AWS S3からストレージデバイスとしてデータを収集するには、次の情報が必要です。

アクセスキーは、アクセスキー ID （ AKIAIOSFODNN7EXAMPLE など）とシークレットアクセスキー（ wJalrXUtil/K7MDENG/bPxRfiCYEXAMPLEKEY など）で構成されます。AWS SDK、REST、またはクエリAPIの処理を使用している場合は、アクセスキーを使用して、AWSにプログラム経由で送信される要求に署名します。これらのキーは、 Amazon の契約に付属しています。

次の表に従って、データコレクタフィールドにデータを入力します。

アクセスキーは、 IAM ユーザまたは AWS アカウントの root ユーザの長期的なクレデンシャルです。アクセスキーは、プログラムによる AWS CLI または AWS API への要求に（直接または AWS SDK を使用して）署名するために使用します。

アクセスキーは、アクセスキー ID とシークレットアクセスキーの 2 つの部分で構成されます。IAM Role _authentication ではなく、 _IAM Access Key _authentication を使用する場合は、要求の認証にアクセスキー ID とシークレットアクセスキーの両方を一緒に使用する必要があります。詳細については、のAmazonドキュメントを参照してください"アクセスキー"。

IAM Access Key 認証ではなく、 _IAM Role_authentication を使用する場合は、作成または指定するロールにリソースへのアクセスに必要な適切な権限が割り当てられていることを確認する必要があります。

たとえば、_InstanceS3ReadOnly_という名前のIAMロールを作成した場合は、このIAMロールのすべてのS3リソースにS3の読み取り専用リストへのアクセス権限を付与するようにポリシーを設定する必要があります。また、このロールがアカウント間でロールを引き受けることができるように、 STS （セキュリティトークンサービス）アクセスを許可する必要があります。

IAMロールを作成したら、新しいS3インスタンスまたは既存のS3インスタンスを作成するときにIAMロールを関連付けることができます。

IAMロール_InstanceS3ReadOnly_をS3インスタンスに接続すると、インスタンスメタデータから一時的なクレデンシャルをIAMロール名で取得できるようになり、このS3インスタンスで実行されているすべてのアプリケーションからAWSリソースにアクセスできるようになります。

詳細については、Amazonのドキュメントを参照してください"IAM ロール"。

注： IAM ロールは、 AWS インスタンスで Acquisition Unit を実行している場合にのみ使用できます。

AWS S3 as Storageデータコレクタには、S3で設定されたタグを使用してData Infrastructure Insightsのアノテーションを入力できるオプションがあります。アノテーションにはAWSのタグとまったく同じ名前を付ける必要があります。Data Infrastructure Insightsでは、常に同じ名前のテキストタイプのアノテーションが入力され、他のタイプ（数値、ブール値など）のアノテーションが入力されるよう「最善の試み」が行われます。アノテーションのタイプが異なるためにデータコレクタにデータを入力できない場合は、アノテーションを削除してテキストタイプで再作成する必要があります。

AWSでは大文字と小文字が区別され、Data Infrastructure Insightsでは大文字と小文字が区別されないことに注意してください。そのため、Data Infrastructure Insightsで「owner」という名前のアノテーションを作成し、S3で「owner」、「Owner」、「owner」という名前のタグを作成すると、S3で使用される「owner」のすべてのバリエーションがCloud Insightの「owner」アノテーションにマッピングされます。

AWS Data Collector * Advanced Configuration * セクションでは、 * Include extra regions * フィールドを設定して、カンマまたはセミコロンで区切って追加のリージョンを含めることができます。デフォルトでは、このフィールドは * us-. に設定されており、これによってすべての US AWS リージョンで収集されます。on_all_regions を収集するには、このフィールドを .* に設定します。「 * include extra regions * 」フィールドが空の場合、「 * Configuration * 」セクションの指定に従って、「 * AWS Region * 」フィールドに指定されたアセットについてデータコレクタが収集されます。

Data Infrastructure Insightsでは、1つのAWSデータコレクタ内でAWSの子アカウントを収集できます。この収集の設定は、 AWS 環境で実行されます。

ベストプラクティス：AWS Predefined_AmazonS3ReadOnlyAccess_policyをS3メインアカウントに割り当てることを強く推奨します。また、データソースで設定したユーザが AWS に照会するには、少なくとも、 Predefined_AWSOrganizationReadOnlyAccess_policy を割り当てる必要があります。

Data Infrastructure InsightsがAWSの子アカウントからデータを収集できるように環境を構成する方法については、以下を参照してください。

"チュートリアル： IAM ロールを使用した AWS アカウント間でのアクセスの委譲"

"AWS のセットアップ：自分が所有している別の AWS アカウントで IAM ユーザにアクセスを付与する"

"IAM ユーザに権限を委任するためのロールを作成する"

このData Collectorの詳細については、のページまたはを"Data Collector サポートマトリックス"参照して"サポート"ください。