットの名前を指定します。マルチリージョンアクセスポイントをサポートするバケットは、マルチリージョンアクセスポイントを所有している同じ AWS アカウント にあることも、他の AWS アカウント にあることもできます。

 1 つのバケットを複数のマルチリージョンアクセスポイントで使用できます。

**重要**  
マルチリージョンアクセスポイントに関連付けられるバケットは、作成時にのみ指定できます。作成後は、マルチリージョンアクセスポイント設定からバケットを追加、変更、または削除することはできません。バケットを変更するには、マルチリージョンアクセスポイント全体を削除し、新しいリージョンアクセスポイントを作成する必要があります。
マルチリージョンアクセスポイントの一部であるバケットは削除できません。マルチリージョンアクセスポイントに添付されたバケットを削除する場合は、まずマルチリージョンアクセスポイントを削除します。
別のアカウントが所有しているバケットをマルチリージョンアクセスポイントに追加する場合、バケット所有者は、バケットポリシーを更新して、マルチリージョンアクセスポイントにアクセス許可を付与する必要もあります。そうしない場合、マルチリージョンアクセスポイントはそのバケットからデータを取得できません。このようなアクセスを許可する方法を示すポリシーの例については、「[マルチリージョンアクセスポイントポリシーの例](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointPermissions.html#MultiRegionAccessPointPolicyExamples)」を参照してください。
 すべてのリージョンがマルチリージョンアクセスポイントをサポートしているわけではありません。サポートされているリージョンのリストを確認するには、「[マルチリージョンアクセスポイントの制約および制限事項](MultiRegionAccessPointRestrictions.md)」を参照してください。

バケット間でデータを同期するレプリケーションルールを作成できます。これらのルールを使用すると、ソースバケットからコピー先バケットにデータを自動的にコピーできます。バケットをマルチリージョンアクセスポイントに接続しても、レプリケーションの動作には影響しません。マルチリージョンアクセスポイントを使用したレプリケーションの設定については、後のセクションで説明します。

**重要**  
マルチリージョンアクセスポイントにリクエストを行うと、マルチリージョンアクセスポイントは、マルチリージョンアクセスポイント内のバケットのデータコンテンツを認識しません。そのため、リクエストを受け取ったバケットには、リクエストされたデータが含まれていない可能性があります。マルチリージョンアクセスポイントに関連付けられた Amazon S3 バケットに一貫性のあるデータセットを作成するには、S3 クロスリージョンレプリケーション (CRR) を設定することをお勧めします。詳細については、「[マルチリージョンアクセスポイントで使用するためのレプリケーションの設定](MultiRegionAccessPointBucketReplication.md)」を参照してください。

# Amazon S3 マルチリージョンアクセスポイントを作成する
<a name="multi-region-access-point-create-examples"></a>

以下の例では、Amazon S3 コンソールを使用してマルチリージョンアクセスポイントを作成する方法を示しています。

## S3 コンソールの使用
<a name="multi-region-access-point-create-console"></a>

**マルチリージョンアクセスポイントを作成するには**
**注記**  
マルチリージョンアクセスポイントのオプトインリージョンは、現在 Amazon S3 コンソールではサポートされていません。

1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) を開きます。

1. ナビゲーションペインで、**[Multi-Region Access Points]** (マルチリージョンアクセスポイント) を選択します。

1. **[マルチリージョンアクセスポイントの作成]** を選択して、マルチリージョンアクセスポイントの作成を開始します。

1. **[マルチリージョンアクセスポイント]** ページの **[マルチリージョンアクセスポイント名]** フィールドに、マルチリージョンアクセスポイントの名前を入力します。

1. このマルチリージョンアクセスポイントに関連付けるバケットを選択します。自分のアカウントにあるバケットを選択することも、他のアカウントからバケットを選択することもできます。
**注記**  
自分のアカウントまたは他のアカウントから、少なくとも 1 つのバケットを追加する必要があります。また、マルチリージョンアクセスポイントは、AWS リージョン ごとに 1 つのバケットしかサポートしないことにも注意してください。したがって、同じリージョンから 2 つのバケットを追加することはできません。[デフォルトで無効になっている AWS リージョン](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) はサポートされません。
   + アカウントにあるバケットを追加するには、**[バケットの追加]** を選択します。アカウント内のすべてのバケットのリストを表示します。バケットを名前で検索するか、バケット名をアルファベット順に並べ替えることができます。
   + 別のアカウントからバケットを追加するには、**[他のアカウントからバケットを追加]** を選択します。他のアカウントでバケットを検索したり参照したりすることはできないため、正確なバケット名とAWS アカウント ID がわかっていることを確認してください。
**注記**  
有効なAWS アカウント ID とバケット名を入力する必要があります。また、バケットはサポートされているリージョンにある必要があり、ない場合は、マルチリージョンアクセスポイントを作成しようとするとエラーが発生します。マルチリージョンアクセスポイントをサポートするリージョンのリストについては、「[マルチリージョンアクセスポイントの制約および制限事項](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRestrictions.html)」を参照してください。

1. (オプション) 追加したバケットを削除する必要がある場合は、**[削除]** を選択します。
**注記**  
作成が完了した後に、このマルチリージョンアクセスポイントのバケットを追加したり削除したりすることはできません。

1. [**このマルチリージョンアクセスポイントのパブリックアクセス設定をブロック**] で、マルチリージョンアクセスポイントに適用するブロックパブリックアクセス設定を選択します。デフォルトでは、新しいマルチリージョンアクセスポイントに対してすべてのブロックパブリックアクセス設定が有効になります。これらの設定を特に無効にする必要がある場合を除いて、すべての設定を有効にしておくことをお勧めします。
**注記**  
マルチリージョンアクセスポイントを作成した後に、マルチリージョンアクセスポイントのブロックパブリックアクセス設定を変更することはできません。したがって、パブリックアクセスをブロックする場合は、マルチリージョンアクセスポイントを作成する前に、パブリックアクセスがなくてもアプリケーションが正しく動作することを確認してください。

1. [**マルチリージョンアクセスポイントの作成**] を選択します。

**重要**  
別のアカウントが所有しているバケットをマルチリージョンアクセスポイントに追加する場合、バケット所有者は、バケットポリシーを更新して、マルチリージョンアクセスポイントにアクセス許可を付与する必要もあります。そうしない場合、マルチリージョンアクセスポイントはそのバケットからデータを取得できません。このようなアクセスを許可する方法を示すポリシーの例については、「[マルチリージョンアクセスポイントポリシーの例](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointPermissions.html#MultiRegionAccessPointPolicyExamples)」を参照してください。

## の使用AWS CLI
<a name="multi-region-access-point-create-cli"></a>

AWS CLI を使用して、マルチリージョンアクセスポイントを作成できます。マルチリージョンアクセスポイントを作成するときは、それがサポートするすべてのバケットを提供する必要があります。マルチリージョンアクセスポイントを作成した後に、マルチリージョンアクセスポイントにバケットを追加することはできません。

 次の例では、AWS CLI を使用して、2 つのバケットを持つマルチリージョンアクセスポイントを作成します。このコマンド例を実行するには、`user input placeholders` をユーザー自身の情報に置き換えます。

**注記**  
オプトインリージョンでバケットを使用してマルチリージョンアクセスポイントを作成するには、まず[すべてのオプトインリージョンを有効](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)にしてください。それ以外の場合、実際にオプトインしていないオプトインリージョンのバケットを使用してマルチリージョンアクセスポイントを作成しようとすると、`403 InvalidRegion` エラーが発生します。

```
aws s3control create-multi-region-access-point --account-id 111122223333 --details '{
        "Name": "simple-multiregionaccesspoint-with-two-regions",
        "PublicAccessBlock": {
            "BlockPublicAcls": true,
            "IgnorePublicAcls": true,
            "BlockPublicPolicy": true,
            "RestrictPublicBuckets": true
        },
        "Regions": [
            { "Bucket": "amzn-s3-demo-bucket1" }, 
            { "Bucket": "amzn-s3-demo-bucket2" } 
        ]
    }' --region us-west-2
```

# Amazon S3 のマルチリージョンアクセスポイントを使用したパブリックアクセスのブロック
<a name="multi-region-access-point-block-public-access"></a>

それぞれのマルチリージョンアクセスポイントには、Amazon S3 パブリックアクセスブロックの個別の設定があります。これらの設定は、マルチリージョンアクセスポイントと基となるバケットを所有する AWS アカウント のブロックパブリックアクセス設定と連動して機能します。

Amazon S3 がリクエストを承認すると、これらの設定の最も制限の厳しい組み合わせが適用されます。これらのリソース (マルチリージョンアクセスポイント所有者アカウント、基となるバケット、またはバケット所有者アカウント) のブロックパブリックアクセス設定が、リクエストされたアクションまたはリソースへのアクセスをブロックすると、Amazon S3 はリクエストを拒否します。

これらの設定を特に無効にする必要がある場合を除いては、すべての設定を有効にしておくことをお勧めします。デフォルトでは、マルチリージョンアクセスポイントに対してすべてのブロックパブリックアクセス設定が有効になります。ブロックパブリックアクセスが有効になっている場合、マルチリージョンアクセスポイントはインターネットベースのリクエストを受け付けることができません。

**重要**  
マルチリージョンアクセスポイントを作成した後にブロックパブリックアクセス設定を変更することはできません。

 Amazon S3 のブロックパブリックアクセスの詳細については、「[Amazon S3 ストレージへのパブリックアクセスのブロック](access-control-block-public-access.md)」を参照してください。

# Amazon S3 マルチリージョンアクセスポイントの設定の詳細を表示する
<a name="multi-region-access-point-view-examples"></a>

以下の例では、Amazon S3 コンソールを使用してマルチリージョンアクセスポイントの設定の詳細を表示する方法を示しています。

## S3 コンソールの使用
<a name="multi-region-access-point-view-console"></a>

**マルチリージョンアクセスポイントを作成するには**

1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) を開きます。

1. 左のナビゲーションペインで、**[Multi-Region Access Points]** (マルチリージョンアクセスポイント) を選択します。

1. 設定の詳細を表示するマルチリージョンアクセスポイントの名前を選択します。
   + **[プロパティ]** タブには、マルチリージョンアクセスポイントに関連付けられているすべてのバケット、作成日、Amazon リソースネーム (ARN)、およびエイリアスが表示されます。AWS アカウント ID 列には、マルチリージョンアクセスポイントに関連付けられている外部アカウントが所有するバケットもすべて表示されます。
   + **[アクセス許可]** タブには、このマルチリージョンアクセスポイントに関連付けられたバケットに適用されるブロックパブリックアクセス設定が表示されます。マルチリージョンアクセスポイントを作成している場合は、マルチリージョンアクセスポイントのポリシーを表示することもできます。**[アクセス許可]** ページの **[情報]** アラートには、このマルチリージョンアクセスポイントの **[パブリックアクセスはブロックされています]** 設定が有効になっているすべてのバケット (自分のアカウントと他のアカウント内) も一覧表示されます。
   + **[レプリケーションとフェイルオーバー]** タブには、マルチリージョンアクセスポイントに関連付けられているバケットと、バケットが置かれているリージョンのマップビューが表示されます。データを取得するアクセス許可のない別のアカウントのバケットがある場合、そのリージョンは**レプリケーションの概要**マップ上で赤くマークされ、**レプリケーションステータスの取得中にエラーが発生した AWS リージョン **であることを示します。
**注記**  
外部アカウントのバケットからレプリケーションステータス情報を取得するには、バケット所有者がバケットポリシーで `s3:GetBucketReplication` アクセス許可を付与する必要があります。

     このタブには、マルチリージョンアクセスポイントで使用されているリージョンのレプリケーションメトリクス、レプリケーションルール、フェイルオーバーステータスも表示されます。

## の使用AWS CLI
<a name="multi-region-access-point-view-cli"></a>

 AWS CLI を使用して、マルチリージョンアクセスポイントの設定の詳細を表示できます。

次の AWS CLI の例では、現在のマルチリージョンアクセスポイント設定を取得します。このコマンド例を実行するには、`user input placeholders` をユーザー自身の情報に置き換えます。

```
aws s3control get-multi-region-access-point --account-id 111122223333 --name amzn-s3-demo-bucket
```

# マルチリージョンアクセスポイントの削除
<a name="multi-region-access-point-delete-examples"></a>

次の手順では、Amazon S3 コンソールを使用してマルチリージョンアクセスポイントを削除する方法を説明します。マルチリージョンアクセスポイントを削除しても、マルチリージョンアクセスポイントに関連付けられたバケットは削除されないことに注意してください。代わりに、マルチリージョンアクセスポイント自体のみを削除します。

**注記**  
AWS オプトインリージョンでバケットを使用する S3 マルチリージョンアクセスポイントは、現在 AWS SDKと AWS CLI でのみサポートされています。オプトインリージョンでバケットを使用してマルチリージョンアクセスポイントを削除するには、アカウントが最初に使用できる AWS オプトインリージョンを必ず指定してください。それ以外の場合、無効な AWS オプトインリージョンでバケットを使用するマルチリージョンアクセスポイントを削除しようとすると、エラーが発生します。

## S3 コンソールの使用
<a name="multi-region-access-point-delete-console"></a>

**マルチリージョンアクセスポイントを削除するには**

1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) を開きます。

1. ナビゲーションペインで、**[Multi-Region Access Points]** (マルチリージョンアクセスポイント) を選択します。

1. マルチリージョンアクセスポイントの名前の横にあるオプションボタンを選択します。

1. **[削除]** を選択します。

1. **[マルチリージョンアクセスポイントの削除]** ダイアログボックスで、削除する AWS バケットの名前を入力します。
**注記**  
有効なバケット名を入力していることを確認してください。有効ではない場合、**[削除]** ボタンが無効になります。

1. **[削除]** を選択して、マルチリージョンアクセスポイントの削除を確認します。

## の使用AWS CLI
<a name="multi-region-access-point-delete-cli"></a>

AWS CLI を使用して、マルチリージョンアクセスポイントを削除できます。このアクションでは、マルチリージョンアクセスポイントに関連付けられたバケットは削除されず、マルチリージョンアクセスポイント自体だけが削除されます。このコマンド例を実行するには、`user input placeholders` をユーザー自身の情報に置き換えます。

```
aws s3control delete-multi-region-access-point --account-id 123456789012 --details Name=example-multi-region-access-point-name
```