LoginSignup
2
1
@heiyoo(Yohei Nishikawa)inNTT DATA P&S TSG Cloud Community

【S3 Multi-Region Access Points】AWSのプライベートネットワーク経由で別リージョンのS3にアクセスしたい

Last updated at Posted at 2024-03-08

はじめに

NTTデータの西川です。
普段は公共部門の技術集約組織でクラウドの導入支援に従事しています。

「別リージョンのS3にアクセスしたいけどインターネット経由は要件的に厳しいな~」って時ないですか?わたしはあります。

そこで今回は解決策の1つとしてS3 Multi-Region Access Pointsを紹介したいと思います。

S3 Multi-Region Access Points
https://aws.amazon.com/jp/s3/features/multi-region-access-points/

ユースケース

私が担当する公共部門のシステムでよくあるユースケースとして、プライベートネットワーク経由でバックアップリージョンのバックアップデータをメインリージョンヘリストアしたいケースがあります。

公共部門に限らずセキュリティ要件が厳しく求められる業界の方もよくあるユースケースではないでしょうか?

S3以外で別リージョンのAWSサービスの利用が必要な場合はTransit GatewayやVPC Peeringも選択肢として検討されるかもしれません。
しかし、バックアップ&リストア文脈でS3を使うためだけに、別リージョンにあるAWSサービスを利用したいケースは少なくないはずです。

S3 Multi-Region Access Points

そんな場合の解決策の1つが今回紹介するS3 Multi-Region Access Pointsです。

「Amazon S3 のよくある質問」から、S3 Multi-Region Access Pointsの動作に関するQ&Aを抜粋してみました。

S3 Multi-Region Access Pointsを利用して別リージョンのS3にアクセスする際の経路は、インターネット経由ではなくAWSグローバルネットワーク経由であることが分かります。

Q:S3 Multi-Region Access Points はどのように機能しますか?
A:Multi-Region Access Points は、お客様のリクエストを 1 つ以上の基盤となる S3 バケットに動的にルーティングします。マルチリージョンアクセスポイントを設定して、1 つの AWS リージョンごとに 1 つのバケットを、最大 20 の AWS リージョンでルーティングすることができます。マルチリージョンアクセスポイントを作成すると、S3 は DNS と互換性のある名前を自動的に作成します。この名前は、お客様が使用できるグローバルエンドポイントとして使用されます。お客様がこのエンドポイントに対してリクエストを実行すると、S3 はそのリクエストを、Multi-Region Access Points の設定で指定された基盤となるバケットの 1 つに動的にルーティングします。インターネットベースのリクエストは AWS グローバルネットワークにオンボーディングされ、インターネット上のネットワークセグメントの輻輳を回避します。

私が初めて上記の文章を読んだ際、AWSグローバルネットワークってインターネットと何が違うんだっけ?と純粋に疑問に思いました。

AWSグローバルネットワークとは?

AWSグローバルネットワークを知るために、AWSの公式情報を確認してみました。

個々のデータセンター、リージョンを相互接続しているAWSグローバルネットワークはAWSが保有する専用線でプライベート接続されていると記載されています。
つまり、AWSグローバルネットワークはインターネット経由とは異なり、AWSのプライベートネットワーク経由ということが明記されています。

データセンターとリージョンを相互接続する AWS グローバルネットワークを流れるすべてのデータは、安全性が保証された施設を離れる前に、物理レイヤーで自動的に暗号化されます。どんなときでも暗号化、移動、保管管理を行う機能を含め、常にデータを制御しているという認識を持って、最も安全なグローバルインフラストラクチャを構築できます。

AWS グローバルインフラストラクチャ
https://aws.amazon.com/jp/about-aws/global-infrastructure/

さいごに

S3 Multi-Region Access Pointsを利用することで、AWSのプライベートネットワーク経由で別リージョンのS3にアクセスすることができることが分かりました。

S3 Multi-Region Access Pointsの最新状況については公開情報をご確認ください。
※ 本ブログに記載した内容は個人の見解であり、所属する会社、組織とは関係ありません。


以下、追加の関連情報です。
Multi-Region Access Point policyを利用すると、指定した特定のVPCからのアクセスのみを許可するようなアクセス制限を行うことが可能だそうです。VPCレベルでアクセス制御をしたい場合は是非ご活用ください。

Multi-Region Access Point policy
https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointPermissions.html#use-mrap-policy

2
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
1