高性能ワークロード - Amazon Simple Storage Service
S3 Express One Zone

高性能ワークロード

S3 Express One Zone

Amazon S3 Express One Zone は、高性能ワークロードに使用できます。S3 Express One Zone は、オブジェクトストレージをコンピューティングリソースと同じ場所に配置するオプションを提供し、単一のアベイラビリティーゾーンを選択できる最初の S3 ストレージクラスです。これにより、アクセス速度が最大限に高速化します。S3 Express One Zone のオブジェクトは、アベイラビリティーゾーンにあるディレクトリバケットに保存されます。ディレクトリバケットの詳細については「ディレクトリバケット」を参照してください。

Amazon S3 Express One Zone は、最もレイテンシーの影響を受けやすいアプリケーションに 1 桁のミリ秒単位で一貫したデータアクセスを提供することを目的として構築された、高パフォーマンスのシングルアベイラビリティーゾーンの Amazon S3 ストレージ クラスです。S3 Express One Zone は、現在入手可能なレイテンシーが最も低いクラウドオブジェクトストレージクラスで、データアクセス速度は最大 10 倍速く、リクエストコストは S3 Standard より 50% 低減されます。リクエストが最大で 1 桁速く完了するため、アプリケーションは直ちにメリットを得られます。S3 Express One Zone は、その他の S3 ストレージクラスと同様のパフォーマンス伸縮性を備えています。S3 Express One Zone は、一貫して 1 桁ミリ秒のレイテンシーを必要とするワークロードやパフォーマンス重視のアプリケーションに使用します。

他の Amazon S3 ストレージクラスと同様に、容量やスループットの要件を事前に計画したりプロビジョンしたりする必要はありません。必要に応じてストレージをスケールアップまたはスケールダウンでき、Amazon S3 API を介してデータにアクセスできます。

Amazon S3 Express One Zone ストレージクラスは、単一のアベイラビリティーゾーン内で 99.95% の可用性を実現するように設計されており、Amazon S3 サービスレベル契約に基づいています。S3 Express One Zone では、データは単一のアベイラビリティーゾーン内で冗長的に複数のデバイスに保存されます。S3 Express One Zone は、冗長性の損失を迅速に検出して修復することによって、同時デバイス障害を処理するように設計されています。既存のデバイスに障害が発生した場合、S3 Express One Zone はアベイラビリティーゾーン内の新しいデバイスに自動的にリクエストを移します。この冗長性により、アベイラビリティーゾーン内のデータへのアクセスの中断が回避されます。

S3 Express One Zone は、オブジェクトへのアクセスに必要なレイテンシーを最小限に抑えることが重要なあらゆるアプリケーションに最適です。このようなアプリケーションは、クリエイティブプロフェッショナルがユーザーインターフェイスからコンテンツに迅速にアクセスする必要がある、動画編集のような人間との対話型のワークフローになる可能性があります。S3 Express One Zone は、データに対する応答性の要件が似ている分析や機械学習のワークロード、特に小規模なアクセスやランダムアクセスが多いワークロードにも役立ちます。S3 Express One Zone は、Amazon EMR、Amazon SageMaker、AI、Amazon Athena など、分析や人工知能と機械学習 (AI/ML) のワークロードをサポートするためにその他の AWS のサービスと併用できます。

S3 Express One Zone の仕組みを説明する図

ディレクトリバケットは、S3 Express One Zone ストレージクラスを使用して、単一のアベイラビリティゾーン内の複数のデバイスにデータを保存しますが、複数のアベイラビリティゾーン間でデータを冗長的に保存することはありません。S3 Express One Zone を使用するためのディレクトリバケットを作成する場合は、パフォーマンスを最適化するために、Amazon EC2、Amazon Elastic Kubernetes Service、または Amazon Elastic Container Service (Amazon ECS) の各コンピューティングインスタンスにローカルな AWS リージョンおよびアベイラビリティーゾーンを指定することをお勧めします。

S3 Express One Zone を使用する場合、ゲートウェイ VPC エンドポイントを使用して、仮想プライベートクラウド (VPC) 内のディレクトリバケットを操作できます。ゲートウェイエンドポイントを使用すると、VPC 用のインターネットゲートウェイや NAT デバイスを必要とせず追加コストあんしで、VPC から S3 Express One Zone にディレクトリバケットにアクセスできます。

汎用バケットやその他のストレージクラスで使用しているのと同じ Amazon S3 の API オペレーションと機能の多くをディレクトリバケットでも使用できます。これには、Mountpoint for Amazon S3、Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3)、AWS Key Management Service (AWS KMS) キーによるサーバー側の暗号化 (SSE-KMS)、S3 バッチオペレーション、S3 ブロックパブリックアクセスなどがあります。Amazon S3 コンソール、AWS Command Line Interface (AWS CLI)、AWS SDK、Amazon S3 REST API を使用して S3 Express One Zone にアクセスすることができます。

S3 Express One Zone の詳細については、次のトピックを参照してください。

概要

パフォーマンスを最適化してレイテンシーを低減するために、S3 Express One Zone には次の新しい概念が導入されています。

アベイラビリティーゾーン

Amazon S3 Express One Zone ストレージクラスは、単一のアベイラビリティーゾーン内で 99.95% の可用性を実現するように設計されており、Amazon S3 サービスレベル契約に基づいています。S3 Express One Zone では、データは単一のアベイラビリティーゾーン内で冗長的に複数のデバイスに保存されます。S3 Express One Zone は、冗長性の損失を迅速に検出して修復することによって、同時デバイス障害を処理するように設計されています。既存のデバイスに障害が発生した場合、S3 Express One Zone はアベイラビリティーゾーン内の新しいデバイスに自動的にリクエストを移します。この冗長性により、アベイラビリティーゾーン内のデータへのアクセスの中断が回避されます。

アベイラビリティーゾーンは、AWS リージョン の冗長電源、ネットワーク、および接続を備えた 1 つ以上の個別のデータセンターです。ディレクトリバケットを作成する際は、バケットの配置場所であるアベイラビリティーゾーンと AWS リージョン を選択します。

単一のアベイラビリティーゾーン

ディレクトリバケットを作成する際は、バケットの配置場所であるアベイラビリティーゾーンと AWS リージョン を選択します。

ディレクトリバケットは、パフォーマンス重視のアプリケーションで使用されるように構築された S3 Express One Zone ストレージクラスを使用します。S3 Express One Zone は、オブジェクトストレージをコンピューティングリソースと同じ場所に配置するオプションを提供し、単一のアベイラビリティーゾーンを選択できる最初の S3 ストレージクラスです。これにより、アクセス速度が最大限に高速化します。

S3 Express One Zone を使用すると、データは単一のアベイラビリティーゾーン内の複数のデバイスに冗長的に保存されます。S3 Express One Zone は、単一のアベイラビリティーゾーン内で 99.95% の可用性を実現するように設計されており、Amazon S3 サービスレベル契約に基づいています。詳細については、アベイラビリティーゾーンを参照してください。

エンドポイントとゲートウェイ VPC エンドポイント

ディレクトリバケットのバケット管理 API オペレーションはリージョンエンドポイントを通じて利用でき、リージョンエンドポイント API オペレーションと呼ばれます。リージョンエンドポイント API オペレーションの例には、CreateBucketDeleteBucket があります。ディレクトリバケットを作成した後、ゾーンエンドポイント API オペレーションを使用して、ディレクトリバケット内のオブジェクトをアップロードして管理できます。ゾーンエンドポイント API オペレーションは、ゾーンエンドポイントを通じて実行できます。ゾーン別エンドポイント API オペレーションの例には、PutObjectCopyObject があります。

ゲートウェイ VPC エンドポイントを使用して、VPC から S3 Express One Zone にアクセスできます。ゲートウェイ エンドポイントを作成した後、VPC から S3 Express One Zone を送信先とするトラフィックのルートテーブルにターゲットとして追加できます。Amazon S3 と同様、ゲートウェイエンドポイントの使用に追加料金は発生しません。ゲートウェイ VPC エンドポイントの設定方法の詳細については、「ディレクトリバケットのネットワーク」を参照してください。

セッションベースの承認

S3 Express One Zone では、レイテンシーを最小限に抑えるように最適化された新しいセッションベースのメカニズムを使用して、リクエストを認証および認可します。CreateSession を使用して、バケットへの低レイテンシーアクセスを実現する一時的な認証情報をリクエストできます。このような一時的な認証情報は、特定の S3 ディレクトリバケットに限定されます。セッショントークンはゾーン (オブジェクトレベル) オペレーション (CopyObject を除く) でのみ使用されます。詳細については、「CreateSession を使用したゾーンエンドポイント API オペレーションの承認」を参照してください。

S3 Express One Zone でサポートされている AWS SDK は、ユーザーに代わってセッションの確立と更新を処理します。セッションを保護するため、一時的なセキュリティ認証情報は 5 分後に期限切れになります。AWS SDK をダウンロードしてインストールし、必要な AWS Identity and Access Management (IAM) アクセス許可を設定したら、直ちに API オペレーションの使用を開始できます。

S3 Express One Zone の機能

S3 Express One Zone では、次の S3 の機能が利用できます。サポートされている API とサポートされていない API の全リストについては、「ディレクトリバケットの違い」を参照してください。

アクセス管理とセキュリティ

アクセスを監査および管理するには、以下の機能を使用できます。デフォルトでは、ディレクトリバケットはプライベートであり、アクセスを明示的に許可されているユーザーのみがアクセスできます。バケット、プレフィックス、またはオブジェクトタグレベルでアクセス制御境界を設定できる汎用バケットとは異なり、ディレクトリバケットのアクセス制御境界はバケットレベルでのみ設定されます。詳細については、「IAM を使用したリージョンエンドポイント API オペレーションの承認」を参照してください。

  • S3 ブロックパブリックアクセス – すべての S3 ブロックパブリックアクセス設定は、デフォルトでバケットレベルで有効になっています。このデフォルトの設定は変更できません。

  • S3 オブジェクト所有権 (デフォルトでバケット所有者の強制) – アクセスコントロールリスト (ACL) はディレクトリバケットではサポートされていません。ディレクトリバケットは、S3 オブジェクト所有権のバケット所有者による強制設定を自動的に使用します。バケット所有者の強制とは、ACL が無効になり、バケット所有者はバケット内のすべてのオブジェクトを自動的に所有し、完全にコントロールできることを意味します。このデフォルトの設定は変更できません。

  • AWS Identity and Access Management (IAM) – IAM は、ディレクトリバケットへのアクセスを安全に制御するうえで役立ちます。IAM を使用すると、s3express:CreateSession アクションを通じてバケット管理 (リージョン) API オペレーションとオブジェクト管理 (ゾーン) API オペレーションへのアクセスを許可できます。詳細については、「IAM を使用したリージョンエンドポイント API オペレーションの承認」を参照してください。オブジェクト管理アクションとは異なり、バケット管理アクションはクロスアカウント間で実行できません。バケット所有者のみが、このようなアクションを実行できます。

  • バケットポリシー – IAM ベースのポリシー言語を使用して、ディレクトリバケットのリソースベースのアクセス許可を設定します。IAM を使用して CreateSession API オペレーションへのアクセスを制御することもできます。これにより、ゾーン API オペレーションまたはオブジェクト管理 API オペレーションを使用できるようになります。ゾーン API オペレーションに同一アカウントまたはクロスアカウントのアクセス許可を付与することができます。S3 Express One Zone のアクセス許可とポリシーの詳細については、「IAM を使用したリージョンエンドポイント API オペレーションの承認」を参照してください。

  • IAM Access Analyzer for S3 – アクセスポリシーを評価してモニタリングし、ポリシーが S3 リソースへの意図したアクセスのみを提供していることを確認します。

ログ記録とモニタリング

S3 Express One Zone は、リソースの使用状況のモニタリングと制御に利用できる次のような S3 ログと監視ツールを使用します。

  • Amazon CloudWatch metrics – CloudWatch を使用して AWS リソースとアプリケーションをモニタリングして、パフォーマンスのメトリクスを収集し、追跡します。S3 Express One Zone は、その他の Amazon S3 ストレージクラス (AWS/S3) と同じ CloudWatch 名前空間を使用し、BucketSizeBytesNumberOfObjects のディレクトリバケットの毎日のストレージメトリクスをサポートします。詳細については、「Amazon CloudWatch によるメトリクスのモニタリング」を参照してください。

  • AWS CloudTrail ログ – AWS CloudTrail は、ユーザー、ロール、または AWS のサービス が実行するアクションを記録して、AWS アカウント のオペレーションとリスクの監査、ガバナンス、コンプライアンスの実施に役立つ AWS のサービス です。S3 Express One Zone の場合、CloudTrail はリージョンエンドポイント API オペレーション (CreateBucketPutBucketPolicy など) を管理イベントとして、ゾーン API オペレーション(GetObjectPutObject など) をデータイベントとしてキャプチャします。これらのイベントには、AWS Management Console、AWS Command Line Interface (AWS CLI)、AWS SDK、および AWS API オペレーションで実行されたアクションが含まれます。詳細については、「S3 Express One Zone の AWS CloudTrail によるログ記録」を参照してください。

注記

Amazon S3 サーバーのアクセスログは S3 Express One Zone ではサポートされていません。

オブジェクト管理

オブジェクトストレージを管理するには、Amazon S3 コンソール、AWS SDK、AWS CLI を使用できます。S3 Express One Zone でのオブジェクト管理には次の機能を使用できます。

  • S3 バッチオペレーション – バッチオペレーションを使用して、ディレクトリバケット内のオブジェクトに対して一括オペレーションを実行します。例には、CopyInvoke AWS Lambda 関数 などがあります。例えばバッチオペレーションを使用して、ディレクトリバケットと汎用バケット間でオブジェクトをコピーできます。バッチオペレーションを使用すると、AWS SDK または AWS CLI を使用するか、Amazon S3 コンソールで数回クリックするだけで、単一の S3 リクエストで数十億のオブジェクトを大規模に管理できます。

  • インポート – ディレクトリバケット作成後、Amazon S3 コンソールのインポート機能を使用してバケットにオブジェクトを追加できます。インポートは、汎用バケットからディレクトリバケットにオブジェクトをコピーするバッチオペレーションジョブを作成するための効率的な方法です。

AWS SDK とクライアントライブラリ

オブジェクトストレージを管理するには、AWS SDK およびクライアントライブラリを使用できます。

  • Mountpoint for Amazon S3 – Mountpoint for Amazon S3 は、高スループットのアクセスを実現するとともに、Amazon S3 のデータレイクのコンピューティングコストを削減するオープンソースのファイルクライアントです。Mountpoint for Amazon S3 は、ローカルファイルシステムの API コールを GETLIST などの S3 オブジェクト API コールに変換します。ペタバイトのデータを処理できるため、Amazon S3 が提供する伸縮性に優れたスループットを必要とする、読み取り量の多いデータレイクワークロードに最適です。これにより、数千のインスタンスにわたってスケールアップしたりスケールダウンしたりできます。

  • S3A – S3Aは Amazon S3 のデータストアにアクセスするための Hadoop と互換性のある推奨インターフェイスです。S3A は Hadoop の S3N ファイルシステムクライアントの後継です。

  • PyTorch on AWS — PyTorch on AWS は、機械学習モデルの開発および本番環境へのデプロイを容易にするオープンソースの深層学習フレームワークです。

  • AWS SDK – Amazon S3 でのアプリケーション開発には AWS SDK を使用できます。AWS SDK は、基盤となる Amazon S3 REST API をラップして、プログラミング作業を簡素化します。S3 Express One Zone での AWS SDK の使用の詳細については、「AWS SDK」を参照してください。

暗号化とデータ保護

S3 Express One Zone 内のオブジェクトは、Amazon S3 マネージドキー (SSE-S3) を使用したサーバー側の暗号化により、自動的に暗号化されます。S3 Express One Zone は、AWS Key Management Service (AWS KMS) キー (SSE-KMS) を使用したサーバー側の暗号化もサポートしています。S3 Express One Zone は、お客様が指定した暗号化キーによるサーバー側の暗号化 (SSE-C) や AWS KMS keys によるデュアルレイヤーのサーバー側の暗号化 (DSSE-KMS) はサポートしていません。詳細については、「データ保護と暗号化」を参照してください。

S3 Express One Zone では、アップロードまたはダウンロード中にデータを検証するために使用されるチェックサムアルゴリズムを選択するオプションが提供されます。CRC32、CRC32C、SHA-1、SHA-256 などのセキュアハッシュアルゴリズム (SHA) や巡回冗長検査 (CRC) データ整合性チェックアルゴリズムのいずれかを選択できます。MD5 ベースのチェックサムは S3 Express One Zone ストレージクラスではサポートされていません。

詳細については、「S3 の追加のチェックサムのベストプラクティス」を参照してください。

AWS Signature Version 4 (SigV4)

S3 Express One Zone は AWS Signature Version 4 (SigV4) を使用します。SigV4 は Amazon S3 に対する HTTP 経由のリクエストを認証するために使用される署名プロトコルです。S3 Express One Zone は AWS Sigv4 を使用してリクエストに署名します。詳細については、Amazon Simple Storage Service API リファレンスの「リクエストの認証 (AWS 署名バージョン 4)」を参照してください。

強力な整合性

S3 Express One Zone は、すべての AWS リージョン のディレクトリバケット内のオブジェクトの PUTDELETE リクエストに対して、読み取り後書き込みの強力な一貫性を提供します。詳細については、「Amazon S3 のデータ整合性モデル」を参照してください。

S3 Express One Zone AWS のサービス ストレージクラスで次を使用して、特定の低レイテンシーのユースケースをサポートできます。

  • Amazon Elastic Compute Cloud (Amazon EC2) – Amazon EC2 は、安全でスケーラブルなコンピューティング容量を AWS クラウド で提供します。Amazon EC2 の使用により、ハードウェアに事前投資する必要がなくなり、アプリケーションをより速く開発およびデプロイできます。Amazon EC2 を使用すると、必要な数 (またはそれ以下) の仮想サーバーの起動、セキュリティおよびネットワーキングの構成、ストレージの管理ができます。

  • AWS Lambda – Lambda はサーバーのプロビジョニングや管理を必要とせずにコードを実行できるコンピューティングサービスです。バケットの通知設定を構成し、関数のリソースベースのアクセス許可ポリシーで関数を呼び出すためのアクセス許可を Amazon S3 に付与します。

  • Amazon Elastic Kubernetes Service (Amazon EKS) – Amazon EKS は、AWS で独自の Kubernetes コントロールプレーンをインストール、運用、保守する必要がないマネージドサービスです。Kubernetes は、コンテナ化されたアプリケーションの管理、スケーリング、デプロイを自動化するオープンソースシステムです。

  • Amazon Elastic Container Service (Amazon ECS) – Amazon ECS は、コンテナ化されたアプリケーションを簡単にデプロイ、管理、スケーリングできる、フルマネージドコンテナオーケストレーションサービスです。

  • AWS Key Management Service (AWS KMS) – AWS Key Management Service (AWS KMS) は、データの暗号化に使用する暗号化キーの作成と管理を容易にする AWS マネージドサービスです。AWS KMS で作成した AWS KMS キーは、FIPS 140-2 検証済みハードウェアセキュリティモジュール (HSM) によって保護されます。KMS キーを使用または管理するには、AWS KMS を使用します。

  • Amazon Athena – Athena はインタラクティブなクエリサービスで、Amazon S3 内のデータを標準 SQL を使用して直接的に簡単に分析できます。また、Athena を使用すると、リソースの計画、設定、管理を必要とせずに Apache Spark を使用してデータ分析をインタラクティブに実行することもできます。Athena で Apache Spark アプリケーションを実行する場合は、処理用の Spark コードを送信して、結果を直接受け取ります。

  • Amazon SageMaker トレーニング – AWS Marketplace の組み込みアルゴリズム、カスタムアルゴリズム、ライブラリ、モデルなど、Amazon SageMaker でモデルをトレーニングするためのオプションを参照します。

  • AWS Glue – AWS Glue は、分析を行うユーザーが複数のソースからのデータを簡単に検出、準備、移動、統合できるようにするサーバーレスのデータ統合サービスです。分析用の AWS Glue は、分析、機械学習、アプリケーション開発に使用できます。AWS Glue には、ジョブの作成、実行、ビジネスワークフローの実装のための生産性向上ツールとデータ運用ツールも追加されています。

  • Amazon EMR – Amazon EMR は、Apache Hadoop や Apache Spark などのビッグデータフレームワークを AWS で簡単に実行して、膨大な量のデータを処理および分析できるマネージドクラスタープラットフォームです。

  • AWS CloudTrail – AWS CloudTrail は、AWS アカウントのリスク監査、ガバナンス、コンプライアンスの活用を支援する AWS のサービスです。ユーザー、ロール、または AWS のサービスによって実行されたアクションは、CloudTrail にイベントとして記録されます。イベントには、AWS マネジメントコンソール、AWS コマンドラインインターフェイス、AWS SDK、API で実行したアクションが含まれます。

  • AWS CloudFormation – AWS のリソースのモデリングおよびセットアップに役立つサービスです。リソース管理の時間を減らし、AWS で実行するアプリケーションに注力する時間を増加できます。使用するすべての AWS リソース (Amazon EC2 インスタンスや Amazon RDS DB インスタンスなど) を記述するテンプレートを作成すれば、CloudFormation がお客様に代わってこれらのリソースのプロビジョニングや設定を受け持ちます。AWS リソースを個別に作成、設計して、それぞれの依存関係を考える必要はありません。CloudFormation がこれを処理します。

次のステップ

S3 Express One Zone ストレージクラスとディレクトリバケットの使用の詳細については、次のトピックを参照してください。