S3のログ・可視化・クエリとMacie

サーバーアクセスログ

バケットへのリクエストを 別バケットにログオブジェクトとして記録 する機能です。Web 配信やデータ共有の 監査・トラブルシューティング・セキュリティ調査 に使います。ログ先バケットへの 書き込み権限 と ストレージコスト、ログの蓄積とライフサイクル をセットで設計します。

アクセス状況の分析（Access Analyzer 系）

IAM のアクセス分析と連携した S3 向けの分析により、意図しないパブリックアクセス や 他アカウントとの共有 など、ポリシー設定から見てリスクの高い状態を一覧できます。バケットが増える環境では 定期レビュー の自動化パイプラインに組み込む価値があります。

ストレージクラス分析

バケット内オブジェクトの アクセス頻度 を一定期間観測し、Standard のまま置き続けるべきか Standard-IA 等へ移すべきか の判断材料をレポートします。初回レポートまで 時間がかかる こと、ライフサイクル設計の入力 として使う、が試験で問われることがあります。

S3 Storage Lens

複数アカウント・複数バケットにまたがる 利用量の推移、成長が早いプレフィックス、コスト要因 などを ダッシュボードやエクスポート でまとめます。コスト最適化 と データ保護のベストプラクティス に関する推奨事項が出るため、ガバナンス用途にも向きます。

データそのもののクエリと分析

• S3 Select（Glacier 向けの選択機能を含むコンセプト） … オブジェクトに対して SQL 風の式でフィルタ し、必要な列・行だけ アプリケーション側に返す。大規模データでも 転送量とコスト を抑えやすい。
• Amazon Athena … S3 上のファイルを 外部テーブル として 標準 SQL で分析するサーバーレスクエリ。スキャンしたデータ量 に応じて課金される理解でよいです。AWS Glue データカタログ と組み合わせてスキーマ管理するパターンが定番です。
• Amazon Macie … S3 をスキャンし 機微データ（PII 等） を検出・分類してアラート。セキュリティとコンプライアンスの観点から データ発見 に特化します。
• Amazon Redshift Spectrum … Redshift クラスターから S3 上のデータを直接クエリ する拡張。すでに Redshift を中心に分析している場合の データレイク連携 として選択肢に上がります。

使い分けの目安

アクセスの監査ならログとアクセス分析、コストと配置の最適化ならクラス分析と Storage Lens、中身の探索なら Select／Athena、機微情報の網羅的探索なら Macie、というざっくりした地図を頭に置くと試験のシナリオ問題に対応しやすくなります。