Power Unit Inc. | 想像力のない者に翼はない | Amazon Glacier
17359
page-template,page-template-full_width,page-template-full_width-php,page,page-id-17359,qode-quick-links-1.0,ajax_fade,page_not_loaded,,side_area_uncovered_from_content,columns-4,qode-theme-ver-13.5,qode-theme-bridge,wpb-js-composer js-comp-ver-5.4.5,vc_responsive
 

Amazon Glacier

Amazon Glacier

データのアーカイブおよび長期バックアップを行うための、安全性と耐久性に優れたきわめて低コストのクラウドストレージ

Amazon Glacier を始めよう

Amazon Glacier を始める手順は 3 つです。初めに貯蔵庫となるボールト(Vault)を作成します。次に、このボルトにアーカイブをアップロードします。アップロード後にアーカイブ ID が発行されます。最後に、この ID を使ってアーカイブを取り出すジョブを登録します。ジョブが完了した際に Amazon SNS を使った通知を得ることもできますのでアプリケーション間の連携も容易です。ジョブが完了してから 24 時間はアーカイブを直ぐにダウンロードできるので、通知をトリガーにダウンロードしたり、ポーリングをして確認することができます。

ボールトを使用するとアーカイブを Amazon Glacier にまとめてグループ化できます。Amazon Glacier ではボールトを使用してデータを整理します。各アーカイブは、お客様指定のボールトに格納されます。

保管するデータへのアクセスをコントロールするには、AWS Identity and Access Management(IAM)サービスを使用してボールトレベルのアクセスポリシーを設定します。通知ポリシーをボールトに関連付けることもできます。この機能を利用すると、取り出しをリクエストしたデータがダウンロード可能になったときに、アカウント所有者またはアプリケーションに Amazon Simple Notification Service(Amazon SNS)を使用し通知するよう設定することができます。

Amazon Glacier のメリット

Amazon Glacier は、きわめて低コストのストレージサービスで、データのバックアップやアーカイブのために、安全で耐久性が高く柔軟なストレージを提供します。Amazon Glacier では、1 か月あたり 0.007 USD/GB という低額で安心してデータを保存できます。Amazon Glacier を利用すると、ストレージの運用と規模拡大/縮小に伴う管理作業を AWS に任せることができるため、容量計画、ハードウェアの準備、データレプリケーション、ハードウェア障害の検出と修復、時間のかかるハードウェア移行に頭を悩ますことはなくなります。

低コスト

Amazon Glacier なら、非常に低コストで大量のデータをアーカイブできます。お支払いは必要な分だけで、最低料金や前払い料金はありません。

安全性

Amazon Glacier は SSL を使用したデータ転送をサポートしています。また、保存中のデータを自動的に暗号化します。また、AWS Identity and Access Management (IAM) を使用してデータへのアクセスを管理することもできます。

耐久性

Amazon Glacier は、長期バックアップおよびアーカイブに向けて設計された、耐久性の高いストレージインフラストラクチャを提供します。データは冗長化されて複数の施設に保存され、各施設で複数のデバイスに保存されます。

シンプル

Amazon Glacier を利用すれば、ストレージインフラストラクチャの運用を AWS に任せることができ、お客様に管理労力がかかりません。Amazon Glacier にアップロードされたデータの保存に期間の制限はなく、お客様側での追加作業も必要ありません。

柔軟性

Amazon Glacier はお客様のストレージ要求に合わせてスケールします。保存できるデータに制限はありません。またお客様は、お客様の規制およびビジネス基準をサポートする AWS リージョンにデータを保存できます。

統合

Amazon S3 のライフサイクルポリシーを通して、アクセス頻度の少ないオブジェクトを Amazon S3 から Amazon Glacier に移すことで(またはその逆によって)、ストレージコストを最適化できます。

Amazon Glacier のアーカイブとボールト

アーカイブ

Amazon Glacier では、データは「アーカイブ」に保存されます。写真、動画、ドキュメントなどの任意のデータをアーカイブにすることができます。1 つのファイルをアーカイブとしてアップロードしたり、複数のファイルを 1 つの TAR ファイルまたは ZIP ファイルに圧縮して 1 つのアーカイブとしてアップロードしたりできます。

1 つのアーカイブの最大サイズは 40 TB です。Amazon Glacier に保存できるアーカイブの数とデータ量に制限はありません。各アーカイブには作成時に一意のアーカイブ ID が割り当てられ、アーカイブのコンテンツは変更不可能です。つまり、作成後は、アーカイブを更新することはできません。

ボールト

Amazon Glacier では、アーカイブを保存するためのコンテナとして「ボールト」を使用しています。AWS マネジメントコンソールでは、ボールトのリストを表示できます。また、AWS SDK を使用して、ボールトの作成、ボールトの削除、ボールトのロック、ボールトのメタデータのリスト表示、ボールトインベントリの取り出し、ボールトのフィルタリング用タグ付け、ボールトの通知の設定といった、ボールトに関するさまざまな操作を実行できます。また、ユーザーに対して特定のアクティビティを許可または禁止するボールトごとのアクセスポリシーを設定することもできます。1 つの AWS アカウントでは、最大 1,000 個のボールトを使用できます。

Amazon Glacier のユースケース

メディアアセットのアーカイブ

動画やニュース場面などのメディアアセットは耐久性の高いストレージを必要とし、時間の経過とともに数百ペタバイトにも増大する可能性があります。Amazon Glacier では古いメディアコンテンツを安全にアーカイブでき、必要に応じて Amazon S3 に移動して配信できます。

ヘルスケア情報のアーカイブ

病院システムは規制要求を満たすために、何ペタバイトもの患者記録(LIS、PACS、EHR など)を何十年も保持する必要があります。Amazon Glacier を利用すれば、患者記録のデータを低コストで安全にアーカイブできます。

規制およびコンプライアンスのためのアーカイブ処理

規制およびコンプライアンスのためのアーカイブを長期間にわたって保持することが必要な企業が多くあります。Amazon Glacier の Vault Lock 機能は、SEC Rule 17a-4(f) のようなコンプライス目標を達成するためのコンプライアンス制御を設定するのに役立ちます。

科学データストレージ

研究機関は、大量のデータを生成、分析、およびアーカイブしています。Amazon Glacier を使用すると、ハードウェアや施設の管理および容量の計画の煩雑さを回避できます。

デジタルプリザベーション

図書館および政府関連機関は、デジタルプリザベーションの取り組みにおいて、データ統合問題に直面しています。従来型のシステムでは、データの検証と修復にかなりの人的作業が必要になることもありますが、Amazon Glacier では、体系的なデータ整合性チェックが定期的に実施されるほか、自己修復を自動的に行うように設計されています。

磁気テープの置き換え

オンプレミスまたはオフサイトのテープライブラリでは、ストレージコストを削減できますが、莫大な先行投資および専門的なメンテナンスが必要となります。Amazon Glacier は初期費用が必要なく、メンテナンスにコストと労力がかかりません。

Amazon Glacier の主な特徴

ボールトインベントリ

Amazon Glacier では、災害対策や適宜行われる照合のために、各ボールトに含まれるアーカイブすべてのインベントリが維持されています。このボールトインベントリは、およそ 1 日に 1 回更新されます。お客様は、ボールトインベントリを JSON または CSV ファイルとしてリクエストすることができます。このファイルには、アーカイブのサイズ、作成日、およびアップロード時に指定されたアーカイブの説明を含むアーカイブの詳細情報が記載されています。このインベントリは、直近のインベントリ更新時点でのボールトの状態を表します。

アクセスコントロール

Amazon Glacier では、AWS Identity and Access Management (IAM) を使用して、AWS と Amazon Glacier のデータへのアクセスを安全にコントロールすることができます。IAM でユーザーを作成し、Amazon Glacier のボールトごとに個別のセキュリティ認証情報(アクセスキー、パスワード、および多要素認証デバイス)と IAM ポリシーを割り当て、特定のユーザーが許可されるアクティビティを設定できます。

ボールトアクセスポリシー

ボールトアクセスポリシーを使用すると、個々の Glacier ボールトへのアクセスを容易に管理できます。ボールトで直接アクセスポリシーを定義して、組織内のユーザーとビジネスグループ、および社外のビジネスパートナーに、ボールトへのアクセス権を付与することができます。

Vault Lock

Amazon Glacier の Vault Lock により、ロック可能なポリシーを使用して個別の Glacier ボールトにコンプライアンスコントロールを簡単にデプロイおよび適用できます。Vault Lock ポリシーで “Write Once Read Many” (WORM) などのコントロールを指定して、ポリシーをロックし、今後編集できないようにすることができます。ロックされると、そのポリシーは変更できなくなり、指定したコントロールが Glacier によって適用されるので、コンプライアンス目標を達成しやすくなります。

データ取り出しポリシー

Amazon Glacier データ取り出しポリシーでは、AWS コンソールで数回クリックするだけで、データ取り出しの制限を定義できます。データの取り出しを [Free Tier Only] に制限するか、または無料利用枠を超える量を取り出したい場合は、[Max Retrieval Rate] を指定すると、取り出し速度を制限して、取り出しコストの上限を設定できます。どちらの場合も、取り出しリクエストが定義された取り出し上限を超える場合、Amazon Glacier はリクエストを受け付けません。

監査ログ

Amazon Glacier では、AWS CloudTrail での監査ログをサポートしており、アカウントの Amazon Glacier の API 呼び出しを記録し、ユーザーにこれらのログファイルを提供します。これらのログファイルでは、Amazon Glacier 資産で実行されたアクションに対する可視性が提供されます。例えば、過去 1 か月にボールトにアクセスしたユーザーを特定したり、特定のアーカイブを削除したユーザーとその削除時期を特定したりできます。監査ログを使用すると、クラウドベースのアーカイブシステムのコンプライアンス目標やガバナンス目標を実現する上で役立ちます。

ライフサイクル管理と Amazon S3 の統合

Amazon Glacier を Amazon S3 のライフサイクルルールと連携することにより、Amazon S3 データのアーカイブを自動化し、全体的なストレージコストを削減できます。低コストの Glacier ストレージクラスにある以前の Amazon S3 オブジェクトバージョンすべてを保存し、100 日後に Glacier ストレージから削除するルールを容易に設定できます。この例では、データへの変更を 100 日間ロールバックでき、ストレージコストが自動的に削減されます。

タグ付けのサポート

Amazon Glacier では、Glacier のボールトにタグを付けて、リソースとコストを容易に管理できるようになりました。タグはユーザーが定義し、ボールトに関連付けることができるラベルです。タグを使用すると、AWS コストレポートなどのオペレーションにフィルタリング機能が追加されます。例えば、タグを使用すれば、組織の複数の部門にまたがって、または他のカテゴリ別に Glacier のコストと使用を割り当てることができます。

AWS マネジメントコンソール

Amazon Glacier には AWS マネジメントコンソールを使用してアクセスできます。AWS マネジメントコンソールは使いやすいウェブインターフェイスで、ボールトを作成し、ボールトレベルのアクセス許可を設定し、データ取り出し用の SNS 通知を設定できます。また、このコンソールでは、ボールトごとのストレージ使用量の概要およびボールトインベントリの最終更新時間も表示します。

AWS Software Development Kit (SDK)

データのアップロードと取り出しは、AWS SDK または基盤となる Amazon Glacier API を使用して実行されます。Amazon Glacier は、AWS SDK for Java、AWS SDKs for .NET、AWS SDKs for PHP、および AWS SDKs for Python (Boto) でサポートされています。SDK ライブラリは基盤となる Amazon Glacier API をラップし、プログラミング作業を簡素化します。これらの SDK では、基盤となる REST API に対応するライブラリが提供され、簡単にリクエストを作成したり応答を処理したりできます。AWS SDK for Java と AWS SDK for .NET では高レベルと低レベルの API ライブラリを利用できます。

大容量データを転送する

AWS Import/Export により、転送用のポータブル記憶装置を使用して大容量データを AWS 内外に高速で転送できます。AWS なら、Amazon の高速内部ネットワークを駆使し、インターネットを使うことなくお客様のデータを直接ストレージデバイスに転送できます。重要なデータ設定を行う場合、AWS Import/Export のほうがインターネット転送より高速で、通信環境をアップグレードするより経済的にお得です。AWS Import/Export を使用してデータをクラウドに移行すると、コンテンツのお客様への配信、バックアップの AWS への送信、災害対策を実行できます。

AWS Direct Connect は、お客様の設備から AWS への高帯域幅専用ネットワーク接続を確立するサービスです。AWS Direct Connect ならば、お客様のビジネスに不可欠なデータが直接、お客様のデータセンターから AWS に転送されるので、インターネットサービスプロバイダをバイパスでき、ネットワークの混雑とも無縁になります。さらに、AWS Direct Connect では、データ転送のニーズに合わせて簡単に接続を拡大または縮小できます。AWS Direct Connect の接続には 1 Gbps と 10 Gbps があり、より多くの容量が必要な場合に複数の接続をプロビジョニングすることも簡単です。

Amazon Glacier でデータを保護する

Amazon Glacier に保存されているデータはデフォルトで保護されており、そのボールトを作成した所有者のみが Amazon Glacier リソースにアクセスできます。Amazon Glacier では、デフォルトで保管中のデータが暗号化され、SSL による安全なデータ転送がサポートされます。

また、Identity and Access Management (IAM) ポリシーで、アクセスコントロールメカニズムがサポートされます。Amazon Glacier のデータ保護機能により、意図しないユーザーアクション、アプリケーションエラー、インフラストラクチャの故障によるデータ損失に対して、論理的/物理的の両面の障害からデータを保護できます。

PCI や HIPAA などの規制基準を遵守しなければならないお客様には、Amazon Glacier のデータ保護機能を、コンプライアンス達成における全体的な戦略の一部としてご利用いただけます。Amazon Glacier で利用できるデータのセキュリティおよび信頼性に関するさまざまな機能については、以下に詳細な説明があります。

デフォルトでの暗号化

Amazon Glacier では、保管されているデータが Advanced Encryption Standard (AES) 256 ビット対称鍵を使用して自動的に暗号化され、Secure Sockets Layer (SSL) 経由の安全なデータ転送がサポートされます。

変更不可能なアーカイブ

Amazon Glacier に保存されたデータは変更不可能です。つまり、作成後は、アーカイブを更新することはできません。これにより、アーカイブされた後は、コンプライアンスや規制のレコードなどのデータを変更できないことが保証されます。

IAM ポリシーによる柔軟なアクセスコントロール

Amazon Glacier では、Identity and Access Management (IAM) ポリシーをサポートしています。組織がこのポリシーを使用すると、複数の従業員が 1 つの AWS アカウントで複数のユーザーを作成および管理することができます。IAM ポリシーでは、きめ細かいポリシーを作成し、Amazon Glacier ボールトを制御します。Amazon Glacier ボールトごとに特定のアクセス許可やアクションを選択的に許可または禁止する IAM ポリシーを作成できます。

リクエストの必須の署名

Amazon Glacier では、認証保護のため、すべてのリクエストに署名が必要です。リクエストに署名するには、ユーザーが署名としてリクエストに含めるハッシュ値を返す暗号ハッシュ関数を使用して、デジタル署名を計算します。Amazon Glacier ではリクエストを受け取ると、そのリクエストを処理する前に、署名に使用されたものと同じハッシュ関数と入力値を使用して署名を再計算します。

Amazon Glacier のデータの堅牢性と信頼性

Amazon Glacier では、長期間データをアーカイブ保存するために設計された耐久性の高いストレージインフラストラクチャを利用できます。このサービスでは、データが冗長化されて複数の施設に保存され、各施設内では複数のデバイスに保存されます。耐久性を高めるため、Amazon Glacier では、アップロードが正常に実行されたことを確認する前に、データが複数の施設で同期的に保存されます。

書き込み時のデータパケットの損傷を回避するため、Amazon Glacier ではデータアップロード中にデータのチェックサムがアップロードされます。受信したチェックサムが受信したデータのチェックサムと比較され、送信時のビット反転が検出されます。同様に、データ取り出し時にもチェックサムでデータの信頼性が検証されます。従来型のシステムでは、データの検証と修復にかなりの人的作業が必要になることもありますが、Amazon Glacier では、体系的なデータ整合性チェックが定期的に実施されるほか、自己修復を自動的に行うように設計されています。

Amazon Glacier でデータを管理する

Amazon Glacier でのアーカイブオプション

Amazon Glacier では、アップロード、ダウンロード、削除のアーカイブオプションがサポートされます。アーカイブは、変更不可能で、更新することはできません。

Amazon Glacier へのアーカイブのアップロード

アーカイブのアップロードは、同期オペレーションです。1 回の操作でアーカイブをアップロードしたり、MultipartUpload API を使ってより大きなアーカイブを分割してアップロードすることで、スループットと耐障害性を向上させることができます。1 バイトから 40 TB までのアーカイブをアップロードできます。アーカイブが永続的に保存されると、一意のアーカイブ ID が割り当てられます。

Amazon Glacier からのアーカイブのダウンロード

アーカイブのダウンロードは、非同期オペレーションです。まず、特定のアーカイブを取り出すためのジョブを開始する必要があります。Amazon Glacier では、ジョブリクエストを受信すると、ダウンロード用のアーカイブが作成されます。これには、通常 3~5 時間かかります。このジョブの完了から 24 時間は、ステージングロケーションからデータをダウンロードすることができます。

データ取り出しコストを管理するため、Amazon Glacier データ取り出しポリシーを使用して独自のデータ取り出し制限を定義することができます。データの取り出しを [Free Tier Only] に制限するか、または無料利用枠を超える量を取り出したい場合は、[Max Retrieval Rate] を指定すると、取り出し速度を制限して、取り出しコストの上限を設定できます。どちらの場合も、取り出しリクエストが定義された取り出し上限を超える場合、Amazon Glacier はリクエストを受け付けません。

ネットワーク経由で取り出したデータをオンプレミス設備や Amazon EC2 インスタンスにダウンロードしたり、取り出したデータを Amazon S3 バケットにコピーしたりできます。ジョブが完了したら、Amazon Glacier に Amazon Simple Notification Service (Amazon SNS) トピックに通知を送信するようにリクエストすることができます。

Amazon Glacier でのアーカイブの削除

アーカイブを削除するには、Amazon Glacier REST API または AWS SDK を使用して、アーカイブ ID を指定する必要があります。また、いくつかのサードパーティツールを使用してアーカイブを削除することもできます。

Amazon Glacier と Amazon Simple Storage Service (Amazon S3) のどちらを選択すればよいでしょうか?

Amazon S3 は、耐久性とセキュリティを特徴とする、シンプルで高速のストレージサービスです。開発者がウェブスケールコンピューティングを容易に実現できるように設計されています。Amazon S3 が適しているのは、低レイテンシーを必要としている場合や、データへのアクセス頻度が高い場合です。Amazon Glacier が適しているのは、ストレージコストの低さが最優先であり、データを取り出すことがほとんどなく、データ取り出しに数時間かかっても問題ない場合です。

Amazon S3 で、データのアーカイブに Amazon Glacier の非常に低コストなストレージサービスを使用する新しいストレージオプションをご利用いただけるようになりました。一連の Amazon S3 オブジェクトを Amazon Glacier に自動的にアーカイブする Amazon S3 ライフサイクルルールを定義して、ストレージコストを削減できます。

Amazon Glacier と Amazon S3 は、どちらもオブジェクトベースのストレージサービスですが、その特性や利用方法は以下の表のように大きく異なります。S3 と Glacier の特性の違いは、Glacier がアーカイブ専用のストレージサービスからくるものです。

S3 で「オブジェクト」に相当するものが Glacier では「アーカイブ」、S3 で「バケツ」に相当するものが Glacier では「ボールト」になります。これまでの Amazon Glacier の解説で不足していると思われる部分で補足しておきたい項目を挙げておきます。

  • S3 が同期ダウンロードに対して Glacier は非同期ダウンロードです。S3 はダウンロードの際にリアルタイムにオブジェクトにアクセス可能ですが、Glacier は、ダウンロードの要求の発行、ダウンロードの終了の通知、ダウンロードされたオブジェクトにアクセスするという手順が必要です。
  • S3 のアクセスポリシーは IAM 以外にバケツ単位のアクセスコントロールが可能ですが、Glacier は IAM のみです。
  • S3 はログの設定が可能ですが、Glacier はログの設定をサポートしていません。
  • S3 はオブジェクトのライフサイクルを指定して保存するストレージクラスを自動的に最適化可能ですが、Glacier に保存されているデータに対してライフサイクルを指定することはできません。
  • S3 はデータを取得する際に特に何もする必要がありません(単にアクセスすればいいだけです)が、Glacier は Job による抽出処理(RETRIEVAL)の要求を発行する必要があります。