すべてのプロダクト
Search
ドキュメントセンター

Data Online Migration:前提条件

最終更新日:Jun 04, 2026

Amazon S3 から OSS へデータを移行する前に、必要なユーザー、バケット、および権限を設定します。

手順 1:IAM ユーザーの作成

セキュリティのため、ソースデータに対する読み取り権限を持つ IAM ユーザーを作成し、アクセスキーを生成します。IAM ユーザー

重要
  • データオンライン移行は AWS S3 の IP アドレスホワイトリストをサポートしていません。移行前にホワイトリストを無効にしてください。

  • このリンクはリファレンス用であり、内容が古くなっている可能性があります。

手順 2:送信先バケットの作成

移行されたデータを格納する送信先バケットを作成します。詳細については、「バケットの作成」をご参照ください。

手順 3:RAM ユーザーの作成と権限付与

重要
  • このユーザーを使用してロールを作成し、移行タスクを実行します。送信元バケットまたは送信先バケットを所有する Alibaba Cloud アカウントでこの RAM ユーザーを作成することを推奨します。

  • RAM ユーザーを作成していない場合は、「クイックスタート:RAM ユーザーの作成と権限付与」をご参照ください。

Alibaba Cloud アカウントで RAM コンソールにログインします。ユーザー ページで RAM ユーザーを見つけ、[権限の追加][操作] 列でクリックします。

  1. システムポリシーAliyunOSSImportFullAccess(データオンライン移行の管理権限)ポリシーをアタッチします。

  2. カスタムポリシー:このポリシーには、ram:CreateRoleram:CreatePolicyram:AttachPolicyToRole、および ram:ListRoles 権限を含める必要があります。

    詳細については、「カスタムポリシーの作成」をご参照ください。以下はポリシーのサンプルです。

    {
        "Version":"1",
        "Statement":[
            {
                "Effect":"Allow",
                "Action":[
                    "ram:CreateRole",
                    "ram:CreatePolicy",
                    "ram:AttachPolicyToRole",
                    "ram:ListRoles"
                ],
                "Resource":"*"
            }
        ]
    }

手順 4:送信先バケットの権限付与

送信先バケットの所有状況に応じて適切なタブを選択します。

同一アカウント内の送信先

  • 自動権限付与

    データオンライン移行コンソールで 自動ロール権限付与 を使用します:移行実施 > 手順 3 > [ロールの権限付与]

  • 手動権限付与

    説明

    以下のいずれかに該当する場合は、手動による権限付与を使用してください。

    • 単一の RAM ロールで複数のソースバケットを管理したい場合。

    • アカウントの RAM ロール上限に近い場合。

    • 自動権限付与がユースケースに適さない、または利用できない場合。

    1. RAM ロールの作成

    RAM コンソールにログインし、[ロール] ページに移動して [ロールの作成]をクリックします。

    1. [信頼できるエンティティの選択] で、Alibaba Cloud サービス を選択します。

    2. [ロールタイプ] で、Data Transport を選択します。

    3. [ロール名] を入力します。名前はすべて小文字である必要があります

    lQLPKIBPhyQhs7vNAlPNA-mwb_9Zfe8j6sMHtpv2syNfAA_1001_595

    image

    2. RAM ロールへの権限付与

    [ロール] ページで RAM ロールを見つけ、[操作] 列の [権限の追加] をクリックします。

    • 次の権限を含むカスタムポリシーを作成し、アタッチします:oss:List*oss:Get*oss:Put*、および oss:AbortMultipartUpload

    カスタムポリシーの作成。ポリシーの例:

    説明

    <myDestBucket> はご利用の送信先バケット名に置き換えてください。

    RAM ポリシーの一般的な例

    重要

    送信先バケットが SSE-KMS 暗号化を使用している場合、RAM ロールに AliyunKMSFullAccess システムポリシーもアタッチする必要があります。

    {
      "Version": "1",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "oss:List*",
            "oss:Get*",
            "oss:Put*",
            "oss:AbortMultipartUpload"
          ],
          "Resource": [
            "acs:oss:*:*:<myDestBucket>",
            "acs:oss:*:*:<myDestBucket>/*"
          ]
        }
      ]
    }

異なるアカウント内の送信先

1. RAM ロールの作成

移行に使用する Alibaba Cloud アカウントで RAM コンソールにログインし、[ロール] ページに移動して [ロールの作成]をクリックします。

  1. [信頼されたエンティティの選択] で、[Alibaba Cloud サービス] を選択します。

  2. [ロールタイプ] で、Data Transport を選択します。

  3. [ロール名] を入力します。名前はすべて小文字である必要があります

lQLPKIBPhyQhs7vNAlPNA-mwb_9Zfe8j6sMHtpv2syNfAA_1001_595

image

2. 送信先バケットの権限付与

重要

新しいバケットポリシーは既存のポリシーを上書きします。既存の権限を維持するには、以前のすべての文を含めてください。

  1. 送信先バケットを所有する Alibaba Cloud アカウントを使用して、OSS コンソールにログインします。

  2. 左側のナビゲーションウィンドウで バケット をクリックします。[バケット] ページで送信先バケットの名前をクリックします。

  3. 左側のナビゲーションウィンドウで、権限管理 > バケット承認ポリシー を選択します。

  4. 構文で追加 タブで、編集 をクリックしてカスタムバケットポリシーを定義します。

    • RAM ロールにバケット内のすべてのオブジェクトを一覧表示・読み取り・書き込みする権限を付与します。

説明

以下のプレースホルダーを置き換えてください:送信先バケット名 に <otherDestBucket>、送信先バケットを所有する Alibaba Cloud アカウントの UID に <otherUid>、移行コンソール用の Alibaba Cloud アカウントの UID に <myUid>、上記で作成したロール名 に <roleName> をそれぞれ指定します。RAM ポリシーの一般的な例

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "oss:List*",
        "oss:Get*",
        "oss:Put*",
        "oss:AbortMultipartUpload"
      ],
      "Principal": [
         "arn:sts::<myUid>:assumed-role/<roleName>/*"
      ],
      "Resource": [
        "acs:oss:*:<otherUid>:<otherDestBucket>",
        "acs:oss:*:<otherUid>:<otherDestBucket>/*"
      ]
    }
  ]
}

3. KMS 権限付与

  1. 送信先バケットが SSE-KMS 暗号化を使用している場合、移行に使用するアカウントの RAM ロールに AliyunKMSFullAccess システムポリシーもアタッチする必要があります。

  2. 送信先バケットがカスタム KMS キーを使用している場合、RAM ロールにそのキーへのアクセス権限を付与します。

    1. KMS コンソールにログインし、対象のキーを見つけます。

    2. キーポリシー を設定します。[他のアカウントのユーザー] を選択し、許可されたプリンシパルの ARN を入力します。キーポリシーの設定image

手順 5:アーカイブ済みデータの復元

  • ソースデータアドレスおよび移行タスクを作成する前に、アーカイブストレージクラスのオブジェクトを手動で復元する必要があります。

  • 復元期間(オブジェクトが復元された状態を維持する日数)を、移行全体を完了できる十分な長さに設定してください。これにより、移行中にオブジェクトが再びアーカイブ状態に戻ることを防げます。

  • 復元操作に対して料金が発生する場合があります。料金は比較的高額になる可能性があります。課金方法の詳細については、ソースバケットを提供するサービスプロバイダーにお問い合わせください。

説明

データオンライン移行はアーカイブ済みオブジェクトを自動的に復元しません。アーカイブされたまま、または復元中のオブジェクトは移行されず、スキップされます。

Alibaba Cloud OSS でのオブジェクト復元方法については、「オブジェクトの復元」をご参照ください。

Amazon S3 オブジェクトの復元: アーカイブ済みオブジェクトの復元

重要

このリンクはリファレンス用であり、内容が古くなっている可能性があります。