AWS認定SAA試験対策いろいろ（オブジェクトストレージ）

以前取得したAWS認定ソリューションアーキテクトアソシエイトの有効期限が切れそうで、再認定のための勉強をはじめました。

試験でポイントになりそうなことを、どんどん列挙してこうと思います。都度更新していきます。

では、早速書いていきます。

オブジェクトストレージ

S3（Amazon Simple Storage Service）は、非常に耐久性の高い安価なサービスである。
S3は特定のリージョンにバケットと呼ばれる格納先を作成して、Key-Value Store形式でファイルをアップロードする。
S3には格納するデータの用途ごとにストレージクラスがある。ストレージクラスには、スタンダードクラスと低冗長化（RRS: Reduced Redundancy Storage）クラスがある。

S3でのアクセス制限やセキュリティには、3つの方法がある。それは、アクセスコントロールリスト（ACL）、バケットポリシー、IAM（ユーザ）ポリシーである。
ACLはバケットとオブジェクトのそれぞれに、他カウントからの読み取り／書き込みの許可ができる。また、オブジェクトに付与されているURLにもHTTPS許可を与えられる。しかし、条件付きの制御や、アクセス拒否を設定ができず、自アカウントのIAMユーザやグループのアクセス権も制御できない。シンプルなホワイトリスト方式のみに対応といった感じである。自アカウントからと任意の他アカウントからの読み取り／書き込みを許可だけできるものと理解した。
バケットポリシーは、自アカウント内のIAMユーザやグループ、他アカウントのユーザに対して、条件付きアクセス許可や、アクセス拒否を設定することができる。
IAM（ユーザ）ポリシーは、自アカウント内のIAMユーザやグループ、ロールに割り当てる。条件付きアクセス許可やアクセス拒否ができる。他アカウントを指定したアクセス権の設定はできない。

アクセス許可の設定をしていない特定のオブジェクトを期間限定でHTTPSアクセスを許可する方法もあり、それを署名（期限）付きURLと言う。
署名付きURLは「このURLから3時間だけアクセスできるよ」といったURLであり、最悪漏洩してもその期間が経過すれば無効になる。
署名付きURLはカスタムポリシーで、コンテンツにアクセスする接続元IPやIP範囲の制約もできる。
S3に格納するデータの暗号化は、AWSやユーザが管理する鍵を使うサーバサイド暗号化と、クライアント側で予め暗号化したデータを格納するクライアントサイド暗号化の両方が利用可能である。
S3に格納するデータの暗号化や、アクセスログの取得等はユーザの責任で実施する必要がある。

S3は容量無制限であり、且つ耐久性も非常に高いため、AWSでは広く使われる。しかし、アクセスログやとある生物のゲノムのシーケンスデータ等、削除はしたくないか削除できないデータで、頻繁にアクセスしないようなデータには、より安価なAmazon Glacierというストレージへ格納することで費用を抑えることができる。
Amazon Glacierにデータを格納するためには、S3のライフサイクル機能を利用する方法と、SDKを利用して直接格納するものがある。
S3のライフサイクル機能は、指定した日数経過後にGlacierに移行したり削除したりできる機能で、1年経ったらGlacierに移動し、10年後に削除するといったジョブを自動化できる。
Glacierに格納したデータは、すぐに見ることができず、データを取り出す必要がある。データの取得には3時間から5時間かかり、且つデータ量の5%までは無料だが、それ以上は別途料金が必要となる。Glacierはあくまで長期保管用のストレージであり、頻繁にデータを出し入れできないような仕様※になっている。※正確には「できる」が「料金がかかる」仕様となっている。

同じオブジェクトに対する署名付きURLの発行可能数が知りたい。おそらく試験範囲ではないが、同じオブジェクトに対して発行できる署名付きURLは複数発行可能なのか知りたい。例えば、3つ発行できたとすると、3人に別々のURLを提供したり、0時から3時間有効なURLと2時から5時間有効なURLといったように、用途や共有先によって柔軟に対応できるので。