059-AWS SAP AWS 「理論・実践・一問道場」aws s3 sync

type

status

date

slug

summary

理論

Amazon S3で異なるAWSアカウント間でデータをコピーするには、アクセス許可の設定が重要です。具体的には、ソースバケットとデスティネーションバケットの両方で適切なポリシーを構成する必要があります。これには、S3バケットポリシーやIAMポリシーを使用して、オブジェクトの読み取りや書き込み、ACL（アクセス制御リスト）の設定を行います。

バケットポリシー:

バケットポリシーは、特定のバケットに対するアクセス権を定義するもので、特にS3バケット間でデータをコピーする際に必要です。例えば、ソースバケットのオブジェクトを読み取るアクセス権や、デスティネーションバケットにオブジェクトを配置するアクセス権を付与します。

IAMポリシー:

IAMポリシーは、AWSのリソースに対するアクセス権をユーザーやロールに付与するために使用されます。ユーザーがソースバケットからデータを読み取り、デスティネーションバケットにデータを書き込むためには、適切なIAMポリシーが必要です。

aws s3 syncコマンド:

aws s3 syncコマンドは、AWS CLIを使用してS3バケット間でデータを同期するためのツールです。このコマンドを使用することで、指定されたソースバケットとデスティネーションバケット間で効率的にデータをコピーできます。

手順

ソースバケットのアクセス権限を設定

ソースバケットにバケットポリシーを作成し、デスティネーションアカウントのユーザーに対してソースバケットの内容をリスト表示し、オブジェクトを読み取る権限を付与します。

デスティネーションバケットのアクセス権限を設定

デスティネーションアカウントのユーザーに対して、デスティネーションバケットにオブジェクトを配置し、オブジェクトのACLを設定する権限を付与します。

aws s3 sync コマンドを実行

デスティネーションアカウントのユーザーとして、aws s3 sync コマンドを使用して、ソースバケットからデータをデスティネーションバケットにコピーします。

実践

AWSアカウント間のS3 syncを実行してみました。 | DevelopersIO

題名の通りですが、アカウントを跨いだS3転送についてEc2からコマンドラインでの実行確認を行いましたので、そのメモを残します。以下の過去記事とAWSドキュメントを元にしました。

https://dev.classmethod.jp/articles/test-s3-sync/

一問道場

質問 #59

ソリューションアーキテクトは、あるAWSアカウントのAmazon S3バケットから、新しいAWSアカウントの新しいS3バケットにデータをコピーする必要があります。このプロセスには、AWS CLIを使用したソリューションが求められています。

以下のステップのうち、データを正しくコピーするためにはどの組み合わせが必要ですか？（3つ選んでください）

ソースバケットに対して、以下のアクセスを許可するバケットポリシーを作成し、デスティネーションバケットに適用します：

ソースバケットの内容をリスト表示すること

オブジェクトをデスティネーションバケットに配置すること

オブジェクトのACL（アクセス制御リスト）を設定すること

デスティネーションアカウントのユーザーに対して、ソースバケットの内容をリストし、オブジェクトを読み取ることを許可するバケットポリシーを作成し、そのポリシーをソースバケットに適用します。

ソースアカウントにIAMポリシーを作成し、ソースバケットからオブジェクトを取得するためのリスト表示および読み取り権限と、デスティネーションバケットに対する書き込み権限を付与します。このポリシーをユーザーに適用します。

デスティネーションアカウントにIAMポリシーを作成し、デスティネーションアカウントのユーザーがソースバケットの内容をリストし、オブジェクトを取得する権限と、デスティネーションバケットへの書き込み権限を付与します。

ソースアカウントのユーザーとして aws s3 sync コマンドを使用し、ソースバケットからデスティネーションバケットへデータをコピーします。

デスティネーションアカウントのユーザーとして aws s3 sync コマンドを使用し、ソースバケットからデスティネーションバケットへデータをコピーします。

解説

この問題は、AWS CLIを使用して異なるAWSアカウント間でS3バケットからデータをコピーする方法に関するものです。要件を満たすためには、適切なアクセス権限を設定し、コピー操作を実行するための適切な手順を踏む必要があります。

以下に解説します。

選択肢の解説：

A. ソースバケットにバケットポリシーを作成し、デスティネーションバケットにアタッチ

誤り: この選択肢では、ソースバケットに設定するポリシーが不完全です。ソースバケットに設定するポリシーは、ソースバケットからデータを読み取ることができるようにするためのものであり、デスティネーションバケットへの書き込みを許可するポリシーはデスティネーションバケット側に設定する必要があります。

B. デスティネーションアカウントのユーザーにソースバケットの内容をリストし、オブジェクトを読み取ることを許可するバケットポリシーをソースバケットに適用

正解: ソースバケットにバケットポリシーを作成し、デスティネーションアカウントのユーザーに対してソースバケットのリスト表示とオブジェクトの読み取り権限を付与します。この設定は、デスティネーションアカウントがソースバケットのデータを取得できるようにするために必要です。

C. ソースアカウントにIAMポリシーを作成し、ユーザーに対して必要なアクセス権限を付与

正解: ソースアカウントのユーザーに対して、ソースバケットからデータをリスト表示および取得する権限と、デスティネーションバケットへのデータ書き込みを許可する権限を付与するIAMポリシーを作成します。これにより、データの転送が可能になります。

D. デスティネーションアカウントにIAMポリシーを作成し、ユーザーに必要なアクセス権限を付与

正解: デスティネーションアカウントのユーザーがソースバケットからデータをリストし、取得する権限と、デスティネーションバケットへの書き込み権限を付与するIAMポリシーを作成します。これにより、データ転送が実行できます。

E. ソースアカウントのユーザーとして aws s3 sync コマンドを実行

誤り: ソースアカウントのユーザーが直接データをコピーする場合、その権限がないとコピーは実行できません。ソースバケットとデスティネーションバケット両方に適切なアクセス権限が必要です。

F. デスティネーションアカウントのユーザーとして aws s3 sync コマンドを実行

正解: デスティネーションアカウントのユーザーが aws s3 sync コマンドを使用してデータをコピーします。このコマンドは、ソースバケットとデスティネーションバケット間でデータを同期させるために使用されますが、ユーザーが必要な権限を持っている必要があります。

まとめ

データコピーには、ソースバケットからのデータ取得とデスティネーションバケットへの書き込みのための適切なアクセス権限が必要です。正しい組み合わせは、アクセス権限を設定するためにバケットポリシーとIAMポリシーを適切に使用し、aws s3 sync コマンドを実行することで、データを正しくコピーできます。