はじめに
2022年2月3日「HULFT8 クラウドストレージオプションVer.8.5.4」がリリースされました。
流れの早いクラウドサービスに対応するため、クラウドストレージオプションは、リビジョンアップ毎にできることを増やしてきました。
「Ver.8.5.4」に於いても、新たな機能が追加されましたので、ご紹介してみたいと思います。
HULFT クラウドストレージオプション 製品概要 | セゾン情報システムズ
Ver.8.5.4の追加機能
下記の機能が追加されました。
• クロスアカウントアクセス対応
- 単一ユーザでの複数アカウント利用における課題
- 単一ユーザでの複数アカウント利用における課題解決
• アクセスポイント対応
- 複数アカウントでのS3バケット共有における課題
- 複数アカウントでのS3バケット共有における課題解決
• Object Ownership対応
- ACLを利用したアクセスコントロールにおける課題
- ACLを利用したアクセスコントロールにおける課題解決
クロスアカウントアクセス対応
IAMユーザーもしくはIAMロールでの認証後に、切り替え対象のIAMロールを指定することで、指定したIAMロールで認証情報を上書きすることが出来るようになり、クロスアカウントのアクセスが可能となります。また、アクセスポイントを経由することで、バケットへのアクセス制御が可能となります。
単一ユーザでの複数アカウント利用における課題
異なる AWS アカウントにあるバケットにアクセスするために、アカウント毎のIAMユーザーを作成していますが、アクセス先毎に用意するIAMユーザーの管理が負担となっています。
単一ユーザでの複数アカウント利用における課題解決
ロールの切り替えにより認証情報を上書きすることで、異なる AWS アカウントにあるバケットにアクセスすることが可能になります。これにより、アクセス元が利用するアカウント数を認証用の1アカウントのみとし、アカウント管理の負担を軽減可能となりました。
アクセスポイント対応
HULFT Cloud Storage Option を利用して転送を行う際に、Amazon S3 Access Points へのアクセスが可能となりました。本機能を使用することで、標準のS3 アクセスポイント にアクセスすることが可能になります。
複数アカウントでのS3バケット共有における課題
1つの S3 バケットに対して複数のユーザーやアカウントからのアクセスを許可するため、それぞれのアクセス許可レベルをコントロールする単一のバケットポリシーが必要となっています。
しかしながら、接続元の増加にともないパケットポリシーが肥大化し管理コストも増大しています。
複数アカウントでのS3バケット共有における課題解決
Amazon S3 アクセスポイントは一つのS3バケットに対して、用途ごとのアクセスポイントを作成し、個別にアクセスポイントポリシーを定義可能です。これにより、ポリシー毎に管理することが可能となり、アクセス制御の管理工数を削減することが可能となります。
Object Ownership対応
HULFT Cloud Storage Option を利用して転送を行う際に、アクセスコントロールリスト(ACL)の指定が可能となりました。これにより、Amazon S3のバケット所有者以外のアカウントから、HULFT Cloud Storage Optionを利用してアップロードされたオブジェクトの所有者を、バケット所有者へ自動的に引き受けることを可能が可能になります。
本対応は、ACLによるアクセスコントロールを実施している既存システムでのオブジェクトの権限移譲、パブリック公開等にご利用いただけます。
ACLを利用したアクセスコントロールにおける課題
ACLによるアクセスコントロールを実施しているシステムにおいて、
異なるアカウントのオブジェクト所有者から共有されたオブジェクトの管理を行う場合、HULFTの転送完了後に別途権限設定を行う必要があり、作業負担となっている。
ACLを利用したアクセスコントロールにおける課題解決
オブジェクトのアップロード時に、オブジェクトの所有権をバケット所有者へ自動的に引き継ぐことが可能になりました。これにより、他システムとの兼ね合いにより、アクセスコントロールにACLを利用するシステムにおいても、オブジェクトの権限移譲の自動化が可能になります。
最後に
今回のアップデートで追加された機能により、
AWSのベストプラクティスに従ったユーザー管理への対応が容易になります。
今後のシステム構築のご参考にして頂ければ幸いです。