翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# データエクスポート用の Amazon S3 バケットのセットアップ
<a name="dataexports-s3-bucket"></a>

データエクスポートを受信して保存するには、 AWS アカウントまたは指定された送信先 AWS アカウントに Amazon S3 バケットが必要です。コンソールでエクスポートを作成するときに、独自のバケットにエクスポートが必要な場合は、所有する既存の S3 バケットを選択するか、新しいバケットを作成できます。いずれの場合でも、以下のデフォルトの S3 バケットポリシーの適用を確認して確定する必要があります。エクスポートを別の AWS アカウントが所有するバケットに配信する場合は、データエクスポートの作成プロセス中にバケット所有者とバケット名を指定できます。エクスポートを作成した後にバケットポリシーを編集したり、S3 バケット所有者を変更したりすると、データエクスポートがエクスポートを配信できなくなる可能性があります。エクスポートデータを任意の S3 バケットに保存すると、標準の Amazon S3 料金で請求されます。詳細については、「[クォータと制限](https://docs.aws.amazon.com/cur/latest/userguide/dataexports-quotas.html)」を参照してください。

データエクスポートを作成するときは、ユーザーが所有するか別の AWS アカウントが所有するかにかかわらず、すべての S3 バケットに次のポリシーを適用する必要があります。

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
      "Sid": "EnableAWSDataExportsToWriteToS3",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "bcm-data-exports.amazonaws.com"
        ]
      },
      "Action": [
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::{bucket-name}/*",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:bcm-data-exports:us-east-1:{source-account-id}:export/*"
        },
        "StringEquals": {
          "aws:SourceAccount": "{source-account-id}"
          }
      }
    }
  ]
   }
```

この S3 バケットポリシーにより、データエクスポートがエクスポートを作成したアカウントに代わって S3 バケットにのみエクスポートを配信できます。また、データエクスポートは、エクスポートの作成時に指定されたアカウントによって S3 バケットがまだ所有されていることを確認することもできます。
+ エクスポートを S3 バケットに配信するには、その S3 バケットの書き込みアクセス許可 AWS が必要です。これを行うために、S3 バケットポリシーは、データエクスポートサービス (`bcm-data-exports.amazonaws.com`) に、ユーザーが所有する S3 バケット (`arn:aws:s3:::<EXAMPLE-BUCKET>/*`) にレポートを配信 (`s3:PutObject`) するためのアクセス許可を付与します。
+ データエクスポートが S3 バケットへの書き込みをリクエストするたびに、エクスポートを作成したアカウントのアカウント ID を提供する必要があります。`aws:SourceArn` と `aws:SourceAccount` という条件キーによりこれが強制的に適用されます。
+ この S3 バケットポリシーは、配信後のコストと使用状況レポートなど、S3 バケット内のオブジェクトを読み取りまたは削除するための AWS アクセス許可を付与しません。

アクセスコントロールリスト (ACL) が有効になっている Amazon S3 バケットでは、データエクスポートは配信時には `BucketOwnerFullControl` ACL をレポートに適用します。デフォルトでは、これらのレポートなどの Amazon S3 オブジェクトは、それらを作成したユーザーまたはサービスプリンシパルのみが読み取ることができます。ユーザーまたは S3 バケット所有者にレポートを読み取るためのアクセス許可を付与するには、 AWS が `BucketOwnerFullControl` ACL を適用する必要があります。ACL はこれらのレポートに対する `Permission.FullControl` を S3 バケット所有者に付与します。ただし、ACL を無効にし、S3 バケットポリシーを使用してアクセスを制御することをお勧めします。

**注記**  
新しく作成された S3 バケットでは、ACL はデフォルトで無効になっています。詳細については、「[バケットのオブジェクト所有権のコントロールと ACL の無効化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html)」を参照してください。

**[データエクスポート]** コンソールページに **[無効なバケット]** エラーが表示される場合は、レポートセットアップ後にポリシーと S3 バケットの所有権が変更されていないことを確認します。