1.ACL
オブジェクトに紐づく唯一の指定方法である。
2.及び3.はいずれもバケットに対するアクセス権設定方法である。
2.バケットポリシー
どのようなユーザー(もしくはグループ)がアクセスできるかを決める方法である。
3.ユーザーポリシー
ユーザーやグループなどIAMアカウントに対して設定する方法である。
どれを使うのか望ましいかは、ガイドラインが公開されている。
docs.aws.amazon.com
Amazon Web Services完全ソリューションガイド
・3~63文字以内
・英小文字、数字、ハイフンで構成する(最後をハイフンで終わってはいけない)
・バケット名は、ピリオド区切りを指定しても良いが、SSLを利用する場合は推奨しない
・IPアドレス形式(192.168.1.1)は利用できない
Amazon Web Services完全ソリューションガイド
[仮想ホスト形式]
(通常)
http://バケット名.s3.amazonaws.com/
(フル)
http://バケット名.s3-リージョンのコード(ex.s3-ap-northeast-1).amazonaws.com/
[パス形式]
http://s3-リージョンのコード.amazonaws.com/バケット名
Amazon Web Services完全ソリューションガイド
通常S3の課金は、S3パケットを所有しているユーザー(企業に)対して発生する。
しかし、適切なIAMロール設定を行い、ほかのAWSユーザーがアクセスできるように設定した場合は、ダウンロードおよび命令コマンドに対する課金をそのユーザーに請求可能である(但し、容量課金は所有しているユーザー払い)。
この設定をリクエスタ支払いと呼ぶ。
リクエスタ支払いバケット - Amazon Simple Storage Service
Amazon Web Services完全ソリューションガイド
専用線接続を行うためのサービス
当コンポーネントを用いて専用線接続が行える様にするには、併せてAPNパートナー提供するサービスを用いる必要がある。
そうしない場合は、東京リージョンの場合にはEQUINIX社に専用線接続するためのルーターを持ち込む必要がある。
(当書P56 図1-3-10にDirect Connectのイメージ図有)
Amazon Web Services完全ソリューションガイド
VPC上に設置するものを仮想プライベートゲートウェイ(VPNゲートウェイ)と呼び、社内などに設置するVPN対応ルーターをAWSではカスタマーゲートウェイと呼称している。AWSではいくつかの検証済の機器が示されており、確実に接続したいのであれば検証済機器を使う方が安全である。
仮想ゲートウェイには、冗長性確保のために二つのグローバルIPアドレスが割り当てられる。
VPNトンネルは、カスタマーゲートウェイから接続が行われる事で開始され、接続されてから一時間毎に課金される(それとは別に通信データ量に応じた従量課金も発生する)。通信が無い場合は通信が切断されるため、切断したくない場合は定期的にpingなどを送信する事で回避できる。
(参考:AWS よくある質問)
VPC配下に関するFAQであり、カスタマーゲートウェイなどの用語の解説も行われている。
https://aws.amazon.com/jp/vpc/faqs/
(参考)
VPN接続に関する説明が丁寧に行われている。
docs.aws.amazon.com
Amazon Web Services完全ソリューションガイド
