Veeam Backup & Replication を使用してデータを Amazon S3 にバックアップおよびアーカイブする - AWS 規範ガイダンス
[概要]前提条件と制限アーキテクチャツールベストプラクティスエピック関連リソース追加情報

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Veeam Backup & Replication を使用してデータを Amazon S3 にバックアップおよびアーカイブする

ジャンナ・ジェームズ、アンソニー・フィオーレ(AWS)(AWS)、ウィリアム・クイグリーによって作成されました

環境:本稼働

テクノロジー: ストレージとバックアップ

AWS サービス: Amazon EC2; Amazon S3; Amazon S3 Glacier

[概要]

このパターンは、Veeam Backup & Replicationによって作成されたバックアップを、Veeamのスケールアウトバックアップリポジトリ機能を使用して、サポートされている Amazon Simple Storage Service (Amazon S3) のオブジェクトストレージクラスに送信するプロセスを詳しく説明しています。 

Veeam は、お客様固有のニーズに最適な複数の Amazon S3 ストレージクラスをサポートしています。ストレージのタイプは、バックアップまたはアーカイブデータのデータアクセス、耐障害性、コスト要件に基づいて選択できます。たとえば、30 日以上使用する予定のないデータを Amazon S3 の低頻度アクセス (IA) に保存して、コストを抑えることができます。データを 90 日以上アーカイブする予定の場合は、Amazon Simple Storage Service Glacier (Amazon S3 Glacier Flexible Retrieval) のフレキシブルリトリーブや、Veeam のアーカイブ階層による S3 Glacier Deep Archive を使用できます。S3 オブジェクトロックを使用して、Amazon S3 内のバックアップを不変にすることもできます。

このパターンでは、AWS Storage Gatewayのテープゲートウェイを使用して Veeam Backup & Replication をセットアップする方法については説明していません。このトピックについては、Veeamウェブサイトの「AWS VTL ゲートウェイを使用した Veeam の Backup とレプリケーション-デプロイガイド」 を参照してください。

警告: このシナリオでは、プログラムによるアクセスと長期的な認証情報を持つ IAM ユーザーが必要です。これはセキュリティ上のリスクをもたらします。このリスクを軽減するために、これらのユーザーにはタスクの実行に必要な権限のみを付与し、不要になったユーザーを削除することをお勧めします。アクセスキーは、必要に応じて更新できます。詳細については、「IAM ユーザーガイド」の「アクセスキーの更新」を参照してください。

前提条件と制限

前提条件

  • Veeam Availability SuiteまたはVeeam Backup Essentialsを含むVeeamBackup &レプリケーションがインストールされています(「無料トライアル」 に登録できます)

  • Veeam ユニバーサルライセンス (VUL) を含む、エンタープライズまたはエンタープライズプラス機能を備えた Veeam Backup &レプリケーションライセンス

  • Amazon S3 バケットへのアクセス付けのアクティブのAWS Identity and Access Management (IAM) ユーザー

  • Amazon Elastic Compute Cloud (Amazon EC2) および Amazon Virtual Private Cloud (Amazon VPC) へのアクセス権を持つアクティブな IAM ユーザー (アーカイブ階層を利用している場合)

  • パブリックインターネット接続または AWS Direct Connect パブリック仮想インターフェイス (VIF) を介したトラフィックのバックアップと復元に使用できる帯域幅を備えたオンプレミスから AWS サービスへのネットワーク接続

  • オブジェクトストレージリポジトリと正しく通信できるように、以下のネットワークポートとエンドポイントが開かれました。

    • Amazon S3 ストレージ — TCP — ポート 443: Amazon S3 ストレージとの通信に使用されます。

    • Amazon S3 ストレージ – クラウドエンドポイント – AWS リージョンおよび AWS GovCloud (米国) リージョンの場合は *.amazonaws.com、中国リージョンの場合は *.amazonaws.com.rproxy.goskope.com.cn: Amazon S3 ストレージとの通信に使用されます。接続エンドポイントの完全なリストについては、AWS ドキュメントの 「Amazon S3 エンドポイント」 を参照してください。

    • Amazon S3 ストレージ — TCP HTTP — ポート 80: 証明書のステータスを確認するために使用されます。証明書検証エンドポイント (証明書失効リスト (CRL) の URL と Online Certificate Status Protocol (OCSP) サーバー) は変更される可能性があることを考慮します。実際のアドレス一覧は、証明書自体に記載されています。

    • Amazon S3 ストレージ — 証明書検証エンドポイント — *.amazontrust.com: 証明書のステータスを検証するために使用されます。証明書検証エンドポイント (CRL URL と OCSP サーバー) は変更される可能性があることを考慮します。実際のアドレス一覧は、証明書自体に記載されています。

機能制限

  • Veeamは、Veeamオブジェクトストレージリポジトリとして使用されるS3バケットのS3ライフサイクルポリシーをサポートしていません。これには、Amazon S3 ストレージクラスの移行と S3 ライフサイクルの有効期限ルールを含むポリシーが含まれます。これらのオブジェクトを管理するのはVeeamだけである必要があります。S3 ライフサイクルポリシーを有効にすると、データ損失などの予期しない結果が生じる可能性があります。

製品バージョン

  • Veeam Backup & Replication v9.5 Update 4 以降(バックアップのみまたは容量階層)

  • Veeam Backup & Replication v10 以降(バックアップ、または容量階層と S3 Object Lock)

  • Veeam Backup & Replication v11 以降(バックアップまたはキャパシティ層、アーカイブまたはアーカイブ層、S3オブジェクトロック)

  • Veeam Backup & Replication v12 以降 (パフォーマンス階層、バックアップまたはキャパシティ階層、アーカイブまたはアーカイブ層、S3オブジェクトロック)

  • S3 Standard

  • S3 Standard – IA

  • S3 1 ゾーン - IA

  • S3 Glacier Flexible Retrieval (v11 以降のみ)

  • S3 Glacier Deep Archive (v11 以降のみ)

  • S3 Glacier Instant Retrieval (v12 以降のみ)

アーキテクチャ

ソーステクノロジースタック

  • VeeamBackup サーバーまたは Veeam ゲートウェイサーバーから Amazon S3 に接続するオンプレミスの Veeam バックアップ&レプリケーションインストール

ターゲットテクノロジースタック

  • Amazon S3

  • Amazon VPC と Amazon EC2 (アーカイブ階層を使用する場合)

ターゲットアーキテクチャ SOBR

次の図は、スケールアウトバックアップリポジトリ (SOBR) アーキテクチャを示しています。

Veeam から Amazon S3 S3 にデータをバックアップするための SOBR アーキテクチャ

Veeam Backup and Replication ソフトウェアは、システム障害、アプリケーションエラー、偶発的な削除などの論理的エラーからデータを保護します。この図では、バックアップは最初にオンプレミスで実行され、セカンダリコピーは直接 Amazon S3 に送信されます。バックアップはデータ point-in-time のコピーを表します。

このワークフローは、Amazon S3 へのバックアップの階層化またはコピーに必要な 3 つの主要コンポーネントと、1 つのオプションコンポーネントで構成されています。

  • Veeam Backup & Replication (1) — バックアップインフラストラクチャ、設定、ジョブ、リカバリータスク、およびその他のプロセスの調整、制御、管理を行うバックアップサーバー。

  • Veeam ゲートウェイサーバー(図には示されていません)— Veeam バックアップサーバーがAmazon S3 へのアウトバウンド接続を持たない場合に必要な、オプションのオンプレミスゲートウェイサーバー。

  • スケールアウト・バックアップ・リポジトリ (2) — データの多層ストレージ用の水平スケーリングをサポートするリポジトリ・システム。スケールアウトバックアップリポジトリは、データへの高速アクセスを提供する 1 つ以上のバックアップリポジトリで構成され、長期ストレージ (容量階層) とアーカイブ (アーカイブ層) 用に Amazon S3 オブジェクトストレージリポジトリで拡張できます。Veeamはスケールアウトバックアップリポジトリを使用して、ローカル(パフォーマンス階層)とAmazon S3 オブジェクトストレージ(容量層とアーカイブ層)の間でデータを自動的に階層化します。

  • Amazon S3 (3) – スケーラビリティ、データ可用性、セキュリティ、パフォーマンスを提供するオブジェクトストレージサービスです。

ターゲットアーキテクチャ DTO

次の図は、 direct-to-object (DTO) アーキテクチャを示しています。

Veeam から Amazon S3 にデータをバックアップするための DTO アーキテクチャ

この図では、バックアップデータは最初にオンプレミスに保存されることなく Amazon S3 に直接送信されます。セカンダリコピーは S3 Glacier に保存できます。

自動化とスケール

VeeamHub GitHub リポジトリ で提供されている AWS CloudFormation テンプレートを使用して、IAM リソースと S3 バケットの作成を自動化できます。テンプレートには標準オプションと不変オプションの両方が含まれています。

ツール

ツールと AWS サービス

  • Veeam Backup & Replication」 は、仮想ワークロードと物理ワークロードを保護、バックアップ、レプリケーション、復元するための Veeam のソリューションです。

  • AWS CloudFormation は、AWS リソースのモデル化とセットアップ、迅速かつ一貫したプロビジョニング、ライフサイクル全体にわたる管理に役立ちます。リソースを個別に管理する代わりに、テンプレートを使用してリソースとその依存関係を記述し、それらをスタックとしてまとめて起動して設定できます。複数の AWS アカウントと AWS リージョンにまたがるスタックを管理およびプロビジョニングすることが可能です。

  • Amazon Elastic Compute Cloud (Amazon EC2)」は、AWS クラウドでスケーラブルなコンピューティング容量を提供します。Amazon EC2 を使用して必要な分だけ仮想サーバーを起動し、スケールアウトまたはスケールインできます。

  • AWS Identity and Access Management (IAM)」 は、AWS リソースへのアクセスをセキュアに制御するためのウェブサービスです。IAM を使用すると、ユーザー、セキュリティ認証情報 (アクセスキーなど)、およびユーザーとアプリケーションがアクセスできる AWS リソースを制御する許可を一元管理できます。

  • Amazon Simple Storage Service (Amazon S3)」 は、オブジェクトストレージを提供します。Simple Storage Service (Amazon S3) を使用すると、いつでもウェブ上の任意の場所から任意の量のデータを保存および取得できます。

  • Amazon S3 Glacier (S3 Glacier)」 は、低コストでデータのアーカイブおよび長期バックアップを行うための、安全性と耐久性に優れたサービスです。

  • Amazon Virtual Private Cloud (Amazon VPC)」 では、AWS クラウドの論理的に隔離されたセクションをプロビジョニングすることで、ユーザーが定義した仮想ネットワーク内で AWS リソースを起動できます。仮想ネットワークは、お客様自身のデータセンターで運用されていた従来のネットワークによく似ていますが、AWS のスケーラブルなインフラストラクチャを使用できるというメリットがあります。

コード

VeeamHub GitHub リポジトリで提供されている CloudFormation テンプレートを使用して、このパターンの IAM リソースと S3 バケットを自動的に作成します。これらのリソースを手動で作成したい場合は、エピック セクションの手順に従ってください。

ベストプラクティス

  • IAMのベストプラクティスに従い、Veeam Backup & Replication のバックアップを Amazon S3 に書き込むために使用するIAMユーザーなど、長期にわたるIAMユーザーの認証情報を定期的にローテーションすることを強くお勧めします。詳細については、IAM ドキュメントの「セキュリティのベストプラクティス」を参照してください。

エピック

タスク説明必要なスキル

IAM ユーザーを作成します。

IAM ドキュメントの指示」 に従って IAM ユーザーを作成します。このユーザーには AWS コンソールへのアクセス権がないはずです。このユーザーのアクセスキーを作成する必要があります。Veeam は、このエンティティを使用して AWS との認証を行い、S3 バケットの読み書きを行います。ユーザーに必要以上の権限が付与されないように、最小特権(つまり、タスクの実行に必要な権限のみを付与)する必要があります。Veeam IAM ユーザーにアタッチする IAM ポリシーの例については、「追加情報」 セクションを参照してください。

または、VeeamHub GitHub リポジトリで提供されている CloudFormation テンプレートを使用して、このパターンの IAM ユーザーと S3 バケットを作成することもできます。

AWS 管理者

S3 バケットを作成する。

  1. AWS マネジメントコンソールにサインインして Amazon S3 コンソール 「https://console.aws.amazon.com/s3/」 を開きます。 

  2. ターゲットストレージとして使用する既存の S3 バケットがまだない場合は、Create bucket を選択し、バケット名、AWS リージョン、バケット設定を指定します。

    • S3 バケットの 「Block Public Access オプション」 を有効にし、組織の要件に合わせてアクセスポリシーとユーザー権限ポリシーを設定することをお勧めします。例については、「Amazon S3 のドキュメント」 を参照してください。

    • 「すぐに使用する予定がない場合でも、S3 オブジェクトロック」 を有効にすることをお勧めします。この設定は S3 バケットの作成時にのみ有効にできます。

詳細については、Amazon S3 ドキュメントの「バケットの作成」 を参照してください。

AWS 管理者
タスク説明必要なスキル

新規オブジェクトリポジトリウィザードを起動します。

Veeamでオブジェクトストレージとスケールアウトバックアップリポジトリを設定する前に、容量層とアーカイブ層に使用したい Amazon S3 と Amazon S3 Glacier のストレージリポジトリを追加する必要があります。次のエピックでは、これらのストレージリポジトリをスケールアウトバックアップリポジトリに接続します。

  1. Veeam コンソールで、バックアップ・インフラストラクチャー・ビューを開きます。 

  2. インベントリペインで、Backup リポジトリ」ノードを選択し、リポジトリを追加を選択します。 

  3. Backup リポジトリを追加ダイアログで、オブジェクトストレージ、Amazon S3 を選択します。

AWS 管理者、アプリ所有者

キャパシティティアに Amazon S3 ストレージを追加します。

  1. Amazon クラウドストレージサービスダイアログボックスで、Amazon S3 を選択します。

  2. ウィザードの名前ステップで、オブジェクトストレージの名前と、作成者や作成日などの簡単な説明を指定します。 

  3. ウィザードのアカウントステップで、オブジェクトストレージアカウントを指定します。 

    • 認証情報では、最初のエピックで作成した IAM ユーザーを選択して Amazon S3 オブジェクトストレージにアクセスします。 

    • AWS リージョンでは、Amazon S3 バケットがある AWS リージョンを選択します。

  4. ウィザードの Bucket ステップで、オブジェクトストレージ設定を指定します。

    • データセンターリージョンで、Amazon S3 バケットがある AWS リージョンを選択します。

    • バケットでは、最初のエピックで作成された S3 バケットを選択します。

    • Folder では、オブジェクトストレージリポジトリをマップするクラウドフォルダを作成または選択します。 

    • 不変性を有効にする場合は、最近のバックアップを X 日間不変にするを選択し、バックアップをロックする期間を設定します。不変性を有効にすると、Veeam から Amazon S3 への API 呼び出すの数が増えるため、コストが増加することに注意してください。

  5. ウィザードの Summary ステップで設定情報を確認し、Finish を選択します。

AWS 管理者、アプリ所有者

アーカイブ層に S3 Glacier ストレージを追加します。

アーカイブ階層を作成する場合は、「追加情報」 セクションに詳述されている IAM 権限を使用してください。 

  1. 前述のように、新規オブジェクトリポジトリウィザードを起動します。

  2. Amazon クラウドストレージサービスダイアログボックスで、Amazon S3 Glacier を選択します。

  3. ウィザードの名前ステップで、オブジェクトストレージの名前と、作成者や作成日などの簡単な説明を指定します。

  4. ウィザードのアカウントステップで、オブジェクトストレージアカウントを指定します。

    • 認証情報では、最初のエピックで作成した IAM ユーザーを選択して Amazon S3 Glacier オブジェクトストレージにアクセスします。 

    • AWS リージョンでは、Amazon S3 バケットがある AWS リージョンを選択します。

  5. ウィザードの Bucket ステップで、オブジェクトストレージ設定を指定します。

    • データセンターリージョンには、AWS リージョンを選択します。

    • Bucket で、バックアップデータを保存する S3 バケットを選択します。これは、容量階層に使用したのと同じバケットでもかまいません。

    • Folder では、オブジェクトストレージリポジトリをマップするクラウドフォルダを作成または選択します。 

    • イミュータビリティを有効にする場合は、最近のバックアップをリテンションポリシーの全期間にわたってイミュータブルにするを選択します。不変性を有効にすると、Veeam から Amazon S3 への API 呼び出すの数が増えるため、コストが増加することに注意してください。

    • S3 Glacier ディープアーカイブをアーカイブストレージクラスとして使用する場合は、ディープアーカイブストレージクラスを使用を選択します。

  6. ウィザードのプロキシアプライアンスのステップで、Amazon S3 から Amazon S3 Glacier にデータを転送するために使用する補助インスタンスを設定します。デフォルト設定を使用できます。または各設定を手動で設定できます。手動で設定するには:

    • [Customize] (カスタマイズ) を選択します。

    • EC2 インスタンスタイプでは、スケールアウトバックアップリポジトリのアーカイブ階層にバックアップファイルを転送する際の速度とコストの要件に基づいて、プロキシアプライアンスのインスタンスタイプを選択します。

    • Amazon VPC の場合は、ターゲットインスタンスの VPC を選択します。

    • サブネットで、プロキシアプライアンスのサブネットを選択します。

    • セキュリティグループでは、セキュリティグループを選択して、プロキシアプライアンスに関連します。

    • リダイレクターポートには、プロキシアプライアンスとバックアップインフラストラクチャコンポーネント間のリクエストをルーティングするための TCP ポートを指定します。

    • OK を選択して設定を確定します。

  7. ウィザードの Summary ステップで設定情報を確認し、Finish を選択します。

AWS 管理者、アプリ所有者
タスク説明必要なスキル

新規スケールアウトBackup リポジトリ」ウィザードを起動します。

  1. Veeam コンソールで、バックアップ・インフラストラクチャー・ビューを開きます。 

  2. インベントリペインでスケールアウトリポジトリを選択し、スケールアウトリポジトリを追加を選択します。

APP オーナー、AWS システム管理者

スケールアウト型バックアップリポジトリを追加し、容量とアーカイブ階層を設定します。

  1. ウィザードの名前ステップで、スケールアウトバックアップリポジトリの名前と簡単な説明を指定します。 

  2. 必要に応じて、パフォーマンスエクステントを追加します。既存の Veeam ローカルバックアップリポジトリをパフォーマンス階層として使用することもできます。Veeam バージョン 12 以降では、ローカルパフォーマンス階層をバイパスして、 direct-to-object (DTO) バックアップのパフォーマンス範囲として S3 バケットを追加できます。

  3. Advanced を選択し、スケールアウト・バックアップ・リポジトリの追加オプションを指定します。

    • マシンごとのバックアップファイルを使用を選択してマシンごとに個別のバックアップファイルを作成し、それらのファイルを複数のストリームでバックアップリポジトリに同時に書き込みます。このオプションは、ストレージとコンピュートリソースをより有効に活用するために推奨されます。

    • インクリメンタルバックアップの復元ポイントを含むエクステントがオフラインになった場合に備えて、必要なエクステントがオフラインのときにフルバックアップを実行を選択してフルバックアップファイルを作成します。このオプションでは、フルバックアップファイルをホストするためにスケールアウトバックアップリポジトリに空きスペースが必要です。

  4. ウィザードのポリシーステップで、リポジトリのバックアップ配置ポリシーを指定します。 

    • 同じチェーンに属するフルバックアップファイルとインクリメンタルバックアップファイルを同じパフォーマンス範囲で一緒に保存するには、Data locality を選択します。新しいバックアップチェーンに属するファイルは、同じパフォーマンス範囲または別のバックアップチェーンに保存できます (パフォーマンスの範囲として重複排除ストレージアプライアンスを使用している場合を除く)。

    • フルバックアップファイルとインクリメンタルバックアップファイルを異なるパフォーマンス範囲で保存するには、パフォーマンスを選択します。このオプションには、高速で信頼性の高いネットワーク接続が必要です。パフォーマンスを選択すると、保存するバックアップファイルのタイプをパフォーマンスの範囲ごとに制限できます。たとえば、フルバックアップファイルを 1 つのエクステントに保存し、インクリメンタルバックアップファイルを他のエクステントに保存できます。ファイルタイプを選択するには:

      • [Customize] (カスタマイズ) を選択します。

      • Backup 配置設定ダイアログボックスで、パフォーマンス範囲を選択し、編集を選択します。

      • エクステントに保存するバックアップファイルのタイプを選択します。

  5. ウィザードのキャパシティ階層のステップで、スケールアウトバックアップリポジトリにアタッチする長期ストレージ階層を設定します。 

    • オブジェクトストレージでスケールアウトバックアップリポジトリの容量を拡張するを選択します。オブジェクトストレージリポジトリでは、前のエピックで追加したキャパシティティアの Amazon S3 ストレージを選択します。

    • ウィンドウを選択して、データを移動またはコピーする時間枠を選択します。

    • すべてまたは最近作成されたバックアップファイルのみを容量の範囲内でコピーするには、バックアップを作成したらすぐにオブジェクトストレージにコピーするを選択します。 

    • 使用頻度の低いバックアップチェーンを容量の範囲まで転送するには、オペレーションリストア期間が終了したらバックアップをオブジェクトストレージに移動を選択します。X 日以上経過したバックアップファイルの移動フィールドで、バックアップファイルをオフロードするまでの期間を指定します。(使用頻度の低いバックアップチェーンを作成日にオフロードするには、0 日を指定します)。スケールアウトバックアップリポジトリが指定したしきい値に達した場合に、オーバーライドを選択してバックアップファイルをより早く移動することもできます。

    • オブジェクトストレージにアップロードされたデータを暗号化を選択し、パスワードを指定して、すべてのデータとそのメタデータをオフロード用に暗号化します。パスワードの追加またはパスワードの管理を選択して新しいパスワードを指定します。

  6. ウィザードの容量階層のステップで、スケールアウトバックアップリポジトリにアタッチする長期ストレージ階層を設定します。(Amazon S3 Glacier ストレージの追加をスキップした場合、このステップは表示されません)。 

    • GFS 完全バックアップをオブジェクトストレージにアーカイブを選択します。オブジェクトストレージリポジトリには、前のエピックで追加した Amazon S3 Glacier ストレージを選択します。

    • N 日以上経過したアーカイブ GFS バックアップの場合は、ファイルをアーカイブ範囲に移動する時間枠を選択します。(使用頻度の低いバックアップチェーンを作成日にアーカイブするには、0 日を指定します)。

  7. ウィザードの概要ステップで、スケールアウトバックアップリポジトリの設定を確認し、完了を選択します。

APP オーナー、AWS システム管理者

関連リソース

追加情報

以下のセクションでは、このパターンの 「エピック」 セクションでIAMユーザーを作成するときに使用できるサンプルIAMポリシーを紹介します。

キャパシティ階層の IAM ポリシー

注:サンプルポリシーのS3バケットの名前を <yourbucketname> から、Veeam の容量階層のバックアップに使用する S3 バケットの名前に変更します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:GetObjectVersion",
                "s3:ListBucketVersions",
                "s3:ListBucket",
                "s3:PutObjectLegalHold",
                "s3:GetBucketVersioning",
                "s3:GetObjectLegalHold",
                "s3:GetBucketObjectLockConfiguration",
                "s3:PutObject*",
                "s3:GetObject*",
                "s3:GetEncryptionConfiguration",
                "s3:PutObjectRetention",
                "s3:PutBucketObjectLockConfiguration",
                "s3:DeleteObject*",
                "s3:DeleteObjectVersion",
                "s3:GetBucketLocation"

            ],
            "Resource": [
                "arn:aws:s3:::/*",
                "arn:aws:s3:::"
            ]
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:ListBucket"
            ],
            "Resource": "*"
        }
    ]
}

アーカイブ階層の IAM ポリシー

注:サンプルポリシーのS3バケットの名前を <yourbucketname> から、Veeamアーカイブ階層のバックアップに使用する S3 バケットの名前に変更します。

既存の VPC、サブネット、およびセキュリティグループを使用するには:

  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": [
          "s3:DeleteObject",
          "s3:PutObject",
          "s3:GetObject",
          "s3:RestoreObject",
          "s3:ListBucket",
          "s3:AbortMultipartUpload",
          "s3:GetBucketVersioning",
          "s3:ListAllMyBuckets",
          "s3:GetBucketLocation",
          "s3:GetBucketObjectLockConfiguration",
          "s3:PutObjectRetention",
          "s3:GetObjectVersion",
          "s3:PutObjectLegalHold",
          "s3:GetObjectRetention",
          "s3:DeleteObjectVersion",
          "s3:ListBucketVersions",
          "ec2:DescribeInstances",
          "ec2:CreateKeyPair",
          "ec2:DescribeKeyPairs",
          "ec2:RunInstances",
          "ec2:DeleteKeyPair",
          "ec2:DescribeVpcAttribute",
          "ec2:CreateTags",
          "ec2:DescribeSubnets",
          "ec2:TerminateInstances",
          "ec2:DescribeSecurityGroups",
          "ec2:DescribeImages",
          "ec2:DescribeVpcs"
        ],
        "Resource": "*"
      }
    ]
  }

新しい VPC、サブネット、およびセキュリティグループを作成するには

  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": [
          "s3:DeleteObject",
          "s3:PutObject",
          "s3:GetObject",
          "s3:RestoreObject",
          "s3:ListBucket",
          "s3:AbortMultipartUpload",
          "s3:GetBucketVersioning",
          "s3:ListAllMyBuckets",
          "s3:GetBucketLocation",
          "s3:GetBucketObjectLockConfiguration",
          "s3:PutObjectRetention",
          "s3:GetObjectVersion",
          "s3:PutObjectLegalHold",
          "s3:GetObjectRetention",
          "s3:DeleteObjectVersion",
          "s3:ListBucketVersions",
          "ec2:DescribeInstances",
          "ec2:CreateKeyPair",
          "ec2:DescribeKeyPairs",
          "ec2:RunInstances",
          "ec2:DeleteKeyPair",
          "ec2:DescribeVpcAttribute",
          "ec2:CreateTags",
          "ec2:DescribeSubnets",
          "ec2:TerminateInstances",
          "ec2:DescribeSecurityGroups",
          "ec2:DescribeImages",
          "ec2:DescribeVpcs",
          "ec2:CreateVpc",
          "ec2:CreateSubnet",
          "ec2:DescribeAvailabilityZones",
          "ec2:CreateRoute",
          "ec2:CreateInternetGateway",
          "ec2:AttachInternetGateway",
          "ec2:ModifyVpcAttribute",
          "ec2:CreateSecurityGroup",
          "ec2:DeleteSecurityGroup",
          "ec2:AuthorizeSecurityGroupIngress",
          "ec2:AuthorizeSecurityGroupEgress",
          "ec2:DescribeRouteTables",
          "ec2:DescribeInstanceTypes"
        ],
        "Resource": "*"
      }
    ]
  }