いつも記事を読んでいただきありがとうございます!
モブエンジニア(@mob-engineer)です!
久しぶりに個人用AWSアカウントを触っていたところ、S3のメニュー内でふと目についた項目がありました。
個人的に知らないS3サービスでしたので、簡単に調査してみたいと思います。
初見の方でもサクッと読めるように平易な表現で執筆しておりますので、お気軽にお読みいただければ幸いです。
目次
- Access Grantsとは
- 概要
- 利用料金
- アップデート情報
- 触ってみる
- ユースケース
Access Grantsとは
コンソール上のトップページを見てみると次のように示されていました。
ざっくり言えば、社内文書などの特定ユーザにしか見せられないドキュメントを管理するためのS3と思ってもらえればわかりやすいかと思います。
概要
AWS公式ドキュメント上では次のように説明されていました。
最小特権の原則に従うには、アプリケーション、ペルソナ、グループ、または組織単位に基づいて Amazon S3 データへのきめ細かなアクセスを定義します。アクセスパターンの規模と複雑さに応じて、さまざまなアプローチを使用して Amazon S3 のデータへのきめ細いアクセスを実現できます。
Amazon S3 内の少数から中程度の数のデータセットへのアクセスを AWS Identity and Access Management (IAM) プリンシパルで管理する最も簡単な方法は、IAM アクセス許可ポリシー と S3 バケットポリシー を定義することです。この戦略は、必要なポリシーが S3 バケットポリシー (20 KB) と IAM ポリシー (5 KB) のポリシーサイズ制限内に収まり、アカウントごとに許可されている IAM プリンシパルの数内である限り有効です。
そのうえで、S3 Access Grantsを利用するうえで専用のインスタンスをあらかじめ構築する必要があります。
メリットは様々ありますが、IAMでのきめ細やかな権限管理を実現できることがあると考えています。(ファイルサーバを構築するノリでS3を利用できるイメージですかね)
料金
料金表にも記載されていますが取得(GET)に対して料金が発生します。そのため、削除(DELETE)に対しては料金が発生しません。
アップデート情報
アップデート情報としては次の通りです。
個人的には、SageMakerとの統合やAWS Glueとの統合はデータエンジニア視点ではうれしいポイントが多くあるのではないかなぁと思っています。
ユースケース
セキュリティ強度を向上させるといったところが本機能の肝かと思います。
そのため、以下ユースケースで利用するのがベターかと思います。
- ETLパイプラインと統合してデータ分析を行いたいが機密性が高い情報を格納する場合
- 社内文書など社外ユーザからのアクセスを防ぎたい場合
- とりあえず、社内文書管理ストレージを作成したい場合
今回はざっくりと調べただけですが、個人的に気になる機能でした。
今後、ハンズオン形式で構築方法をまとめてみたいと思います。
最後まで記事をお読みいただきありがとうございます!!