Snow Family デバイスを使用するための前提条件 - AWS Snowball Edge デベロッパーガイド
にサインアップする AWS アカウント管理アクセスを持つユーザーを作成する環境について特殊文字の使用を使用した Amazon S3 暗号化 AWS KMSサーバー側の暗号化による Amazon S3 の暗号化Snow Family デバイスで Amazon S3 アダプターをインポートジョブ/エクスポートジョブに使用するための前提条件Snow Family デバイスの Amazon S3 互換ストレージを使用するための前提条件Snow Family デバイスでコンピューティングインスタンスを使用するための前提条件

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Snow Family デバイスを使用するための前提条件

Snow Family デバイスの使用を開始する前に、 AWS アカウントがない場合は、アカウントにサインアップする必要があります。また、Snow Family デバイスで使用するようにデータおよびコンピューティングインスタンスを設定する方法を学ぶことをお勧めします。

AWS Snowball Edge はリージョン固有のサービスです。そのため、ジョブを計画する前に、そのサービスがお客様の AWS リージョンで利用可能であることを確認してください。場所と Amazon S3 バケットが同じ AWS リージョン 国または同じ国にあることを確認します。これは、デバイスを注文する機能に影響するためです。

ローカルエッジコンピューティングとストレージジョブ用にコンピューティング最適化されたデバイスで、Snow Family デバイスの Amazon S3 互換ストレージを使用するには、注文時にデバイスに S3 容量をプロビジョニングする必要があります。Snow Family デバイスの Amazon S3 互換ストレージは、ローカルバケット管理をサポートしているため、デバイスを受け取った後、デバイスまたはクラスターに S3 バケットを作成できます。

注文プロセスの一環として、 AWS Identity and Access Management (IAM) ロールと AWS Key Management Service (AWS KMS) キーを作成します。KMS キーは、ジョブのロック解除コードを暗号化するために使用されます。IAM ロールとKMSキーの作成の詳細については、「Snow Family デバイス を注文するジョブの作成」を参照してください。

注記

アジアパシフィック (ムンバイ) では、Amazon on Internet Services Private Limited () によって AWS リージョン サービスが提供されますAISPL。アジアパシフィック (ムンバイ) での Amazon Web Services へのサインアップの詳細については AWS リージョン、「 へのサインアップAISPL」を参照してください。

にサインアップする AWS アカウント

がない場合は AWS アカウント、次の手順を実行して作成します。

にサインアップするには AWS アカウント

  1. https://portal.aws.amazon.com/billing/サインアップ を開きます。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、通話呼び出しを受け取り、電話キーパッドで検証コードを入力するように求められます。

    にサインアップすると AWS アカウント、 AWS アカウントのルートユーザーが作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。

AWS は、サインアッププロセスが完了した後に確認 E メールを送信します。/ に移動し、マイアカウント を選択して、いつでも現在のアカウントアクティビティを表示https://aws.amazon.comし、アカウントを管理できます。

管理アクセスを持つユーザーを作成する

にサインアップしたら AWS アカウント、 のセキュリティを確保し AWS アカウントのルートユーザー、 を有効にして管理ユーザーを作成し AWS IAM Identity Center、日常的なタスクにルートユーザーを使用しないようにします。

のセキュリティ保護 AWS アカウントのルートユーザー

  1. ルートユーザーを選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者AWS Management Consoleとして にサインインします。次のページでパスワードを入力します。

    ルートユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドルートユーザーとしてサインインするを参照してください。

  2. ルートユーザーの多要素認証 (MFA) を有効にします。

    手順については、「 ユーザーガイド」の AWS アカウント 「ルートユーザー (コンソール) の仮想MFAデバイスの有効化」を参照してください。 IAM

管理アクセスを持つユーザーを作成する

  1. IAM Identity Center を有効にします。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「AWS IAM Identity Centerの有効化」を参照してください。

  2. IAM Identity Center で、ユーザーに管理アクセスを許可します。

    を ID ソース IAM アイデンティティセンターディレクトリ として使用する方法のチュートリアルについては、 AWS IAM Identity Center ユーザーガイド「デフォルトを使用してユーザーアクセスを設定する IAM アイデンティティセンターディレクトリ」を参照してください。

管理アクセス権を持つユーザーとしてサインインする

  • IAM Identity Center ユーザーでサインインするには、IAMIdentity Center ユーザーの作成時に E メールアドレスにURL送信されたサインインを使用します。

    IAM Identity Center ユーザーを使用してサインインする方法については、AWS サインイン 「 ユーザーガイド」のAWS 「 アクセスポータルへのサインイン」を参照してください。

追加のユーザーにアクセス権を割り当てる

  1. IAM Identity Center で、最小権限のアクセス許可を適用するベストプラクティスに従うアクセス許可セットを作成します。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」を参照してください。

  2. グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「グループの参加」を参照してください。

環境について

データセットとローカル環境のセットアップについて理解しておくと、データ転送を実行する際に役立ちます。ご注文の前に、次の点について考慮してください。

どのようなデータを転送するか。

AWS Snowball Edge では、小さなファイルを大量に転送しようとすると正常に動作しません。Snowball Edge では、個々のオブジェクトが暗号化されるためです。小さなファイルとは、1 MB 未満のファイルなどのことです。 AWS Snowball Edge デバイスに転送する前に、圧縮することをお勧めします。また、各ディレクトリ内のファイルやディレクトリの数は、500,000 を超えないようにすることをお勧めします。

転送中のデータにアクセスするか。

静的なデータセットであることが重要です (転送中にユーザーやシステムによってデータにアクセスされることがないこと)。そうでない場合、チェックサムの不一致によってファイルの転送が失敗する可能性があります。ファイルは転送されず、Failed のようにマークされます。

データ破損を防ぐため、データ転送中に AWS Snowball Edge デバイスを切断したり、ネットワーク設定を変更したりしないでください。ファイルは、デバイスへの書き込み中、静的な状態になっている必要があります。デバイスへの書き込み中にファイルが変更されると、読み取り/書き込み競合が発生する可能性があります。

ネットワークは AWS Snowball データ転送をサポートしますか?

Snowball Edge はRJ45、、SFP+、または QSFP+ ネットワークアダプターをサポートしています。スイッチがギガビットスイッチであることを確認してください。スイッチのブランドによりますが、ギガビットまたは 10/100/1000 などと表示されています。Snowball Edge デバイスは、メガビットスイッチまたは 10/100 スイッチをサポートしていません。

特殊文字を含むファイル名の処理

オブジェクトの名前に特殊文字が含まれていると、エラーが発生する可能性があることに注意してください。Amazon S3 では特殊文字を使用できますが、次の文字の使用は避けることを強くお勧めします。

  • バックスラッシュ ("\")

  • 左中括弧 ("{")

  • 右中括弧 ("}")

  • 左角括弧 ("[")

  • 右角括弧 ("]")

  • 小なり記号 ("<")

  • 大なり記号 (">")

  • 印刷不可能なASCII文字 (128~255 進数文字)

  • カレット ("^")

  • パーセント記号 ("%")

  • アクサングラーブ/バックティック ("`")

  • 引用符

  • チルダ ("~")

  • シャープ記号 ("#")

  • 縦棒/パイプ ("|")

オブジェクト名にこれらの文字が 1 つ以上あるファイルの場合は、オブジェクトの名前を変更してから AWS Snowball Edge デバイスにコピーします。ファイル名にスペースが含まれている Windows ユーザーは、個々のオブジェクトをコピーしたり、再帰コマンドを実行したりする際に注意が必要です。コマンドでは、名前にスペースを含むオブジェクトの名前を引用符で囲みます。このようなファイルの例を以下に示します。

オペレーティングシステム ファイル名: test file.txt

Windows

“C:\Users\<username>\desktop\test file.txt”

iOS

/Users/<username>/test\ file.txt

Linux

/home/<username>/test\ file.txt
注記

転送されるオブジェクトメタデータは、オブジェクト名とサイズのみです。

を使用した Amazon S3 暗号化 AWS KMS

デフォルトの AWS マネージド暗号化キーまたはカスタマーマネージド暗号化キーを使用して、データのインポートまたはエクスポート時にデータを保護することができます。

AWS KMS マネージドキーでの Amazon S3 デフォルトバケット暗号化の使用

で AWS マネージド暗号化を有効にするには AWS KMS

  1. で Amazon S3 コンソールを開きますhttps://console.aws.amazon.com/s3/

  2. 暗号化する Amazon S3 バケットを選択します。

  3. 右側に表示されるウィザードで、[Properties] (プロパティ)を選択します。

  4. [Default encryption] (デフォルトの暗号化) ボックスで、[Disabled] (無効)を選択し (このオプションは灰色で表示されます)、デフォルトの暗号化を有効にします。

  5. 暗号化方法として AWS-KMS を選択し、使用するKMSキーを選択します。このキーは、バケットPUT内にあるオブジェクトを暗号化するために使用されます。

  6. [Save] を選択します。

Snowball Edge ジョブが作成されたら、データをインポートする前に、既存のIAMロールポリシーにステートメントを追加します。これは、注文プロセス中に作成したロールです。デフォルトのロール名は、ジョブタイプに応じて Snowball-import-s3-only-role または Snowball-export-s3-only-role のようになります。

以下は、このようなステートメントの使用例です。

データをインポートする場合

AWS KMS マネージドキー (SSE-KMS) でサーバー側の暗号化を使用してインポートジョブに関連付けられた Amazon S3 バケットを暗号化する場合は、IAMロールに次のステートメントを追加する必要があります。

例 Snowball インポートIAMロールの例
{
    "Effect": "Allow",
    "Action": [
        "kms: GenerateDataKey",
	"kms: Decrypt"
    ],
    "Resource":"arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

データをエクスポートする場合

AWS KMS マネージドキーでサーバー側の暗号化を使用してエクスポートジョブに関連付けられた Amazon S3 バケットを暗号化する場合は、次のステートメントをIAMロールに追加する必要があります。

例 Snowball エクスポートIAMロール
{
    "Effect": "Allow",
    "Action": [
        "kms:Decrypt"
    ],
    "Resource":"arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

AWS KMS カスタマーキーでの S3 デフォルトバケット暗号化の使用

デフォルトの Amazon S3 バケット暗号化を独自のKMSキーで使用して、インポートおよびエクスポートするデータを保護します。

データをインポートする場合

でカスタマーマネージド暗号化を有効にするには AWS KMS

  1. にサインイン AWS Management Console し、 AWS Key Management Service (AWS KMS) コンソールを https://console.aws.amazon.com/kms で開きます。

  2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクタを使用します。

  3. 左側のナビゲーションペインで、カスタマーマネージドキー を選択し、使用するバケットに関連付けられたKMSキーを選択します。

  4. まだ展開されていない場合、[Key Policy] (キーポリシー) を展開します。

  5. キーユーザー セクションで、追加を選択してIAMロールを検索します。IAM ロールを選択し、 の追加 を選択します。

  6. または、[Switch to Policy view] (ポリシービューへの切り替え) を選択してキーポリシードキュメントを表示し、キーポリシーにステートメントを追加することもできます。以下は ポリシーの例です。

例 AWS KMS カスタマーマネージドキーのポリシーの
{
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {
    "AWS": [
      "arn:aws:iam::111122223333:role/snowball-import-s3-only-role"
    ]
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Resource": "*"
}

このポリシーが AWS KMS カスタマーマネージドキーに追加されると、Snowball ジョブに関連付けられたIAMロールも更新する必要があります。デフォルトのロールは snowball-import-s3-only-role です。

例 Snowball インポートIAMロールの
{
  "Effect": "Allow",
  "Action": [
    "kms: GenerateDataKey",
    "kms: Decrypt"
  ],
  "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

詳細については、「でのアイデンティティベースのポリシー (IAM ポリシー) の使用 AWS Snowball」を参照してください。

使用されているKMSキーは次のようになります。

“Resource”:“arn:aws:kms:region:AccoundID:key/*”

データをエクスポートする場合

例 AWS KMS カスタマーマネージドキーのポリシーの
{
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {
    "AWS": [
      "arn:aws:iam::111122223333:role/snowball-import-s3-only-role"
    ]
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Resource": "*"
}

このポリシーが AWS KMS カスタマーマネージドキーに追加されると、Snowball ジョブに関連付けられたIAMロールも更新する必要があります。デフォルトのロールは次のように表示されます。

snowball-export-s3-only-role

例 Snowball エクスポートIAMロールの
{
  "Effect": "Allow",
  "Action": [
    "kms: GenerateDataKey",
    "kms: Decrypt"
  ],
  "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

このポリシーが AWS KMS カスタマーマネージドキーに追加されると、Snowball ジョブに関連付けられたIAMロールも更新する必要があります。デフォルトのロールは snowball-export-s3-only-role です。

サーバー側の暗号化による Amazon S3 の暗号化

AWS Snowball は、Amazon S3 マネージド暗号化キー (-S3) によるサーバー側の暗号化をサポートします。SSE-S3 サーバー側の暗号化は保管中のデータを保護することであり、SSE-S3 には Amazon S3 の保管中のデータを保護するための強力な多要素暗号化があります。SSE-S3 の詳細については、「Amazon Simple Storage Service ユーザーガイド」の「Amazon S3-Managed暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護」を参照してください。

注記

現在、 AWS Snowball は、カスタマー提供のキー (SSE-C) によるサーバー側の暗号化をサポートしていません。ただし、インポートされたデータを保護するためにそのSSEタイプを使用するか、エクスポートするデータで既に使用している場合があります。このような場合は、以下の点に注意してください。

  • インポート – SSE-C を使用して S3 にインポートしたオブジェクトを暗号化する場合は、それらのオブジェクトを、バケットのバケットポリシーの一部として SSEまたはKMS SSE-S3 暗号化が確立された別のバケットにコピーします。

  • エクスポート – SSE-C で暗号化されたオブジェクトをエクスポートする場合は、まず、サーバー側の暗号化がない、またはバケットのバケットポリシーで SSE-KMS または SSE-S3 が指定されている別のバケットにオブジェクトをコピーします。

Snow Family デバイスで Amazon S3 アダプターをインポートジョブ/エクスポートジョブに使用するための前提条件

Snow Family デバイスで S3 アダプターを使用すると、デバイスを使用してデータをオンプレミスのデータソースからクラウドまたはクラウドからオンプレミスのデータストレージに移動できます。詳細については、「Snow Family デバイスとの間でのデータ移行に Amazon S3 アダプターを使用したファイルの転送」を参照してください。

ジョブに関連付けられた Amazon S3 バケットでは、Amazon S3 Standard ストレージクラスを使用する必要があります。最初のジョブを作成する前に、以下の点に留意してください。

Amazon S3 にデータをインポートするジョブについては、以下のステップに従ってください。

Amazon S3 からデータをエクスポートする前に、以下のステップに従ってください。

  • ジョブの作成時に、エクスポートされるデータを確認します。詳細については、「Snowball Edge デバイスにデータをエクスポートするときに Amazon S3 オブジェクトキーを使用する」を参照してください。

  • ファイル名にコロン (:) を含むファイルがある場合は、Amazon S3 でファイル名を変更してから、これらを取得するエクスポートジョブを作成します。ファイル名にコロンが含まれている場合は、ファイルを Microsoft Windows Server にエクスポートすることはできません。

Snow Family デバイスの Amazon S3 互換ストレージを使用するための前提条件

Snow Family デバイスで Amazon S3 互換ストレージを使用するのは、エッジロケーションでデバイスにデータを保存し、ローカルコンピューティングオペレーションにデータを使用する場合です。ローカルコンピューティングオペレーションに使用されるデータは、デバイスが返されたときに Amazon S3 にインポートされません。

ローカルコンピューティング用および Amazon S3 互換ストレージを備えたストレージ用の Snow デバイスを注文する場合は、次の点に注意してください。

  • デバイスの注文時に、Amazon S3 ストレージ容量をプロビジョニングします。そのため、デバイスを注文する前に、ストレージのニーズを検討してください。

  • Amazon S3 バケットは、Snow Family デバイスの注文時ではなく、受領後にデバイス上で作成できます。

  • Snow Family デバイスで Amazon S3 互換ストレージを使用するには、最新バージョンの AWS CLI (v2.11.15 以降)、Snowball Edge クライアントをダウンロードするか、コンピュータに AWS OpsHub インストールする必要があります。

  • デバイスを受け取ったら、本ガイドの「Snow Family デバイスの Amazon S3 互換ストレージを使用する」に従って、Snow Family デバイスの Amazon S3 互換ストレージを設定、起動、使用します。

Snow Family デバイスでコンピューティングインスタンスを使用するための前提条件

sbe1、、および インスタンスタイプを使用してsbe-c、 AWS Snowball Edge でホストされている Amazon EC2互換コンピューティングsbe-gインスタンスを実行できます。

  • sbe1 インスタンスタイプは、Snowball Edge Storage Optimized オプションを備えたデバイスで動作します。

  • sbe-c インスタンスタイプは、Snowball Edge Compute Optimized オプションを備えたデバイスで動作します。

  • Snowball Edge Compute Optimized with GPUオプションを備えたデバイスでは、 sbe-c および sbe-gインスタンスタイプの両方が動作します。

Snowball Edge デバイスのオプションでサポートされるすべてのコンピューティングインスタンスタイプは、 AWS Snowball Edge デバイスに固有です。クラウドベースのインスタンスと同様に、これらのインスタンスを起動するには Amazon Machine Images (AMIs) が必要です。Snowball Edge ジョブを作成する前に、インスタンスAMIの を選択します。

Snowball Edge でコンピューティングインスタンスを使用するには、ジョブを作成して Snow Family デバイスを注文し、 を指定しますAMIs。これを行うには、 AWS Snowball マネジメントコンソール、 AWS Command Line Interface (AWS CLI)、または のいずれかを使用します AWS SDKs。一般的に、インスタンスを使用するには、ジョブの作成前にハウスキーピングの前提条件をいくつか実行する必要があります。

コンピューティングインスタンスを使用するジョブの場合、 AMIsをジョブに追加する前に、 AMI AWS アカウント に があり、サポートされているイメージタイプである必要があります。現在、 AMIsは、以下のオペレーティングシステムに基づいています。

注記

Ubuntu 16.04 LTS - Xenial (HVM) イメージは、 ではサポートされなくなりましたが AWS Marketplace、Amazon EC2 VM Import/Export を介して Snowball Edge デバイス上で使用でき、 でローカルで実行されますAMIs。

これらのイメージは、AWS Marketplace から取得できます。

SSH を使用して Snowball Edge で実行されているインスタンスに接続する場合は、独自のキーペアを使用するか、Snowball Edge でキーペアを作成できます。 AWS OpsHub を使用してデバイスにキーペアを作成するには、「」を参照してくださいで EC2互換インスタンスのキーペアを使用する AWS OpsHub。を使用してデバイスにキーペア AWS CLI を作成するには、create-key-pair「」の「」を参照してくださいSnow Family デバイスでサポートされている EC2互換 AWS CLI コマンドのリスト。キーペアと Amazon Linux 2 の詳細については、Amazon EC2 ユーザーガイドの「Amazon EC2キーペアと Linux インスタンス」を参照してください。

デバイスでコンピューティングインスタンスを使用する際の固有の情報については、「Snow Family デバイスで Amazon EC2互換コンピューティングインスタンスを使用する」を参照してください。