S3 Storage Lens グループの仕組み - Amazon Simple Storage Service
Storage Lens グループ集約メトリクスの表示Storage Lens グループのアクセス許可。Storage Lens グループの設定AWS リソースタグStorage Lens グループメトリクスのエクスポート

S3 Storage Lens グループの仕組み

Storage Lens グループを使用すると、オブジェクトメタデータに基づくカスタムフィルタを使用してメトリクスを集約できます。カスタムフィルタを定義する場合、プレフィックス、サフィックス、オブジェクトタグ、オブジェクトサイズ、オブジェクト経過時間、またはこれらのカスタムフィルタの組み合わせを使用できます。Storage Lens グループの作成時には、1 つのフィルタまたは複数のフィルタ条件を含めることもできます。複数のフィルタ条件を指定するには、And または Or 論理演算子を使用します。

Storage Lens グループを作成して設定すると、Storage Lens グループ自体が、グループを関連付けるダッシュボードのカスタムフィルタとして機能します。その後、ダッシュボードで Storage Lens グループフィルタを使用して、グループで定義したカスタムフィルタに基づくストレージメトリクスを取得できます。

S3 Storage Lens ダッシュボードで Storage Lens グループのデータを表示するには、グループを作成した後でグループをダッシュボードにアタッチする必要があります。Storage Lens グループを Storage Lens ダッシュボードにアタッチすると、ダッシュボードは 48 時間以内にストレージ使用状況のメトリクスを収集します。その後、このデータを Storage Lens ダッシュボードで視覚化するか、メトリクスのエクスポートを使用してエクスポートできます。Storage Lens グループをダッシュボードにアタッチし忘れると、Storage Lens グループのデータがキャプチャされず、どこにも表示されなくなります。

注記

  • S3 Storage Lens グループを作成すると、AWS リソースが作成されます。したがって、各 Storage Lens グループには独自の Amazon リソースネーム (ARN) があり、S3 Storage Lens ダッシュボードにアタッチしたり、S3 Storage Lens ダッシュボードから除外したりするときに指定できます。

  • Storage Lens グループがダッシュボードに関連付けられていない場合、Storage Lens グループの作成に追加料金は発生しません。

  • S3 Storage Lens は、一致するすべての Storage Lens グループのオブジェクトの使用状況メトリクスを集約します。そのため、オブジェクトが 2 つ以上の Storage Lens グループのフィルタ条件に一致すると、ストレージ使用状況全体で同じオブジェクトの数が繰り返し表示されます。

指定したホームリージョン (サポート対象 AWS リージョン のリストから) のアカウントレベルで Storage Lens グループを作成できます。これで、ダッシュボードが同じ AWS アカウント とホームリージョンにある限り、Storage Lens グループを複数の Storage Lens ダッシュボードに接続できます。それぞれの AWS アカウント でホームリージョンごとに最大 50 の Storage Lens グループを作成できます。

AmazonS3 コンソール、AWS Command Line Interface、(AWS CLI)、AWS SDK、または Amazon S3 REST API を使用して S3 Storage Lens グループを作成および管理できます。

Storage Lens グループ集約メトリクスの表示

グループをダッシュボードにアタッチすることにより、Storage Lens グループの集約されたメトリクスを表示できます。アタッチする Storage Lens グループは、ダッシュボードアカウントの指定されたホームリージョン内に存在している必要があります。

Storage Lens グループをダッシュボードにアタッチするには、ダッシュボード設定の Storage Lens グループ集約セクションでグループを指定する必要があります。複数の Storage Lens グループがある場合、Storage Lens グループ集約結果をフィルタして、目的のグループを含めたり除外したりできます。グループをダッシュボードに関連付ける方法の詳細については、「S3 Storage Lens グループをダッシュボードにアタッチまたは削除する、またはダッシュボードから S3 Storage Lens グループを削除する」を参照してください。

グループをアタッチした後、48 時間以内にダッシュボードに追加の Storage Lens グループ集約データが表示されます。

注記

Storage Lens グループ集約メトリクスを表示するには、そのグループを S3 Storage Lens ダッシュボードにアタッチする必要があります。

Storage Lens グループのアクセス許可。

Storage Lens グループでは、S3 Storage Lens のアクションへのアクセスを許可するために、AWS Identity and Access Management (IAM) で特定のアクセス許可が必要となります。これらのアクセス許可を付与するには、アイデンティティベースの IAM ポリシーを使用できます。このポリシーを、IAM ユーザー、グループ、またはロールにアタッチして、アクセス許可を付与することができます。このようなアクセス許可には、Storage Lens グループの作成や削除、設定の表示、タグの管理などが含まれます。

アクセス許可を付与する IAM ユーザーまたはロールは、Storage Lens グループを作成または所有するアカウントに属している必要があります。

Storage Lens グループを使用し、Storage Lens グループのメトリクスを表示するには、まず S3 Storage Lens を使用するための適切なアクセス許可が必要です。詳細については、「Amazon S3 ストレージレンズアクセス許可」を参照してください。

S3 Storage Lens グループを作成して管理するには、実行するアクションに応じて次の IAM アクセス許可が必要です。

アクション IAM アクセス許可

新しい Storage Lens グループを作成する

s3:CreateStorageLensGroup

タグ付きの新しい Storage Lens グループを作成する

s3:CreateStorageLensGroup, s3:TagResource

既存の Storage Lens グループを更新する

s3:UpdateStorageLensGroup

Storage Lens グループ設定の詳細を返す

s3:GetStorageLensGroup

ホームリージョンのすべての Storage Lens グループを一覧表示する

s3:ListStorageLensGroups

Storage Lens グループを削除する。

s3:DeleteStorageLensGroup

Storage Lens グループに追加されたタグを一覧表示する

s3:ListTagsForResource

既存の Storage Lens グループの Storage Lens グループタグを追加または更新する

s3:TagResource

Storage Lens グループからタグを削除する

s3:UntagResource

Storage Lens グループを作成するアカウントで IAM ポリシーを設定する方法の例を次に示します。このポリシーを使用するには、us-east-1 を Storage Lens グループがあるホームリージョンに置き換えてください。111122223333 を自分の ID と置き換え、AWS アカウント を Storage Lens グループの名前と置き換えます。これらのアクセス許可をすべての Storage Lens グループに適用するには、example-storage-lens-group* と置き換えてください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EXAMPLE-Statement-ID",
            "Effect": "Allow",
            "Action": [
                "s3:CreateStorageLensGroup",
                "s3:UpdateStorageLensGroup",
                "s3:GetStorageLensGroup",
                "s3:ListStorageLensGroups",
                "s3:DeleteStorageLensGroup,
                "s3:TagResource",
                "s3:UntagResource",
                "s3:ListTagsForResource"
                ],
            "Resource": "arn:aws:s3:us-east-1:111122223333:storage-lens-group/example-storage-lens-group"
        }
    ]
}

S3 Storage Lens アクセス許可の詳細については、「Amazon S3 ストレージレンズアクセス許可」を参照してください。IAM ポリシー言語については、「Amazon S3 のポリシーとアクセス許可」を参照してください。

Storage Lens グループの設定

S3 Storage Lens グループ名

ダッシュボードにアタッチするグループを簡単に判断できるように、Storage Lens グループには用途を示す名前を付けることをお勧めします。Storage Lens グループをダッシュボードにアタッチするには、ダッシュボード設定の [Storage Lens グループ集約] セクションでグループを指定する必要があります。

Storage Lens グループ名はアカウント内で一意である必要があります。名前は、64 文字以下にし、使用できるのは、文字 (a~z、A~Z)、数字 (0-9)、ハイフン (-)、およびアンダースコア (_) のみです。

ホームリージョン

ホームリージョンは、Storage Lens グループを作成および管理する AWS リージョン です。Storage Lens グループは、Amazon S3 ストレージレンズダッシュボードと同じホームリージョンに作成されます。Storage Lens グループの設定とメトリクスもこのリージョンに保存されます。ホームリージョンごとに最大 50 の Storage Lens グループを作成できます。

Storage Lens グループを作成した後は、ホームリージョンを編集できません。

スコープ

Storage Lens グループにオブジェクトを含めるには、そのオブジェクトが Amazon S3 ストレージレンズダッシュボードの範囲内にある必要があります。Storage Lens ダッシュボードの範囲は、S3 Storage Lens ダッシュボード設定のダッシュボードスコープに含めたバケットによって決まります。

オブジェクトにさまざまなフィルタを使用して Storage Lens グループの範囲を定義できます。S3 Storage Lens ダッシュボードでこれらの Storage Lens グループのメトリクスを表示するには、オブジェクトが Storage Lens グループに追加したフィルタと一致している必要があります。例えば、Storage Lens グループにプレフィックス marketing とサフィックス .png が付いたオブジェクトが含まれているが、それらの条件に一致するオブジェクトがないとします。この場合、この Storage Lens グループのメトリクスは毎日のメトリクスのエクスポートでは生成されず、このグループのメトリクスはダッシュボードに表示されません。

フィルタ

S3 Storage Lens グループでは以下のフィルタを使用できます。

  • プレフィックス含まれるオブジェクトのプレフィックスを指定します。これはオブジェクトキー名の先頭にある文字列です。例えば、[プレフィックス] フィルタの値 images には、images/images-marketingimages/production のいずれかのプレフィックスを持つオブジェクトが含まれます。プレフィックスの最大長は、1,024 バイトです。

  • サフィックス — 含まれるオブジェクトのサフィックスを指定します (.png.jpeg.csv など)。プレフィックスの最大長は、1,024 バイトです。

  • オブジェクトタグ — フィルタの対象となるオブジェクトタグのリストを指定します。タグキーは 128 Unicode 文字、タグ値は 256 Unicode 文字を超過してはいけません。オブジェクトタグ値フィールドを空のままにした場合、S3 Storage Lens グループは、空のタグ値も持つ他のオブジェクトとオブジェクトのみを一致させることに注意してください。

  • 経過時間 — 含まれるオブジェクトのオブジェクト経過時間範囲を日数で指定します。整数のみがサポートされます。

  • サイズ — 含まれるオブジェクトのオブジェクトサイズをバイト単位で指定します。整数のみがサポートされます。許容される最大値は 5 TB です。

Storage Lens グループのオブジェクトタグ

最大 10 個のオブジェクトタグフィルタを含む Storage Lens グループを作成できます。次の例には、Marketing-Department という名前の Storage Lens グループのフィルタとして 2 つのオブジェクトタグのキーと値のペアが含まれています。この例を使用するには、Marketing-Department をグループの名前に置き換え、object-tag-key-1object-tag-value-1 をフィルタリングするオブジェクトタグのキーと値のペアに置き換えます。

{
    "Name": "Marketing-Department",
    "Filter": {
     "MatchAnyTag":[
                {
                    "Key": "object-tag-key-1",
                    "Value": "object-tag-value-1"
                },
                {
                    "Key": "object-tag-key-2",
                    "Value": "object-tag-value-2"
                }
            ]
    }
}

論理演算子 (Or または And)

Storage Lens グループに複数のフィルタ条件を含めるには、論理演算子 (And または Or) を使用できます。次の例では、Marketing-Department という名前の Storage Lens グループに PrefixObjectAgeObjectSize フィルタを含む And 演算子があります。And 演算子が使用されるため、これらのフィルタ条件をすべて満たすオブジェクトのみが Storage Lens グループのスコープに含まれます。

この例を使用するには、user input placeholders をフィルタする値に置き換えます。

{
    "Name": "Marketing-Department",
    "Filter": {
        "And": {
            "MatchAnyPrefix": [
                "prefix-1",
                "prefix-2",
                "prefix-3/sub-prefix-1" 
            ],
             "MatchObjectAge": {
                "DaysGreaterThan": 10,
                "DaysLessThan": 60
            },
            "MatchObjectSize": {
                "BytesGreaterThan": 10,
                "BytesLessThan": 60 
            }
        }
    }
}
注記

フィルタの条件のいずれかに一致するオブジェクトを含める場合は、この例では And 論理演算子を Or 論理演算子に置き換えてください。

AWS リソースタグ

S3 ストレージレンズグループはそれぞれ独自の Amazon AWS リソースネーム (ARN) を持つリソースとみなされます。そのため、Storage Lens グループを設定するときに、AWS オプションでグループにリソースタグを追加できます。Storage Lens グループごとに最大 50 個のタグを追加できます。タグ付きの Storage Lens グループを作成するには、s3:CreateStorageLensGroups3:TagResource の権限が必要です。

AWS リソースタグを使用して、部門、事業内容、またはプロジェクトごとにリソースを分類できます。そうすることで、同じ種類のリソースが多い場合に役立ちます。タグを適用すると、割り当てたタグに基づいて特定の Storage Lens グループをすばやく識別できます。また、コストの追跡と割り当てにもタグを使用できます。

さらに、Storage Lens グループに AWS リソースタグを追加すると、属性ベースのアクセス制御 (ABAC) が有効になります。ABAC は、このケースタグの属性に基づいて権限を定義する認証戦略です。IAM ポリシーでリソースタグを指定する条件を使用して、AWS リソースへのアクセスを制御できます。

タグのキーと値は編集でき、タグはリソースからいつでも削除できます。また、次の点について注意してください:

  • キーとタグの値は大文字と小文字が区別されます。

  • 特定のリソースについて既存のタグと同じキーを持つタグを追加した場合、以前の値は新しい値によって上書きされます。

  • リソースを削除すると、リソースのタグも削除されます。

  • AWS リソースタグにはプライベートデータや機密データを含めないでください。

  • システムタグ (または aws: で始まるタグキーを持つタグ) はサポートされていません。

  • 各タグキーの長さは 128 文字以下にする必要があります。各タグ値の長さは 256 文字以下にする必要があります。

Storage Lens グループメトリクスのエクスポート

S3 Storage Lens グループメトリクスは、Storage Lens グループがアタッチされているダッシュボードの Amazon S3 ストレージレンズメトリクスエクスポートに含まれています。Storage Lens メトリクスのエクスポート機能に関する一般的な情報については、「データエクスポートで Amazon S3 Storage Lens のメトリクスを確認する」を参照してください。

Storage Lens グループのメトリクスエクスポートには、Storage Lens グループをアタッチしたダッシュボードの範囲内にあるすべての S3 Storage Lens メトリクスが含まれます。エクスポートには、Storage Lens グループの追加メトリクスデータも含まれます。

Storage Lens グループを作成すると、そのグループの所属するダッシュボードのメトリクスエクスポートを設定したときに選択したバケットに、メトリクスのエクスポートが毎日送信されます。最初のエクスポートを受信するに最大 48 時間かかることがあります。

日次エクスポートでメトリクスを生成するには、オブジェクトが Storage Lens グループに含めたフィルタと一致する必要があります。Storage Lens グループに含められたフィルタに一致するオブジェクトがない場合、メトリクスは生成されません。ただし、オブジェクトが 2 つ以上の Storage Lens グループと一致する場合、そのオブジェクトはメトリクスのエクスポートに表示される際、グループごとに別々に表示されます。

Storage Lens グループのメトリクスは、ダッシュボードのメトリクスエクスポートの record_type 列で以下のいずれかの値を探すことにより特定できます。

  • STORAGE_LENS_GROUP_BUCKET

  • STORAGE_LENS_GROUP_ACCOUNT

record_value 列には、Storage Lens グループのリソース ARN が表示されます (例: arn:aws:s3:us-east-1:111122223333:storage-lens-group/Marketing-Department)。