Amazon S3 から OSS へデータを移行する前に、必要なユーザー、バケット、および権限を設定します。
手順 1:IAM ユーザーの作成
セキュリティのため、ソースデータに対する読み取り権限を持つ IAM ユーザーを作成し、アクセスキーを生成します。IAM ユーザー。
-
データオンライン移行は AWS S3 の IP アドレスホワイトリストをサポートしていません。移行前にホワイトリストを無効にしてください。
-
このリンクはリファレンス用であり、内容が古くなっている可能性があります。
手順 2:送信先バケットの作成
移行されたデータを格納する送信先バケットを作成します。詳細については、「バケットの作成」をご参照ください。
手順 3:RAM ユーザーの作成と権限付与
-
このユーザーを使用してロールを作成し、移行タスクを実行します。送信元バケットまたは送信先バケットを所有する Alibaba Cloud アカウントでこの RAM ユーザーを作成することを推奨します。
-
RAM ユーザーを作成していない場合は、「クイックスタート:RAM ユーザーの作成と権限付与」をご参照ください。
Alibaba Cloud アカウントで RAM コンソールにログインします。ユーザー ページで RAM ユーザーを見つけ、[権限の追加] を [操作] 列でクリックします。
-
システムポリシー:AliyunOSSImportFullAccess(データオンライン移行の管理権限)ポリシーをアタッチします。
-
カスタムポリシー:このポリシーには、
ram:CreateRole、ram:CreatePolicy、ram:AttachPolicyToRole、およびram:ListRoles権限を含める必要があります。詳細については、「カスタムポリシーの作成」をご参照ください。以下はポリシーのサンプルです。
{ "Version":"1", "Statement":[ { "Effect":"Allow", "Action":[ "ram:CreateRole", "ram:CreatePolicy", "ram:AttachPolicyToRole", "ram:ListRoles" ], "Resource":"*" } ] }
手順 4:送信先バケットの権限付与
送信先バケットの所有状況に応じて適切なタブを選択します。
同一アカウント内の送信先
-
自動権限付与
データオンライン移行コンソールで 自動ロール権限付与 を使用します:移行実施 > 手順 3 > [ロールの権限付与]。
-
手動権限付与
説明以下のいずれかに該当する場合は、手動による権限付与を使用してください。
-
単一の RAM ロールで複数のソースバケットを管理したい場合。
-
アカウントの RAM ロール上限に近い場合。
-
自動権限付与がユースケースに適さない、または利用できない場合。
1. RAM ロールの作成
RAM コンソールにログインし、[ロール] ページに移動して [ロールの作成]をクリックします。
-
[信頼できるエンティティの選択] で、Alibaba Cloud サービス を選択します。
-
[ロールタイプ] で、Data Transport を選択します。
-
[ロール名] を入力します。名前はすべて小文字である必要があります。


2. RAM ロールへの権限付与
[ロール] ページで RAM ロールを見つけ、[操作] 列の [権限の追加] をクリックします。
-
次の権限を含むカスタムポリシーを作成し、アタッチします:
oss:List*、oss:Get*、oss:Put*、およびoss:AbortMultipartUpload。
カスタムポリシーの作成。ポリシーの例:
説明<myDestBucket> はご利用の送信先バケット名に置き換えてください。
重要送信先バケットが SSE-KMS 暗号化を使用している場合、RAM ロールに AliyunKMSFullAccess システムポリシーもアタッチする必要があります。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:List*", "oss:Get*", "oss:Put*", "oss:AbortMultipartUpload" ], "Resource": [ "acs:oss:*:*:<myDestBucket>", "acs:oss:*:*:<myDestBucket>/*" ] } ] } -
異なるアカウント内の送信先
1. RAM ロールの作成
移行に使用する Alibaba Cloud アカウントで RAM コンソールにログインし、[ロール] ページに移動して [ロールの作成]をクリックします。
-
[信頼されたエンティティの選択] で、[Alibaba Cloud サービス] を選択します。
-
[ロールタイプ] で、Data Transport を選択します。
-
[ロール名] を入力します。名前はすべて小文字である必要があります。


2. 送信先バケットの権限付与
新しいバケットポリシーは既存のポリシーを上書きします。既存の権限を維持するには、以前のすべての文を含めてください。
-
送信先バケットを所有する Alibaba Cloud アカウントを使用して、OSS コンソールにログインします。
-
左側のナビゲーションウィンドウで バケット をクリックします。[バケット] ページで送信先バケットの名前をクリックします。
-
左側のナビゲーションウィンドウで、権限管理 > バケット承認ポリシー を選択します。
-
構文で追加 タブで、編集 をクリックしてカスタムバケットポリシーを定義します。
-
RAM ロールにバケット内のすべてのオブジェクトを一覧表示・読み取り・書き込みする権限を付与します。
-
以下のプレースホルダーを置き換えてください:送信先バケット名 に <otherDestBucket>、送信先バケットを所有する Alibaba Cloud アカウントの UID に <otherUid>、移行コンソール用の Alibaba Cloud アカウントの UID に <myUid>、上記で作成したロール名 に <roleName> をそれぞれ指定します。RAM ポリシーの一般的な例。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"oss:List*",
"oss:Get*",
"oss:Put*",
"oss:AbortMultipartUpload"
],
"Principal": [
"arn:sts::<myUid>:assumed-role/<roleName>/*"
],
"Resource": [
"acs:oss:*:<otherUid>:<otherDestBucket>",
"acs:oss:*:<otherUid>:<otherDestBucket>/*"
]
}
]
}
3. KMS 権限付与
-
送信先バケットが SSE-KMS 暗号化を使用している場合、移行に使用するアカウントの RAM ロールに AliyunKMSFullAccess システムポリシーもアタッチする必要があります。
-
送信先バケットがカスタム KMS キーを使用している場合、RAM ロールにそのキーへのアクセス権限を付与します。
-
KMS コンソールにログインし、対象のキーを見つけます。
-
キーポリシー を設定します。[他のアカウントのユーザー] を選択し、許可されたプリンシパルの ARN を入力します。キーポリシーの設定。

-
手順 5:アーカイブ済みデータの復元
-
ソースデータアドレスおよび移行タスクを作成する前に、アーカイブストレージクラスのオブジェクトを手動で復元する必要があります。
-
復元期間(オブジェクトが復元された状態を維持する日数)を、移行全体を完了できる十分な長さに設定してください。これにより、移行中にオブジェクトが再びアーカイブ状態に戻ることを防げます。
-
復元操作に対して料金が発生する場合があります。料金は比較的高額になる可能性があります。課金方法の詳細については、ソースバケットを提供するサービスプロバイダーにお問い合わせください。
データオンライン移行はアーカイブ済みオブジェクトを自動的に復元しません。アーカイブされたまま、または復元中のオブジェクトは移行されず、スキップされます。
Alibaba Cloud OSS でのオブジェクト復元方法については、「オブジェクトの復元」をご参照ください。
Amazon S3 オブジェクトの復元: アーカイブ済みオブジェクトの復元。
このリンクはリファレンス用であり、内容が古くなっている可能性があります。