Storage Connect は、Frame.io V4 および Legacy のエンタープライズのお客様にご利用いただけます。
Frame.io Storage Connect を使用すると、Frame.io のエンタープライズのお客様は、独自のクラウドストレージエンドポイントを Frame.io のバックアップストレージとして使用できます。現在、ユーザーが Frame.io にアセットをアップロードすると、アセットはアプリケーションスタックを通過し、Frame.io の Amazon S3 バケットに保存されます。同様に、アセットの再生と配信は、Frame.io が管理する Amazon S3 バケットから提供されます。
Storage Connect を使用すると、Frame.io にアップロードされたアセットは Frame.io のストレージにではなく、お客様の接続されたストレージにリダイレクトされます。このサービスは、新規のお客様と既存のお客様の両方にご利用いただけます。既存のお客様を支援するために、Frame.io は、Frame.io が管理する Amazon S3 バケットにこれまで保存されていた既存のお客様データを、お客様が管理する Amazon S3 バケットに 1 回限り移行し、一般的に利用できるようにします。
以下の情報は、新規および既存の Frame.io のお客様に、S3 バケットを Storage Connect と互換可能な構成にするための手順ガイドを提供することを目的としています。
AWS S3 | 新規顧客向けのセットアップとガイドライン
お客様は、us-east-1 リージョン内の空の S3 バケットを Frame.io に提供する必要があります 。バケットが Frame.io で安全に動作するように適切に設定されていることを確認するには、AWS コンソール内で以下の手順に従ってください。
AWS IAM OIDC IDプロバイダーを作成する
https://console.aws.amazon.com/iam/ にある Identity and Access Management Dashboard(AWS IAM)にアクセスします 。ここから、Frame.io を新しい信頼できる ID プロバイダーとして追加する必要があります。これを行うには、以下の手順に従ってください。
Access Management/Identity providers
「Add Provider」選択します
プロバイダータイプ:OpenID Connect
プロバイダー URL:https://tokens.storage.frame.io
IdP のサーバー証明書を確認するには、「Get thumbprint」を選択します。
オーディエンス:https://tokens.storage.frame.io
完了したら、「Add provider」を選択します。
作成したら、新しく作成したプロバイダーに移動して選択し、Amazon リソース名(ARN)をコピーします。
ARN は、選択したプロバイダーの概要セクションにあります。この情報は、次のステップ(IAM ロールの作成)で必要になります。
ARN 値は次のような形式になります。
arn:aws:iam::1234567891234:oidc-provider/tokens.storage.frame.io
AWS IAM OIDC ID プロバイダーの設定の詳細については、AWS 公式ガイドを参照してください。
IAM ロールの作成
Frame.io が 信頼できる ID プロバイダーとして作成された ので 、新しい「Role」 を作成して、Frame.io にバケットへの安全なアクセスを許可できます。構成を正常に完了するには、以下の情報を使用して 3 つの手順を実行します。
Access Management/Roles
ステップ 1 | 信頼エンティティの選択
「Create Role」を選択します。
信頼されたエンティティの種類:カスタム信頼ポリシー
カスタム信頼ポリシー:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "IAM_OIDC_PROVIDER_ARN"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"tokens.storage.frame.io:sub": ["FRAMEIO_ACCOUNT_ID"]
}
}
}
]
}
上記をコピーして信頼ポリシーフィールドに貼り付けます。その際、書式の変更や誤入力に注意してください。
上記の JSON ブロックを配置したら、特定の顧客の値に応じて一時変数を交換します。
IAM_OIDC_PROVIDER_ARN を 、前の手順でコピーした AWS IAM OIDC ID ARN に 置き換え 、FRAMEIO_ACCOUNT_ID を サポートチームから提供された Frame.io アカウント ID に置き換えます。
作業内容を再確認し、「Next」を選択します。
ステップ 2 | 権限の追加
Frame.io に顧客の S3 バケットまたはオブジェクトキーにアクセスする権限を適切に付与するには、新しいポリシーを作成する必要があります。
提供されている AWS ポリシーを選択したり検索したりするのではなく、「Create policy」を選択します。新しいブラウザータブが開きます。
「JSON 」オプションを選択し 、次の内容をコピーしてフィールドに貼り付けます。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::BUCKET_NAME/*"
}
]
}
繰り返しになりますが、これを行う際には、書式の変更や誤入力に注意してください。
以前と同様に、一時変数を顧客固有の値に合わせて交換してください。
BUCKET_NAMEをバケット名に置き換えます。
作業内容を再確認し、「Next」を選択します。
ポリシーの名前と、オプションで説明およびタグを入力し、「Create Policy」を選択します。ポリシーを作成したら、そのタブを閉じて元のタブに戻り、 「Role」の作成を完了します。
カスタムポリシーが作成されたので、ブラウザータブを更新して新しく作成されたポリシーを見つけて選択し、「Next」を選択します。
ステップ 3 | 名前を付けて確認し、作成する
役割のNameとオプションのDescriptionを入力します。設定を確認して「Create Role」を選択します。
IAM Role ARN をコピーして Frame.io サポートチームに提供します。それに応じてバックエンドアカウント設定を更新するために、この情報とその他のいくつかの情報が必要になります。
AWS S3 | 既存顧客向けの設定とガイドライン
既存のお客様が Storage Connect をうまくご利用いただけるよう、Frame.io では既存のお客様データの移行サービスを提供しています。このサービスでは、Frame.io’ の管理対象ストレージから、AWS us-east-1 内のお客様が提供するターゲットバケットにオブジェクトをコピーします。移行サービスでは、新規顧客と既存顧客の設定およびガイドラインの違いを定義します。
ステップ 1 | 成功プラン
アカウントチームと協力して、Storage Connect 対応アカウントへの移行の計画とタイムラインを作成します。これには、移行するアカウントの定義、プロジェクトのクリーンアップとアーカイブ解除(必要に応じて)、アカウントのその他の一般的なメンテナンスが含まれます。
ステップ 2 | Frame.io移行サービス:バケットポリシー
移行プランが定義されると、お客様は Frame.io の移行サービスに S3 バケットへのアクセスを許可できます。
上記の新規顧客向けの手順を完了し、下記の S3 バケットポリシーの追加に進みます。
この移行バケットポリシーを追加するには、ターゲット S3 バケットの権限に移動します。バケットの「Permissions」タブに移動したら、以下の JSON ブロックを「Bucket Policy」セクションに追加して変更を保存します。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "FrameioMigrationAccess",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::BUCKET_NAME/*",
"Principal": {
"AWS": "arn:aws:iam::745689021772:role/frameio-storage-connect-migration-access"
}
}
]
}
いつものように、一時変数 BUCKET_NAME を顧客固有の値に合わせて必ず置き換えてください。
ステップ 3 | ポリシーのクリーンアップ
移行サービスが完了したら、お客様はバケットから以下のポリシーを削除する必要があります。
Frame.io | アカウント設定と必要なパラメーター
Frame.io で接続されたストレージを設定する最後の手順は、サクセスチームにいくつかの重要なパラメーターを提供することです。
以下の情報を調整し、専任のカスタマーサクセスマネージャーに渡してください。そこから、アカウントのバックエンドが更新され、S3 バケットまたはオブジェクトキーへの適切なオブジェクトルーティングが確立されます。
リージョン:
us-east-1バケット名
オブジェクト接頭辞
IAM ロール ARN
完了すると、ユーザーは任意の Frame.io クライアントを介してコンテンツをアップロードし、提供された顧客ストレージベースに元のメディアを書き込むことができるようになります。
Frame.io は、ユーザーがアプリ内で可能な限り最高のエクスペリエンスを得られるよう、生成されたプロキシとサムネールを引き続き保存します。この措置は、Frame.io がお客様のストレージに接続できなくなった場合に備えて、ビジネス継続性のための予防措置として講じています。
よくある質問
Q:S3 バケット内のオブジェクトの名前を変更しても、Frame.io からアクセスできますか?
A:現時点ではできません。将来的には、Frame.io 内のアセットにオブジェクトを「再リンク」する機能が追加される可能性があります。
Q:バケットで AWS S3 ライフサイクルルールを使用して、オブジェクトをより安価なストレージタイプに移行できますか?
A:独自の AWS S3 ライフサイクルルールを使用して、オブジェクトを IA や GIR などの他のストレージタイプに移動することもできますが、オブジェクトが Frame.io 内で引き続きアクティブにレビューされている場合は、追加の AWS S3 コストが発生する可能性があります。
Q:オブジェクトを Glacier に移動できますか?
A:オブジェクトを Glacier に移動することはお勧めしません。Frame.io はこの変更を検出しないため、ユーザーが元のメディアにアクセスしてダウンロードしようとすると、エクスペリエンスが低下します。
Q:どのような S3 ストレージクラスがサポートされていますか?
A:即時取得が可能なすべてのクラス(Standard、Intelligent-Tiering、Standard-IA、Glacier Instant Retrieval など)がサポートされています。Glacier Flexible Retrieval と Glacier Deep Archive はサポートされていません。
Q:Frame.io web アプリ UI 内でプロジェクトを「アーカイブ」することはできますか?
A:Storage Connect では、プロジェクトをアーカイブするアクションにより、それぞれのチームの「アーカイブされたプロジェクト」のスクロールダウンメニューでそのプロジェクトが再編成されます。
ただし、このアクションには S3 への関連する呼び出しはありません。AWS 内で独自のライフサイクルルールを実装するかどうかは、お客様次第です。エンドユーザーによる UI 操作は、AWS 内で設定されたポリシーやトリガーには影響しません。
もちろん、エンドユーザーは必要に応じてプロジェクトを即座に「アーカイブ解除」できます。
Q:S3 バケットへのアクセスを監査できますか?
A:はい、AWS CloudTrail を使用して、Frame.io が IAM ロールを引き受けるタイミングを監査し、AWS S3 アクセスログを使用して、Frame.io から Amazon S3 バケットへのすべてのリクエストを監査できます。
Q:Frame.io ではどのようなログ保持ポリシーがありますか?
A:Frame.io の AWS 環境から生成されたログは、既存のログ保持ポリシーに準拠します。