外部ストレージサービスのURI形式
このドキュメントでは、Amazon S3、GCS、Azure Blob Storage などの外部storageサービスの URI 形式について説明します。
URI の基本的な形式は次のとおりです。
[scheme]://[host]/[path]?[parameters]
Amazon S3 URI 形式
scheme
:s3
host
:bucket name
parameters
:access-key
: アクセス キーを指定します。secret-access-key
: 秘密アクセスキーを指定します。session-token
: 一時セッション トークンを指定します。use-accelerate-endpoint
: Amazon S3 の高速エンドポイントを使用するかどうかを指定します (デフォルトはfalse
)。endpoint
: S3 互換サービスのカスタムエンドポイントの URL を指定します (例:<https://s3.example.com/>
)。force-path-style
: 仮想ホスト スタイルのアクセスではなく、パス スタイルのアクセスを使用します (デフォルトはtrue
)。storage-class
: アップロードされたオブジェクトのstorageクラスを指定します (たとえば、STANDARD
またはSTANDARD_IA
)。sse
: アップロードされたオブジェクトの暗号化に使用されるサーバー側暗号化アルゴリズムを指定します (値のオプション: 空、AES256
、またはaws:kms
)。sse-kms-key-id
:sse
aws:kms
に設定されている場合は KMS ID を指定します。acl
: アップロードされたオブジェクトの既定 ACL を指定します (たとえば、private
またはauthenticated-read
)。role-arn
: TiDB Cloud が特定のIAMロール使用して Amazon S3 データにアクセスできるようにするには、role-arn
URL クエリパラメータにロールのAmazon リソースネーム (ARN)指定します。例:arn:aws:iam::888888888888:role/my-role
。注記:
- IAMロールを自動的に作成するには、 TiDB Cloudコンソールでクラスターの[Amazon S3 からのデータのインポート]ページに移動し、 [フォルダー URI]フィールドに入力し、 [ロール ARN]フィールドの [**ここをクリックして AWS CloudFormation で新しく作成] をクリックして、 [新しいロール ARN の追加]**ダイアログの画面上の指示に従います。
- AWS CloudFormation を使用してIAMロールを作成する際に問題が発生した場合は、 「新しいロール ARN を追加」ダイアログで「問題が発生した場合は、ロール ARN を手動で作成する」をクリックしてTiDB Cloudアカウント ID とTiDB Cloud外部 ID を取得し、 ロール ARN を使用して Amazon S3 アクセスを構成するの手順に従って手動でロールを作成してください。IAMIAMを設定する際は、 「アカウント ID」フィールドにTiDB Cloudアカウント ID を入力し、 混乱した副官の攻撃から保護するために外部 ID を要求する」を選択してください。
- セキュリティを強化するために、最大セッション継続時間を短く設定することで、 IAMロールの有効期間を短縮できます。詳細については、AWSドキュメントのロールの最大セッション期間を更新する参照してください。
external-id
: TiDB Cloud がAmazon S3 データにアクセスするために必要なTiDB Cloud外部 ID を指定します。この ID は、 TiDB Cloudコンソールの「新しいロール ARN を追加」ダイアログから取得できます。詳細については、 ロール ARN を使用して Amazon S3 アクセスを構成する参照してください。
以下は、 BACKUP
とRESTORE
のAmazon S3 URIの例です。この例では、ファイルパスtestfolder
を使用しています。
s3://external/testfolder?access-key=${access-key}&secret-access-key=${secret-access-key}
GCS URI形式
scheme
:gcs
またはgs
host
:bucket name
parameters
:credentials-file
: 移行ツール ノード上の資格情報 JSON ファイルへのパスを指定します。storage-class
: アップロードされたオブジェクトのstorageクラスを指定します(例:STANDARD
またはCOLDLINE
)predefined-acl
: アップロードされたオブジェクトの定義済みACLを指定します(たとえば、private
またはproject-private
)
以下はIMPORT INTO
の GCS URI の例です。この例では、特定のファイル名test.csv
指定する必要があります。
gcs://external/test.csv?credentials-file=${credentials-file-path}
Azure Blob Storage URI 形式
scheme
:azure
またはazblob
host
:container name
parameters
:account-name
:storageのアカウント名を指定します。account-key
: アクセス キーを指定します。sas-token
: 共有アクセス署名 (SAS) トークンを指定します。access-tier
: アップロードされたオブジェクトのアクセス層を指定します(例:Hot
、Cool
、Archive
)。既定値は、storageアカウントのデフォルトのアクセス層です。encryption-scope
: サーバー側の暗号化に暗号化範囲指定します。encryption-key
: AES256 暗号化アルゴリズムを使用するサーバー側暗号化の場合は暗号化キー指定します。
以下は、 BRのAzure Blob Storage URIの例です。この例では、特定のファイルパスtestfolder
指定する必要があります。
azure://external/testfolder?account-name=${account-name}&account-key=${account-key}