データ分離 - Research and Engineering Studio

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

データ分離

に S3 バケットを追加するとRES、バケット内のデータを特定のプロジェクトやユーザーに分離するオプションがあります。バケットの追加ページで、読み取り専用 (R) または読み取りと書き込み (R/W) のモードを選択できます。

読み取り専用

Read Only (R) を選択した場合、バケットのプレフィックス ARN (Amazon リソースネーム) に基づいてデータ分離が適用されます。例えば、管理者が RESを使用して にバケットを追加ARNarn:aws:s3:::bucket-name/example-data/し、このバケットをプロジェクト A とプロジェクト B に関連付けると、プロジェクト A とプロジェクト B 内VDIsから起動するユーザーは、パス bucket-nameの下にある にあるデータのみを読み取ることができます/example-data。そのパス外のデータにはアクセスできません。バケット にプレフィックスが追加されていない場合ARN、バケット全体はそれに関連付けられたプロジェクトで使用可能になります。

読み取りと書き込み

Read and Write (R/W) を選択した場合でも、前述のようにARN、バケット のプレフィックスに基づいてデータ分離が強制されます。このモードには、管理者が S3 バケットに可変ベースのプレフィックスを提供できるようにする追加オプションがあります。Read and Write (R/W) を選択すると、カスタムプレフィックスセクションが利用可能になり、以下のオプションを含むドロップダウンメニューが表示されます。

  • カスタムプレフィックスなし

  • /%p

  • /%p/%u

Form to add an S3 bucket, including fields for name, ARN, mount point, and access mode.
カスタムデータ分離なし

No custom prefix カスタムプレフィックス に を選択すると、バケットはカスタムデータ分離なしで追加されます。これにより、バケットに関連付けられたすべてのプロジェクトに読み取りおよび書き込みアクセスが可能になります。例えば、管理者が ARN arn:aws:s3:::bucket-name No custom prefix RESを使用して にバケットを追加し、このバケットをプロジェクト A とプロジェクト B に関連付けると、プロジェクト A とプロジェクト B 内VDIsから起動するユーザーには、バケットへの無制限の読み取りおよび書き込みアクセスが許可されます。

プロジェクトレベルごとのデータ分離

/%p カスタムプレフィックス に を選択すると、バケット内のデータは、バケットに関連付けられた特定のプロジェクトごとに分離されます。%p 変数はプロジェクトコードを表します。例えば、管理者が にバケットを追加し、 ARNarn:aws:s3:::bucket-nameのマウントポイント/%p選択されている RESを使用する場合です。/bucket、および は、このバケットをプロジェクト A とプロジェクト B に関連付けると、プロジェクト A のユーザー A は にファイルを書き込むことができます。/bucket。 プロジェクト A のユーザー B には、ユーザー A が書き込んだファイルも表示されます。/bucket。 ただし、ユーザー B がプロジェクト B VDIで を起動し、/bucket、データはプロジェクトによって分離されるため、ユーザー A が書き込んだファイルが表示されません。ユーザー A が書き込んだファイルは、プレフィックスの S3 バケットにあります/ProjectAが、ユーザー B はプロジェクト B VDIsからのファイルを使用する/ProjectB場合にのみアクセスできます。

プロジェクト単位、ユーザー単位のデータ分離

/%p/%u カスタムプレフィックス に を選択すると、バケット内のデータは、そのプロジェクトに関連付けられた特定のプロジェクトとユーザーに分離されます。%p 変数はプロジェクトコードを表し、ユーザー名%uを表します。例えば、管理者が にバケットを追加し、 を/%p/%u選択した ARN arn:aws:s3:::bucket-name と のマウントポイントで RES を使用します。/bucket。 このバケットはプロジェクト A とプロジェクト B に関連付けられています。プロジェクト A のユーザー A は にファイルを書き込むことができます。/bucket%p 分離のみの以前のシナリオとは異なり、この場合のユーザー B には、 のプロジェクト A でユーザー A が書き込んだファイルが表示されません。/bucket、データはプロジェクトとユーザーの両方によって分離されるため。ユーザー A が書き込んだファイルは、プレフィックスの S3 バケットにあります/ProjectA/UserAが、ユーザー B はプロジェクト A VDIsで を使用している/ProjectA/UserB場合にのみアクセスできます。