メインコンテンツへスキップ

S3接続とは?

ブラウザでのアップロードが難しい大容量ファイルをAmazon S3バケットに置くと、OneSightが参照時にそのファイルを直接読み込みます。ファイルはコピーして保管されないため、元のファイルを差し替えると次回の参照から即座に反映されます。
データソースの登録は**管理者(Admin)**権限を持つユーザーのみ行えます。AWS側の作業(ステップ1)は、該当バケットを管理する担当者が行う必要があります。

準備するもの

  • 接続するバケット名リージョン(例: ap-northeast-2
  • 以下2つの認証方式のいずれかを設定できるAWS権限

2つの認証方式

S3互換ストレージ(MinIO・Cloudflare R2など)はロール委任に対応していません。この場合はアクセスキー方式を使用してください。

ステップ1: 読み取り専用権限の準備(AWS)

OneSightが必要とする権限は、以下の2つだけです。ファイルのアップロードや削除の権限は使用しないため、付与しないでください。
1

ポリシーを作成

AWSコンソールでIAM → ポリシー → ポリシーの作成に移動し、JSONタブを選択して以下の内容を貼り付けます。 my-bucketの2箇所を実際のバケット名に置き換えてください。
2つの項目の形が異なるのは意図的なものです。一覧取得はバケット自体に、ファイル読み込みはバケット内のオブジェクト/*)に適用されます。ポリシー名はわかりやすくonesight-readonlyなどにしてください。
このポリシーを誰にアタッチするかは認証方式によって異なります。以下では選択した方式のみ進めてください。

ロール委任方式(推奨)

1

OneSight画面で2つの値を確認

コンソールでデータソース → 追加 → ストレージ → Amazon S3を開き、認証方式をロール委任に切り替えると、Principal ARNExternal IDが表示されます。両方の値をコピーしておきます。
Principal ARNは必ず画面に表示された値を使用してください。環境によって異なるため、本ドキュメントの例をそのまま転記すると、意図しない主体を信頼することになります。
2

ロールを作成し信頼ポリシーを指定

IAM → ロール → ロールを作成カスタム信頼ポリシーを選択し、以下を貼り付けます。山括弧の2箇所を前のステップでコピーした値に置き換えてください。
sts:ExternalId条件は必ず含める必要があります。この条件がないと、ロールARNを知った第三者がOneSightを経由してそのロールを使用できてしまいます。
3

権限をアタッチしロールARNをコピー

権限のステップで先ほど作成したonesight-readonlyポリシーをアタッチし、ロールを作成します。作成されたロールのARNをコピーしておきます。
External IDは組織ごとに1つに固定された値です。データソースを複数登録したり再登録したりしても変わらないため、信頼ポリシーは一度設定すれば有効であり続けます。

アクセスキー方式

1

ユーザーを作成しポリシーをアタッチ

IAM → ユーザー → ユーザーを作成でOneSight専用のユーザーを作成し、権限設定のステップでポリシーを直接アタッチを選択して、先ほど作成したポリシーをアタッチします。人がログインするアカウントではないため、コンソールへのログイン権限は付与しなくても構いません。
2

アクセスキーを発行

作成したユーザーのセキュリティ認証情報タブでアクセスキーを作成を選択し、使用事例としてAWSの外部で実行されるアプリケーション(サードパーティサービス)を選びます。発行されたアクセスキーシークレットキーを安全な場所にコピーして保管してください。
シークレットキーは発行時に一度だけ表示されます。その後は再確認できないため、必ず安全な場所に保管してください。紛失した場合は、新しいキーを発行する必要があります。

ステップ2: OneSightに接続

1

ストレージを選択

データソース → 追加 → ストレージ → Amazon S3を選択します。
2

接続情報を入力して接続

ステップ1で選択した認証方式を選び、以下の項目を入力したうえで接続を確認します。アクセスキー方式で入力したシークレットキーは登録時にAES-256-GCM方式で暗号化されて保存され、画面に再表示されることはありません。ロール委任方式では保存される長期シークレットはありません。
3

ファイルを選択

フォルダをクリックして移動し、使用するファイルを選択します。SQLite(.db)ファイルの場合は、続けて参照するテーブルを選びます。
4

確認して登録

プレビューでデータを確認し、自動で提案されたマッピングを確認したうえで、名前を指定して登録します。

S3互換ストレージ

MinIO、Cloudflare R2、Wasabi、NAVER・NHN・KTクラウドなどのS3互換ストレージも同じ方法で接続できます。エンドポイントにそのストレージのアドレスを入力し、必要に応じてpath-styleオプションを有効にしてください。NASにMinIOを構築して使用している場合もこれに該当します。 ロール委任はAWS固有の機能のため、S3互換ストレージでは利用できません。アクセスキー方式で接続してください。
エンドポイントは外部から接続できるアドレスである必要があります。社内ネットワークやVPN内でのみ開かれているアドレスは、セキュリティポリシーによりブロックされます。

対応ファイル形式とサイズ制限

Excel・JSON・SQLiteは形式の特性上、ファイル全体を取得しないと開けないためサイズ制限があります。制限を超えると、登録ステップで案内メッセージが表示されます。

次のステップ

SFTP 接続

SFTPサーバーのファイルを接続します

お問い合わせ

接続できない場合はお問い合わせください