Enterprise Vault 用プライマリストレージとしての Amazon Simple Storage Service (S3) の使用

Last Published:
Product(s): Enterprise Vault (15.1)

IAM ロール認証を使用した新しい Amazon S3 パーティションの追加

AWS IAM ロール認証を使用してプライマリパーティションに Amazon S3 を設定する前に、次の手順を完了します。

  • プライマリパーティションで設定する必要がある AWS S3 バケットが AWS に作成されていること、およびバケットの名前がわかっていることを確認します。

  • IAM ロールとその管理対象ポリシーが AWS S3 バケットに対して定義されていることを確認します。

IAM コンソールを使用して、ポリシーを伴う AWS IAM ロールを作成するには、 http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html を参照してください。

AWS 管理コンソールを使用して、次の権限を持つポリシーを伴う IAM ロールを作成します。

  1. コンソールの IAM ロールペインで、[ロール]をクリックしてから[ロールの作成]をクリックします。
  2. 信頼できるエンティティの[AWS サービス]タイプを選択します。
  3. [Amazon EC2 フルアクセス]をクリックします。

    次のアクセスレベルの権限を指定して、Amazon S3 の AWS IAM ロールポリシーを作成および設定します。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
               "s3:DeleteObject",
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:GetBucketObjectLockConfiguration"                                   
                ],
            "Resource": "*"
       }
    ]
}

    デフォルトでは、パーティションは非 WORM モードで作成され、上のポリシーを使用できます。

    WORM モードでパーティションを作成することを選択した場合は、IAM ロールの認証方法に追加の権限を設定する必要があります。この場合、次のアクセスレベルの権限を指定して、Amazon S3 の AWS IAM ロールポリシーを作成および設定します。

    {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:PutObjectRetention",
"s3:GetBucketObjectLockConfiguration",
"s3:GetObjectVersion",
"s3:ListBucketVersions",
"s3:DeleteObjectVersion",
"s3:GetObjectRetention"
],
"Resource": "*"
}
]
}
  4. [ロール名]に、ロールの名前を入力します。
  5. ロールを確認し、[ロールの作成]をクリックします。

アクセスキー認証を使用する新しい Amazon S3 パーティションを追加する方法

  1. 管理コンソールの左ペインの[ボルトストアグループ]コンテナを展開し、既存のボルトストアグループを表示します。
  2. パーティションを作成するボルトストアを含むボルトストアグループを展開します。
  3. パーティションを作成するボルトストアを展開します。
  4. [パーティション]コンテナを右クリックし、[新規 (New)]、[パーティション (Partition)]の順にクリックします。新規パーティションウィザードが起動します。
  5. [次へ (Next)]をクリックします。
  6. 新しいボルトストアパーティションについての詳細をすべて入力し、[次へ]をクリックします。
  7. [ストレージの種類]リストで[Amazon Simple Storage Service]を選択します。
  8. WORM モードでデータを格納する場合は、[S3 オブジェクトロックを使用して WORM モードでデータを格納する]を選択します。デフォルトでは、このオプションのチェックマークははずされ、データは非 WORM モードで格納されます。

    メモ:

    AWS S3 バケットの S3 オブジェクトロックの保持モードが[コンプライアンス]モードで設定されていることを確認します。

    Enterprise Vault サーバーのクロックが同じタイムゾーンのユニバーサルクロックよりも 2 分以上遅れている場合、WORM モードで AWS S3 用に作成されたパーティションのテスト機能が失敗します。AWS S3 のサービス時間に対して「保持期限」が遅れている場合、テスト機能はオブジェクトのアップロードに失敗することがあります。Enterprise Vault サーバーのクロックをユニバーサルクロックと同期する必要があります。

  9. [IAM ロール]オプションを選択して、Amazon S3 に対して認証します。
  10. Amazon S3 接続設定を指定します。

    設定

    説明

    AWS PrivateLink

    プライベートインターフェースの S3 エンドポイントを使用する場合は[はい]、パブリック S3 エンドポイントを使用する場合は[いいえ]を選択します。

    デフォルトでは、パブリック S3 エンドポイントを使用して、S3 と通信し指定バケットにアーカイブ対象ファイルを格納します。[はい]を選択した場合は、[S3 エンドポイント]設定でプライベートインターフェース S3 エンドポイントを指定していることを確認してください。

    メモ:

    この設定は Enterprise Vault 14.3 以降で利用可能です。

    S3 エンドポイント

    AWS S3 エンドポイントの URL を指定します。

    デフォルトでは、パブリックの AWS S3 エンドポイントの URL (https://s3.amazonaws.com) が使用されます。[AWS PrivateLink]設定で[はい]を選択した場合は、プライベートインターフェースの S3 エンドポイントを指定します。

    メモ:

    この設定は Enterprise Vault 14.3 以降で利用可能です。

    バケット名

    Amazon S3 バケットの名前を指定します。

    メモ:

    パーティションが作成されると、バケット名は変更できません。

    パーティションの作成後にバケットを削除しないでください。なんらかの理由でバケットを削除する必要がある場合は、新しいパーティションを作成する必要があります。

    バケットのリージョン

    ([バケット名]設定で指定した) S3 バケットが存在するリージョンのコードを入力します。リージョンのコードについて詳しくは、https://docs.aws.amazon.com/general/latest/gr/rande.html を参照してください。パーティションの作成時に適切なリージョンコードを指定していることを確認してください。

    メモ:

    この設定は Enterprise Vault 14.3 以降で利用可能です。

    ストレージクラス

    オブジェクトを AWS S3 バケットに格納するためのストレージクラスを指定します。

    • S3 Standard - 頻繁にアクセスされるデータを格納します。

    • S3 Standard-IA - 必要に応じて、迅速なアクセスを必要とする、アクセス頻度の低いデータを格納します。データは、最低 3 つの可用性ゾーン (AZ) に格納されます。

    • S3 One Zone-IA - アクセス頻度の低いデータを単一の可用性ゾーンに格納します。

    • S3 Intelligent-Tiering - 最も費用対効果の高いアクセスティア間でデータを移動します。

    • S3 Glacier Instant Retrieval - アクセス頻度が低く、ミリ秒単位での取得を低コストで行う必要がある長期保持データを格納します。

    詳しくは、https://aws.amazon.com/s3/storage-classes を参照してください。

    暗号化

    バケット内に保存しているアーカイブファイルを暗号化するかどうかの暗号化設定を指定します。

    Amazon S3 で管理された暗号化キーでサーバー側の暗号化を使用してアーカイブファイルを暗号化するには、[SSE-S3]を選択します。

    デフォルトでは、暗号化を使用しない[なし]が選択されています。

    ログレベル

    AWS SDK ログのログレベルを指定します。

    • ログなし - Enterprise Vault は AWS SDK ログを記録しません。

    • 致命的 - 致命的なエラーのみをログに記録します。

    • エラー - すべてのエラーをログに記録します。

    • 警告 - 警告とエラーをログに記録します。

    • 詳細 - 警告やエラーなど、すべての情報をログに記録します。

    • デバッグ - 情報、警告、エラーなど、デバッグメッセージをログに記録します。

    • すべて - すべてをログに記録します。

    メモ:

    DTrace ログには AWS SDK ログステートメントが含まれており、これは AwsSdk: という接頭辞で簡単に見つけることができます。

    書き込みバッファサイズ (MB)

    書き込みバッファサイズを 5 MB から 200 MB の範囲で指定し、チャンク内のデータをアップロードします。

    読み取りバッファサイズ (MB)

    データをチャンクでダウンロードするため、読み込みバッファサイズを 1 MB から 1024 MB の範囲で指定します。

  11. [次へ]をクリックします。
  12. [レプリケーション]ページで、[アーカイブされたファイルがクラウドストレージに存在するとき]または[アーカイブされたファイルがクラウドストレージにレプリケートされるとき]のいずれかのオプションを選択します。

    詳しくは、「管理コンソールのヘルプ」ページを参照してください。

  13. ファイルがクラウドに存在するかどうかを確認するためのスキャン間隔を選択します。サポートされているスキャン間隔は 0 分 ~ 1440 分です。デフォルトでは、Enterprise Vault は、上記のオプションに基づいて、アーカイブされたデータが複製されているか、クラウド上に存在するかを 60 分ごとにチェックします。必要に応じて、スキャン間隔を変更できます。スキャン間隔を 0 分に設定すると、パーティションのチェックは、ボルトストアからバックアップモードがクリアされたときと、ストレージサービスが開始されたときのみ行われます。
  14. [次へ]をクリックします。
  15. 概略ページに、新しく作成された Amazon S3 パーティションの情報が表示されます。

メモ:

書き込み操作に関して、「RetentionPeriodInHours」レジストリキーを設定して現在のユニバーサル時間に時間を追加し、新しい保持期間を作成できます。このレジストリキーは、Enterprise Vault サーバーと AWS S3 のサービス時間が同期していない場合にのみ使用されます。「RetentionPeriodInHours」のデフォルト値は 1 時間です。詳しくは、『Enterprise Vault レジストリ値』ガイドを参照してください。