S3アクセスポイントARNを解析する
標準のS3バケットARNとは異なり、アカウントIDとリージョンを含むS3アクセスポイントのARN形式を理解します。
ARN Format
詳細な説明
S3アクセスポイントARN
S3アクセスポイントは、バケットにアタッチされた名前付きネットワークエンドポイントを提供します。大規模なきめ細かいアクセス制御を可能にします。標準のS3バケットARNとは異なり、アクセスポイントARNにはアカウントIDとリージョンが含まれます。
ARN構造
arn:aws:s3:REGION:ACCOUNT-ID:accesspoint/ACCESS-POINT-NAME
例
arn:aws:s3:us-east-1:123456789012:accesspoint/analytics-team-ap
解析されたコンポーネント
| コンポーネント | 値 |
|---|---|
| パーティション | aws |
| サービス | s3 |
| リージョン | us-east-1 |
| アカウントID | 123456789012 |
| アクセスポイント | analytics-team-ap |
アクセスポイント経由のオブジェクトARN
アクセスポイントを通じて特定のオブジェクトを参照するには:
arn:aws:s3:us-east-1:123456789012:accesspoint/analytics-team-ap/object/data/report.csv
| コンポーネント | 値 |
|---|---|
| アクセスポイント | analytics-team-ap |
| オブジェクトキー | data/report.csv |
アクセスポイントURL
各アクセスポイントにはHTTPSエンドポイントもあります:
https://analytics-team-ap-123456789012.s3-accesspoint.us-east-1.amazonaws.com/data/report.csv
バケットARNとの比較
| 機能 | バケットARN | アクセスポイントARN |
|---|---|---|
| リージョン | 空 | 必須 |
| アカウントID | 空 | 必須 |
| リソースタイプ | バケット名 | accesspoint/name |
| ユースケース | 直接バケットアクセス | スコープ付きアクセスポリシー |
アクセスポイントを使用するタイミング
- マルチチーム環境 — 各チームが固有の権限を持つ独自のアクセスポイントを取得。
- VPC制限アクセス — アクセスポイントを特定のVPCにロック可能。
- クロスアカウントアクセス — 複数のアカウントがアクセスする必要がある場合にバケットポリシーを簡素化。
- データレイクガバナンス — Lake Formationがアクセスポイントと統合してカラムレベルのセキュリティを実現。
ユースケース
VPC制限アクセスポイントを通じて共有データレイクバケット内のオブジェクトをクエリする必要があるデータ分析チームのクロスアカウントS3アクセスを設定する。