Capacity Manager データエクスポート用の Amazon S3 バケットのセットアップ
Capacity Manager データエクスポートを受信するには、AWS アカウント アカウントにエクスポートファイルを受信して保存するための Amazon S3 バケットが必要です。所有している既存の Amazon S3 バケットの選択や、新しいバケットの作成は、Capacity Manager コンソールでデータエクスポートを作成するときに行えます。
いずれの場合も、Capacity Manager によるエクスポートファイルの配信を許可するために必要なバケットポリシーを適用する必要があります。データエクスポートを作成した後で Amazon S3 コンソールでこのポリシーを編集したり、S3 バケットの所有者を変更したりすると、Capacity Manager がエクスポートを配信できなくなります。
Amazon S3 バケットを作成するには、「Amazon Simple Storage Service ユーザーガイド」の「S3 バケットの作成」を参照してください。
Capacity Manager がデータエクスポートを配信できるようにするには、以下のポリシーを S3 バケットに適用する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.capacitymanager.amazonaws.com" }, "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:ec2:us-east-1:111122223333:capacity-manager-data-export/*" } } } ] }
このバケットポリシーは、Capacity Manager のデータエクスポートファイルをバケットにセキュアに配信できることを確実にするために役立ちます。具体的には次のとおりです。
-
Capacity Manager のデータエクスポートが配信されるたびに、バケットの所有者がエクスポートを設定したアカウントのまま変わっていないことを AWS が最初に確認します。バケットの所有権が変更されていた場合、エクスポートは配信されません。これは、Capacity Manager データのセキュリティの確保に役立ちます。このバケットポリシーは、AWS (
"Effect": "Allow") が、どのアカウントがバケットを所有するかを確認すること ("Action": ["s3:ListBucket"]) を許可します。 -
ポリシーは、エクスポートファイルを書き込み (
"Action": "s3:PutObject")、オブジェクトを読み込んで ("Action": "s3:GetObject") バケットにデータをコピーする許可を Capacity Manager サービス ("Service": "ec2.capacitymanager.amazonaws.com") に付与します。
