AWSでのデータ保管場所指定

さくらインターネットはAmazon S3互換ストレージのベータテスト開始を2/3に発表し、ソフトバンクテレコムも、Amazon S3互換のYahoo JapanのYahoo!クラウドストレージをOEM販売することを2/6に発表しました。

Amazon S3互換のREST API を持つオブジェクトストレージが増えています。

REST API
 メソッド 役割
GET リソース取得。リソースの内容に影響を与えない。
POST リソース新規作成
PUT 既存リソースのアップデート
DELETE リソースの削除

REST APIでは、HTTPの4種のメソッドとXMLを使ってオブジェクトをストレージから出し入れします。

Amazon S3のREST API も、Windows Azure ストレージのREST API  Google Cloud Storage XML API も、REST APIです。

4つのメソッドとXMLで各種オペレーションを実行する点では同じRESTですが、実行できる内容には差があります。

サーバー側での暗号化処理、有効期限経過後の自動消去など、同じREST APIといっても、各サービスは微妙に異なっています。

その中で、Amazon S3 REST API互換サービスが多いのは、AWSがクラウドでトップの地位をキープしているからだと思われます。

とはいえ、国境をまたぐデータ保存は、パトリオット・アクトなどの法的リスクがあるといわれています。

Amazon AWSを利用する際に、データ保存場所をどの程度指定できるかをまとめてみました。

AWSでのデータ保存場所の指定

AWSでは、データの保管場所を、リージョンないしアベイラビリティゾーン内に限定することができます。

ユーザーが、アジアパシフィック(東京)リージョンを指定すれば、データの移動範囲は東京に限定されます。

ユーザが、世界中のどこのリージョンにでもRDBのスナップショットをコピーすることができる機能(Cross Region Read Replicas) もありますが、リージョン間のコピーはあくまでユーザの指定による実行です。 

各リージョンのリソースは相互に分離されており、リージョン間のリソースのレプリケーションは自動的に行われません。

AWSのデータが移動する範囲
(RG:リージョン、AZ:アベイラビリティゾーン)
EC2 インスタンス リージョンに固定 インスタンス ID はRGに固定
インスタンスは、起動したAZに固定
EBS ボリューム アベイラビリティーゾーンに固定 同じAZのインスタンスにのみアタッチ可能
EBSスナップショット リージョンに固定 同じRG内のボリュームの作成にのみ対応
Dynamo DB リージョンに固定 データは同じRGの 3 つのAZ間で自動的に、また同時にレプリケートされる
Simple DB リージョンに固定 データを格納するRGを選択する
Relational DB リージョン/全世界 Cross Region Read Replicasを使うと、ユーザ指定のRG間で、DBのスナップショットのコピーが可能
S3 ストレージ(バケット) リージョンに固定 S3 バケットを作成する際に、RGを指定。
オブジェクトは、RG内で、複数の施設で、複数のデバイス上に、冗長的にに格納。
VPCのセキュリティグループ リージョンに固定 RGを超えて設定することができない
Elastic IP アドレス(EIP) リージョンに固定 同じRGのインスタンスにのみ関連付けることができる


AWS-Region-Zone.png

AWSのリージョン
  とアベイラビリティゾーン

リージョン

Amazon AWS各リージョンは完全に独立しています。

リージョン間のすべての通信は、パブリックインターネットを通して行われます。

アジアパシフィックには、3つのリージョンがありますが、3つとも独自のリージョンコードを持ち、独立したリージョンしています。

  • Amazon S3のリージョン
    • アジアパシフィック(東京)       ap-northeast-1
    • アジアパシフィック(シンガポール) ap-southeast-1
    • アジアパシフィック(シドニー)     ap-southeast-2
    • 米国スタンダード        us-east-1
    • 米国西部(オレゴン)      us-west-2
    • 米国西部(北カリフォルニア) us-west-1
    • AWS GovCloud(米国)
    • 欧州(アイルランド)        eu-west-1
    • 南米(サンパウロ)          sa-east-1


アベイラビリティーゾーン

各アベイラビリティーゾーンは独立しているが、同じリージョン内のアベイラビリティーゾーンどうしは低レイテンシーのリンクで接続されています。

インスタンスを起動するときに、アベイラビリティーゾーンをユーザが選択することも可能ですが、指定しなければ、自動的に選択されます。


愛国者法(Patriot Act)との関係

場所を、アジアパシフィック(東京)に限定しても、パトリオットアクトの対象になります。

Amazonクラウドのサービスは、Amazon日本法人ではなく、米Amazon Web Servicesが提供しているサービスです。

そのため、アジアパシフィック(東京)に関しても準拠法は米国ワシントン州法となり、所轄裁判所は米国ワシントン州キング郡の州裁判所または連邦裁判所にあります。

したがって、米Amazon 対して米国で下された処置については、米Amazonが所管する東京リージョンにも及びます。

ただし、、アメリカの捜査機関は日本での警察権を持ちません。

アメリカの捜査機関が、米パトリオット法により直接立ち入り捜査を東京リージョンに対して行うことはできません。

米国内からネット経由で東京リージョンへアクセスして捜査するか、日本の捜査機関に捜査協力を依頼するしかありません。

日本が米国からの捜査協力(共助)要請を受けるのは、法務大臣が要請を受理した場合に限られます(国際捜査共助等に関する法律)。

総務省資料「クラウドコンピューティング時代のデータセンター活性化策に関する検討会」報告書」平成22年5月28日の別紙では、機密データは他国保管することが回避策として提示されています。

アメリカのパトリオットアクト以外の海外法規制とリスクおよび回避策は、以下のとおりです。

国境をまたぐデータ保存時の法的リスク
対象国 法規制名 概要 法的リスク 回避策
(仮説)
米国 愛国者法
USA Patriot Act
米国内に存在するデータに対し、FBI/政府当局は調査権限を有する 機密データといえども、突如、規制当局による閲覧・差し押さえの対象となりうる 機密データは他国保管とする、など
英国 捜査権限規制法
Regulation of Investigation Powers Act
英国内に存在するデータに対し、政府当局は調査権限を有する 同上 同上
欧州連合 データ保護指令
95/46/EC
第三国への個人データ移転を制限する(第三国が十分なレベルの保護措置を確保している場合のみ、データの移転を許可) 個人データが国外に保存された場合、法的罰則の対象・社会的信頼の失墜につながる クラウドベンダーとの契約条件で、EU域内のデータセンター利用を担当する、など
中国 データ規制捜査権限法
中華人民共和国国務院令第147号
中国政府は国内に流入する情報をコントロール可能。国家の安全を脅かす/名誉を汚す情報等の規制と検閲を行っている 中国政府は直接的な盗聴やモニタリング、企業への情報提出依頼ができるため、機密データの閲覧・差し押さえ・規制の対象となりうる 機密データは他国補完とする、など
出典:総務省資料クラウドコンピューティング時代のデータセンター活性化策に関する検討会」報告書」平成22年5月28日の別紙2 http://www.soumu.go.jp/main_content/000067990.pdf

参考資料

AWSサイトの情報

EC2 リソースの場所
http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/resources.html

EC2 リージョンとアベイラビリティーゾーン
http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-regions-availability-zones.html

S3 FAQ  Q: データはどこに格納されますか?
http://aws.amazon.com/jp/s3/faqs/#regions_anchor

法令情報

国際捜査共助等に関する法律
http://law.e-gov.go.jp/htmldata/S55/S55HO069.html

最近のブログ記事

SORACOM,HLR持ちeSIM対応
SORACOMが自前のHLRを持ち、自…
準天頂衛星4機体制に
h2{ font-size:12…
Windows 10 mobile終了
Windows 10 mobileの新機…
カスタム検索

月別 アーカイブ