ストレージ用の AWS S3 バケットを追加する
概要
概要デフォルトでは、Flosum Backup & Archive はデータを Flosum が管理する AWS S3 バケットに保存します。ただし、顧客は任意で自身が管理する AWS S3 バケットをデータ保存に使用できます。本ガイドでは、Flosum テナントを顧客管理の AWS S3 バケットを使用するように構成する方法を説明します。安全でコンプライアンスに準拠したデータ操作を確保するために、次のセクションに記載された IAM ポリシーとセキュリティのベストプラクティスに従ってください。
AWS バケットの追加
AWS 認証情報の提供
AWS S3 バケットに接続するために次の項目を入力してください:
AWS 内の項目の場所は表に示されているものとは異なる場合があります。適切な項目を見つける際の参考として表を使用してください。
リージョン
Amazon S3 > バケット > AWS リージョン (次のみを含めてください: リージョン ではなく リージョン名)。たとえば、ストレージが 米国東部(バージニア北部) us-east-1にある場合は、 us-east-1.)
バケット名
Amazon S3 > バケット > 名前
アクセスキー ID
トークンの アクセスキー ID はバケット作成時に生成されました。
シークレットアクセスキー
トークンの シークレットアクセスキー はバケット作成時に生成されました。
AWS S3 バケットの作成
をクリックします 作成 ボタンを押して AWS S3 バケットを追加します。
ストレージ追加時にエラーが発生した場合は、AWS に正しいポリシーが設定されていることを確認してください。Flosum Backup & Archive がアクセスするために必要な API とポリシーについては次のセクションを参照してください。
正常に追加されると、AWS S3 バケットが以下の一覧に表示されます: ストレージ.
AWS S3 必須 API とポリシー
以下の S3 API がバックアップおよび復元操作で使用されます:
セキュリティのベストプラクティス
必要な API のみに最小権限を付与する
特定のバケットと KMS キーへのアクセスを制限する
次を行ってください しないでください バケット自体を変更または削除する権限を付与しないでください
過度に広範なワイルドカードアクセスは避けてください
KMS アクションは次に限定するべきです:
GenerateDataKeyとDecrypt
コア オブジェクト操作
s3:PutObject – レコードと添付ファイルをアップロード
s3:GetObject – オブジェクトをダウンロード
s3:DeleteObject – 古いバックアップを削除
s3:ListBucket – ディレクトリの内容を一覧表示
バケット管理
s3:GetBucketLocation – 操作のためのリージョンを特定
KMS 操作(暗号化されたバケットのみ)
kms:GenerateDataKey – 暗号化されたアップロード用
kms:Decrypt – 復元時にオブジェクトを復号するため
これらの権限は以下を行うために必要です:
Salesforce レコードのバックアップを CSV として保存する
ファイル/添付ファイルをバイナリオブジェクトとして保存する
MySQL と参照整合性を維持する
バックアップファイルのクリーンアップを実行する
復元操作を有効にする
KMS ベースの暗号化/復号処理を扱う
推奨される IAM ポリシードキュメント
次の ${BucketName} を S3 バケットの名前に置き換えてください。
最終更新
役に立ちましたか?