データエクスポート用の Amazon S3 バケットのセットアップ - AWS Data Exports

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

データエクスポート用の Amazon S3 バケットのセットアップ

データエクスポートを受信して保存するには、 AWS アカウントに Amazon S3 バケットが必要です。コンソールでエクスポートを作成するときに、所有している既存の S3 バケットを選択することも、新しいバケットを作成することもできます。いずれの場合でも、以下のデフォルトの S3 バケットポリシーの適用を確認して確定する必要があります。Amazon S3 コンソールでこのポリシーを編集したり、エクスポートを作成した後で S3 バケットの所有者を変更したりすると、データエクスポートがエクスポートを配信できなくなります。S3 バケットに保存されているエクスポートデータは、標準の Amazon S3 レートで課金されます。詳細については、「クォータと制限」を参照してください。

注記

エクスポートを作成するアカウントは、エクスポート AWS を送信する S3 バケットも所有している必要があります。別のアカウントが所有する S3 バケットを使用してエクスポートを設定しないでください。

データエクスポートの作成時に、次のポリシーがすべての S3 バケットに適用されます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableAWSDataExportsToWriteToS3AndCheckPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "billingreports.amazonaws.com",
                    "bcm-data-exports.amazonaws.com"
                ]
            },
            "Action": [
                "s3:PutObject",
                "s3:GetBucketPolicy"
            ],
            "Resource": [
                "arn:aws:s3:::${bucket_name}/*",
                "arn:aws:s3:::${bucket_name}"
            ],
            "Condition": {
                "StringLike": {
                    "aws:SourceAccount": "${accountId}",
                    "aws:SourceArn": [
                        "arn:aws:cur:us-east-1:${accountId}:definition/*",
                        "arn:aws:bcm-data-exports:us-east-1:${accountId}:export/*"
                    ]
                }
            }
        }
    ]
}

この S3 バケットポリシーにより、データエクスポートがエクスポートを作成したアカウントに代わって S3 バケットにのみエクスポートを配信できます。また、データエクスポートでは、エクスポートを作成したアカウントが S3 バケットをまだ所有していることを確認できます。

  • エクスポートを S3 バケットに配信するには、その S3 バケットに対する書き込みアクセス許可 AWS が必要です。これを行うために、S3 バケットポリシーは、データエクスポートサービス (bcm-data-exports.amazonaws.com) に、ユーザーが所有する S3 バケット (arn:aws:s3:::<EXAMPLE-BUCKET>/*) にレポートを配信 (s3:PutObject) するためのアクセス許可を付与します。

  • データエクスポートが S3 バケットへの書き込みをリクエストするたびに、エクスポートを作成したアカウントのアカウント ID を提供する必要があります。aws:SourceArnaws:SourceAccount という条件キーによりこれが強制的に適用されます。

  • この S3 バケットポリシーは、配信後のコストと使用状況レポートなど、S3 バケット内のオブジェクトを読み取る、または削除するための AWS アクセス許可を付与しません。

アクセスコントロールリスト (ACL) が有効になっている Amazon S3 バケットでは、データエクスポートは配信時には BucketOwnerFullControl ACL をレポートに適用します。デフォルトでは、これらのレポートなどの Amazon S3 オブジェクトは、それらを作成したユーザーまたはサービスプリンシパルのみが読み取ることができます。ユーザーまたは S3 バケット所有者にレポートを読み取るためのアクセス許可を付与するには、 AWS が BucketOwnerFullControl ACL を適用する必要があります。ACL はこれらのレポートに対する Permission.FullControl を S3 バケット所有者に付与します。ただし、ACL を無効にし、S3 バケットポリシーを使用してアクセスを制御することをお勧めします。

注記

新しく作成された S3 バケットでは、ACL はデフォルトで無効になっています。詳細については、「バケットのオブジェクト所有権のコントロールと ACL の無効化」を参照してください。

[データエクスポート] コンソールページに [無効なバケット] エラーが表示される場合は、レポートセットアップ後にポリシーと S3 バケットの所有権が変更されていないことを確認します。