Enterprise Vault 用プライマリストレージとしての Amazon Simple Storage Service (S3) の使用
STS 引き受け役割を使用した新しい Amazon S3 パーティションの追加
AWS STS 引き受け役割認証を使用してプライマリパーティションに Amazon S3 を設定する前に、次の手順を完了します。
プライマリパーティションで設定する必要がある AWS S3 バケットが AWS に作成されていること、およびバケットの名前がわかっていることを確認します。
IAM ロールとその管理対象ポリシーが AWS S3 バケットに対して定義されていること、およびロールの Amazon リソース名 (ARN) がわかっていることを確認します。
Amazon STS (セキュリティトークンサービス) について詳しくは、AWS のマニュアルを参照してください。
AWS 管理コンソールを使用して、IAM ユーザーが引き受け可能なロールを作成します。
- コンソールの IAM ロールペインで、[ユーザー]をクリックしてから[ユーザーの追加]をクリックします。このユーザーは、オンプレミス環境でロールを引き受けるために使用されます。
- 上記の手順で追加したユーザーに設定する IAM ロールユーザーポリシーを作成します。
これにより、IAM ユーザーはロールを一覧表示して引き受けることができます。次の JSON ドキュメントは、IAM ポリシーについて説明しています。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListRoles", "sts:AssumeRole" ], "Resource": "*" } ] } - IAM ユーザーにポリシーを設定します。
- ロールの引き受けが許可されている IAM ユーザーが作成されています。ロールを作成する前に、ロールに設定する IAM ポリシーを作成します。
- Amazon S3 の AWS IAM ロールポリシーを、S3 での次のアクセスレベルの権限を指定して作成します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject", "s3:GetBucketLocation", "s3:ListBucket", "s3:GetBucketObjectLockConfiguration" ], "Resource": "*" } ] }デフォルトでは、パーティションは非 WORM モードで作成され、上のポリシーを使用できます。
WORM モードでパーティションを作成することを選択した場合は、STS 引き受け役割の認証方法に追加の権限を設定する必要があります。この場合、次のアクセスレベルの権限を指定して、Amazon S3 の AWS IAM ロールポリシーを作成および設定します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject", "s3:GetBucketLocation", "s3:ListBucket", "s3:PutObjectRetention", "s3:GetBucketObjectLockConfiguration", "s3:GetObjectVersion", "s3:ListBucketVersions", "s3:DeleteObjectVersion", "s3:GetObjectRetention" ], "Resource": "*" } ] } - IAM ロールを作成するには、コンソールの IAM ロールペインで、[ロール]をクリックしてから[ロールの作成]を選択します。
- 信頼できる ID の[別の AWS アカウント]ロールタイプを選択します。
- 手順 a で作成した IAM ユーザーの[アカウント ID]を指定します。
- 手順 e で作成したポリシーを関連付けます。
- [ロール名]に、ロールの名前を入力します。
- ロールを確認し、[ロールの作成]をクリックします。
アクセスキー認証を使用する新しい Amazon S3 パーティションを追加する方法
- 管理コンソールの左ペインの[ボルトストアグループ]コンテナを展開し、既存のボルトストアグループを表示します。
- パーティションを作成するボルトストアを含むボルトストアグループを展開します。
- パーティションを作成するボルトストアを展開します。
- [パーティション]コンテナを右クリックし、[新規 (New)]、[パーティション (Partition)]の順にクリックします。新規パーティションウィザードが起動します。
- [次へ (Next)]をクリックします。
- 新しいボルトストアパーティションについての詳細をすべて入力し、[次へ]をクリックします。
- [ストレージの種類]リストで[Amazon Simple Storage Service]を選択します。
- WORM モードでデータを格納する場合は、[S3 オブジェクトロックを使用して WORM モードでデータを格納する]を選択します。デフォルトでは、このオプションのチェックマークははずされ、データは非 WORM モードで格納されます。
メモ:
AWS S3 バケットの S3 オブジェクトロックの保持モードが[コンプライアンス]モードで設定されていることを確認します。
Enterprise Vault サーバーのクロックが同じタイムゾーンのユニバーサルクロックよりも遅れている場合、WORM モードで AWS S3 用に作成されたパーティションのテスト機能が失敗します。AWS S3 サービスからの「保持期限は将来の日付にする必要があります 」エラーが原因で、テスト機能がオブジェクトのアップロードに失敗する場合があります。Enterprise Vault サーバーのクロックをユニバーサルクロックと同期する必要があります。または、RetentionPeriodForTestInSecs レジストリを適切な値に設定できます。『Enterprise Vault™ レジストリ値』ガイドを参照してください。
- [STS 引き受け役割]オプションを選択して、Amazon S3 に対して認証します。
- Amazon S3 接続設定を指定します。
設定
説明
AWS PrivateLink
プライベートインターフェースの S3 エンドポイントを使用する場合は[はい]、パブリック S3 エンドポイントを使用する場合は[いいえ]を選択します。
デフォルトでは、パブリック S3 エンドポイントを使用して、S3 と通信し指定バケットにアーカイブ対象ファイルを格納します。[はい]を選択した場合は、[S3 エンドポイント]設定でプライベートインターフェース S3 エンドポイントを指定していることを確認してください。
メモ:
この設定は Enterprise Vault 14.3 以降で利用可能です。
S3 エンドポイント
AWS S3 エンドポイントの URL を指定します。
デフォルトでは、パブリックの AWS S3 エンドポイントの URL (https://s3.amazonaws.com) が使用されます。[AWS PrivateLink]設定で[はい]を選択した場合は、プライベートインターフェースの S3 エンドポイントを指定します。
メモ:
この設定は Enterprise Vault 14.3 以降で利用可能です。
アクセスキー ID
Amazon が提供するアクセスキー ID を指定してください。
シークレットアクセスキー
Amazon が提供するアクセスキーを指定します。
IAM ロールの ARN
指定した IAM ユーザーに引き継ぐ IAM ロールの Amazon リソース名を指定します。
STS エンドポイント
Enterprise Vault のバージョンに応じて、次のいずれかの操作を実行します。
Enterprise Vault のバージョン 14.3 以降を使用している場合は、AWS S3 バケットも存在する同じリージョンの STS エンドポイントを入力します。
14.3 より前のバージョンの Enterprise Vault を使用している場合は、AWS S3 バケットも存在する同じリージョンの STS エンドポイントを選択します。
メモ:
Enterprise Vault では、遅延の低減と応答時間の改善のために、AWS S3 バケットが存在するリージョンの STS エンドポイントを使用することが推奨されます。
[AWS PrivateLink]設定を[はい]に設定した場合は、プライベートインターフェース STS エンドポイントの URL を指定します。そうでない場合は、次に記載されているパブリック STS エンドポイントの URL を指定します。
バケット名
AWS S3 バケットの名前を指定します。
メモ:
パーティションが作成されると、バケット名は変更できません。
パーティションの作成後にバケットを削除しないでください。なんらかの理由でバケットを削除する必要がある場合は、新しいパーティションを作成する必要があります。
バケットのリージョン
([バケット名]設定で指定した) S3 バケットが存在するリージョンのコードを入力します。リージョンのコードについて詳しくは、https://docs.aws.amazon.com/general/latest/gr/rande.html を参照してください。パーティションの作成時に適切なリージョンコードを指定していることを確認してください。
メモ:
この設定は Enterprise Vault 14.3 以降で利用可能です。
ストレージクラス
オブジェクトを AWS S3 バケットに格納するためのストレージクラスを指定します。
S3 Standard - 頻繁にアクセスされるデータを格納します。
S3 Standard-IA - 必要に応じて、迅速なアクセスを必要とする、アクセス頻度の低いデータを格納します。データは、最低 3 つの可用性ゾーン (AZ) に格納されます。
S3 One Zone-IA - アクセス頻度の低いデータを単一の可用性ゾーンに格納します。
S3 Intelligent-Tiering - 最も費用対効果の高いアクセスティア間でデータを移動します。
S3 Glacier Instant Retrieval - アクセス頻度が低く、ミリ秒単位での取得を低コストで行う必要がある長期保持データを格納します。
詳しくは、https://aws.amazon.com/s3/storage-classes を参照してください。
暗号化
バケット内に保存しているアーカイブファイルを暗号化するかどうかの暗号化設定を指定します。
Amazon S3 で管理された暗号化キーでサーバー側の暗号化を使用してアーカイブファイルを暗号化するには、[SSE-S3]を選択します。
デフォルトでは、暗号化を使用しない[なし]が選択されています。
ログレベル
AWS SDK ログのログレベルを指定します。
ログなし - Enterprise Vault は AWS SDK ログを記録しません。
致命的 - 致命的なエラーのみをログに記録します。
エラー - すべてのエラーをログに記録します。
警告 - 警告とエラーをログに記録します。
詳細 - 警告やエラーなど、すべての情報をログに記録します。
デバッグ - 情報、警告、エラーなど、デバッグメッセージをログに記録します。
すべて - すべてをログに記録します。
メモ:
DTrace ログには AWS SDK ログステートメントが含まれており、これは AwsSdk: という接頭辞で簡単に見つけることができます。
書き込みバッファサイズ (MB)
書き込みバッファサイズを 5 MB から 200 MB の範囲で指定し、チャンク内のデータをアップロードします。
読み取りバッファサイズ (MB)
データをチャンクでダウンロードするため、読み込みバッファサイズを 1 MB から 1024 MB の範囲で指定します。
- [次へ]をクリックします。
- [レプリケーション]ページで、[アーカイブされたファイルがクラウドストレージに存在するとき]または[アーカイブされたファイルがクラウドストレージにレプリケートされるとき]のいずれかのオプションを選択します。
詳しくは、「管理コンソールのヘルプ」ページを参照してください。
- ファイルがクラウドに存在するかどうかを確認するためのスキャン間隔を選択します。サポートされているスキャン間隔は 0 分 ~ 1440 分です。デフォルトでは、Enterprise Vault は、上記のオプションに基づいて、アーカイブされたデータが複製されているか、クラウド上に存在するかを 60 分ごとにチェックします。必要に応じて、スキャン間隔を変更できます。スキャン間隔を 0 分に設定すると、パーティションのチェックは、ボルトストアからバックアップモードがクリアされたときと、ストレージサービスが開始されたときのみ行われます。
- [次へ]をクリックします。
- 概略ページに、新しく作成された Amazon S3 パーティションの情報が表示されます。