# S3 on Outposts のオブジェクトのレプリケート
AWS Outposts で S3 レプリケーションを有効にすると、Amazon S3 on Outposts を設定して、S3 オブジェクトを異なる Outposts 間、または同じ Outpost のバケット間で自動的にレプリケートできます。S3 Replication on Outposts を使用すると、同じまたは異なる Outposts、または異なるアカウント間でデータの複数のレプリカを管理できるため、データの常駐要件を満たすことができます。S3 Replication on Outposts は、準拠したストレージのニーズとアカウント間のデータ共有を強化するのに役立ちます。レプリカがソースデータと同一であることを確認する必要がある場合は、S3 Replication on Outposts を使用して、元のオブジェクトの作成時間、タグ、バージョン ID などのすべてのメタデータを保持するオブジェクトのレプリカを作成できます。
S3 Replication on Outposts では、バケット間のオブジェクトレプリケーションのステータスをモニタリングするための詳細なメトリクスと通知も提供されます。Amazon CloudWatch を使用して、レプリケーション保留中のバイト数、レプリケーション保留中のオペレーション、およびソースバケットとターゲットバケット間のレプリケーションレイテンシーを追跡することで、レプリケーションの進行状況を監視できます。設定の問題をすばやく診断して修正するには、レプリケーションオブジェクトの障害に関する通知を受け取るように Amazon EventBridge を設定することもできます。詳細については[レプリケーションの管理](manage-outposts-replication.md)を参照してください。
**Topics**
+ [レプリケーション設定](#outposts-replication-add-config)
+ [S3 Replication on Outposts の要件](#outposts-replication-requirements)
+ [レプリケーションの対象](#outposts-replication-what-is-replicated)
+ [レプリケーションの対象外](#outposts-replication-what-is-not-replicated)
+ [S3 Replication on Outposts でサポートされていないものは何ですか?](#outposts-replication-what-is-not-supported)
+ [レプリケーションの設定](outposts-replication-how-setup.md)
+ [レプリケーションの管理](manage-outposts-replication.md)
## レプリケーション設定
S3 on Outposts はレプリケーション設定を XML 形式で保存します。レプリケーション設定 XML ファイルで、AWS Identity and Access Management (IAM) ロールと 1 つ以上のルールを指定します。
```
IAM-role-ARN
...
...
...
```
S3 on Outposts はユーザーの許可なしにオブジェクトをレプリケートすることはできません。レプリケーション設定で指定した IAM ロールを使用して S3 on Outposts アクセス許可を付与します。S3 on Outposts は、ユーザーに代わってオブジェクトをレプリケートするための IAM ロールを引き受けます。レプリケーションを開始する前に、必要なアクセス許可を IAM ロールに付与する必要があります。S3 on Outposts に対するこれらのアクセス許可の詳細については、「[IAM ロールの作成](outposts-replication-prerequisites-config.md#outposts-rep-pretwo)」を参照してください。
次のシナリオでは、レプリケーション設定にルールを 1 つ追加します。
+ すべてのオブジェクトをレプリケートします。
+ オブジェクトのサブセットをレプリケートします。ルールにフィルターを追加して、オブジェクトのサブセットを特定します。フィルターでは、ルールが適用されるオブジェクトのサブセットを特定するために、オブジェクトキープレフィックス、タグ、またはその両方の組み合わせを指定します。
オブジェクトの異なるサブセットをレプリケートする場合は、レプリケーション設定に複数のルールを追加します。各ルールでは、オブジェクトの異なるサブセットを選択するフィルターを指定します。例えば、`tax/` または `document/` のいずれかのキープレフィックスを持つオブジェクトをレプリケートするとします。このためには、`tax/` キープレフィックスフィルターを指定するルールと、`document/` キープレフィックスを指定するもう 1 つのルールの 2 つのルールを追加します。
S3 on Outposts のレプリケーション設定とレプリケーションルールの詳細については、*Amazon Simple Storage Service API リファレンスの*「[ReplicationConfiguration](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ReplicationConfiguration.html)」を参照してください。
## S3 Replication on Outposts の要件
レプリケーションには以下が必要です。
+ 送信先の Outpost CIDR 範囲は、ソースの Outpost サブネットテーブルに関連付けられている必要があります。詳細については、「[レプリケーションルールの作成の前提条件](outposts-replication-prerequisites-config.md)」を参照してください。
+ レプリケート元とレプリケート先の両方のバケットで、S3 バージョニングを有効にする必要があります。バージョニングの詳細については、「[S3 on Outposts バケットの S3 バージョニングの管理](S3OutpostsManagingVersioning.md)」を参照してください。
+ Amazon S3 on Outposts には、ユーザーに代わってレプリケート元バケットのオブジェクトをレプリケート先バケットにレプリケートするアクセス許可が必要です。つまり、`GET` および `PUT` のアクセス許可を S3 on Outposts に委任するには、サービスロールを作成する必要があります。
1. サービスロールを作成する前に、レプリケート元バケットに対する `GET` アクセス許可とレプリケート先バケットに対する `PUT` アクセス許可が必要です。
1. S3 on Outposts にアクセス許可を委任するサービスロールを作成するには、まず IAM エンティティ (ユーザーまたはロール) が `iam:CreateRole` および `iam:PassRole` アクションを実行できるようにアクセス許可を設定する必要があります。次に、IAM エンティティがサービスロールを作成できるようにします。S3 on Outposts がユーザーに代わってサービス ロールを引き受け、`GET` および `PUT` のアクセス許可を S3 on Outposts に委任するには、必要な信頼とアクセス許可のポリシーをロールに割り当てる必要があります。S3 on Outposts に対するこれらのアクセス許可の詳細については、「[IAM ロールの作成](outposts-replication-prerequisites-config.md#outposts-rep-pretwo)」を参照してください。サービスロールの作成の詳細については、「[サービスのロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」を参照してください。
## レプリケーションの対象
デフォルトで、S3 on Outposts は以下をレプリケートします。
+ レプリケーション設定の追加後に作成されたオブジェクト。
+ レプリケート元オブジェクトからレプリカへのオブジェクトメタデータ。レプリカからレプリケート元オブジェクトへのメタデータのレプリケーションについては、「[Outposts の Amazon S3 レプリカ変更の同期が有効になっている場合のレプリケーションステータス](manage-outposts-replication.md#outposts-replication-status-sync)」を参照してください。
+ オブジェクトタグ、存在する場合。
### 削除オペレーションがレプリケーションに与える影響
レプリケート元バケットからオブジェクトを削除すると、デフォルトで次のアクションが実行されます。
+ オブジェクトバージョン ID を指定せずに `DELETE` リクエストを行った場合、S3 on Outposts は削除マーカーを追加します。S3 on Outposts では、削除マーカーを次のように扱います。
+ S3 on Outposts は、デフォルトでは削除マーカーをレプリケートしません。
+ ただし、タグベース以外のルールには*削除マーカーレプリケーション*を追加できます。レプリケーション設定で削除マーカーレプリケーションを有効にする場合は、「[S3 コンソールの使用](replication-between-outposts.md#outposts-enable-replication)」を参照してください。
+ `DELETE` リクエストで削除するオブジェクトバージョン ID を指定した場合、S3 on Outposts はレプリケート元バケット内のそのオブジェクトバージョンを完全に削除します。しかし、レプリケート先バケット内でその削除をレプリケートすることはありません。これは、レプリケート先バケットからは、同じオブジェクトバージョンを削除しないことを意味します。これは悪意のある削除からデータを保護します。
## レプリケーションの対象外
デフォルトで、S3 on Outposts は以下をレプリケートしません。
+ 別のレプリケーションルールによって作成されたレプリカである、レプリケート元バケットのオブジェクト。例えば、バケット A がレプリケート元でバケット B がレプリケート先であるレプリケーションを設定するとします。ここで、バケット B をレプリケート元、バケット C をレプリケート先とする別のレプリケーション設定を追加したとします。この場合、バケット A のオブジェクトのレプリカであるバケット B のオブジェクトは、バケット C にレプリケートされません。
+ 既に別のレプリケート先にレプリケートされている、レプリケート元バケット内のオブジェクト。例えば、既存のレプリケーション設定でレプリケート先バケットを変更した場合、S3 on Outposts がそのオブジェクトを再度レプリケートすることはありません。
+ お客様が用意した暗号化キー (SSE-C) を使用し、サーバー側の暗号化で作成されたオブジェクト。
+ バケットレベルのサブリソースの更新
たとえば、ライフサイクル設定を変更したり、レプリケート元バケットに通知設定を追加した場合、これらの変更はレプリケート先バケットには適用されません。この機能により、レプリケート元バケットとレプリケート先バケットで異なる設定を指定できます。
+ ライフサイクル設定によって実行されたアクション。
例えば、ライフサイクル設定がレプリケート元バケットでのみ有効で、有効期限アクションを設定した場合、S3 on Outposts はレプリケート元バケットの有効期限切れになったオブジェクトの削除マーカーを作成しますが、それらのマーカーはレプリケート先バケットにレプリケートされません。同じライフサイクル設定をレプリケート元バケットとレプリケート先バケットの両方に適用する場合は、両方で同じライフサイクル設定を有効にします。ライフサイクル設定についての詳細は、[Amazon S3 on Outposts バケットのライフサイクル設定を作成および管理する](S3OutpostsLifecycleManaging.md) を参照してください。
## S3 Replication on Outposts でサポートされていないものは何ですか?
S3 レプリケーションの以下の機能は、現時点では S3 on Outposts でサポートされていません。
+ S3 Replication Time Control (S3 RTC) S3 Replication on Outposts のオブジェクトトラフィックはオンプレミスネットワーク (ローカルゲートウェイ) を経由するため、S3 RTC はサポートされていません。ローカルゲートウェイの詳細については、*AWS Outposts ユーザーガイド*の「[ローカル ゲートウェイの操作](https://docs.aws.amazon.com/outposts/latest/userguide/outposts-local-gateways.html#working-with-lgw)」を参照してください。
+ バッチオペレーションの S3 レプリケーション
# レプリケーションの設定
**注記**
レプリケーションルールをセットアップする前にバケットに存在していたオブジェクトは、自動的にレプリケートされません。つまり、Amazon S3 on Outposts はさかのぼってオブジェクトをレプリケートしません。レプリケーション設定の前に作成されたオブジェクトをレプリケートするには、`CopyObject` API オペレーションを使用して、それらを同じバケットにコピーします。オブジェクトがコピーされると、バケットに「新しい」オブジェクトとして表示され、レプリケーション設定が適用されます。オブジェクトのコピーの詳細については、*Amazon Simple Storage Service API リファレンス*の「[AWS SDK for Java を使用して Amazon S3 on Outposts バケットにオブジェクトをコピーする](S3OutpostsCopyObject.md)」および「[https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)」を参照してください。
S3 Replication on Outposts を有効にするには、レプリケート元 Outposts バケットにレプリケーションルールを追加します。レプリケーションルールは、指定されたとおりにオブジェクトをレプリケートするように S3 on Outposts に指示します。レプリケーションルールでは、以下の項目を指定する必要があります。
+ **レプリケート元 Outposts バケットアクセスポイント** – アクセスポイント Amazon Resource Name (ARN) または S3 on Outposts でオブジェクトをレプリケートするバケットのアクセスポイントエイリアス。アクセスポイントのエイリアスの使用の詳細については、「[Using a bucket-style alias for your S3 on Outposts bucket access point](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-outposts-access-points-alias.html)」(S3 on Outposts バケットアクセスポイントにバケット形式のエイリアスを使用する) を参照してください。
+ **レプリケートするオブジェクト** – レプリケート元 Outposts バケットまたはサブセット内のすべてのオブジェクトをレプリケートできます。サブセットを特定するには、[キー名のプレフィックス](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html#keyprefix)、1 つ以上のオブジェクトタグ、またはその両方を設定で指定します。
例えば、キー名のプレフィックス `Tax/` の オブジェクトのみをレプリケートするようにレプリケーションルールを設定した場合、S3 on Outposts は `Tax/doc1` や `Tax/doc2` などのキーを持つオブジェクトをレプリケートします。しかし、`Legal/doc3` というキーを持つオブジェクトはレプリケートしません。プレフィックスと 1 つ以上のタグの両方を指定した場合、S3 on Outposts は特定のキープレフィックスとタグを持つオブジェクトのみをレプリケートします。
+ **レプリケート先の Outposts バケット** — S3 on Outposts でオブジェクトをレプリケートするバケットの ARN またはアクセスポイントエイリアス。
REST API、AWS SDK、AWS Command Line Interface (AWS CLI)、または Amazon S3 コンソールを使用してレプリケーションルールを設定できます。
S3 on Outposts は、レプリケーションルールの設定をサポートする API も提供します。詳細については、*Amazon Simple Storage Service API リファレンス*の次のトピックを参照してください。
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutBucketReplication.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetBucketReplication.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteBucketReplication.html)
**Topics**
+ [レプリケーションルールの作成の前提条件](outposts-replication-prerequisites-config.md)
+ [Outposts でのレプリケーションルールの作成](replication-between-outposts.md)
# レプリケーションルールの作成の前提条件
**Topics**
+ [レプリケート元とレプリケート先の Outpost サブネットの接続](#outposts-rep-preone)
+ [IAM ロールの作成](#outposts-rep-pretwo)
## レプリケート元とレプリケート先の Outpost サブネットの接続
レプリケーショントラフィックをレプリケート元 Outpost からレプリケート先 Outpost にローカルゲートウェイ経由で送信するには、新しいルートを追加してネットワークを設定する必要があります。アクセスポイントの Classless Inter-Domain Routing (CIDR) ネットワーク範囲を相互に接続する必要があります。アクセスポイントのペアごとに、この接続を一度だけセットアップする必要があります。
接続を設定する手順は、アクセスポイントに関連付けられている Outposts エンドポイントのアクセスタイプによって異なります。エンドポイントのアクセスタイプは、**[プライベート]** (AWS Outposts のルーティング用直接仮想プライベートクラウド (VPC)) または **[カスタマー所有の IP]** (オンプレミスネットワーク内のカスタマー所有の IP アドレスプール [CoIP プール]) のいずれかです。
### ステップ 1: レプリケート元 Outposts エンドポイントの CIDR 範囲を確認する
**レプリケート元アクセスポイントに関連付けられているレプリケート元エンドポイントの CIDR 範囲を確認するには**
1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) を開きます。
1. 左のナビゲーションペインで、[**Outposts buckets**] (Outposts バケット) を選択します。
1. **[Outposts バケット]** リストで、レプリケーションに必要なレプリケート元バケットを選択します。
1. **[Outposts アクセスポイント]** タブを選択し、レプリケーションルールのレプリケート元バケットの Outposts アクセスポイントを選択します。
1. Outposts エンドポイントを選択します。
1. [ステップ 5](#outposts-pre-step5) で使用するサブネット ID をコピーします。
1. レプリケート元 Outposts エンドポイントの CIDR 範囲を見つけるために使用する方法は、エンドポイントのアクセスタイプによって異なります。
**Outposts エンドポイントの概要**セクションで、「**アクセスタイプ**」を参照してください。
+ アクセスタイプが **[プライベート]** の場合は、**Classless Inter-Domain Routing (CIDR)** 値をコピーして[ステップ 6](#outposts-pre-step6) で使用します。
+ アクセスタイプが **[カスタマー所有の IP]** の場合は、次の操作を行います。
1. **お客様所有の IPv4 プール**値をコピーして、後でアドレスプールの ID として使用します。
1. AWS Outposts コンソールの [https://console.aws.amazon.com/outposts/](https://console.aws.amazon.com/outposts/home) を開いてください。
1. ナビゲーションペインで **[ローカルゲートウェイのルートテーブル]** をクリックします。
1. レプリケート元 Outpost の**ローカルゲートウェイルートテーブル ID** 値を選択します。
1. 詳細ペインの **[CoIP プール]** タブを選択します。以前にコピーした CoIP プール ID の値を検索ボックスに貼り付けます。
1. 一致した CoIP プールについては、[ステップ 6](#outposts-pre-step6) で使用するレプリケート元 Outposts エンドポイントの対応する **CIDR** 値をコピーします。
### ステップ 2: レプリケート先の Outposts エンドポイントのサブネット ID と CIDR 範囲を確認する
レプリケート先アクセスポイントに関連付けられているレプリケート先エンドポイントのサブネット ID と CIDR 範囲を確認するには、[ステップ 1](#outposts-pre-step1) と同じ手順に従い、それらのサブステップを適用するときに、レプリケート元 Outposts エンドポイントをレプリケート先 Outposts エンドポイントに変更します。[ステップ 6](#outposts-pre-step6) で使用するために、レプリケート先 Outposts エンドポイントのサブネット ID 値をコピーします。[ステップ 5](#outposts-pre-step5) で使用するために、レプリケート先 Outposts エンドポイントの CIDR 値をコピーします。
### ステップ 3: レプリケート元 Outpost のローカルゲートウェイ ID を確認する
**レプリケート元 Outpost のローカルゲートウェイ ID を確認するには**
1. AWS Outposts コンソールの [https://console.aws.amazon.com/outposts/](https://console.aws.amazon.com/outposts/home) を開いてください。
1. 左のナビゲーションペインで **[ローカルゲートウェイ]** を選択します。
1. **[ローカルゲートウェイ]** ページで、レプリケーションに使用するレプリケート元 Outpost ID を確認します。
1. [ステップ 5](#outposts-pre-step5) で使用するために、レプリケート元 Outpost のローカルゲートウェイ ID 値をコピーします。
ローカルゲートウェイの詳細については、*AWS Outposts ユーザーガイド*の「[Local gateway](https://docs.aws.amazon.com/outposts/latest/userguide/outposts-local-gateways.html)」(ローカルゲートウェイ) を参照してください。
### ステップ 4: レプリケート先 Outpost のローカルゲートウェイ ID を確認する
レプリケート先 Outpost のローカルゲートウェイ ID を確認するには、レプリケート先の Outpost ID を検索する点を除き、[ステップ 3](#outposts-pre-step3) と同じサブステップに従います。[ステップ 6](#outposts-pre-step6) で使用するために、レプリケート先 Outpost のローカルゲートウェイ ID 値をコピーします。
### ステップ 5: レプリケート元 Outpost サブネットからレプリケート先 Outpost サブネットへの接続をセットアップする
**レプリケート元 Outpost サブネットからレプリケート先 Outpost サブネットに接続するには**
1. AWS マネジメントコンソール にサインインして、VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. 左側のナビゲーションペインで **[Subnets]** (サブネット) を選択します。
1. 検索ボックスに、[ステップ 1](#outposts-pre-step1) で確認したレプリケート元 Outposts エンドポイントのサブネット ID を入力します。一致するサブネット ID のサブネットを選択します。
1. 一致するサブネット項目には、このサブネットの**ルートテーブル**値を選択します。
1. ルートテーブルが選択されたページで、**[アクション]** を選択し、次に **[ルートの編集]** を選択します。
1. **[ルートの編集]** タブで、**[ルートの追加]** を選択します。
1. **[送信先]** に、[ステップ 2](#outposts-pre-step2) で確認したレプリケート先 Outposts エンドポイントの CIDR 範囲を入力します。
1. **[ターゲット]** で **[Outpost Local Gateway]** を選択し、[ステップ 3](#outposts-pre-step3) で見つけたレプリケート元 Outpost のローカルゲートウェイ ID を入力します。
1. **[Save changes]** (変更の保存) をクリックします。
1. ルートの**ステータス**が **[アクティブ]** であることを確認します。
### ステップ 6: レプリケート先 Outpost サブネットからレプリケート元 Outpost サブネットへの接続をセットアップする
1. AWS マネジメントコンソール にサインインして、VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. 左側のナビゲーションペインで **[Subnets]** (サブネット) を選択します。
1. 検索ボックスに、[ステップ 2](#outposts-pre-step2) で確認したレプリケート先 Outposts エンドポイントのサブネット ID を入力します。一致するサブネット ID のサブネットを選択します。
1. 一致するサブネット項目には、このサブネットの**ルートテーブル**値を選択します。
1. ルートテーブルが選択されたページで、**[アクション]** を選択し、次に **[ルートの編集]** を選択します。
1. **[ルートの編集]** タブで、**[ルートの追加]** を選択します。
1. **[送信先]** に、[ステップ 1](#outposts-pre-step1) で確認したレプリケート元 Outposts エンドポイントの CIDR 範囲を入力します。
1. **[ターゲット]** で **[Outpost Local Gateway]** を選択し、[ステップ 4](#outposts-pre-step4) で見つけたレプリケート先 Outpost のローカルゲートウェイ ID を入力します。
1. **[Save changes]** (変更の保存) をクリックします。
1. ルートの**ステータス**が **[アクティブ]** であることを確認します。
レプリケート元とレプリケート先のアクセスポイントの CIDR ネットワーク範囲を接続したら、AWS Identity and Access Management (IAM) ロールを作成する必要があります。
## IAM ロールの作成
デフォルトで、すべての S3 on Outposts リソース (バケット、オブジェクト、関連するサブリソース) はプライベートであり、リソース所有者のみがリソースにアクセスできます。S3 on Outposts には、ソース Outposts バケットからオブジェクトを読み取って、レプリケートするアクセス許可が必要です。IAM *サービスロール*を作成してこれらの許可を付与し、その後、レプリケーション設定でそのロールを指定します。
このセクションでは、信頼ポリシーと最低限必要なアクセス許可ポリシーについて説明します。チュートリアル例では、IAM ロールを作成するための手順をステップバイステップで説明しています。詳細については、「[Outposts でのレプリケーションルールの作成](replication-between-outposts.md)」を参照してください。IAM ロールの詳細については、*IAM ユーザーガイド*の [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)を参照してください。
+ 以下の例は、*信頼ポリシー*を示しています。ここでは、このロールを引き受けることができるサービスプリンシパルとして S3 on Outposts を特定します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"s3-outposts.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
+ 以下の例は、*アクセスポリシー*を示しています。ここでは、ユーザーに代わってレプリケーションタスクを実行する権許可をロールに付与します。S3 on Outposts がこのロールを引き受ける場合、このポリシーで指定されたアクセス許可を持つことになります。このポリシーを使用するには、`user input placeholders` をユーザー自身の情報に置き換えます。レプリケート元とレプリケート先 Outposts の Outposts ID およびレプリケート元とレプリケート先 Outposts バケットのバケット名とアクセスポイント名に置き換えてください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3-outposts:GetObjectVersionForReplication",
"s3-outposts:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET/object/*",
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/SOURCE-OUTPOST-ID/accesspoint/SOURCE-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3-outposts:ReplicateObject",
"s3-outposts:ReplicateDelete"
],
"Resource": [
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*",
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
]
}
]
}
```
------
アクセスポリシーは、以下のアクションに対するアクセス許可を付与します。
+ `s3-outposts:GetObjectVersionForReplication` — このアクションのためのアクセス許可はすべてのオブジェクトに付与され、各オブジェクトに関連する特定のオブジェクトバージョンを S3 on Outposts が取得できるようにします。
+ `s3-outposts:GetObjectVersionTagging` — *`SOURCE-OUTPOSTS-BUCKET`* バケット (レプリケート元バケット) のオブジェクトに対するこのアクションのアクセス許可により、S3 on Outposts はレプリケーションのためにオブジェクトタグを読み取ることができるようになります。詳細については、「[S3 on Outposts バケットのタグの追加](S3OutpostsBucketTags.md)」を参照してください。S3 on Outposts にこのアクセス許可がない場合は、オブジェクトはレプリケートされますが、オブジェクトタグはレプリケートされません。
+ `s3-outposts:ReplicateObject` および `s3-outposts:ReplicateDelete` — *`DESTINATION-OUTPOSTS-BUCKET`* バケットのオブジェクトに属すこれらのアクションの許可により、S3 on Outposts はレプリケート先 Outposts バケットにオブジェクトまたは削除マーカーをレプリケートできます。削除マーカーの詳細については、「[削除オペレーションがレプリケーションに与える影響](S3OutpostsReplication.md#outposts-replication-delete-op)」を参照してください。
**注記**
*`DESTINATION-OUTPOSTS-BUCKET`* バケット (レプリケート先バケット) に対する `s3-outposts:ReplicateObject` アクションのアクセス権限により、オブジェクトタグのレプリケーションも許可されます。したがって、`s3-outposts:ReplicateTags` アクションのアクセス許可を明示的に付与する必要はありません。
クロスアカウントレプリケーションの場合、レプリケート先 Outposts バケットの所有者がバケットポリシーを更新して、*`DESTINATION-OUTPOSTS-BUCKET`* での `s3-outposts:ReplicateObject` アクションに対するアクセス許可を付与する必要があります。`s3-outposts:ReplicateObject` アクションにより、S3 on Outposts はレプリケート先 Outposts バケットにオブジェクトおよびオブジェクトタグをレプリケートできます。
S3 on Outposts アクションのリストについては、「[S3 on Outposts によって定義されたアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3onoutposts.html#amazons3onoutposts-actions-as-permissions)」を参照してください。
**重要**
IAM ロールを所有する AWS アカウントは、IAM ロールに付与するアクションの許可を持っている必要があります。
例えば、レプリケート元 Outposts バケットに別の AWS アカウントが所有するオブジェクトが含まれていたとします。オブジェクトの所有者は、IAM ロールを所有する AWS アカウントに、バケットポリシーとアクセスポイントポリシーを介して必要なアクセス許可を明示的に付与する必要があります。そうでない場合、S3 on Outposts はオブジェクトにアクセスできず、オブジェクトのレプリケーションは失敗します。
ここで説明されているアクセス許可は、最小のレプリケーション設定に関連しています。オプションのレプリケーション設定を追加する場合は、追加のアクセス許可を S3 on Outposts に付与する必要があります。
### レプリケーション元とレプリケーション先の Outposts バケットが異なる AWS アカウントによって所有されている場合のアクセス許可の付与
レプリケーション元とレプリケーション先の Outposts バケットが同じアカウントによって所有されていない場合、レプリケート先バケットの所有者は、バケットとレプリケート先バケットのアクセスポイントポリシーを更新する必要があります。これらのポリシーでは、次のポリシー例に示すように、レプリケート元 Outposts バケットの所有者と IAM サービスロールにレプリケーションアクションを実行するアクセス許可を付与する必要があり、そうしないと、レプリケーションは失敗します。このポリシーの例では、*`DESTINATION-OUTPOSTS-BUCKET`* はレプリケーション先バケットです。これらのポリシーの例を実行するには、`user input placeholders` をユーザー自身の情報に置き換えます。
IAM サービスロールを手動で作成する場合は、次のポリシー例に示すように、ロールパスを `role/service-role/` として設定します。詳細については、*IAM ユーザーガイド*の「[IAM の ARN](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns)」をご参照ください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PolicyForDestinationBucket",
"Statement": [
{
"Sid": "Permissions on objects",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
},
"Action": [
"s3-outposts:ReplicateDelete",
"s3-outposts:ReplicateObject"
],
"Resource": [
"arn:aws:s3-outposts:us-east-1:444455556666:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*"
]
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PolicyForDestinationAccessPoint",
"Statement": [
{
"Sid": "Permissions on objects",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
},
"Action": [
"s3-outposts:ReplicateDelete",
"s3-outposts:ReplicateObject"
],
"Resource": [
"arn:aws:s3-outposts:us-east-1:111122223333:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
]
}
]
}
```
------
**注記**
レプリケート元 Outposts バケットのオブジェクトがタグ付きの場合は、以下の点に注意してください。
レプリケート元の Outposts バケット所有者が (IAM ロールによって) オブジェクトタグをレプリケートするための `s3-outposts:GetObjectVersionTagging` および `s3-outposts:ReplicateTags` アクションのアクセス許可を S3 on Outposts に付与した場合、Amazon S3 はオブジェクトと共にタグをレプリケートします。IAM ロールに関する詳細は、「[IAM ロールの作成](#outposts-rep-pretwo)」を参照してください。
# Outposts でのレプリケーションルールの作成
S3 Replication on Outposts は、同一または異なる AWS Outposts にあるバケット間でのオブジェクトの自動的で非同期のレプリケーションです。レプリケーションでは、新しく作成されたオブジェクトおよびオブジェクトの更新が、レプリケート元 Outposts バケットからレプリケート先 Outposts バケットにコピーされます。詳細については、「[S3 on Outposts のオブジェクトのレプリケート](S3OutpostsReplication.md)」を参照してください。
**注記**
レプリケーションルールをセットアップする前にレプリケート元 Outposts バケットに存在したオブジェクト。つまり、S3 on Outposts はさかのぼってオブジェクトをレプリケートしません。レプリケーション設定の前に作成されたオブジェクトをレプリケートするには、`CopyObject` API オペレーションを使用して、それらを同じバケットにコピーします。オブジェクトがコピーされると、バケットに「新しい」オブジェクトとして表示され、レプリケーション設定が適用されます。オブジェクトのコピーの詳細については、*Amazon Simple Storage Service API リファレンス*の「[AWS SDK for Java を使用して Amazon S3 on Outposts バケットにオブジェクトをコピーする](S3OutpostsCopyObject.md)」および「[https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)」を参照してください。
レプリケーションを設定するときは、レプリケート元 Outposts バケットにレプリケーションルールを追加します。レプリケーションルールにより、レプリケート元 Outposts バケットオブジェクトと、レプリケートされたオブジェクトが保存されるレプリケート先 Outposts バケットが定義されます。ルールを作成して、バケット内のすべてのオブジェクト、または特定のキー名のプレフィックス、1 つ以上のオブジェクトタグ、あるいはその両方を持つオブジェクトのサブセットをレプリケートできます。レプリケート先 Outposts バケットはレプリケート元 Outposts バケットと同じ Outposts にあっても、別の Outposts にあってもかまいません。
S3 on Outposts レプリケーションルールでは、レプリケート元とレプリケート先の バケット名の代わりに、レプリケート元 Outposts バケットのアクセスポイント Amazon リソースネーム (ARN) とレプリケート先の Outposts バケットのアクセスポイント ARN の両方を指定する必要があります。
削除するオブジェクトバージョンの ID を指定した場合、S3 on Outposts はレプリケート元 Outposts バケット内のそのオブジェクトバージョンを削除します。しかし、レプリケート先 Outposts バケット内でその削除をレプリケートすることはありません。つまり、レプリケート先 Outposts バケットから同じオブジェクトバージョンを削除しません。この動作は悪意のある削除からデータを保護します。
Outposts バケットにレプリケーションルールを追加すると、そのルールはデフォルトで有効になるため、保存するとすぐに動作を開始します。
この例では、異なる Outposts にあり、同じ AWS アカウントが所有する、レプリケート元 Outposts とレプリケート先 Outposts のバケットのレプリケーションのセットアップを行います。Amazon S3 コンソールを使用する例については、AWS Command Line Interface (AWS CLI)、AWS SDK for Java、および AWS SDK for .NET を参照してください。クロスアカウントの S3 Replication on Outposts アクセス許可の詳細については、「[レプリケーション元とレプリケーション先の Outposts バケットが異なる AWS アカウントによって所有されている場合のアクセス許可の付与](outposts-replication-prerequisites-config.md#outposts-rep-prethree)」を参照してください。
S3 on Outposts レプリケーションルールを設定するための前提条件については、「[レプリケーションルールの作成の前提条件](outposts-replication-prerequisites-config.md)」を参照してください。
## S3 コンソールの使用
以下の手順を実行して、レプリケート元 Outposts バケットと異なる Outposts にレプリケート先 Amazon S3 on Outposts バケットがある場合のレプリケーションルールを設定します。
レプリケート先 Outposts バケットがレプリケート元 Outposts バケットとは別のアカウントにある場合は、レプリケート先 Outposts バケットにバケットポリシーを追加して、レプリケート元 Outposts バケットアカウントの所有者に、レプリケート先 Outposts バケットのオブジェクトをレプリケートするアクセス許可を付与する必要があります。
**レプリケーションルールを作成するには**
1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) を開きます。
1. **[Outposts バケット]** リストで、レプリケート元バケットとして使用するバケットの名前を選択します。
1. **[管理]** タブを選択し、**[レプリケーションルール]** までスクロールして、**[レプリケーションルールを作成]** を選択します。
1. **[レプリケーションルール名]** で、後でルールを識別しやすいようにルールの名前を入力します。ルール名は必須であり、バケット内で一意である必要があります。
1. **[ステータス]** では、デフォルトで **[有効]** が選択されています。有効にされたルールは、保存するとすぐに機能し始めます。ルールを後から有効にする場合は、**[無効]** を選択します。
1. **[優先度]** では、ルールの優先度値によって、重複するルールがある場合に適用するルールが決まります。オブジェクトが複数のレプリケーションルールの範囲に含まれる場合、S3 on Outposts はこれらの優先度の値を使用して競合を回避します。デフォルトでは、新しいルールが最優先でレプリケーション設定に追加されます。数値が大きいほど、優先度が高くなります。
ルールの優先度を変更するには、ルールを保存した後、レプリケーションルールリストからルール名を選択し、**[アクション]** を選択して、**[優先度の編集]** を選択します。
1. **[ソースバケット]** には、レプリケーションソースを設定するための次のオプションがあります。
+ バケット全体をレプリケートするには、**[バケット内のすべてのオブジェクトに適用]** を選択します。**
+ プレフィックスまたはタグフィルタリングをレプリケーションソースに適用するには、**[1 つまたは複数のフィルターを使用してこのルールの適用範囲を制限します]** を選択します。プレフィックスとタグを組み合わせることができます。
+ 同じプレフィックスを持つすべてのオブジェクトを複製するには、**[プレフィックス]** で、ボックスにプレフィックスを入力します。**[プレフィックス]** フィルターを使用すると、同じ文字列で始まる名前 (`pictures` など) を持つすべてのオブジェクトへのレプリケーションを制限します。
フォルダの名前をプレフィックスとして入力する場合は、最後の文字に **/** (スラッシュ) を使用する必要があります (例: `pictures/`)。
+ 1 つまたは複数のオブジェクトタグを持つすべてのオブジェクトをレプリケートするには、**[タグを追加]** を選択し、ボックスにキーと値のペアを入力します。別のタグを追加するには、この手順を繰り返します。オブジェクトタグの詳細については、[S3 on Outposts バケットのタグの追加](S3OutpostsBucketTags.md)を参照してください。
1. S3 on Outposts のレプリケート元バケットにアクセスしてレプリケーションを行うには、**[ソースアクセスポイント名]** で、レプリケート元バケットに接続されているアクセスポイントを選択します。
1. **[送信先]** で、S3 on Outposts でオブジェクトをレプリケートするレプリケート先 Outposts バケットのアクセスポイント ARN を選択します。レプリケート先 Outposts バケットは、レプリケート元 Outposts バケットと同じまたは異なる AWS アカウント に配置することができます。
レプリケート先バケットがレプリケート元 Outposts バケットとは別のアカウントにある場合は、レプリケート先 Outposts バケットにバケットポリシーを追加して、レプリケート元 Outposts バケットアカウントの所有者に、レプリケート先 Outposts バケットのオブジェクトをレプリケートするアクセス許可を付与する必要があります。詳細については、「[レプリケーション元とレプリケーション先の Outposts バケットが異なる AWS アカウントによって所有されている場合のアクセス許可の付与](outposts-replication-prerequisites-config.md#outposts-rep-prethree)」を参照してください。
**注記**
レプリケート先 Outposts バケットでバージョニングが有効になっていない場合は、**[バージョニングの有効化]** ボタンを含む警告が表示されます。バケットでバージョニングを有効にするには、このボタンを選択します。
1. S3 on Outposts がユーザーのためにオブジェクトをレプリケートできる AWS Identity and Access Management (IAM) サービスロールを設定します。
IAM ロールをセットアップするには、**[IAM ロール]** で、次のいずれかの操作を行います。
+ S3 on Outposts でレプリケーション設定用の新しい IAM ロールを作成するには、**[既存の IAM ロールから選択する]** を選択し、**[新しいロールの作成]** を選択します。ルールを保存すると、選択したレプリケート元 Outposts バケットとレプリケート先 Outposts バケットに一致する IAM ロールに対して新しいポリシーが生成されます。**[新しいロールを作成]** を選択することを推奨します。
+ 既存の IAM ロールの使用も選択できます。その場合は、レプリケーションに必要なアクセス許可を S3 on Outposts に付与するロールを選択する必要があります。このロールによってレプリケーションルールに従うための十分なアクセス許可が S3 on Outposts に付与されない場合、レプリケーションは失敗します。
既存のロールを選択するには、**[既存の IAM ロールから選択]** を選択してから、ドロップダウンメニューでロールを選択します。**[IAM ロール ARN を入力する]** を選択してから、IAM ロールの Amazon リソースネーム (ARN) を入力することもできます。
**重要**
S3 on Outposts バケットにレプリケーションルールを追加する場合は、S3 on Outposts レプリケーションアクセス許可を付与する IAM ロールを作成して渡すことができる `iam:CreateRole` と `iam:PassRole` アクセス許可を持つ必要があります。詳細については、*IAM ユーザーガイド*の「[AWS のサービス のサービスにロールを渡すアクセス権限をユーザーに付与する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)」を参照してください。
1. Outposts バケットのすべてのオブジェクトは、デフォルトで暗号化されます。S3 on Outposts の暗号化の詳細については、「[S3 on Outposts のデータ暗号化](s3-outposts-data-encryption.md)」を参照してください。Amazon S3 マネージドキー (SSE-S3) によるサーバー側の暗号化を使用して暗号化されたオブジェクトのみがレプリケートできます。AWS Key Management Service(AWS KMS) キーを使用したサーバー側の暗号化 (SSE-KMS) またはお客様が用意した暗号化キーを使用したサーバー側の暗号化 (SSE-C) を使用して暗号化されたオブジェクトのレプリケーションはサポートされていません。
1. 必要に応じて、レプリケーションルール設定を設定する際は、次の追加オプションを有効にします。
+ レプリケーション設定で S3 on Outposts レプリケーションメトリクスを有効にするには、**[レプリケーションメトリクス]** を選択します。詳細については、「[レプリケーションメトリクスによる進行状況のモニタリング](manage-outposts-replication.md#outposts-enabling-replication-metrics)」を参照してください。
+ レプリケーション設定で削除マーカーレプリケーションを有効にする場合は、[**削除マーカーのレプリケーション**] を選択します。詳細については、「[削除オペレーションがレプリケーションに与える影響](S3OutpostsReplication.md#outposts-replication-delete-op)」を参照してください。
+ レプリカに加えられたメタデータの変更をレプリケート元オブジェクトに複製する場合は、**[レプリカ変更の同期]** を選択します。詳細については、「[Outposts の Amazon S3 レプリカ変更の同期が有効になっている場合のレプリケーションステータス](manage-outposts-replication.md#outposts-replication-status-sync)」を参照してください。
1. **[ロールを作成]** を選択して終了します。
ルールを保存したら、ルールを編集、有効化、無効化、または削除できます。そのためには、レプリケート元 Outposts バケットの **[管理]** タブに移動し、**[レプリケーションルール]** セクションまでスクロールして、ルールを選択し、**[ルールの編集]** を選択します。
## の使用AWS CLI
レプリケート元 Outposts バケットとレプリケート先 Outposts バケットが同じ AWS アカウント によって所有されている場合に、レプリケーションの設定に AWS CLI を使用するには
+ レプリケート元 Outposts バケットとレプリケート先 Outposts バケットを作成する
+ 両方のバケットでバージョニングを有効化する
+ オブジェクトをレプリケートするための S3 on Outposts 許可を付与する IAM ロールを作成します。
+ レプリケート元 Outposts バケットにレプリケーション設定を追加します。
設定を確認するには、テストします。
**レプリケート元 Outposts バケットとレプリケート先 Outposts バケットが同じ AWS アカウントによって所有されている場合にレプリケーションをセットアップするには**
1. AWS CLI の認証情報プロファイルを設定します。この例では、プロファイル名 `acctA` を使用します。認証情報プロファイルの設定については、*AWS Command Line Interface ユーザーガイド*の「[名前付きプロファイル](https://docs.aws.amazon.com/cli/latest/userguide/cli-multiple-profiles.html)」を参照してください。
**重要**
この演習に使用するプロファイルは、必要なアクセス権限を持っている必要があります。例えば、レプリケーション設定で、S3 on Outposts が引き受けることができる IAM ロールを指定します。使用するプロファイルに `iam:CreateRole` および `iam:PassRole` アクセス許可がある場合のみ実行できます。詳細については、*IAM ユーザーガイド*の「[AWS のサービス のサービスにロールを渡すアクセス権限をユーザーに付与する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)」を参照してください。管理者の認証情報を使用して名前付きプロファイルを作成すると、指定されたプロファイルにはすべてのタスクを実行するために必要なアクセス許可が付与されます。
1. レプリケート元バケットを作成してバージョニングを有効にします。次の `create-bucket` コマンドは、米国東部 (バージニア北部) (`us-east-1`) リージョンに `SOURCE-OUTPOSTS-BUCKET` バケットを作成します。このコマンドを使用するには、`user input placeholders` をユーザー自身の情報に置き換えます。
```
aws s3control create-bucket --bucket SOURCE-OUTPOSTS-BUCKET --outpost-id SOURCE-OUTPOST-ID --profile acctA --region us-east-1
```
次の `put-bucket-versioning` コマンドは、`SOURCE-OUTPOSTS-BUCKET` バケットでバージョニングを有効にします。このコマンドを使用するには、`user input placeholders` をユーザー自身の情報に置き換えます。
```
aws s3control put-bucket-versioning --account-id 123456789012 --bucket arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET --versioning-configuration Status=Enabled --profile acctA
```
1. レプリケート先バケットを作成してバージョニングを有効にします。次の `create-bucket` コマンドは、米国西部 (オレゴン) (`us-west-2`) リージョンに `DESTINATION-OUTPOSTS-BUCKET` バケットを作成します。このコマンドを使用するには、`user input placeholders` をユーザー自身の情報に置き換えます。
**注記**
レプリケーション元とレプリケーション先の Outposts バケットの両方が同じ AWS アカウント にある場合、レプリケーション設定をセットアップするには、同じ名前付きプロファイルを使用します。この例では `acctA` を使用します。異なる AWS アカウント によってバケットが所有されている場合、レプリケーション設定をテストするには、それぞれのバケットに異なるプロファイルを指定します。
```
aws s3control create-bucket --bucket DESTINATION-OUTPOSTS-BUCKET --create-bucket-configuration LocationConstraint=us-west-2 --outpost-id DESTINATION-OUTPOST-ID --profile acctA --region us-west-2
```
次の `put-bucket-versioning` コマンドは、`DESTINATION-OUTPOSTS-BUCKET` バケットでバージョニングを有効にします。このコマンドを使用するには、`user input placeholders` をユーザー自身の情報に置き換えます。
```
aws s3control put-bucket-versioning --account-id 123456789012 --bucket arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET --versioning-configuration Status=Enabled --profile acctA
```
1. [IAM サービスロールを作成します]。レプリケーション設定では、後で `SOURCE-OUTPOSTS-BUCKET` バケットにこのサービスロールを追加します。S3 on Outposts は、ユーザーに代わってオブジェクトをレプリケートするこのロールを引き受けます。IAM ロールは 2 つのステップで作成します。
1. IAM ロールを作成します。
1. 次の信頼ポリシーをコピーして、ローカルコンピュータの現在のディレクトリにある `s3-on-outposts-role-trust-policy.json` という名前のファイルに保存します。このポリシーは、サービスロールを引き受けるアクセス許可を S3 on Outposts サービスプリンシパルに付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"s3-outposts.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
1. 次のコマンドを実行してロールを作成します。`user input placeholders` を、ユーザー自身の情報に置き換えます。
```
aws iam create-role --role-name replicationRole --assume-role-policy-document file://s3-on-outposts-role-trust-policy.json --profile acctA
```
1. アクセス許可ポリシーをサービスロールにアタッチします。
1. 次のアクセス権限ポリシーをコピーして、ローカルコンピュータの現在のディレクトリにある `s3-on-outposts-role-permissions-policy.json` という名前のファイルに保存します。このポリシーは、さまざまな S3 on Outposts バケットとオブジェクトアクションに対するアクセス許可を付与します。このポリシーを使用するには、`user input placeholders` をユーザー自身の情報に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3-outposts:GetObjectVersionForReplication",
"s3-outposts:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET/object/*",
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/SOURCE-OUTPOST-ID/accesspoint/SOURCE-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3-outposts:ReplicateObject",
"s3-outposts:ReplicateDelete"
],
"Resource": [
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*",
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
]
}
]
}
```
------
1. ポリシーを作成してロールにアタッチするには、次のコマンドを実行します。`user input placeholders` を、ユーザー自身の情報に置き換えます。
```
aws iam put-role-policy --role-name replicationRole --policy-document file://s3-on-outposts-role-permissions-policy.json --policy-name replicationRolePolicy --profile acctA
```
1. `SOURCE-OUTPOSTS-BUCKET` バケットにレプリケーション設定を追加します。
1. S3 on Outposts API は XML 形式でのレプリケーション設定を要求しますが、AWS CLI ではレプリケーション設定を JSON 形式で指定する必要があります。以下の JSON を、コンピュータのローカルディレクトリの `replication.json` というファイルに保存します。この設定を使用するには、`user input placeholders` をユーザー自身の情報に置き換えます。
```
{
"Role": "IAM-role-ARN",
"Rules": [
{
"Status": "Enabled",
"Priority": 1,
"DeleteMarkerReplication": { "Status": "Disabled" },
"Filter" : { "Prefix": "Tax"},
"Destination": {
"Bucket":
"arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT"
}
}
]
}
```
1. 次の `put-bucket-replication` コマンドを実行して、レプリケート元 Outposts バケットにレプリケーション設定を追加します。このコマンドを使用するには、`user input placeholders` をユーザー自身の情報に置き換えます。
```
aws s3control put-bucket-replication --account-id 123456789012 --bucket arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET --replication-configuration file://replication.json --profile acctA
```
1. レプリケーション設定を取得するには、`get-bucket-replication` コマンドを使用します。このコマンドを使用するには、`user input placeholders` をユーザー自身の情報に置き換えます。
```
aws s3control get-bucket-replication --account-id 123456789012 --bucket arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET --profile acctA
```
1. Amazon S3 コンソールでセットアップをテストします。
1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) を開きます。
1. `SOURCE-OUTPOSTS-BUCKET` バケットに `Tax` という名前のフォルダを作成します。
1. `SOURCE-OUTPOSTS-BUCKET` バケット内の `Tax` フォルダにサンプルオブジェクトを追加します。
1. `DESTINATION-OUTPOSTS-BUCKET` バケットで、以下の点を確認します。
+ S3 on Outposts がオブジェクトをレプリケートしました。
**注記**
S3 on Outposts がオブジェクトをレプリケートするのにかかる時間は、オブジェクトのサイズによって異なります。レプリケーションのステータスを確認する方法については、「[レプリケーションステータス情報の取得](manage-outposts-replication.md#outposts-replication-status)」を参照してください。
+ オブジェクトの **[プロパティ]** タブで、**[レプリケーションステータス]** が **[レプリカ]** に設定されています (これをレプリカオブジェクトとして識別)。
# レプリケーションの管理
このセクションでは、S3 on Outposts で使用可能な追加のレプリケーション設定オプション、レプリケーションステータスの確認方法、レプリケーションのトラブルシューティング方法について説明します 主要なレプリケーション設定については、「[レプリケーションの設定](outposts-replication-how-setup.md)」を参照してください。
**Topics**
+ [レプリケーションメトリクスによる進行状況のモニタリング](#outposts-enabling-replication-metrics)
+ [レプリケーションステータス情報の取得](#outposts-replication-status)
+ [レプリケーションのトラブルシューティング](#outposts-replication-troubleshoot)
+ [S3 Replication on Outposts に EventBridge を使用する](outposts-replication-eventbridge.md)
## レプリケーションメトリクスによる進行状況のモニタリング
S3 Replication on Outposts は、レプリケーション設定のレプリケーションルールの詳細なメトリクスを提供します。レプリケーションメトリクスを使用してレプリケーションの進行状況を 5 分間隔でモニタリングするには、保留中のレプリケーションのバイト数、レプリケーションのレイテンシーレプリケーション、保留中のレプリケーションの操作を追跡します。設定の問題のトラブルシューティングを支援するために、Amazon EventBridge を設定して、レプリケーションの失敗に関する通知を受け取ることもできます。
レプリケーションメトリクスを有効にすると、S3 Replication on Outposts は次のメトリクスを Amazon CloudWatch に発行します。
+ **レプリケーションを保留しているバイト** – 特定のレプリケーションルールのレプリケーションを保留しているオブジェクトの合計バイト数。
+ **レプリケーションレイテンシー** – 特定のレプリケーションルールで、レプリケート先バケットがレプリケート元バケットの背後にある最大秒数。
+ **レプリケーションを保留している操作** – 特定のレプリケーションルールでレプリケーションを保留している操作の数。操作には、オブジェクト、削除マーカー、タグが含まれます
**注記**
S3 Replication on Outposts は、CloudWatch カスタムメトリクスと同じ料金レートで請求されます。詳細については、「[CloudWatch 料金表](https://aws.amazon.com/cloudwatch/pricing/)」を参照してください。
## レプリケーションステータス情報の取得
レプリケーションステータスは、Amazon S3 on Outposts によってレプリケートされるオブジェクトの現在の状態を判断するのに役立ちます。レプリケート元オブジェクトのレプリケーションステータスは、 `PENDING`、`COMPLETED`または`FAILED`のいずれかを返します。レプリカのレプリケーションステータスが`REPLICA`に返されます。
### レプリケーションステータスの概要
レプリケーションシナリオでは、レプリケーションを設定するレプリケート元バケットと、S3 on Outposts がオブジェクトをレプリケートするレプリケート先バケットを使用します。これらのバケットからオブジェクト (`GetObject` を使用) またはオブジェクトメタデータ (`HeadObject` を使用) をリクエストすると、S3 on Outposts はレスポンスとして以下のように `x-amz-replication-status` ヘッダーを返します。
+ レプリケート元バケットのオブジェクトをリクエストする場合、リクエストしたオブジェクトがレプリケーション対象であると、S3 on Outposts は `x-amz-replication-status` ヘッダーを返します。
例えば、レプリケーション設定でオブジェクトプレフィックス `TaxDocs` を指定して、キー名のプレフィックス `TaxDocs` が付いたオブジェクトのみをレプリケートするように S3 on Outposts に指示しているとします。このキー名のプレフィックスを持つ、アップロードしたすべてのオブジェクト (`TaxDocs/document1.pdf` など) がレプリケートされます。このキー名のプレフィックスが付いたオブジェクトのリクエストでは、S3 on Outposts が、オブジェクトのレプリケーション状態が `PENDING`、`COMPLETED`、または `FAILED` の値のいずれかの `x-amz-replication-status` ヘッダーを返します。
**注記**
オブジェクトをアップロードした後で、オブジェクトのレプリケーションに失敗した場合、レプリケーションを再試行できません。もう一度オブジェクトをアップロードする必要があります。レプリケーションロールの許可またはバケットの許可がないなどの問題がある場合、オブジェクトは `FAILED` の状態に移行します。バケットや Outpost が使用できないなどの一時的な障害が発生した場合、レプリケーションのステータスは `FAILED` にはならず、`PENDING` のままになります。リソースがオンラインに戻ると、S3 on Outposts はこれらのオブジェクトのレプリケーションを再開します。
+ レプリケート先バケットからオブジェクトをリクエストした場合、リクエストされたオブジェクトが S3 on Outposts によって作成されたレプリカであるときに、S3 on Outposts は値が `REPLICA` である `x-amz-replication-status` ヘッダーを返します。
**注記**
レプリケーションが有効になっているレプリケート元バケットからオブジェクトを削除する前に、削除する前にオブジェクトのレプリケーションステータスをチェックして、そのオブジェクトがレプリケートされていることを確認します。
### Outposts の Amazon S3 レプリカ変更の同期が有効になっている場合のレプリケーションステータス
レプリケーションルールが S3 on Outposts レプリカの変更を有効にすると、レプリカは `REPLICA` 以外のステータスをレポートできます。メタデータの変更がレプリケート中の場合は、レプリカの `x-amz-replication-status` ヘッダーは `PENDING` を返します。レプリカ変更の同期がメタデータのレプリケートに失敗した場合、レプリカのヘッダーは `FAILED` を返します。メタデータが正しくレプリケートされると、レプリカのヘッダーは値 `REPLICA` を返します。
## レプリケーションのトラブルシューティング
レプリケーションを設定した後にオブジェクトレプリカがレプリケート先 Amazon S3 on Outposts バケットに表示されない場合は、これらのトラブルシューティングのヒントを使用して問題を特定し、修正してください。
+ S3 on Outposts がオブジェクトをレプリケートするために要する時間はさまざまな要因に依存します (レプリケート元とレプリケート先の Outposts、オブジェクトのサイズなど)。
ソースオブジェクトのレプリケーションステータスを確認することもできます。オブジェクトのレプリケーションステータスが `PENDING` の場合は、S3 on Outposts がレプリケーションを完了していません。オブジェクトのレプリケーションステータスが `FAILED` の場合は、レプリケート元バケットのレプリケーション設定を確認してください。
+ レプリケート元バケットのレプリケーション設定について、以下を確認します。
+ レプリケート先バケットのアクセスポイント Amazon リソースネーム (ARN) が正しい。
+ キー名のプレフィックスが正しい。たとえば、`Tax` というプレフィックスが付いたオブジェクトをレプリケートする設定にした場合、`Tax/document1` や `Tax/document2` のようなキー名のオブジェクトのみがレプリケートされます。キー名が "`document3`" のオブジェクトはレプリケートされません。
+ ステータスは`Enabled`です。
+ どのバケットでもバージョニングが一時停止されていないことを確認します。レプリケート元とレプリケート先の両方のバケットで、バージョニングを有効にする必要があります。
+ レプリケート先バケットが他の AWS アカウントによって所有されている場合、バケット所有者が、レプリケート元バケットの所有者に対してオブジェクトのレプリケーションを許可するバケットポリシーをレプリケート先バケットに設定していることを確認します。例については、「[レプリケーション元とレプリケーション先の Outposts バケットが異なる AWS アカウントによって所有されている場合のアクセス許可の付与](outposts-replication-prerequisites-config.md#outposts-rep-prethree)」を参照してください。
+ オブジェクトのレプリカがレプリケート先バケットに表示されない場合、以下がレプリケーションを妨げている可能性があります。
+ レプリケート元バケットのオブジェクト自体が別のレプリケーション設定によって作成されたレプリカである場合、S3 on Outposts はそのオブジェクトをレプリケートしません。例えば、バケット A からバケット B へ、バケット B からバケット C へのレプリケーション設定を設定した場合、S3 on Outposts はバケット B にあるオブジェクトレプリカをバケット C へレプリケートしません。
バケット A のオブジェクトをバケット B とバケット C にレプリケートする場合は、ソースバケットのレプリケーション設定の異なるレプリケーションルールで複数のバケット宛先を設定します。例えば、ソースバケット A に 2 つのレプリケーションルールを作成します。1 つのルールは宛先バケット B にレプリケートし、もう 1 つのルールは宛先バケット C にレプリケートします。
+ レプリケート元バケット所有者は、オブジェクトをアップロードするための許可を他の AWS アカウントに付与できます。デフォルトでは、レプリケート元バケット所有者は、他のアカウントによって作成されたオブジェクトに対するアクセス許可を持ちません。レプリケーション設定では、レプリケート元バケット所有者がアクセス許可を持つオブジェクトのみがレプリケートされます。レプリケーションの問題を回避するために、レプリケート元バケット所有者は、条件付きでオブジェクトを作成するための他の AWS アカウント アクセス許可を付与し、それらのオブジェクトに対する明示的なアクセス許可を要求することができます。
+ レプリケーション設定に、特定のタグを持つオブジェクトのサブセットをレプリケートするためのルールを追加するとします。この場合、S3 on Outposts がオブジェクトをレプリケートするには、オブジェクトの作成時に特定のタグキーと値を割り当てる必要があります。まずオブジェクトを作成して、それから既存のオブジェクトにタグを追加した場合、S3 on Outposts はそのオブジェクトをレプリケートしません。
+ バケットポリシーで次のいずれかのアクションでレプリケーションのロールへのアクセスを拒否した場合、レプリケーションは失敗します。
レプリケート元のバケット
```
1. "s3-outposts:GetObjectVersionForReplication",
2. "s3-outposts:GetObjectVersionTagging"
```
レプリケート先バケット:
```
1. "s3-outposts:ReplicateObject",
2. "s3-outposts:ReplicateDelete",
3. "s3-outposts:ReplicateTags"
```
+ EventBridge は、オブジェクトがレプリケート先の Outposts にレプリケートされない場合に通知できます。詳細については、「[S3 Replication on Outposts に EventBridge を使用する](outposts-replication-eventbridge.md)」を参照してください。
# S3 Replication on Outposts に EventBridge を使用する
Amazon S3 on Outposts は、Amazon EventBridge と統合されており、`s3-outposts` ネームスペースを使用します。EventBridge は、アプリケーションをさまざまなソースからのデータに接続するために使用できるサーバーレスのイベントバスサービスです。詳細については、「*Amazon EventBridge ユーザーガイド*」の「[Amazon EventBridge とは](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)」を参照してください。
レプリケーション設定の問題のトラブルシューティングを支援するために、Amazon EventBridge を設定して、レプリケーションの失敗イベントに関する通知を受け取ることもできます。EventBridge は、オブジェクトがデスティネーション Outposts にレプリケートされない場合に通知できます。レプリケートされるオブジェクトの現在の状態の詳細については、「[レプリケーションステータスの概要](manage-outposts-replication.md#outposts-replication-status-overview)」を参照してください。
Outposts バケット内で特定のイベントが発生するたびに S3 on Outposts は EventBridge にイベントを送信できます。他の宛先とは異なり、配信するイベントタイプを選択する必要はありません。また、EventBridge ルールを使用すると、イベントを追加のターゲットにルートできます。EventBridge を有効にすると、S3 on Outposts は次のすべてのイベントを EventBridge に送信します。
| イベントタイプ | 説明 | 名前空間 |
| --- | --- | --- |
| `OperationFailedReplication` | レプリケーションルール内のオブジェクトのレプリケーションが失敗しました。S3 Replication on Outposts の詳細については、「[EventBridge を使用して S3 Replication on Outposts の障害理由を表示する](#outposts-replication-failure-codes)」を参照してください。 | `s3-outposts` |
## EventBridge を使用して S3 Replication on Outposts の障害理由を表示する
次の表は、Outposts の S3 レプリケーションが失敗した理由を示しています。EventBridge ルールを設定して、Amazon Simple Queue Service (Amazon SQS)、Amazon Simple Notification Service (Amazon SNS)、AWS Lambda、または Amazon CloudWatch Logs を介して失敗の理由を公開して表示できます。EventBridge でこれらのリソースを使用するために必要なアクセス許可の詳細については、「[EventBridge のリソースベースのポリシーを使用する](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-use-resource-based.html)」を参照してください。
| レプリケーションの失敗の理由 | 説明 |
| --- | --- |
| AssumeRoleNotPermitted | S3 on Outposts は、レプリケーション設定で指定されている AWS Identity and Access Management (IAM) ロールを引き継ぐことはできません。 |
| DstBucketNotFound | S3 on Outposts は、レプリケーション設定で指定されたレプリケート先バケットを見つけることができません。 |
| DstBucketUnversioned | Outposts レプリケート先バケットでバージョニングが有効になっていません。S3 Replication on Outposts でオブジェクトをレプリケートするには、レプリケート先バケットのバージョニングを有効にします。 |
| DstDelObjNotPermitted | S3 on Outposts は、レプリケート先バケットに削除をレプリケートできません。レプリケート先バケットに対する s3-outposts:ReplicateDelete 権限がない可能性があります。 |
| DstMultipartCompleteNotPermitted | S3 on Outposts は、レプリケート先バケットでオブジェクトのマルチパートアップロードを完了できません。レプリケート先バケットに対する s3-outposts:ReplicateObject 権限がない可能性があります。 |
| DstMultipartInitNotPermitted | S3 on Outposts は、レプリケート先バケットへのオブジェクトのマルチパートアップロードを開始できません。レプリケート先バケットに対する s3-outposts:ReplicateObject 権限がない可能性があります。 |
| DstMultipartPartUploadNotPermitted | S3 on Outposts は、レプリケート先バケットにマルチパートアップロードオブジェクトをアップロードできません。レプリケート先バケットに対する s3-outposts:ReplicateObject 権限がない可能性があります。 |
| DstOutOfCapacity | Outpost に S3 ストレージ容量が不足しているため、S3 on Outposts は、デスティネーションアウトポストにレプリケートできません。 |
| DstPutObjNotPermitted | S3 on Outposts は、レプリケート先バケットにオブジェクトをレプリケートできません。レプリケート先バケットに対する s3-outposts:ReplicateObject 権限がない可能性があります。 |
| DstPutTaggingNotPermitted | S3 on Outposts は、レプリケート先バケットにオブジェクトタグをレプリケートできません。レプリケート先バケットに対する s3-outposts:ReplicateObject 権限がない可能性があります。 |
| DstVersionNotFound | S3 on Outposts は、そのオブジェクトバージョンのメタデータをレプリケートするためにレプリケート先バケットで必要なオブジェクトバージョンを見つけることができません。 |
| SrcBucketReplicationConfigMissing | S3 on Outposts は、ソースの Outposts バケットに関連付けられているアクセスポイントのレプリケーション設定を見つけることができません。 |
| SrcGetObjNotPermitted | S3 on Outposts は、レプリケーションのレプリケート元バケットにあるオブジェクトにアクセスできません。レプリケート元バケットに対する s3-outposts:GetObjectVersionForReplication 権限がない可能性があります。 |
| SrcGetTaggingNotPermitted | S3 on Outposts は、レプリケート元バケットからオブジェクトタグ情報にアクセスできません。レプリケート元バケットに対する s3-outposts:GetObjectVersionTagging 権限がない可能性があります。 |
| SrcHeadObjectNotPermitted | S3 on Outposts は、レプリケート元バケットからオブジェクトメタデータを取得できません。レプリケート元バケットに対する s3-outposts:GetObjectVersionForReplication 権限がない可能性があります。 |
| SrcObjectNotEligible | このオブジェクトはレプリケーションの対象外です。オブジェクトまたはそのオブジェクトタグがレプリケーション設定と一致しません。 |
レプリケーションのトラブルシューティングの詳細については、以下のトピックを参照してください。
+ [IAM ロールの作成](outposts-replication-prerequisites-config.md#outposts-rep-pretwo)
+ [レプリケーションのトラブルシューティング](manage-outposts-replication.md#outposts-replication-troubleshoot)
## CloudWatch での EventBridge のモニタリング
モニタリングには、Amazon EventBridge が Amazon CloudWatch と統合します。EventBridge は自動的に CloudWatch に毎分メトリクスを送信します。これらのメトリクスには、[ルール](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html)に一致した[イベント](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html)の数と、ルールによって[ターゲット](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html)が呼び出された回数が含まれます。Eventbridge でルールが実行されると、このルールに関連付けられているすべてのターゲットが呼び出されます。EventBridge の動作は、CloudWatch を通じて次の方法でモニタリングできます。
+ EventBridge ルールで利用可能な [EventBridge メトリクス](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-monitoring.html#eb-metrics)は、CloudWatch ダッシュボードからモニタリングできます。次に、CloudWatch アラームなどの CloudWatch 機能を使用して、特定のメトリクスにアラームを設定できます。これらのメトリクスがアラームで指定したカスタムしきい値に達すると、通知が届き、それに応じてアクションを実行できます。
+ Amazon CloudWatch Logs を EventBridge ルールのターゲットとして設定できます。次に、EventBridge がログストリームを作成し、CloudWatch Logs がログエントリとしてイベントからテキストを保存します。詳細については、「[EventBridge の CloudWatch Logs のアクセス許可](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-use-resource-based.html#eb-cloudwatchlogs-permissions)」を参照してください。
EventBridge イベント配信のデバッグとイベントのアーカイブの詳細については、次のトピックを参照してください。
+ [イベントの再試行ポリシーとデッドレターキューの使用](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rule-dlq.html)
+ [EventBridge イベントのアーカイブ](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-archive-event.html)