# アクセスポイントを使用した共有データセットへのアクセスの管理
Amazon S3 アクセスポイントは、S3 にデータを保存するあらゆる AWS サービスやお客様のアプリケーションのデータアクセスを簡素化します。アクセスポイントは、バケット、Amazon FSx for NetApp ONTAP ボリューム、Amazon FSx for OpenZFS ボリュームなどのデータソースにアタッチされた名前付きネットワークエンドポイントです。バケットの操作方法の詳細については、「[汎用バケットの概要](UsingBucket.md)」を参照してください。FSx for NetApp ONTAP の使用の詳細については、「*FSx for ONTAP ユーザーガイド*」の「[Amazon FSx for NetApp ONTAP とは](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/what-is-fsx-ontap.html)」を参照してください。FSx for OpenZFS の使用の詳細については、「*FSx for OpenZFS ユーザーガイド*」の「[Amazon FSx for OpenZFS とは](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/what-is-fsx.html)」を参照してください。
アクセスポイントを使用して、`GetObject` や `PutObject` などの S3 オブジェクトオペレーションを実行できます。各アクセスポイントには、そのアクセスポイントを介したすべてのリクエストに S3 が適用する個別のアクセス許可とネットワークコントロールがあります。各エンドポイントは、リソース、ユーザー、またはその他の条件別に使用を制御できるカスタマイズされたアクセスポイントポリシーを適用します。アクセスポイントがバケットにアタッチされている場合、アクセスポイントポリシーは基盤となるバケットポリシーと連動して機能します。仮想プライベートクラウド (VPC) からのリクエストのみを受け付けるようにアクセスポイントを設定することで、プライベートネットワークへの Amazon S3 データアクセスを制限できます。また、アクセスポイントごとにカスタムのブロックパブリックアクセスを設定することもできます。
**注記**
アクセスポイントは、オブジェクトに対するオペレーションの実行にのみ使用できます。アクセスポイントを使用して、バケットの削除や S3 レプリケーション設定の作成など、他の Amazon S3 オペレーションを実行することはできません。アクセスポイントをサポートする S3 オペレーションの詳細なリストについては、「[アクセスポイントの互換性](access-points-service-api-support.md)」を参照してください。
このセクションのトピックでは、Amazon S3 アクセスポイントの操作方法について説明します。ディレクトリバケットでのアクセスポイントの使用に関するトピックについては、「[アクセスポイントを使用したディレクトリバケット内の共有データセットへのアクセスの管理](access-points-directory-buckets.md)」を参照してください。
**Topics**
+ [
# アクセスポイントの命名規則、制約と制限
](access-points-restrictions-limitations-naming-rules.md)
+ [
# ARN、アクセスポイントエイリアス、または仮想ホスト形式の URI を使用したアクセスポイントの参照
](access-points-naming.md)
+ [
# アクセスポイントの互換性
](access-points-service-api-support.md)
+ [
# アクセスポイントを使用するための IAM ポリシーの設定
](access-points-policies.md)
+ [
# アクセスポイントのモニタリングとログ記録
](access-points-monitoring-logging.md)
+ [
# アクセスポイントの作成
](creating-access-points.md)
+ [
# 汎用バケットの Amazon S3 アクセスポイントの管理
](access-points-manage.md)
+ [
# 汎用バケットでの Amazon S3 アクセスポイントの使用
](using-access-points.md)
+ [
# 汎用バケットでの S3 Access Points の使用
](access-points-tagging.md)
# アクセスポイントの命名規則、制約と制限
アクセスポイントは、データの管理を簡素化する Amazon FSx ファイルシステムのバケットまたはボリュームにアタッチされた名前付きネットワークエンドポイントです。アクセスポイントの作成時に、名前と作成先の AWS リージョンを選択します。以下のトピックでは、アクセスポイントの命名規則、制限、および制約に関する情報を提供します。
**Topics**
+ [
## アクセスポイントの命名規則
](#access-points-names)
+ [
## アクセスポイントの制約と制限
](#access-points-restrictions-limitations)
+ [
## Amazon FSx ファイルシステムのボリュームにアタッチされたアクセスポイントの制約と制限
](#access-points-restrictions-limitations-fsx)
## アクセスポイントの命名規則
アクセスポイントの作成時に、名前と作成先の AWS リージョンを選択します。汎用バケットとは異なり、アクセスポイント名は AWS アカウントまたは AWS リージョン間で一意である必要はありません。同じ AWS アカウントが異なる AWS リージョンに同じ名前のアクセスポイントを作成したり、2 つの異なる AWS アカウントが同じアクセスポイント名を使用する場合があります。ただし、単一の AWS リージョン内で、AWS アカウントが同じ名前のアクセスポイントを 2 つ持つことはできません。
**注記**
アクセスポイント名を公開する場合は、アクセスポイント名に機密情報を含めないでください。アクセスポイント名は、ドメインネームシステム (DNS) と呼ばれるパブリックアクセス可能なデータベースに公開されます。
アクセスポイント名は DNS に準拠しており、次の条件を満たす必要があります。
+ 単一の AWS アカウントおよび AWS リージョン内で一意である
+ 数字または小文字で始める
+ 3~50 文字の長さにする
+ 名前をハイフン (`-`) で開始または終了することはできません。
+ 下線 (`_`)、大文字、スペース、ピリオド (`.`) は使用しない
+ サフィックス `-s3alias` または `-ext-s3alias` で終わることはできません。これらのサフィックスは、アクセスポイントのエイリアス名用に予約されています。詳細については、「[アクセスポイントエイリアス](access-points-naming.md#access-points-alias)」を参照してください。
## アクセスポイントの制約と制限
Amazon S3 アクセスポイントには以下の制約と制限があります。
+ 各アクセスポイントは、1 つのバケットまたは FSx for OpenZFS ボリュームにのみ関連付けられます。アクセスポイントを作成するときに、これを指定する必要があります。作成後のアクセスポイントを別のバケット、または FSx for OpenZFS ボリュームに関連付けることはできません。ただし、アクセスポイントを削除して、別のアクセスポイントを同じ名前で作成することはできます。
+ アクセスポイントを作成した後、その Virtual Private Cloud (VPC) 設定を変更することはできません。
+ アクセスポイントのポリシーのサイズは 20 KB に制限されています。
+ AWS アカウントごと、AWS リージョンごとに最大 10,000 個のアクセスポイントを作成できます。1 つのリージョンで 1 つのアカウントに 10,000 個を超えるアクセスポイントが必要な場合は、サービスクォータの引き上げをリクエストできます。サービスクォータと引き上げリクエストの詳細については、「*AWS 全般のリファレンス*」の「[AWS Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)」を参照してください。
+ アクセスポイントを S3 レプリケーションのレプリケーション先として使用することはできません。レプリケーションの詳細については、「[リージョン内およびリージョン間でのオブジェクトのレプリケート](replication.md)」を参照してください。
+ Amazon S3 コンソールの **移動**オペレーションの移動元または移動先として S3 アクセスポイントのエイリアスを使用することはできません。
+ アクセスポイントにアドレス指定できるのは、仮想ホスト形式の URL だけです。仮想ホスティング形式のアドレス指定の詳細については、「[Amazon S3 汎用バケットへのアクセス](access-bucket-intro.md)」を参照してください。
+ アクセスポイントの機能を制御する API オペレーション (`PutAccessPoint` や `GetAccessPointPolicy` など) は、クロスアカウントコールをサポートしていません。
+ REST API を使用してアクセスポイントへのリクエストを行う場合は、AWS Signature Version 4 を使用する必要があります。リクエストの認証の詳細については、*Amazon Simple Storage Service API リファレンス*の[リクエストの承認 (AWS Signature Version 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) を参照してください。
+ アクセスポイントは HTTPS 経由のリクエストのみをサポートしています。Amazon S3 は、HTTP 経由で行われたすべてのリクエストに対して HTTP リダイレクトで自動的に応答し、リクエストを HTTPS にアップグレードします。
+ アクセスポイントは匿名アクセスをサポートしていません。
+ アクセスポイントの作成後は、アクセスポイントパブリックアクセスのブロック設定を変更できません。
+ クロスアカウントアクセスポイントは、バケット所有者から権限が付与されるまで、データへのアクセスを許可しません。バケット所有者は常にデータを完全に管理できるため、クロスアカウントアクセスポイントからのリクエストを許可するにはバケットポリシーを更新する必要があります。バケットポリシーの例を表示するには、「[アクセスポイントを使用するための IAM ポリシーの設定](access-points-policies.md)」を参照してください。
+ 1,000 個以上のアクセスポイントを所有している AWS リージョン では、Amazon S3 コンソールでは、アクセスポイントを名前で検索することはできません。
+ Amazon S3 コンソールでクロスアカウントアクセスポイントを表示すると、**[アクセス]** 列に **[不明]** と表示されます。Amazon S3 コンソールは、関連するバケットとオブジェクトにパブリックアクセスが許可されているかどうかを判断できません。特定のユースケースでパブリック設定が必要でない限り、ユーザーとバケット所有者は、アクセスポイントとバケットへのすべてのパブリックアクセスをブロックすることをお勧めします。詳細については、「[Amazon S3 ストレージへのパブリックアクセスのブロック](access-control-block-public-access.md)」を参照してください。
## Amazon FSx ファイルシステムのボリュームにアタッチされたアクセスポイントの制約と制限
Amazon FSx ファイルシステムのボリュームにアタッチされたアクセスポイントを使用する場合の具体的な制限は次のとおりです。
+ アクセスポイントを作成するときは、所有している Amazon FSx ファイルシステムのボリュームにのみアクセスポイントをアタッチできます。別の AWS アカウントが所有するボリュームにアクセスポイントをアタッチすることはできません。
+ Amazon FSx ファイルシステムのボリュームにアクセスポイントを作成してアタッチするときに `CreateAccessPoint` API を使用することはできません。[https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateAndAttachS3AccessPoint.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateAndAttachS3AccessPoint.html) API を使用する必要があります。
+ Amazon FSx ファイルシステムのボリュームにアタッチされたアクセスポイントを作成または使用する場合、ブロックパブリックアクセス設定をオフにすることはできません。
+ Amazon FSx ファイルシステムのボリュームにアタッチされたアクセスポイントを使用して、S3 コンソールでオブジェクトを一覧表示したり、**[コピー]** または **[移動]** オペレーションを使用したりすることはできません。
+ `CopyObject` は、送信元と送信先が同じアクセスポイントである場合にのみ、FSx for NetApp ONTAP または FSx for OpenZFS ボリュームにアタッチされたアクセスポイントでサポートされます。アクセスポイントの互換性の詳細については、「[アクセスポイントの互換性](access-points-service-api-support.md)」を参照してください。
+ マルチパートアップロードは 5GB に制限されています。
+ FSx for OpenZFS のデプロイタイプとストレージクラスのサポートは、AWS リージョンによって異なります。詳細については、「*OpenZFS ユーザーガイド*」の「[AWS リージョンごとの可用性](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/available-aws-regions.html)」を参照してください。
# ARN、アクセスポイントエイリアス、または仮想ホスト形式の URI を使用したアクセスポイントの参照
アクセスポイントを作成したら、これらのエンドポイントを使用してさまざまなオペレーションを実行できます。アクセスポイントを参照するときは、Amazon リソースネーム (ARN)、アクセスポイントエイリアス、または仮想ホスト形式の URI を使用できます。
**Topics**
+ [
## アクセスポイント ARN
](#access-points-arns)
+ [
## アクセスポイントエイリアス
](#access-points-alias)
+ [
## 仮想ホスティング形式の URI
](#accessing-a-bucket-through-s3-access-point)
## アクセスポイント ARN
アクセスポイントには Amazon リソースネーム (ARN) があります。アクセスポイントの ARN は、バケットの ARN と似ていますが、明示的に型指定され、アクセスポイントの AWS リージョンとアクセスポイントの所有者の AWS アカウント ID をエンコードします。ARN の詳細については「*IAM ユーザーガイド*」の「[Amazon リソースネーム (ARN) で AWS リソースを識別する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)」を参照してください。
アクセスポイント ARN は、以下の形式を使用します。
```
arn:aws:s3:region:account-id:accesspoint/resource
```
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/test` は、リージョン *`us-west-2`* でアカウント *`123456789012`* が所有する `test` と呼ばれるアクセスポイントを表します。
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/*` は、リージョン *`us-west-2`* 内のアカウント *`123456789012`* のすべてのアクセスポイントを表します。
アクセスポイントを介してアクセスされるオブジェクトの ARN は、以下の形式を使用します。
```
arn:aws:s3:region:account-id:accesspoint/access-point-name/object/resource
```
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/test/object/unit-01` は、リージョン *`us-west-2`* でアカウント *`123456789012`* が所有する、*`test`* という名前のアクセスポイントを介してアクセスされるオブジェクト *`unit-01`* を表します。
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/test/object/*` は、リージョン *`us-west-2`* のアカウント *`123456789012`* にある、*`test`* という名前のアクセスポイントのすべてのオブジェクトを表します。
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/test/object/unit-01/finance/*` は、リージョン *`us-west-2`* のアカウント *`123456789012`* にある、*`test`* という名前のアクセスポイントのプレフィックス *`unit-01/finance/`* が付いたすべてのオブジェクトを表します。
## アクセスポイントエイリアス
アクセスポイントを作成すると、Amazon S3 はデータアクセス用の Amazon S3 バケット名の代わりに使用できるエイリアスを自動的に生成します。このアクセスポイントエイリアスは、アクセスポイントのデータプレーンオペレーションにおいて、Amazon リソースネーム (ARN) の代わりに使用することができます。これらのオペレーションのリストについては、「[アクセスポイントの互換性](access-points-service-api-support.md)」を参照してください。
アクセスポイントのエイリアス名は、Amazon S3 バケットと同じ名前空間内に作成されます。このエイリアス名は自動的に生成され、変更できません。アクセスポイントのエイリアス名は、有効な Amazon S3 バケット名のすべての要件を満たしており、次の部分で構成されています。
`ACCESS POINT NAME-METADATA-s3alias` (Amazon S3 バケットにアタッチされたアクセスポイントの場合)
`ACCESS POINT NAME-METADATA-ext-s3alias` (S3 以外のバケットデータソースにアタッチされたアクセスポイントの場合)
**注記**
`-s3alias` および `-ext-s3alias` サフィックスは、アクセスポイントのエイリアス名用に予約されており、バケット名やアクセスポイント名には使用できません。Amazon S3 バケット命名規則の詳細については、「[汎用バケットの命名規則](bucketnamingrules.md)」を参照してください。
### アクセスポイントエイリアスのユースケースと制限事項
アクセスポイントを採用する場合、大幅なコード変更を必要とせずに、アクセスポイントのエイリアス名を使用できます。
アクセスポイントを作成すると、次の例に示すように、Amazon S3 によってアクセスポイントのエイリアス名が自動的に生成されます。このコマンドを実行するには、`user input placeholders` をユーザー自身の情報に置き換えます。
```
aws s3control create-access-point --bucket amzn-s3-demo-bucket1 --name my-access-point --account-id 111122223333
{
"AccessPointArn": "arn:aws:s3:region:111122223333:accesspoint/my-access-point",
"Alias": "my-access-point-aqfqprnstn7aefdfbarligizwgyfouse1a-s3alias"
}
```
このアクセスポイントのエイリアス名は、あらゆるデータプレーンオペレーションにおいて、Amazon S3 のバケット名の代わりに使用することができます。これらのオペレーションのリストについては、[アクセスポイントの互換性](access-points-service-api-support.md) を参照してください。
次の `get-object` コマンドの AWS CLI 例では、バケットのアクセスポイントエイリアスを使用して、指定されたオブジェクトに関する情報を返します。このコマンドを実行するには、`user input placeholders` をユーザー自身の情報に置き換えます。
```
aws s3api get-object --bucket my-access-point-aqfqprnstn7aefdfbarligizwgyfouse1a-s3alias --key dir/my_data.rtf my_data.rtf
{
"AcceptRanges": "bytes",
"LastModified": "2020-01-08T22:16:28+00:00",
"ContentLength": 910,
"ETag": "\"00751974dc146b76404bb7290f8f51bb\"",
"VersionId": "null",
"ContentType": "text/rtf",
"Metadata": {}
}
```
#### アクセスポイントエイリアスの制限
+ お客様はエイリアスを設定できません。
+ アクセスポイントでは、エイリアスの削除、変更、無効化はできません。
+ このアクセスポイントのエイリアス名は、一部のデータプレーンオペレーションにおいて、Amazon S3 のバケット名の代わりに使用することができます。これらのオペレーションのリストについては、[S3 オペレーションとアクセスポイントの互換性](access-points-service-api-support.md#access-points-operations-support) を参照してください。
+ アクセスポイントのエイリアス名は Amazon S3 コントロールプレーンオペレーションに使用することはできません。Amazon S3 コントロールプレーンオペレーションの一覧は、「*Amazon Simple Storage Service API リファレンス*」の「[Amazon S3 コントロール](https://docs.aws.amazon.com/AmazonS3/latest/API/API_Operations_AWS_S3_Control.html)」を参照してください。
+ Amazon S3 コンソールの **移動**オペレーションの移動元または移動先として S3 アクセスポイントのエイリアスを使用することはできません。
+ エイリアスはAWS Identity and Access Management (IAM) ポリシーでは使用できません。
+ エイリアスは S3 サーバーアクセスログのログ記録送信先として使用することはできません。
+ エイリアスは AWS CloudTrail ログのログ記録送信先として使用することはできません。
+ Amazon SageMaker AI GroundTruth は、アクセスポイントのエイリアスをサポートしていません。
## 仮想ホスティング形式の URI
アクセスポイントでは、仮想ホスト形式のアドレス指定のみがサポートされます。仮想ホスティング形式の URI では、アクセスポイント名、AWS アカウント、AWS リージョンは URL のドメイン名の一部です。仮想ホスティングの詳細については、「[汎用バケットの仮想ホスティング](VirtualHosting.md)」を参照してください。
アクセスポイントの仮想ホスト形式の URI は、次の形式を使用します。
```
https://access-point-name-account-id.s3-accesspoint.region.amazonaws.com
```
**注記**
アクセスポイント名にダッシュ (-) 文字が含まれている場合は、URL にダッシュを含めて、アカウント ID の前に別のダッシュを挿入します。例えば、リージョン *`us-west-2`* で アカウント *`123456789012`* が所有する *`finance-docs`* という名前のアクセスポイントを使用する場合、適切な URL は `https://finance-docs-123456789012.s3-accesspoint.us-west-2.amazonaws.com` になります。
S3 アクセスポイントでは、HTTP 経由のアクセスはサポートされていません。アクセスポイントでは HTTPS 経由のセキュアなアクセスのみがサポートされます。
# アクセスポイントの互換性
アクセスポイントを介して、次の Amazon S3 API のサブセットを使用してオブジェクトにアクセスできます。以下に示すすべてのオペレーションで、アクセスポイント ARN またはアクセスポイントエイリアスのいずれかを許可できます。
アクセスポイントを使用してオブジェクトにオペレーションを行う例については、「[汎用バケットでの Amazon S3 アクセスポイントの使用](using-access-points.md)」を参照してください。
## S3 オペレーションとアクセスポイントの互換性
次の表は、Amazon S3 オペレーションの一部リストであり、アクセスポイントと互換性があるかどうかを示しています。以下のすべてのオペレーションは、データソースとして S3 バケットを使用するアクセスポイントでサポートされますが、データソースとして FSx for ONTAP または FSx for OpenZFS ボリュームを使用するアクセスポイントでは一部のオペレーションのみがサポートされます。
詳細については、「[https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-object-api-support.html](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-object-api-support.html)」または「[https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/access-points-object-api-support.html](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/access-points-object-api-support.html)」のアクセスポイントの互換性を参照してください。
| S3 オペレーション | S3 バケットにアタッチされたアクセスポイント | FSx for OpenZFS ボリュームにアタッチされたアクセスポイント |
| --- | --- | --- |
| `[AbortMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html)` | サポート対象 | サポート対象 |
| `[CompleteMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)` | サポート対象 | サポート |
| `[CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)` (同じリージョンへのコピーのみ) | サポート対象 | 送信元と送信先が同じアクセスポイントである場合にサポートされます |
| `[CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)` | サポート対象 | サポート対象 |
| `[DeleteObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)` | サポート対象 | サポート対象 |
| `[DeleteObjects](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html)` | サポート対象 | サポート対象 |
| `[DeleteObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjectTagging.html)` | サポート対象 | サポート対象 |
| `[GetBucketAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html)` | サポート | サポート外 |
| `[GetBucketCors](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html)` | サポート対象 | サポート外 |
| `[GetBucketLocation](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html)` | サポート対象 | サポート対象 |
| `[GetBucketNotificationConfiguration](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html)` | サポート | サポート外 |
| `[GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)` | サポート対象 | サポート外 |
| `[GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)` | サポート対象 | サポート対象 |
| `[GetObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html)` | サポート | サポート外 |
| `[GetObjectAttributes](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html)` | サポート対象 | サポート対象 |
| `[GetObjectLegalHold](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLegalHold.html)` | サポート | サポート外 |
| `[GetObjectRetention](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectRetention.html)` | サポート対象 | サポート外 |
| `[GetObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTagging.html)` | サポート対象 | サポート対象 |
| `[HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html)` | サポート対象 | サポート対象 |
| `[HeadObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)` | サポート対象 | サポート対象 |
| `[ListMultipartUploads](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html)` | サポート対象 | サポート対象 |
| `[ListObjects](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjects.html)` | サポート対象 | サポート対象 |
| `[ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)` | サポート対象 | サポート対象 |
| `[ListObjectVersions](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectVersions.html)` | サポート | サポート外 |
| `[ListParts](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html)` | サポート対象 | サポート対象 |
| `[Presign](https://docs.aws.amazon.com/AmazonS3/latest/API/sigv4-query-string-auth.html)` | サポート対象 | サポート対象 |
| `[PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)` | サポート対象 | サポート対象 |
| `[PutObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html)` | サポート | サポート外 |
| `[PutObjectLegalHold](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html)` | サポート対象 | サポート外 |
| `[PutObjectRetention](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html)` | サポート対象 | サポート外 |
| `[PutObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html)` | サポート対象 | サポート対象 |
| `[RestoreObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RestoreObject.html)` | サポート | サポート外 |
| `[UploadPart](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)` | サポート対象 | サポート |
| `[UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)` (同じリージョンへのコピーのみ) | サポート対象 | 送信元と送信先が同じアクセスポイントである場合にサポートされます |
# アクセスポイントを使用するための IAM ポリシーの設定
Amazon S3 アクセスポイントは AWS Identity and Access Management (IAM) リソースポリシーをサポートしています。これにより、リソース、ユーザー、その他の条件別にアクセスポイントの使用を制御できます。アプリケーションやユーザーがアクセスポイントを介してオブジェクトにアクセスできるようにするには、アクセスポイントと基になるバケットまたは Amazon FSx ファイルシステムの両方でリクエストを許可する必要があります。
**重要**
アクセスポイントポリシーに含めた制限は、そのアクセスポイントを介したリクエストにのみ適用されます。アクセスポイントをバケットにアタッチしても、基盤となるリソースの動作は変わりません。アクセスポイントを介していないバケットに対する既存のすべてのオペレーションは、以前と同じように動作します。
IAM リソースポリシーを使用する際、ポリシーを保存する前に、AWS Identity and Access Management Access Analyzer からのセキュリティ警告、エラー、一般的な警告、および提案を解決してください。IAM Access Analyzer は、IAM [ポリシーの文法](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html)と[ベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)に照らしてポリシーチェックを行います。これらのチェックにより、機能的でセキュリティのベストプラクティスに準拠したポリシーを作成するのに、役立つ結果とレコメンデーションが示されます。
IAM Access Analyzer を使用したポリシーの検証の詳細については、「*IAM ユーザーガイド*」の「[IAM Access Analyzer のポリシーの検証](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)」を参照してください。IAM Access Analyzer によって返される警告、エラー、および提案のリストを表示するには、「[IAM Access Analyzer ポリシーチェックリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html)」を参照してください。
## アクセスポイントのポリシーの例
以下の例は、アクセスポイントを介したリクエストを制御するための IAM ポリシーの作成方法を示しています。
**注記**
アクセスポイントポリシーで付与されるアクセス許可は、基になるバケットでも同じアクセスが許可される場合にのみ有効です。このためには以下の 2 つの方法があります。
**(推奨)**「[アクセスポイントへのアクセスコントロールの委任](#access-points-delegating-control)」の説明に従って、バケットからアクセスポイントにアクセスコントロールを委任します。
アクセスポイントポリシーに含まれているものと同じアクセス許可を、基になるバケットのポリシーに追加します。例 1 のアクセスポイントポリシーの例は、必要なアクセスを許可するように基になるバケットポリシーを変更する方法を示しています。
**Example 1 - アクセスポイントポリシーによる付与**
以下のアクセスポイントポリシーは、アカウント `123456789012` の IAM ユーザー `Jane` に、アカウント *`123456789012`* のアクセスポイント *`my-access-point`* を介して、オブジェクト (プレフィックスが `Jane/` であるオブジェクト) を `GET` および `PUT` するアクセス許可を付与します。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Jane"
},
"Action": ["s3:GetObject", "s3:PutObject"],
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/my-access-point/object/Jane/*"
}]
}
```
**注記**
アクセスポイントポリシーで *`Jane`* に対して効果的にアクセスを許可するには、基になるバケットでも *`Jane`* に対して同じアクセスを許可する必要があります。「[アクセスポイントへのアクセスコントロールの委任](#access-points-delegating-control)」で説明しているように、バケットからアクセスポイントにアクセスコントロールを委任できます。または、基になるバケットに以下のポリシーを追加して、Jane に必要なアクセス許可を付与できます。`Resource` エントリはアクセスポイントとバケットのポリシーでは異なります。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Jane"
},
"Action": ["s3:GetObject", "s3:PutObject"],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/Jane/*"
}]
}
```
**Example 2 - タグ条件付きのアクセスポイントポリシー**
以下のアクセスポイントポリシーは、アカウント *`123456789012`* の IAM ユーザー *`Mateo`* に、アカウント *`123456789012`* のアクセスポイント *`my-access-point`* を介して、オブジェクト (タグキーが *`data`*、値が *`finance`* であるオブジェクト) を `GET` するアクセス許可を付与します。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Mateo"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/my-access-point/object/*",
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/data": "finance"
}
}
}]
}
```
**Example 3 – バケットのリスト取得を許可するアクセスポイントポリシー**
以下のアクセスポイントポリシーでは、アカウント *`123456789012`* の IAM ユーザー `Arnav` に、アカウント *`123456789012`* のアクセスポイント *`my-access-point`* の基になるバケットに含まれるオブジェクトを表示するアクセス許可を付与します。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Arnav"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/my-access-point"
}]
}
```
**Example 4 – サービスコントロールポリシー**
次のサービスコントロールポリシーは、すべての新しいアクセスポイントを 仮想プライベートクラウド (VPC) ネットワークオリジンで作成することを要求します。このポリシーを適用すると、組織内のユーザーは、インターネットからアクセス可能なアクセスポイントを新規に作成できなくなります。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "s3:CreateAccessPoint",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"s3:AccessPointNetworkOrigin": "VPC"
}
}
}]
}
```
**Example 5 – S3 オペレーションを VPC ネットワークオリジンに制限するバケットポリシー**
次のバケットポリシーは、すべての S3 オペレーションからバケット `amzn-s3-demo-bucket` へのアクセスを、VPC をネットワークオリジンとするアクセスポイントに制限します。
この例で示しているようなステートメントを使用する前に、アクセスポイントでサポートされない機能 (クロスリージョンレプリケーションなど) が不要であることを確認してください。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:AbortMultipartUpload",
"s3:BypassGovernanceRetention",
"s3:DeleteObject",
"s3:DeleteObjectTagging",
"s3:DeleteObjectVersion",
"s3:DeleteObjectVersionTagging",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectLegalHold",
"s3:GetObjectRetention",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionAcl",
"s3:GetObjectVersionTagging",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectLegalHold",
"s3:PutObjectRetention",
"s3:PutObjectTagging",
"s3:PutObjectVersionAcl",
"s3:PutObjectVersionTagging",
"s3:RestoreObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringNotEquals": {
"s3:AccessPointNetworkOrigin": "VPC"
}
}
}
]
}
```
## 条件キー
S3 アクセスポイントには、IAM ポリシーでリソースへのアクセスを制御するために使用できる条件キーがあります。以下の条件キーは IAM ポリシーの一部にすぎません。すべてのポリシーの例については、「[アクセスポイントのポリシーの例](#access-points-policy-examples)」、「[アクセスポイントへのアクセスコントロールの委任](#access-points-delegating-control)」および「[クロスアカウントアクセスポイントへのアクセス許可の付与](#access-points-cross-account)」を参照してください。
**`s3:DataAccessPointArn`**
この例は、アクセスポイントの ARN の照合に使用できる文字列です。次の例では、リージョン *`us-west-2`* の AWS アカウント *`123456789012`* のすべてのアクセスポイントを照合します。
```
"Condition" : {
"StringLike": {
"s3:DataAccessPointArn": "arn:aws:s3:us-west-2:123456789012:accesspoint/*"
}
}
```
**`s3:DataAccessPointAccount`**
この例は、アクセスポイントの所有者のアカウント ID を照合するために使用できる文字列演算子です。次の例では、AWS アカウント *`123456789012`* が所有するすべてのアクセスポイントを照合します。
```
"Condition" : {
"StringEquals": {
"s3:DataAccessPointAccount": "123456789012"
}
}
```
**`s3:AccessPointNetworkOrigin`**
この例は、ネットワークオリジン (`Internet` または `VPC`) の照合に使用できる文字列演算子です。次の例では、VPC オリジンを持つアクセスポイントのみを照合します。
```
"Condition" : {
"StringEquals": {
"s3:AccessPointNetworkOrigin": "VPC"
}
}
```
Amazon S3 での条件キーの使用についての詳細は、「サービス認可リファレンス」の「[Actions, resources, and condition keys for Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html)」を参照してください。**
S3 リソースタイプ別の S3 API オペレーションへのアクセス許可の詳細については、「[Amazon S3 API オペレーションに必要なアクセス許可](using-with-s3-policy-actions.md)」を参照してください。
## アクセスポイントへのアクセスコントロールの委任
バケットのアクセスコントロールをバケットのアクセスポイントに委任できます。以下のバケットポリシーの例では、バケット所有者のアカウントが所有するすべてのアクセスポイントへのフルアクセスを許可しています。したがって、このバケットへのすべてのアクセスは、そのアクセスポイントにアタッチされているポリシーによってコントロールされます。バケットへの直接アクセスを必要としないすべてのユースケースでは、この方法でバケットを設定することをお勧めします。
**Example 6 - アクセスコントロールをアクセスポイントに委任するバケットポリシー**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect": "Allow",
"Principal" : { "AWS": "*" },
"Action" : "*",
"Resource" : [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*"],
"Condition": {
"StringEquals" : { "s3:DataAccessPointAccount" : "111122223333" }
}
}]
}
```
## クロスアカウントアクセスポイントへのアクセス許可の付与
別のアカウントが所有するバケットへのアクセスポイントを作成するには、まずバケット名とアカウント所有者 ID を指定してアクセスポイントを作成する必要があります。次に、バケット所有者は、アクセスポイントからのリクエストを許可するようにバケットポリシーを更新する必要があります。アクセスポイントの作成は、アクセスポイントがバケットの内容へのアクセスを提供しないという点で DNS CNAME の作成と似ています。すべてのバケットアクセスはバケットポリシーによって制御されます。次のバケットポリシーの例では、信頼できる AWS アカウント が所有するアクセスポイントからのバケットで、`GET` および `LIST` リクエストを許可します。
*Bucket ARN* は、バケットの ARN に置き換えます。
**Example 7 — 別の AWS アカウント にアクセス許可を委任するバケットポリシー**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect": "Allow",
"Principal" : { "AWS": "*" },
"Action" : ["s3:GetObject","s3:ListBucket"],
"Resource" : ["arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*"],
"Condition": {
"StringEquals" : { "s3:DataAccessPointAccount" : "Access point owner's account ID" }
}
}]
}
```
クロスアカウントアクセスポイントは、S3 バケットにアタッチされたアクセスポイントでのみ使用できます。別の AWS アカウントが所有する Amazon FSx ファイルシステムのボリュームにアクセスポイントをアタッチすることはできません。
# アクセスポイントのモニタリングとログ記録
Amazon S3 は、アクセスポイントを介して行われたリクエストと、アクセスポイントを管理する API オペレーションに対するリクエスト (`CreateAccessPoint` や `GetAccessPointPolicy` など) をログに記録します。使用パターンをモニタリングおよび管理するために、アクセスポイントの Amazon CloudWatch Logs リクエストメトリクスを設定することもできます。
**Topics**
+ [
## CloudWatch リクエストメトリクス
](#request-metrics-access-points)
+ [
## AWS CloudTrail アクセスポイントを介して行われたリクエストのログ
](#logging-access-points)
## CloudWatch リクエストメトリクス
アクセスポイントを使用しているアプリケーションのパフォーマンスを理解して向上させるために、Amazon S3 リクエストメトリクスで CloudWatch を使用することができます。リクエストメトリクスは、 Amazon S3 リクエストをモニタリングし、オペレーションの問題をすばやく特定して対応するのに役立ちます。
デフォルトでは、 リクエストメトリクスはバケットレベルで利用可能です。ただし、共有プレフィクス、オブジェクトタグ、またはアクセスポイントを使用して、リクエストメトリクスのフィルタを定義できます。アクセスポイントフィルタを作成すると、リクエストメトリクスの設定に、指定したアクセスポイントへのリクエストが含まれます。メトリクスの受信、アラームの設定、およびダッシュボードへのアクセスにより、このアクセスポイントで実行されたオペレーションをリアルタイムで表示できます。
コンソールで設定するか、Amazon S3 API を使用して、リクエストメトリクスをオプトインする必要があります。リクエストメトリクスは、処理のレイテンシーの後に 1 分間隔で使用できます。リクエストメトリクスは、CloudWatch カスタムメトリクスと同じ料金レートで請求されます。詳細については、「[Amazon CloudWatch の料金](https://aws.amazon.com/cloudwatch/pricing/)」を参照してください。
アクセスポイントでフィルタリングするリクエストメトリクスの設定を作成する方法は、[プレフィックス、オブジェクトタグ、またはアクセスポイントでのメトリクス設定の作成](metrics-configurations-filter.md) を参照してください。
## AWS CloudTrail アクセスポイントを介して行われたリクエストのログ
サーバーアクセスロギングおよび AWS CloudTrail を使用して、アクセスポイントを介して行われたリクエストと、アクセスポイントを管理する API に対するリクエスト (`CreateAccessPoint` や `GetAccessPointPolicy,` など) をログに記録します。
アクセスポイントを介して行われたリクエストの CloudTrail ログエントリには、ログの `resources` セクションにアクセスポイント ARN が含まれます。
例えば、次の設定があるとします。
+ *`my-image.jpg`* という名前のオブジェクトを含むリージョン *`us-west-2`* の *`amzn-s3-demo-bucket1`* という名前のバケット
+ *`amzn-s3-demo-bucket1`* に関連付けられた *`my-bucket-ap`* という名前のアクセスポイント
+ の AWS アカウント ID*`123456789012`*
以下の例は、`resources`前述の設定の CloudTrail ログエントリの セクションを示しています。
```
"resources": [
{"type": "AWS::S3::Object",
"ARN": "arn:aws:s3:::amzn-s3-demo-bucket1/my-image.jpg"
},
{"accountId": "123456789012",
"type": "AWS::S3::Bucket",
"ARN": "arn:aws:s3:::amzn-s3-demo-bucket1"
},
{"accountId": "123456789012",
"type": "AWS::S3::AccessPoint",
"ARN": "arn:aws:s3:us-west-2:123456789012:accesspoint/my-bucket-ap"
}
]
```
Amazon FSx ファイルシステムのボリュームにアタッチされたアクセスポイントを使用している場合、CloudTrail ログエントリの `resources` セクションは異なります。例えば、次のようになります。
```
"resources": [
{
"accountId": "123456789012",
"type": "AWS::FSx::Volume",
"ARN": "arn:aws:fsx:us-east-1:123456789012:volume/fs-0123456789abcdef9/fsvol-01234567891112223"
}
]
```
S3 サーバーのアクセスログの詳細については、「[サーバーアクセスログによるリクエストのログ記録](ServerLogs.md)」を参照してください。AWS CloudTrail の詳細については、[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)の *AWS CloudTrail とは*を参照してください。
# アクセスポイントの作成
S3 アクセスポイントは、AWS マネジメントコンソール、AWS Command Line Interface (AWS CLI)、AWS SDK、または Amazon S3 REST API を使用して作成できます。アクセスポイントは、バケット、Amazon FSx for ONTAP ボリューム、Amazon FSx for OpenZFS ボリュームなどのデータソースにアタッチされた名前付きネットワークエンドポイントです。
デフォルトでは、リージョンごとに AWS アカウントあたり最大 10,000 個のアクセスポイントを作成できます。1 つのリージョンで 1 つのアカウントに 10,000 個を超えるアクセスポイントが必要な場合は、サービスクォータの引き上げをリクエストできます。サービスクォータと引き上げリクエストの詳細については、「*AWS 全般のリファレンス*」の「[AWS Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)」を参照してください。
**Topics**
+ [
## S3 バケットを使用してアクセスポイントを作成する
](#create-access-points)
+ [
## Amazon FSx を使用してアクセスポイントを作成する
](#create-access-points-with-fsx)
+ [
# Virtual Private Cloud に制限されたアクセスポイントの作成
](access-points-vpc.md)
+ [
# 汎用バケットのアクセスポイントへのパブリックアクセスの管理
](access-points-bpa-settings.md)
## S3 バケットを使用してアクセスポイントを作成する
アクセスポイントは、1 つの Amazon S3 汎用バケットにのみ関連付けられます。AWS アカウント でバケットを使用する場合は、まずバケットを作成する必要があります。バケットの作成の詳細については、[Amazon S3 汎用バケットの作成、設定、操作](creating-buckets-s3.md)」を参照してください。
バケット名とバケット所有者のアカウント ID がわかっていれば、別の AWS アカウント のバケットに関連するクロスアカウントアクセスポイントを作成することもできます。ただし、クロスアカウントアクセスポイントを作成しても、バケット所有者からアクセス権が付与されるまで、バケット内のデータへのアクセスは許可されません。バケット所有者は、バケットポリシーを通じて、アクセスポイント所有者のアカウント (お客様のアカウント) にバケットへのアクセス権を付与する必要があります。詳細については、「[クロスアカウントアクセスポイントへのアクセス許可の付与](access-points-policies.md#access-points-cross-account)」を参照してください。
### S3 コンソールの使用
**アクセスポイントを作成するには**
1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。
1. ページ上部にあるナビゲーションバーで、現在表示されている AWS リージョン の名前をクリックします。次に、アクセスポイントを作成するリージョンを選択します。アクセスポイントは、関連付けられたバケットと同じリージョンに作成する必要があります。
1. 左のナビゲーションペインで、[**アクセスポイント**] を選択します。
1. [**アクセスポイント**] ページで、[**アクセスポイントの作成**] を選択します。
1. **[アクセスポイント名]** フィールドに、アクセスポイントの名前を入力します。アクセスポイントの名前付けの詳細については、「[アクセスポイントの命名規則](access-points-restrictions-limitations-naming-rules.md#access-points-names)」を参照してください。
1. **[データソース]** には、アクセスポイントで使用する S3 バケットを指定します。
アカウントのバケットを使用するには、**[このアカウント内のバケットを選択]** を選択し、バケット名を入力または参照します。
別の AWS アカウント でバケットを使用するには、**[別のアカウントのバケットを指定]** を選択し、バケットの AWS アカウント ID と名前を入力します。別の AWS アカウント でバケットを使用している場合は、バケット所有者がアクセスポイントからのリクエストを許可するようにバケットポリシーを更新する必要があります。バケットポリシーの例については、「[クロスアカウントアクセスポイントへのアクセス許可の付与](access-points-policies.md#access-points-cross-account)」を参照してください。
**注記**
FSx for OpenZFS ボリュームをデータソースとして使用する方法については、「[Amazon FSx を使用してアクセスポイントを作成する](#create-access-points-with-fsx)」を参照してください。
1. **[インターネット]** または **[仮想プライベートクラウド (VPC)]** のいずれかの **[ネットワークオリジン]** を選択します。**[仮想プライベートクラウド (VPC)]** を選択した場合は、アクセスポイントで使用する **[VPC ID]** を入力します。
アクセスポイントのネットワークオリジンの詳細については、「[Virtual Private Cloud に制限されたアクセスポイントの作成](access-points-vpc.md)」を参照してください。
1. [**Block Public Access settings for this Access Point**] (このアクセスポイントのパブリックアクセス設定をブロック) で、アクセスポイントに適用するパブリックアクセスブロック設定を選択します。デフォルトでは、新しいアクセスポイントに対してすべてのブロックパブリックアクセス設定が有効になります。これらの設定を特に無効にする必要がある場合を除いて、すべての設定を有効にしておくことをお勧めします。
**注記**
アクセスポイントの作成後は、アクセスポイントパブリックアクセスのブロック設定を変更できません。
アクセスポイントで Amazon S3 パブリックアクセスブロックを使用することについて詳細は、「[汎用バケットのアクセスポイントへのパブリックアクセスの管理](access-points-bpa-settings.md)」を参照してください。
1. (オプション) [**Access Point policy - *optional***] (アクセスポイントポリシー - オプション) で、アクセスポイントポリシーを指定します。ポリシーを保存する前に、セキュリティ警告、エラー、一般的な警告、および提案を解決してください。アクセスポイントポリシーの指定の詳細については、「[アクセスポイントのポリシーの例](access-points-policies.md#access-points-policy-examples)」を参照してください。
1. [**アクセスポイントの作成**] を選択します。
### AWS CLI の使用
以下の例では、アカウント *`111122223333`* のバケット *`amzn-s3-demo-bucket`* に「*`example-ap`*」という名前のアクセスポイントを作成します。アクセスポイントを作成するには、以下を指定するリクエストを Amazon S3 に送信します。
+ アクセスポイント名。命名規則の詳細については、「[アクセスポイントの命名規則](access-points-restrictions-limitations-naming-rules.md#access-points-names)」を参照してください。
+ アクセスポイントを関連付けるバケットの名前。
+ アクセスポイントを所有している AWS アカウントのアカウント ID。
```
aws s3control create-access-point --name example-ap --account-id 111122223333 --bucket amzn-s3-demo-bucket
```
別の AWS アカウント でバケットを使用してアクセスポイントを作成する場合は、`--bucket-account-id` パラメータを含めてください。次のコマンド例では、AWS アカウント *`444455556666`* にあるバケット *`amzn-s3-demo-bucket2`* を使用してAWS アカウント *`111122223333`* にアクセスポイントを作成します。
```
aws s3control create-access-point --name example-ap --account-id 111122223333 --bucket amzn-s3-demo-bucket --bucket-account-id 444455556666
```
### REST API の使用
REST API を使用してアクセスポイントを作成できます。詳細については、「**Amazon Simple Storage Service API リファレンス」の「[https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html)」を参照してください。
## Amazon FSx を使用してアクセスポイントを作成する
Amazon FSx コンソール、AWS CLI、または API を使用して、アクセスポイントを作成して FSx for OpenZFS ボリュームにアタッチできます。アタッチしたら、S3 オブジェクト API を使用してファイルデータにアクセスできます。データは引き続き Amazon FSx ファイルシステムに存在し、既存のワークロードから直接アクセスできます。バックアップ、スナップショット、ユーザーおよびグループのクォータ、圧縮など、すべての FSx for OpenZFS ストレージ管理機能を使用してストレージを管理し続けます。
アクセスポイントを作成して FSx for OpenZFS ボリュームにアタッチする手順については、「*FSx for OpenZFS ユーザーガイド*」の「[アクセスポイントの作成](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/create-access-points.html)」を参照してください。
# Virtual Private Cloud に制限されたアクセスポイントの作成
アクセスポイントを作成するときに、そのアクセスポイントをインターネットからアクセス可能にするか、特定の 仮想プライベートクラウド (VPC) からのリクエストにのみアクセスを制限するかを指定できます。インターネットからアクセス可能なアクセスポイントは、`Internet` をネットワークオリジンとすると言います。この種のアクセスポイントは、インターネット上のどこからでも利用できます。ただし、このアクセスポイントや、基となるデータソース、関連リソース (リクエストされたオブジェクトなど) に関する他のすべてのアクセス制限に従うことを条件とします。指定された VPC からのみアクセス可能なアクセスポイントは `VPC` をネットワークオリジンとします。Amazon S3 は、アクセスポイントに対するその VPC からのリクエストを除いて、他のすべてのリクエストを拒否します。
**重要**
アクセスポイントのネットワークオリジンは、アクセスポイントの作成時にのみ指定できます。アクセスポイントの作成後は、そのネットワークオリジンを変更できません。
アクセスポイントを VPC からのアクセスにのみ制限するには、アクセスポイントを作成するリクエストに `VpcConfiguration` パラメータを含めます。`VpcConfiguration` パラメータには、アクセスポイントを使用できるようにする VPC ID を指定します。アクセスポイントを介してリクエストが行われた場合、リクエストは VPC から発信されている必要があり、そうでない場合、Amazon S3 はそれを拒否します。
アクセスポイントのネットワークオリジンを取得するには、AWS CLI、AWS SDK、または REST API を使用します。アクセスポイントに VPC 設定が指定されている場合、そのネットワークオリジンは `VPC` です。それ以外の場合、アクセスポイントのネットワークオリジンは `Internet` です。
## 例: アクセスポイントの作成と VPC ID への制限
次の例では、アカウント `123456789012` のバケット `amzn-s3-demo-bucket` に対して `vpc-1a2b3c` VPC からのアクセスのみを許可する `example-vpc-ap` という名前のアクセスポイントを作成します。次に、新しいアクセスポイントのネットワークオリジンが `VPC` であることを確認します。
------
#### [ AWS CLI ]
```
aws s3control create-access-point --name example-vpc-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket --vpc-configuration VpcId=vpc-1a2b3c
```
```
aws s3control get-access-point --name example-vpc-ap --account-id 123456789012
{
"Name": "example-vpc-ap",
"Bucket": "amzn-s3-demo-bucket",
"NetworkOrigin": "VPC",
"VpcConfiguration": {
"VpcId": "vpc-1a2b3c"
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"IgnorePublicAcls": true,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2019-11-27T00:00:00Z"
}
```
------
VPC でアクセスポイントを使用するには、VPC エンドポイントのアクセスポリシーを変更する必要があります。VPC エンドポイントは、VPC から Amazon S3 へのトラフィックフローを許可します。これらのエンドポイントには、VPC 内のリソースに対して Amazon S3 とのやり取りを許可する方法を制御するアクセスコントロールポリシーがあります。アクセスポイントを経由した VPC から Amazon S3 へのリクエストが成功するのは、VPC エンドポイントポリシーがアクセスポイントおよび基となるバケットの両方へのアクセスを許可した場合のみです。
**注記**
VPC 内でのみリソースにアクセスできるようにするには、VPC エンドポイントエンドポイントに対して[プライベートホストゾーン](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html)を必ず作成してください。プライベートホストゾーンを使うには、[VPC 設定を変更](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)して、[VPC のネットワーク属性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) `enableDnsHostnames` と `enableDnsSupport` を `true` に設定してください。
次のポリシーステートメントの例では、`GetObject` という名前のバケットと `awsexamplebucket1` という名前のアクセスポイントに対する `example-vpc-ap` の呼び出しを許可するように VPC エンドポイントを設定します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::awsexamplebucket1/*",
"arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*"
]
}]
}
```
------
**注記**
この例の `"Resource"` 宣言では、Amazon リソースネーム (ARN) を使用してアクセスポイントを指定します。アクセスポイントの ARN の詳細については、「[ARN、アクセスポイントエイリアス、または仮想ホスト形式の URI を使用したアクセスポイントの参照](access-points-naming.md)」を参照してください。
VPC エンドポイントポリシーの詳細については、*VPC ユーザーガイド*の「[Amazon S3 のエンドポイントポリシーの使用](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3)」を参照してください。
VPC エンドポイントを使用してアクセスポイントを作成するチュートリアルについては、「[Managing Amazon S3 access with VPC endpoints and access points](https://aws.amazon.com/blogs/storage/managing-amazon-s3-access-with-vpc-endpoints-and-s3-access-points/)」を参照してください。
## 例: FSx for OpenZFS ボリュームにアタッチされたアクセスポイントを作成して VPC ID に制限する
Amazon FSx コンソール、AWS CLI、または API を使用して、FSx for OpenZFS ボリュームにアタッチされたアクセスポイントを作成できます。アタッチしたら、S3 オブジェクト API を使用して、指定された VPC からファイルデータにアクセスできます。
FSx for OpenZFS ボリュームにアタッチされたアクセスポイントを作成および制限する手順については、「*FSx for OpenZFS ユーザーガイド*」の「[仮想プライベートクラウド (VPC) に制限されたアクセスポイントの作成](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/create-access-points.html)」を参照してください。
## 例: FSX for ONTAP ボリュームにアタッチされたアクセスポイントを作成して VPC ID に制限する
Amazon FSx コンソール、AWS CLI、または API を使用して、FSx for ONTAP ボリュームにアタッチされたアクセスポイントを作成できます。アタッチしたら、S3 オブジェクト API を使用して、指定された VPC からファイルデータにアクセスできます。
FSx for ONTAP ボリュームにアタッチされたアクセスポイントを作成および制限する手順については、「[https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-vpc.html](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-vpc.html)」を参照してください。
# 汎用バケットのアクセスポイントへのパブリックアクセスの管理
Amazon S3 アクセスポイントは、アクセスポイントごとに独立した*ブロックパブリックアクセス*設定をサポートしています。アクセスポイントを作成するときに、そのアクセスポイントに適用するブロックパブリックアクセス設定を指定できます。アクセスポイントを経由するすべてのリクエストについて、Amazon S3 は、そのアクセスポイント、基となるバケット、およびバケット所有者のアカウントに関するパブリックアクセスブロック設定を評価します。これらの設定のいずれかで、リクエストをブロックする必要があることが示されると、Amazon S3 はリクエストを拒否します。
S3 のブロックパブリックアクセス機能の詳細については、「[Amazon S3 ストレージへのパブリックアクセスのブロック](access-control-block-public-access.md)」を参照してください。
**重要**
デフォルトでは、アクセスポイントに対してすべてのブロックパブリックアクセス設定が有効になります。アクセスポイント作成時に、不要な設定を明示的に無効にする必要があります。
Amazon FSx ファイルシステムにアタッチされたアクセスポイントを作成または使用する場合、ブロックパブリックアクセス設定をオフにすることはできません。
アクセスポイントの作成後は、アクセスポイントパブリックアクセスのブロック設定を変更できません。
**Example**
***例: カスタムのブロックパブリックアクセス設定を使用してアクセスポイントを作成する***
この例では、デフォルトではないブロックパブリックアクセス設定を使用して、アカウント `example-ap` のバケット `amzn-s3-demo-bucket` に対して`123456789012` という名前のアクセスポイントを作成します。次に、新しいアクセスポイントの設定を取得して、ブロックパブリックアクセス設定を確認します。
```
aws s3control create-access-point --name example-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket--public-access-block-configuration BlockPublicAcls=false,IgnorePublicAcls=false,BlockPublicPolicy=true,RestrictPublicBuckets=true
```
```
aws s3control get-access-point --name example-ap --account-id 123456789012
{
"Name": "example-ap",
"Bucket": "amzn-s3-demo-bucket",
"NetworkOrigin": "Internet",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"IgnorePublicAcls": false,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2019-11-27T00:00:00Z"
}
```
# 汎用バケットの Amazon S3 アクセスポイントの管理
このセクションでは、AWS マネジメントコンソール、AWS Command Line Interface、または REST API を使用して汎用バケットの Amazon S3 アクセスポイントを管理する方法について説明します。FSx for OpenZFS ボリュームにアタッチされたアクセスポイントの管理については、「*FSx for OpenZFS ユーザーガイド*」の「[Amazon S3 アクセスポイントの管理](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/access-points-manage.html)」を参照してください。
**注記**
アクセスポイントは、オブジェクトに対するオペレーションの実行にのみ使用できます。アクセスポイントを使用して、バケットの削除や S3 レプリケーション設定の作成など、他の Amazon S3 オペレーションを実行することはできません。アクセスポイントをサポートする S3 オペレーションの詳細なリストについては、「[アクセスポイントの互換性](access-points-service-api-support.md)」を参照してください。
**Topics**
+ [
# 汎用バケットのアクセスポイントを一覧表示する
](access-points-list.md)
+ [
# 汎用バケットのアクセスポイントの詳細を表示する
](access-points-details.md)
+ [
# 汎用バケットのアクセスポイントを削除する
](access-points-delete.md)
# 汎用バケットのアクセスポイントを一覧表示する
このセクションでは、AWS マネジメントコンソール、AWS Command Line Interface、または REST API を使用して汎用バケットのアクセスポイントを一覧表示する方法について説明します。
## S3 コンソールの使用
**AWS アカウント内のすべてのアクセスポイントを一覧表示するには**
1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) を開きます。
1. ページ上部にあるナビゲーションバーで、現在表示されている AWS リージョン の名前をクリックします。次に、アクセスポイントをリスト表示するリージョンを選択します。
1. コンソールの左側のナビゲーションペインで、**[アクセスポイント]** を選択します。
1. (オプション) アクセスポイントを名前で検索します。選択した AWS リージョンのアクセスポイントのみがここに表示されます。
1. 管理または使用するアクセスポイントの名前を選択します。
## の使用AWS CLI
次の `list-access-points` コマンド例は、AWS CLI を使用してアクセスポイントを一覧表示する方法を示しています。
次のコマンドは、AWS アカウント *111122223333* のアクセスポイントを一覧表示します。
```
aws s3control list-access-points --account-id 111122223333
```
次のコマンドは、バケット *amzn-s3-demo-bucket* にアタッチされている AWS アカウント *111122223333* のアクセスポイントを一覧表示します。
```
aws s3control list-access-points --account-id 111122223333 --bucket amzn-s3-demo-bucket
```
詳細と例については、「AWS CLI コマンドリファレンス」の「[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points.html)」を参照してください。**
## REST API の使用
REST API を使用してアクセスポイントを一覧表示できます。詳細については、「**Amazon Simple Storage Service API リファレンス」の「[https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPoints.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPoints.html)」を参照してください。
# 汎用バケットのアクセスポイントの詳細を表示する
このセクションでは、AWS マネジメントコンソール、AWS Command Line Interface、または REST API を使用して汎用バケットのアクセスポイントの詳細を表示する方法について説明します。
## S3 コンソールの使用
**AWS アカウント内のアクセスポイントの詳細を表示するには**
1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) を開きます。
1. ページ上部にあるナビゲーションバーで、現在表示されている AWS リージョン の名前をクリックします。次に、アクセスポイントをリスト表示するリージョンを選択します。
1. コンソールの左側のナビゲーションペインで、**[アクセスポイント]** を選択します。
1. (オプション) アクセスポイントを名前で検索します。選択した AWS リージョンのアクセスポイントのみがここに表示されます。
1. 管理または使用するアクセスポイントの名前を選択します。
1. **[プロパティ]** タブを選択すると、選択したアクセスポイントのアクセスポイントデータソース、アカウント ID、AWS リージョン、作成日、ネットワークオリジン、S3 URI、ARN、アクセスポイントエイリアスが表示されます。
1. **[アクセス許可]** タブを選択すると、選択したアクセスポイントの [ブロックパブリックアクセス] 設定とアクセスポイントポリシーが表示されます。
**注記**
アクセスポイントの作成後は、アクセスポイントの [ブロックパブリックアクセス] 設定を変更することはできません。
## の使用AWS CLI
次の `get-access-point` コマンド例は、AWS CLI を使用してアクセスポイントの詳細を表示する方法を示しています。
次のコマンドは、S3 バケット *amzn-s3-demo-bucket* にアタッチされた AWS アカウント *111122223333* のアクセスポイント *my-access-point* の詳細を一覧表示します。
```
aws s3control get-access-point --name my-access-point --account-id 111122223333
```
出力例:
```
{
"Name": "my-access-point",
"Bucket": "amzn-s3-demo-bucket",
"NetworkOrigin": "Internet",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"IgnorePublicAcls": true,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2016-08-29T22:57:52Z",
"Alias": "my-access-point-u1ny6bhm7moymqx8cuon8o1g4mwikuse2a-s3alias",
"AccessPointArn": "arn:aws:s3:AWS リージョン:111122223333:accesspoint/my-access-point",
"Endpoints": {
"ipv4": "s3-accesspoint.AWS リージョン.amazonaws.com",
"fips": "s3-accesspoint-fips.AWS リージョン.amazonaws.com",
"fips_dualstack": "s3-accesspoint-fips.dualstack.AWS リージョン.amazonaws.com",
"dualstack": "s3-accesspoint.dualstack.AWS リージョン.amazonaws.com"
},
"BucketAccountId": "111122223333"
}
```
次のコマンドは、AWS アカウント *444455556666* のアクセスポイント *example-fsx-ap* の詳細を一覧表示します。このアクセスポイントは Amazon FSx ファイルシステムにアタッチされます。
```
aws s3control get-access-point --name example-fsx-ap --account-id 444455556666
```
出力例:
```
{
"Name": "example-fsx-ap",
"Bucket": "",
"NetworkOrigin": "Internet",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"IgnorePublicAcls": true,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2025-01-19T14:16:12Z",
"Alias": "example-fsx-ap-qrqbyebjtsxorhhaa5exx6r3q7-ext-s3alias",
"AccessPointArn": "arn:aws:s3:AWS リージョン:444455556666:accesspoint/example-fsx-ap",
"Endpoints": {
"ipv4": "s3-accesspoint.AWS リージョン.amazonaws.com",
"fips": "s3-accesspoint-fips.AWS リージョン.amazonaws.com",
"fips_dualstack": "s3-accesspoint-fips.dualstack.AWS リージョン.amazonaws.com",
"dualstack": "s3-accesspoint.dualstack.AWS リージョン.amazonaws.com"
},
"DataSourceId": "arn:aws::fsx:AWS リージョン:444455556666:file-system/fs-5432106789abcdef0/volume/vol-0123456789abcdef0",
"DataSourceType": "FSX_OPENZFS"
}
```
詳細と例については、「AWS CLI コマンドリファレンス」の「[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point.html)」を参照してください。**
## REST API の使用
REST API を使用して、アクセスポイントの詳細を表示できます。詳細については、「**Amazon Simple Storage Service API リファレンス」の「[https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html)」を参照してください。
# 汎用バケットのアクセスポイントを削除する
このセクションでは、AWS マネジメントコンソール、AWS Command Line Interface、または REST API を使用して汎用バケットのアクセスポイントを削除する方法について説明します。
## S3 コンソールの使用
**AWS アカウント内のアクセスポイントを削除するには**
1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) を開きます。
1. ページ上部にあるナビゲーションバーで、現在表示されている AWS リージョン の名前をクリックします。次に、アクセスポイントをリスト表示するリージョンを選択します。
1. コンソールの左側のナビゲーションペインで、**[アクセスポイント]** を選択します。
1. (オプション) アクセスポイントを名前で検索します。選択した AWS リージョンのアクセスポイントのみがここに表示されます。
1. 管理または使用するアクセスポイントの名前を選択します。
1. **[アクセスポイント]** ページから、**[削除]** を選択して、選択したアクセスポイントを削除します。
1. 削除を確認するには、アクセスポイントの名前を入力し、**[削除]** を選択します。
## の使用AWS CLI
次の `delete-access-point` コマンド例は、AWS CLI を使用してアクセスポイントを削除する方法を示しています。
次のコマンドは、AWS アカウント *111122223333* のアクセスポイント *my-access-point* を削除します。
```
aws s3control delete-access-point --name my-access-point --account-id 111122223333
```
詳細と例については、「AWS CLI コマンドリファレンス」の「[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point.html)」を参照してください。**
## REST API の使用
REST API を使用して、アクセスポイントの詳細を表示できます。詳細については、「**Amazon Simple Storage Service API リファレンス」の「[https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html)」を参照してください。
# 汎用バケットでの Amazon S3 アクセスポイントの使用
以下の例は、Amazon S3 の互換性のあるオペレーションで汎用バケットのアクセスポイントを使用する方法を示しています。
**注記**
S3 は、すべてのアクセスポイントに対してアクセスポイントエイリアスを自動的に生成します。これらのエイリアスは、バケット名を使用してオブジェクトレベルのオペレーションを実行する任意の場所で使用できます。詳細については、「[アクセスポイントエイリアス](access-points-naming.md#access-points-alias)」を参照してください。
汎用バケットのアクセスポイントは、オブジェクトに対するオペレーションの実行にのみ使用できます。アクセスポイントを使用して、バケットの変更や削除など、他の Amazon S3 オペレーションを実行することはできません。アクセスポイントをサポートする S3 オペレーションの詳細なリストについては、「[アクセスポイントの互換性](access-points-service-api-support.md)」を参照してください。
**Topics**
+ [
# 汎用バケットのアクセスポイントを介してオブジェクトを一覧表示する
](list-object-ap.md)
+ [
# 汎用バケットのアクセスポイントを介してオブジェクトをダウンロードする
](get-object-ap.md)
+ [
# 汎用バケットのアクセスポイントを介してアクセスコントロールリスト (ACL) を設定する
](put-acl-permissions-ap.md)
+ [
# 汎用バケットのアクセスポイントを介してオブジェクトをアップロードする
](put-object-ap.md)
+ [
# 汎用バケットのアクセスポイントを介してタグセットを追加する
](add-tag-set-ap.md)
+ [
# 汎用バケットのアクセスポイントを介してオブジェクトを削除する
](delete-object-ap.md)
# 汎用バケットのアクセスポイントを介してオブジェクトを一覧表示する
このセクションでは、AWS マネジメントコンソール、AWS Command Line Interface、または REST API を使用して汎用バケットのアクセスポイントを介してオブジェクトを一覧表示する方法について説明します。
## S3 コンソールの使用
**AWS アカウントのアクセスポイント経由でオブジェクトを一覧表示するには**
1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) を開きます。
1. ページ上部にあるナビゲーションバーで、現在表示されている AWS リージョン の名前をクリックします。次に、アクセスポイントをリスト表示するリージョンを選択します。
1. コンソールの左側のナビゲーションペインで、**[アクセスポイント]** を選択します。
1. (オプション) アクセスポイントを名前で検索します。選択した AWS リージョンのアクセスポイントのみがここに表示されます。
1. 管理または使用するアクセスポイントの名前を選択します。
1. **[オブジェクト]** タブで、アクセスポイント経由でアクセスするオブジェクトの名前を表示できます。アクセスポイントを使用する際は、アクセスポイントのアクセス許可で許可されているオブジェクト操作のみを実行できます。
**注記**
コンソールビューには、バケット内のすべてのオブジェクトが常に表示されます。この手順で説明しているようにアクセスポイントを使用すると、これらのオブジェクトに実行できるオペレーションは制限されますが、オブジェクトがバケット内に存在するかどうかの確認は制限されません。
AWS マネジメントコンソールでは、仮想プライベートクラウド (VPC) アクセスポイントを使用したバケットリソースへのアクセスはサポートされていません。VPC アクセスポイントからバケットのリソースにアクセスするには、AWS CLI、AWS SDK、または Amazon S3 REST API を使用します。
## の使用AWS CLI
次の `list-objects-v2` コマンド例は、AWS CLI を使用してアクセスポイント経由でオブジェクトを一覧表示する方法を示しています。
次のコマンドは、アクセスポイント *my-access-point* を使用して AWS アカウント *111122223333* のオブジェクトを一覧表示します。
```
aws s3api list-objects-v2 --bucket arn:aws:s3:AWS リージョン:111122223333:accesspoint/my-access-point
```
**注記**
S3 は、すべてのアクセスポイントに対してアクセスポイントエイリアスを自動的に生成します。これらのエイリアスは、バケット名を使用してオブジェクトレベルのオペレーションを実行する任意の場所で使用できます。詳細については、「[アクセスポイントエイリアス](access-points-naming.md#access-points-alias)」を参照してください。
詳細と例については、「AWS CLI コマンドリファレンス」の「[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-objects-v2.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-objects-v2.html)」を参照してください。**
## REST API の使用
REST API を使用してアクセスポイントを一覧表示できます。詳細については、「**Amazon Simple Storage Service API リファレンス」の「[https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)」を参照してください。
# 汎用バケットのアクセスポイントを介してオブジェクトをダウンロードする
このセクションでは、AWS マネジメントコンソール、AWS Command Line Interface、または REST API を使用して汎用バケットのアクセスポイントを介してオブジェクトをダウンロードする方法について説明します。
## S3 コンソールの使用
**AWS アカウント内のアクセスポイント経由でオブジェクトをダウンロードするには**
1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) を開きます。
1. ページ上部にあるナビゲーションバーで、現在表示されている AWS リージョン の名前をクリックします。次に、アクセスポイントをリスト表示するリージョンを選択します。
1. コンソールの左側のナビゲーションペインで、**[アクセスポイント]** を選択します。
1. (オプション) アクセスポイントを名前で検索します。選択した AWS リージョンのアクセスポイントのみがここに表示されます。
1. 管理または使用するアクセスポイントの名前を選択します。
1. **[オブジェクト]** タブで、ダウンロードするオブジェクトの名前を選択します。
1. [**ダウンロード**] を選択します。
## の使用AWS CLI
次の `get-object` コマンド例は、AWS CLI を使用してアクセスポイント経由でオブジェクトをダウンロードする方法を示しています。
次のコマンドは、アクセスポイント *my-access-point* を使用して AWS アカウント *111122223333* のオブジェクト `puppy.jpg` をダウンロードします。`my_downloaded_image.jpg` など、ダウンロードしたオブジェクトのファイル名である `outfile` を含める必要があります。
```
aws s3api get-object --bucket arn:aws:s3:AWS リージョン:111122223333:accesspoint/my-access-point --key puppy.jpg my_downloaded_image.jpg
```
**注記**
S3 は、すべてのアクセスポイントに対してアクセスポイントエイリアスを自動的に生成します。これらのエイリアスは、バケット名を使用してオブジェクトレベルのオペレーションを実行する任意の場所で使用できます。詳細については、「[アクセスポイントエイリアス](access-points-naming.md#access-points-alias)」を参照してください。
詳細と例については、「AWS CLI コマンドリファレンス」の「[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-object.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-object.html)」を参照してください。**
## REST API の使用
REST API を使用して、アクセスポイントを介してオブジェクトをダウンロードできます。詳細については、「**Amazon Simple Storage Service API リファレンス」の「[https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)」を参照してください。
## AWS SDK の使用
AWS SDK for Python を使用して、アクセスポイントを介してオブジェクトをダウンロードできます。
------
#### [ Python ]
次の例では、*my-access-point* という名前のアクセスポイントを使用して、`hello.txt` という名前のファイルが AWS アカウント *111122223333* 用にダウンロードされます。
```
import boto3
s3 = boto3.client('s3')
s3.download_file('arn:aws:s3:us-east-1:111122223333:accesspoint/my-access-point', 'hello.txt', '/tmp/hello.txt')
```
------
# 汎用バケットのアクセスポイントを介してアクセスコントロールリスト (ACL) を設定する
このセクションでは、AWS マネジメントコンソール、AWS Command Line Interface、または REST API を使用して汎用バケットのアクセスポイント経由で ACL を設定する方法について説明します。ACL の詳細については、「[アクセスコントロールリスト (ACL) の概要](acl-overview.md)」を参照してください。
## S3 コンソールの使用
**AWS アカウント内のアクセスポイント経由で ACL を設定するには**
1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) を開きます。
1. ページ上部にあるナビゲーションバーで、現在表示されている AWS リージョン の名前をクリックします。次に、アクセスポイントをリスト表示するリージョンを選択します。
1. コンソールの左側のナビゲーションペインで、**[アクセスポイント]** を選択します。
1. (オプション) アクセスポイントを名前で検索します。選択した AWS リージョンのアクセスポイントのみがここに表示されます。
1. 管理または使用するアクセスポイントの名前を選択します。
1. **[オブジェクト]** タブで、ACL を設定するオブジェクトの名前を選択します。
1. **[アクセス許可]** タブで、**[編集]** を選択してオブジェクト ACL を設定します。
**注記**
Amazon S3 は、現在、アクセスポイントの作成後におけるアクセスポイントのブロックパブリックアクセス設定の変更をサポートしていません。
## の使用AWS CLI
次の `put-object-acl` コマンド例は、AWS CLI を使用して、ACL を使ってアクセスポイント経由でアクセス許可を設定する方法を示しています。
次のコマンドは、AWS アカウント *111122223333* が所有するアクセスポイント経由で既存のオブジェクト `puppy.jpg` に ACL を適用します。
```
aws s3api put-object-acl --bucket arn:aws:s3:AWS リージョン:111122223333:accesspoint/my-access-point --key puppy.jpg --acl private
```
**注記**
S3 は、すべてのアクセスポイントに対してアクセスポイントエイリアスを自動的に生成します。これらのエイリアスは、バケット名を使用してオブジェクトレベルのオペレーションを実行する任意の場所で使用できます。詳細については、「[アクセスポイントエイリアス](access-points-naming.md#access-points-alias)」を参照してください。
詳細と例については、「AWS CLI コマンドリファレンス」の「[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-acl.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-acl.html)」を参照してください。**
## REST API の使用
REST API を使用して、ACL を使ってアクセスポイント経由でアクセス許可を設定できます。詳細については、「**Amazon Simple Storage Service API リファレンス」の「[https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html)」を参照してください。
# 汎用バケットのアクセスポイントを介してオブジェクトをアップロードする
このセクションでは、AWS マネジメントコンソール、AWS Command Line Interface、または REST API を使用して汎用バケットのアクセスポイントを介してオブジェクトをアップロードする方法について説明します。
## S3 コンソールの使用
**AWS アカウント内のアクセスポイント経由でオブジェクトをアップロードするには**
1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) を開きます。
1. ページ上部にあるナビゲーションバーで、現在表示されている AWS リージョン の名前をクリックします。次に、アクセスポイントをリスト表示するリージョンを選択します。
1. コンソールの左側のナビゲーションペインで、**[アクセスポイント]** を選択します。
1. (オプション) アクセスポイントを名前で検索します。選択した AWS リージョンのアクセスポイントのみがここに表示されます。
1. 管理または使用するアクセスポイントの名前を選択します。
1. **[オブジェクト]** タブで、**[アップロード]** を選択します。
1. アップロードするファイルやフォルダをここにドラッグアンドドロップするか、**[ファイルを追加]** または **[フォルダの追加]** を選択します。
**注記**
Amazon S3 コンソールを使用すると、アップロードできるファイルの最大サイズが 160 GB になります。160 GB を超えるファイルをアップロードするには、AWS Command Line Interface (AWS CLI)、AWS SDK、または Amazon S3 REST API を使用します。
1. アクセスコントロールリストの許可を変更するには、**[Permissions]** (許可) を選択します。
1. **[Access control list (ACL)]** (アクセスコントロールリスト (ACL) で、許可を編集します。
オブジェクトのアクセス許可については、[S3 コンソールを使用した、オブジェクトの ACL アクセス権限の設定](managing-acls.md#set-object-permissions) を参照してください。アップロードするすべてのファイルについて、オブジェクトの読み取りアクセスをパブリック (世界中のすべてのユーザー) に付与できます。ただし、パブリック読み取りアクセスのデフォルト設定を変更しないことをお勧めします。パブリック読み取りアクセス権限の付与は、バケットがウェブサイトなどに使用されるなど、ユースケースの小さいサブセットに適用されます。オブジェクトをアップロードした後で、オブジェクトの許可をいつでも変更できます。
1. その他の追加プロパティを設定するには、**[Properties]** (プロパティ) を選択します。
1. **[ストレージクラス]** で、アップロードするファイルのストレージクラスを選択します。
ストレージクラスの詳細については、[Amazon S3 ストレージクラスの理解と管理](storage-class-intro.md) を参照してください。
1. オブジェクトの暗号化設定を更新するには、[**Server−side encryption settings**] (サーバー側の暗号化設定) で、次の操作を行います。
1. **[Specify an encryption key]** (暗号化キーを指定する) を選択します。
1. **[暗号化設定]** で、**[デフォルトの暗号化にバケット設定を使用する]** または **[デフォルトの暗号化にバケット設定を上書きする]** を選択します。
1. **[デフォルトの暗号化にバケット設定を上書きする]** を選択した場合は、次の暗号化設定を設定する必要があります。
+ Amazon S3 管理のキーを使用してアップロードされたファイルを暗号化するには、**[Amazon S3 マネージドキー (SSE−S3)]** を選択します。
詳細については、「[Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3)](UsingServerSideEncryption.md)」を参照してください。
+ AWS Key Management Service (AWS KMS) に保存されているキーを使用してアップロード済みファイルを暗号化するには、**AWS Key Management Service キー (SSE−KMS)** を選択します。次に、**AWS KMS キー**について、以下のいずれかのオプションを選択します。
+ 使用可能な KMS キーのリストから選択するには、**[AWS KMS keys から選択する]** を選択し、使用可能なキーのリストから自分の **KMS** キーを選択します。
AWS マネージドキー (`aws/s3`) とカスタマーマネージドキーの両方がこのリストに表示されます。カスタマーマネージドキーの詳細については、*AWS Key Management Serviceデベロッパーガイド*の「[カスタマーキーと AWS キー](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt)」を参照してください。
+ KMS キー ARN を入力するには、**[AWS KMS key ARN を入力]** を選択し、表示されるフィールドに KMS キー ARN を入力します。
+ AWS KMS コンソールで新しいカスタマーマネージドキーを作成するには、**[KMS キーを作成]** を選択します。
AWS KMS key の作成の詳細については、**「AWS Key Management Service デベロッパーガイド」の「[キーの作成](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html)」を参照してください。
**重要**
バケットと同じ AWS リージョン で使用可能な KMS キーのみを使用できます。Amazon S3 コンソールには、バケットと同じリージョンで最初の 100 個の KMS キーしか表示されません。リストに存在しない KMS キーを使用するには、KMS キー ARN を入力する必要があります。別のアカウントが所有している KMS キーを使用する場合は、まずそのキーを使用するアクセス許可が必要であり、次に KMS キー ARN を入力する必要があります。
Amazon S3 では、対称暗号化 KMS キーのみがサポートされ、非対称暗号化 KMS キーはサポートされません。詳細については、*AWS Key Management Service デベロッパーガイド*の「[Identifying symmetric and asymmetric KMS keys](https://docs.aws.amazon.com//kms/latest/developerguide/find-symm-asymm.html)」(対称および非対称 KMS キーの識別) を参照してください。
1. 追加のチェックサムを使用するには、**[On]** (オン) を選択します。次に、**[Checksum function]** (チェックサム関数) で、使用する関数を選択します。Amazon S3 は、オブジェクト全体を受け取った後、チェックサム値を計算して保存します。**[Precalculated value]** (事前計算された値) ボックスを使用して、事前計算された値を指定できます。その場合、Amazon S3 は、指定した値と計算した値を比較します。2 つの値が一致しない場合、Amazon S3 はエラーを生成します。
追加のチェックサムを使用すると、データの検証に使用するチェックサムアルゴリズムを指定できます。追加のチェックサムの詳細については、「[Amazon S3 でのオブジェクトの整合性のチェック](checking-object-integrity.md)」を参照してください。
1. アップロードするすべてのオブジェクトにタグを追加するには、[**Add tag (タグの追加)**] を選択します。**[キー]** フィールドにタグ名を入力します。タグの値を入力します。
オブジェクトのタグ付けにより、ストレージを分類する方法が提供されます。各タグはキーと値のペアです。キーとタグ値は大文字と小文字が区別されます。オブジェクトごとに最大 10 個のタグを持つことができます。タグキーには最大 128 個の Unicode 文字、タグ値には最大 255 個の Unicode 文字を使用できます。オブジェクトタグの詳細については、[タグを使用したオブジェクトの分類](object-tagging.md)を参照してください。
1. メタデータを追加するには、[**Add metadata**] (メタデータの追加) を選択します。
1. [**Type**] (タイプ) で、[**System defined**] (システム定義) または [**User defined**] (ユーザー定義) を選択します。
システム定義のメタデータの場合は、**Content−Type** や **Content−Disposition** などの一般的な HTTP ヘッダーを選択できます。システム定義のメタデータのリストと値を追加できるかどうかについては、[システムで定義されたオブジェクトメタデータ](UsingMetadata.md#SysMetadata) を参照してください。プレフィックス `x-amz-meta-` で始まるメタデータはすべてユーザー定義のメタデータとして扱われます。ユーザー定義メタデータはオブジェクトと共に保存され、オブジェクトのダウンロード時に返されます。キーと値の両方が US−ASCII 標準に従っている必要があります。ユーザー定義メタデータのサイズは最大 2 KB です。システム定義メタデータとユーザー定義メタデータの詳細については、[オブジェクトメタデータの使用](UsingMetadata.md) を参照してください。
1. [**Key**] (キー) で、キーを選択します。
1. キーの値を入力します。
1. オブジェクトをアップロードするには、[**Upload**] (アップロード) を選択します。
Amazon S3 はオブジェクトをアップロードします。アップロードが完了すると、[**Upload: status**] (アップロード: ステータス) ページに成功のメッセージが表示されます。
## の使用AWS CLI
次の `put-object` コマンド例は、AWS CLI を使用してアクセスポイント経由でオブジェクトをアップロードする方法を示しています。
次のコマンドは、アクセスポイント *my-access-point* を使用して AWS アカウント *111122223333* のオブジェクト `puppy.jpg` をアップロードします。
```
aws s3api put-object --bucket arn:aws:s3:AWS リージョン:111122223333:accesspoint/my-access-point --key puppy.jpg --body puppy.jpg
```
**注記**
S3 は、すべてのアクセスポイントに対してアクセスポイントエイリアスを自動的に生成します。アクセスポイントエイリアスは、バケット名を使用してオブジェクトレベルのオペレーションを実行する任意の場所で使用できます。詳細については、「[アクセスポイントエイリアス](access-points-naming.md#access-points-alias)」を参照してください。
詳細と例については、「AWS CLI コマンドリファレンス」の「[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object.html)」を参照してください。**
## REST API の使用
REST API を使用して、アクセスポイントを介してオブジェクトをアップロードできます。詳細については、「**Amazon Simple Storage Service API リファレンス」の「[https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)」を参照してください。
## AWS SDK の使用
AWS SDK for Python を使用して、アクセスポイントを介してオブジェクトをアップロードできます。
------
#### [ Python ]
次の例では、*my-access-point* という名前のアクセスポイントを使用して、`hello.txt` という名前のファイルが AWS アカウント *111122223333* 用にアップロードされます。
```
import boto3
s3 = boto3.client('s3')
s3.upload_file('/tmp/hello.txt', 'arn:aws:s3:us-east-1:111122223333:accesspoint/my-access-point', 'hello.txt')
```
------
# 汎用バケットのアクセスポイントを介してタグセットを追加する
このセクションでは、AWS マネジメントコンソール、AWS Command Line Interface、または REST API を使用して汎用バケットのアクセスポイントを介してタグセットを追加する方法について説明します。詳細については、「[タグを使用したオブジェクトの分類](object-tagging.md)」を参照してください。
## S3 コンソールの使用
**AWS アカウント内でのアクセスポイントを使用したタグセットの追加**
1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) を開きます。
1. ページ上部にあるナビゲーションバーで、現在表示されている AWS リージョン の名前をクリックします。次に、アクセスポイントをリスト表示するリージョンを選択します。
1. コンソールの左側のナビゲーションペインで、**[アクセスポイント]** を選択します。
1. (オプション) アクセスポイントを名前で検索します。選択した AWS リージョンのアクセスポイントのみがここに表示されます。
1. 管理または使用するアクセスポイントの名前を選択します。
1. **[オブジェクト]** タブで、タグセットを追加するオブジェクトの名前を選択します。
1. **[プロパティ]** タブで、**[タグ]** サブヘッダーを検索して、**[編集]** を選択します。
1. リストされたオブジェクトを確認し、**[タグの追加]** を選択します。
1. 各オブジェクトタグはキーと値のペアです。**キー**と**値**を入力します。別のタグを追加するには、[**タグの追加**] を選択します。
オブジェクトには最大 10 個のタグを入力できます。
1. **[Save changes]** (変更の保存) をクリックします。
## の使用AWS CLI
次の `put-object-tagging` コマンド例は、AWS CLI を使用してアクセスポイント経由でタグセットを追加する方法を示しています。
次のコマンドは、アクセスポイント *my-access-point* を使用して既存のオブジェクト `puppy.jpg` のタグセットを追加します。
```
aws s3api put-object-tagging --bucket arn:aws:s3:AWS リージョン:111122223333:accesspoint/my-access-point --key puppy.jpg --tagging TagSet=[{Key="animal",Value="true"}]
```
**注記**
S3 は、すべてのアクセスポイントに対してアクセスポイントエイリアスを自動的に生成します。アクセスポイントエイリアスは、バケット名を使用してオブジェクトレベルのオペレーションを実行する任意の場所で使用できます。詳細については、「[アクセスポイントエイリアス](access-points-naming.md#access-points-alias)」を参照してください。
詳細と例については、「AWS CLI コマンドリファレンス」の「[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-tagging.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-tagging.html)」を参照してください。**
## REST API の使用
REST API を使用して、アクセスポイント経由でオブジェクトにタグセットを追加できます。詳細については、「**Amazon Simple Storage Service API リファレンス」の「[https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html)」を参照してください。
# 汎用バケットのアクセスポイントを介してオブジェクトを削除する
このセクションでは、AWS マネジメントコンソール、AWS Command Line Interface、または REST API を使用して汎用バケットのアクセスポイントを介してオブジェクトを削除する方法について説明します。
## S3 コンソールの使用
**AWS アカウント内のアクセスポイント経由でオブジェクトを削除するには**
1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) を開きます。
1. ページ上部にあるナビゲーションバーで、現在表示されている AWS リージョン の名前をクリックします。次に、アクセスポイントをリスト表示するリージョンを選択します。
1. コンソールの左側のナビゲーションペインで、**[アクセスポイント]** を選択します。
1. (オプション) アクセスポイントを名前で検索します。選択した AWS リージョンのアクセスポイントのみがここに表示されます。
1. 管理または使用するアクセスポイントの名前を選択します。
1. **[オブジェクト]** タブで、削除するオブジェクトの名前を選択します。
1. 削除対象としてリストされているオブジェクトを確認し、確認ボックスに「*削除*」と入力します。
1. **オブジェクトの削除** を選択します。
## の使用AWS CLI
次の `delete-object` コマンド例は、AWS CLI を使用してアクセスポイント経由でオブジェクトを削除する方法を示しています。
次のコマンドは、アクセスポイント *my-access-point* を使用して既存のオブジェクト `puppy.jpg` を削除します。
```
aws s3api delete-object --bucket arn:aws:s3:AWS リージョン:111122223333:accesspoint/my-access-point --key puppy.jpg
```
**注記**
S3 は、すべてのアクセスポイントに対してアクセスポイントエイリアスを自動的に生成します。アクセスポイントエイリアスは、バケット名を使用してオブジェクトレベルのオペレーションを実行する任意の場所で使用できます。詳細については、「[アクセスポイントエイリアス](access-points-naming.md#access-points-alias)」を参照してください。
詳細と例については、「AWS CLI コマンドリファレンス」の「[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-object.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-object.html)」を参照してください。**
## REST API の使用
REST API を使用して、アクセスポイント経由でオブジェクトを削除できます。詳細については、「**Amazon Simple Storage Service API リファレンス」の「[https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)」を参照してください。
# 汎用バケットでの S3 Access Points の使用
AWS タグは、リソースに関するメタデータを保持するキーと値のペアで、この場合は Amazon S3 Access Points です。アクセスポイントは、作成時にタグ付けしたり、既存のアクセスポイントでタグを管理したりできます。タグに関する一般情報については、「[コスト配分または属性ベースのアクセス制御 (ABAC) のタグ付け](tagging.md)」を参照してください。
**注記**
アクセスポイントでタグを使用することによる追加料金は、標準の S3 API リクエスト料金を超えて発生しません。詳細については、「[Amazon S3 の料金](https://aws.amazon.com/s3/pricing/)」を参照してください。
## アクセスポイントでタグを使用する一般的な方法
属性ベースのアクセス制御 (ABAC) は、アクセス許可をスケールし、タグに基づいてアクセスポイントへのアクセスを許可することを可能にします。Amazon S3 の ABAC の詳細については、「[Using tags for ABAC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#)」を参照してください。
### S3 Access Points の ABAC
Amazon S3 Access Points は、タグを使用した属性ベースのアクセス制御 (ABAC) をサポートしています。AWS Organizations、IAM、Access Points ポリシーでタグベースの条件キーを使用します。エンタープライズの場合、Amazon S3 の ABAC は複数の AWS アカウントにわたる認可をサポートしています。
IAM ポリシーでは、次の[グローバル条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys)を使用して、アクセスポイントのタグに基づいてアクセスポイントへのアクセスを制御できます。
+ `aws:ResourceTag/key-name`
**重要**
`aws:ResourceTag` 条件キーは、汎用バケットのアクセスポイント ARN を介して実行される S3 アクションにのみ使用でき、基盤となるアクセスポイントタグのみを対象とします。
+ このキーを使用して、ポリシーで指定したタグキーバリューのペアと、リソースにアタッチされているキーバリューのペアを比較します。たとえば、リソースに値 `Dept` の付いたタグキー `Marketing` がアタッチされている場合にのみ、そのリソースへのアクセスを許可するように要求することができます。詳細については、「[AWS のリソースに対するアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources)」を参照してください。
+ `aws:RequestTag/key-name`
+ このキーを使用して、リクエストで渡されたタグキーバリューのペアと、ポリシーで指定したタグペアを比較します。たとえば、リクエストに「`Dept`」タグキーが含まれ、「`Accounting`」という値が含まれているかどうかを確認できます。詳細については、「[AWS リクエスト時のアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests)」を参照してください。この条件キーを使用して、`TagResource` および `CreateAccessPoint` API オペレーション中に渡すことができるタグのキーと値のペアを制限できます。
+ `aws:TagKeys`
+ このキーを使用して、リクエスト内のタグキーとポリシーで指定したキーを比較します。ポリシーでタグを使用してアクセスを制御する場合は、`aws:TagKeys` 条件キーを使用して、許可されるタグキーを定義することをお勧めします。サンプルポリシーおよび詳細については、「[タグキーに基づいたアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys)」を参照してください。タグを使用してアクセスポイントを作成できます。`CreateAccessPoint` API オペレーション中にタグ付けを許可するには、`s3:TagResource` と `s3:CreateAccessPoint` アクションの両方を含むポリシーを作成する必要があります。次に、`aws:TagKeys` 条件キーを使用して、`CreateAccessPoint` リクエストで特定のタグキーを使用して適用できます。
+ `s3:AccessPointTag/tag-key`
+ この条件キーを使用して、タグを使用してアクセスポイントを介して特定のデータにアクセス許可を付与します。IAM ポリシーで `aws:ResourceTag/tag-key` を使用する場合、アクセスポイントと、アクセスポイントが承認時に考慮されるのと同じタグを持つ必要があるバケットの両方。アクセスポイントタグを介してのみデータへのアクセスを制御する場合は、`s3:AccessPointTag/tag-key` 条件キーを使用できます。
### アクセスポイントの ABAC ポリシーの例
Amazon S3 Access Points の ABAC ポリシーの次の例を参照してください。
#### 1.1 - 特定のタグを持つバケットを作成または変更するための IAM ポリシー
この IAM ポリシーでは、このポリシーを持つユーザーまたはロールは、アクセスポイントの作成リクエストでタグキー `project` とタグ値 `Trinity` を使用してアクセスポイントにタグを付ける場合にのみ、アクセスポイントを作成できます。また、`TagResource` リクエストにタグのキーと値のペア `project:Trinity` が含まれている限り、既存のアクセスポイントのタグを追加または変更できます。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateAccessPointWithTags",
"Effect": "Allow",
"Action": [
"s3:CreateAccessPoint",
"s3:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/project": [
"Trinity"
]
}
}
}
]
}
```
#### 1.2 - タグを使用してアクセスポイントでのオペレーションを制限するアクセスポイントポリシー
このアクセスポイントポリシーでは、IAM プリンシパル (ユーザーとロール) は、アクセスポイントの `project` タグの値がプリンシパルの `project` タグの値と一致する場合にのみ、アクセスポイントの `GetObject` アクションを使用してオペレーションを実行できます。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowObjectOperations",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": "s3:GetObject",
"Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
}
}
}
]
}
```
#### 1.3 - タグ付け管理を維持する既存リソースのタグを変更するための IAM ポリシー
この IAM ポリシーでは、IAM プリンシパル (ユーザーまたはロール) は、アクセスポイントの `project` タグの値がプリンシパルの `project` タグの値と一致する場合にのみ、アクセスポイントのタグを変更できます。条件キー `aws:TagKeys` で指定された `project`、`environment`、`owner`、および `cost-center` の 4 つのタグのみが、これらのアクセスポイントに対して許可されます。これにより、タグガバナンスの適用、不正なタグ変更の防止、およびアクセスポイント間でのタグ付けスキーマの一貫性の維持が可能になります。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EnforceTaggingRulesOnModification",
"Effect": "Allow",
"Action": [
"s3:TagResource"
],
"Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"project",
"environment",
"owner",
"cost-center"
]
}
}
}
]
}
```
#### 1.4 - s3:AccessPointTag 条件キーを使用する
この IAM ポリシーでは、条件ステートメントは、アクセスポイントにタグキー `Environment` とタグ値 `Production` がある場合、バケットのデータへのアクセスを許可します。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSpecificAccessPoint",
"Effect": "Allow",
"Action": "*",
"Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"s3:AccessPointTag/Environment": "Production"
}
}
}
]
}
```
#### 1.5 - バケット委任ポリシーの使用
Amazon S3 では、S3 バケットポリシーへのアクセスまたはコントロールを別の AWS アカウント、または別のアカウントの特定の AWS Identity and Access Management (IAM) ユーザーもしくはロールに委任できます。委任バケットポリシーは、この他のアカウント、ユーザー、またはロールにバケットとそのオブジェクトへのアクセス許可を付与します。詳細については、「[アクセス許可の委任](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-policy-language-overview.html#permission-delegation)」を参照してください。
次のような委任バケットポリシーを使用している場合:
```
{
"Version": "2012-10-17",
"Statement": {
"Principal": {"AWS": "*"},
"Effect": "Allow",
"Action": ["s3:*"],
"Resource":["arn:aws::s3:::amzn-s3-demo-bucket/*", "arn:aws::s3:::amzn-s3-demo-bucket"],
"Condition": {
"StringEquals" : {
"s3:DataAccessPointAccount" : "111122223333"
}
}
}
}
```
次の IAM ポリシーでは、条件ステートメントは、アクセスポイントにタグキー `Environment` とタグ値 `Production` がある場合、バケットのデータへのアクセスを許可します。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSpecificAccessPoint",
"Effect": "Allow",
"Action": "*",
"Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"s3:AccessPointTag/Environment": "Production"
}
}
}
]
}
```
## 汎用バケットのアクセスポイントのタグを使用する
Amazon S3コンソール、AWS コマンドラインインターフェイス (CLI)、AWS SDK、または S3 API、[TagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html)、[UntagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html)、[ListTagsForResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html) を使用して、アクセスポイントのタグを追加または管理できます。詳細については、以下を参照してください。
**Topics**
+ [
## アクセスポイントでタグを使用する一般的な方法
](#common-ways-to-use-tags-directory-bucket)
+ [
## 汎用バケットのアクセスポイントのタグを使用する
](#working-with-tags-access-points)
+ [
# タグ付きアクセスポイントを作成する
](access-points-create-tag.md)
+ [
# アクセスポイントへのタグの追加
](access-points-tag-add.md)
+ [
# アクセスポイントタグの表示
](access-points-tag-view.md)
+ [
# アクセスポイントからのタグの削除
](access-points-tag-delete.md)
# タグ付きアクセスポイントを作成する
アクセスポイントは、作成時にタグ付けできます。アクセスポイントでタグを使用することによる追加料金は、標準の S3 API リクエスト料金を超えて発生しません。詳細については、「[Amazon S3 の料金](https://docs.aws.amazon.com/s3/pricing/)」を参照してください。アクセスポイントのタグ付けの詳細については、「[汎用バケットでの S3 Access Points の使用](access-points-tagging.md)」を参照してください。
## アクセス許可
タグ付きアクセスポイントを作成するには、次のアクセス許可が必要です。
+ `s3:CreateBucket`
+ `s3:TagResource`
## エラーのトラブルシューティング
タグ付きアクセスポイントを作成しようとしたときにエラーが発生した場合は、以下を実行できます。
+ アクセスポイントを作成し、それにタグを追加するために必要な [アクセス許可](#access-points-create-tag-permissions) アクセス許可があることを確認します。
+ 属性ベースのアクセス制御 (ABAC) 条件については、IAM ユーザーポリシーを確認してください。アクセスポイントには、特定のタグキーと値のみを使用してラベルを付ける必要がある場合があります。詳細については、「[属性ベースのアクセス制御 (ABAC) のタグを使用する](tagging.md#using-tags-for-abac)」を参照してください。
## Steps
Amazon S3 コンソール、AWS Command Line Interface (AWS CLI)、Amazon S3 REST API、AWS SDK を使用して、タグ付きアクセスポイントを作成できます。
## S3 コンソールの使用
Amazon S3 コンソールを使用してタグ付きアクセスポイントを作成するには
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) にサインインします。
1. 左のナビゲーションペインで、**[汎用バケットの Access Points]** を選択します。
1. **[アクセスポイントの作成]** を選択して、新しいアクセスポイントを作成します。
1. **[アクセスポイントの作成]** ページで、**[タグ]** は新しいアクセスポイントを作成する際のオプションです。
1. アクセスポイントポイントの名前を入力します。詳細については、「[アクセスポイントの命名規則、制約と制限](access-points-restrictions-limitations-naming-rules.md)」を参照してください。
1. **[新しいタグを追加]** を選択して **[タグ]** エディタを開き、タグのキーと値のペアを入力します。タグキーは必須ですが、値はオプションです。
1. 別のタグを追加するには、**[新しいタグを追加]** を再度選択します。最大 50 個のタグのキーと値のペアを入力できます。
1. 新しいアクセスポイントのオプションを指定したら、**[アクセスポイントの作成]** を選択します。
## AWS SDK の使用
------
#### [ SDK for Java 2.x ]
この例では、AWS SDK for Java 2.x を使用してタグ付きのアクセスポイントを作成する方法を示します。このコマンドを使用する際は、*ユーザー入力用プレースホルダー*を独自の情報に置き換えます。
```
CreateAccessPointRequest createAccessPointRequest = CreateAccessPointRequest.builder()
.accountId(111122223333)
.name(my-access-point)
.bucket(amzn-s3-demo-bucket)
.tags(Collections.singletonList(Tag.builder().key("key1").value("value1").build()))
.build();
awss3Control.createAccessPoint(createAccessPointRequest);
```
------
## REST API の使用
Amazon S3 REST API でのタグ付きアクセスポイント作成のサポートの詳細については、「*Amazon Simple Storage Service API リファレンス*」の次のセクションを参照してください。
+ [CreateAccessPoint](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html)
## の使用AWS CLI
AWS CLI をインストールする方法については、「*AWS Command Line Interface ユーザーガイド*」の「[AWS CLI のインストール](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」を参照してください。
以下の CLI の例は、AWS CLI を使用してタグ付きアクセスポイントを作成する方法を示しています。このコマンドを使用する際は、*ユーザー入力用プレースホルダー*を独自の情報に置き換えます。
**リクエスト]**
```
aws s3control create-access-point --name my-access-point \
--bucket amzn-s3-demo-bucket \
--account-id 111122223333 \ --profile personal \
--tags [{Key=key1,Value=value1},{Key=key2,Value=value2}] \
--region region
```
# アクセスポイントへのタグの追加
Amazon S3 Access Points にタグを追加し、これらのタグを変更できます。アクセスポイントでタグを使用することによる追加料金は、標準の S3 API リクエスト料金を超えて発生しません。詳細については、「[Amazon S3 の料金](https://docs.aws.amazon.com/s3/pricing/)」を参照してください。アクセスポイントのタグ付けの詳細については、「[汎用バケットでの S3 Access Points の使用](access-points-tagging.md)」を参照してください。
## アクセス許可
アクセスポイントにタグを追加するには、次のアクセス許可が必要です。
+ `s3:TagResource`
## エラーのトラブルシューティング
アクセスポイントにタグを追加しようとしたときにエラーが発生した場合は、以下を実行できます。
+ アクセスポイントにタグを追加するために必要な [アクセス許可](#access-points-tag-add-permissions) があることを確認します。
+ AWS 予約済みプレフィックス `aws:` で始まるタグキーを追加しようとした場合は、タグキーを変更して再試行してください。
## Steps
Amazon S3 コンソール、AWS コマンドラインインターフェイス (AWS CLI)、Amazon S3 REST API、AWS SDK を使用して、アクセスポイントにタグを追加できます。
## S3 コンソールの使用
Amazon S3 コンソールを使用してアクセスポイントにタグを追加するには
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) にサインインします。
1. 左のナビゲーションペインで、**[汎用バケットの Access Points]** を選択します。
1. アクセスポイント名を選択します。
1. **[プロパティ]** タブを選択します。
1. **[タグ]** セクションにスクロールして、**[新しいタグを追加する]** を選択します。
1. **[タグの追加]** ページが開きます。最大 50 個のタグのキーと値のペアを入力できます。
1. 既存のタグとキー名が同じ新しいタグを追加すると、既存のタグの値は新しいタグの値で上書きされます。
1. このページで、既存のタグの値を編集することもできます。
1. タグを追加したら、**[変更の保存]** を選択します。
## AWS SDK の使用
------
#### [ SDK for Java 2.x ]
この例では、AWS SDK for Java 2.x を使用してアクセスポイントにタグを追加する方法を示します。このコマンドを使用する際は、*ユーザー入力用プレースホルダー*を独自の情報に置き換えます。
```
TagResourceRequest tagResourceRequest = TagResourceRequest.builder().resourceArn(arn:aws::s3:region:111122223333:accesspoint/my-access-point/*)
.accountId(111122223333)
.tags(List.of(Tag.builder().key("key1").value("value1").build(),
Tag.builder().key("key2").value("value2").build()))
.build();
awss3Control.tagResource(tagResourceRequest);
```
------
## REST API の使用
アクセスポイントへタグを追加するためのAmazon S3 REST API のサポートの詳細については、「*Amazon Simple Storage Service API リファレンス*」の次のセクションを参照してください。
+ [TagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html)
## の使用AWS CLI
AWS CLI をインストールする方法については、「*AWS Command Line Interface ユーザーガイド*」の「[AWS CLI のインストール](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」を参照してください。
以下の CLI の例は、AWS CLI を使用してアクセスポイントにタグを追加する方法を示しています。このコマンドを使用する際は、*ユーザー入力用プレースホルダー*を独自の情報に置き換えます。
**リクエスト:**
```
aws s3control tag-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:111122223333:accesspoint/my-access-point/* \
--tags "Key=key1,Value=value1"
```
**レスポンス:**
```
{
"ResponseMetadata": {
"RequestId": "EXAMPLE123456789",
"HTTPStatusCode": 200,
"HTTPHeaders": {
"date": "Wed, 19 Jun 2025 10:30:00 GMT",
"content-length": "0"
},
"RetryAttempts": 0
}
}
```
# アクセスポイントタグの表示
アクセスポイントに適用されたタグを表示または一覧表示できます。タグの詳細については、[汎用バケットでの S3 Access Points の使用](access-points-tagging.md)を参照してください。
## アクセス許可
アクセスポイントに適用されたタグを表示するには、次のアクセス許可が必要です。
+ `s3:ListTagsForResource`
## エラーのトラブルシューティング
アクセスポイントのタグを一覧表示または表示しようとしたときにエラーが発生した場合は、以下を実行できます。
+ アクセスポイントのタグを表示または一覧表示するために必要な [アクセス許可](#access-points-tag-view-permissions) があることを確認します。
## Steps
アクセスポイントに適用されたタグは、Amazon S3 コンソール、AWS Command Line Interface (AWS CLI)、Amazon S3 REST API、および AWS SDK を使用して表示できます。
## S3 コンソールの使用
Amazon S3 コンソールを使用してアクセスポイントにタグを追加するには
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) にサインインします。
1. 左のナビゲーションペインで、**[汎用バケットの Access Points]** を選択します。
1. アクセスポイント名を選択します。
1. **[プロパティ]** タブを選択します。
1. **[タグ]** セクションにスクロールして、アクセスポイントに適用されているすべてのタグを表示します。
1. **[タグ]** セクションには、デフォルトで **[ユーザー定義タグ]** が表示されます。**[AWS 生成タグ]** タブを選択すると、AWS サービスによってアクセスポイントに適用されたタグを表示できます。
## AWS SDK の使用
このセクションでは、AWS SDK を使用してアクセスポイントに適用されたタグを表示する方法の例を示します。
------
#### [ SDK for Java 2.x ]
この例では、AWS SDK for Java 2.x を使用して、アクセスポイントに適用されたタグを表示する方法を示します。
```
ListTagsForResourceRequest listTagsForResourceRequest = ListTagsForResourceRequest
.builder().resourceArn(arn:aws::s3:region:111122223333:accesspoint/my-access-point/*)
.accountId(111122223333).build();
awss3Control.listTagsForResource(listTagsForResourceRequest);
```
------
## REST API の使用
Amazon S3 REST API でのアクセスポイントに適用されたタグの表示のサポートの詳細については、「*Amazon Simple Storage Service API リファレンス*」の次のセクションを参照してください。
+ [ListTagsforResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html)
## の使用AWS CLI
AWS CLI をインストールする方法については、「*AWS Command Line Interface ユーザーガイド*」の「[AWS CLI のインストール](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」を参照してください。
次の CLI の例は、アクセスポイントに適用されたタグを表示する方法を示しています。このコマンドを使用する際は、*ユーザー入力用プレースホルダー*を独自の情報に置き換えます。
**リクエスト]**
```
aws s3control list-tags-for-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:444455556666:bucket/prefix--use1-az4--x-s3 \
```
**レスポンス - タグがあります。**
```
{
"Tags": [
{
"Key": "MyKey1",
"Value": "MyValue1"
},
{
"Key": "MyKey2",
"Value": "MyValue2"
},
{
"Key": "MyKey3",
"Value": "MyValue3"
}
]
}
```
**レスポンス - タグがありません。**
```
{
"Tags": []
}
```
# アクセスポイントからのタグの削除
Amazon S3 Access Points からタグを削除できます。AWS タグは、リソースに関するメタデータを保持するキーと値のペアで、この場合は Access Points です。タグの詳細については、[汎用バケットでの S3 Access Points の使用](access-points-tagging.md)を参照してください。
**注記**
タグを削除し、後でコストの追跡やアクセスコントロールに使用されていたことがわかった場合は、そのタグをアクセスポイントに戻すことができます。
## アクセス許可
アクセスポイントからタグを削除するには、次のアクセス許可が必要です。
+ `s3:UntagResource`
## エラーのトラブルシューティング
アクセスポイントからタグを削除しようとしたときにエラーが発生した場合は、以下を実行できます。
+ アクセスポイントからタグを削除するために必要な [アクセス許可](access-points-db-tag-delete.md#access-points-db-tag-delete-permissions) があることを確認します。
## Steps
Amazon S3 コンソール、AWS Command Line Interface (AWS CLI)、Amazon S3 REST API、および AWS SDK を使用してアクセスポイントからタグを削除できます。
## S3 コンソールの使用
Amazon S3 コンソールを使用してアクセスポイントからタグを削除するには:
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) にサインインします。
1. 左のナビゲーションペインで、**[汎用バケットの Access Points]** を選択します。
1. アクセスポイント名を選択します。
1. **[プロパティ]** タブを選択します。
1. **[タグ]** セクションまでスクロールし、削除するタグの横にあるチェックボックスをオンにします。
1. **[削除]** を選択します。
1. **[ユーザー定義タグを削除]** ポップアップが表示され、選択したタグを削除してよいか確認するように求められます。
1. [**Delete**] を選択して確定します。
## AWS SDK の使用
------
#### [ SDK for Java 2.x ]
この例では、AWS SDK for Java 2.x を使用してアクセスポイントからタグを削除する方法を示します。このコマンドを使用する際は、*ユーザー入力用プレースホルダー*を独自の情報に置き換えます。
```
UntagResourceRequest tagResourceRequest = UntagResourceRequest.builder()
.resourceArn(arn:aws::s3:region:111122223333:accesspoint/my-access-point/*)
.accountId(111122223333)
.tagKeys(List.of("key1", "key2")).build();
awss3Control.untagResource(tagResourceRequest);
```
------
## REST API の使用
Amazon S3 REST API でのアクセスポイントからのタグ削除に関するサポートの詳細については、「*Amazon Simple Storage Service API リファレンス*」の次のセクションを参照してください。
+ [UnTagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html)
## の使用AWS CLI
AWS CLI をインストールする方法については、「*AWS Command Line Interface ユーザーガイド*」の「[AWS CLI のインストール](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」を参照してください。
以下の CLI の例は、AWS CLI を使用してアクセスポイントからタグを削除する方法を示しています。このコマンドを使用する際は、*ユーザー入力用プレースホルダー*を独自の情報に置き換えます。
**リクエスト:**
```
aws s3control untag-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:444455556666:access-point/my-access-point \
--tag-keys "tagkey1" "tagkey2"
aws s3control untag-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:444455556666:accesspointmy-access-point/* \
--tag-keys "key1" "key2"
```
**レスポンス:**
```
{
"ResponseMetadata": {
"RequestId": "EXAMPLE123456789",
"HTTPStatusCode": 204,
"HTTPHeaders": {
"date": "Wed, 19 Jun 2025 10:30:00 GMT",
"content-length": "0"
},
"RetryAttempts": 0
}
}
```