Skip to content

Amazon S3

Amazon S3は、Amazon Web Servicesが提供する高度にスケーラブルなストレージシステムです。

BrazeとAmazon S3の統合には、2つの統合戦略があります。

  • Currentsを活用すると、他のプラットフォーム、ツール、ロケーションに接続するまでデータを保存できます。
  • ダッシュボードのデータエクスポート(CSVエクスポートやエンゲージメントレポートなど)を使用します。

前提条件

新しいS3バケットの作成

アプリのバケットを作成するには、以下の手順を実行します。

  1. Amazon S3コンソールを開き、指示に従ってAWSにサインインまたはアカウントを作成します。
  2. サインイン後、Storage & Content DeliveryカテゴリーからS3を選択します。
  3. 次の画面でCreate Bucketを選択します。
  4. プロンプトが表示されたら、バケットを作成し、AWSリージョンを選択します。

Brazeでは、ダッシュボードでリージョンを選択または設定することはできません。AWSリージョンは、AWSコンソールでバケットを作成した場所によって固定されます。統合は指定したバケット名にデータを送信し、AWSが自動的にリクエストをバケットのリージョンにルーティングします。コネクタが希望するリージョンとは異なるリージョンに接続しようとする場合(例えば、eu-central-1ではなくeu-west-1に接続する場合)、AWSで希望するリージョンにS3バケットを作成または使用してください。Braze側で変更する必要はありません。

統合

BrazeにはAmazon S3に関する2種類の統合戦略があります。1つはBraze Currents用、もう1つはすべてのダッシュボードデータエクスポート(CSVエクスポートやエンゲージメントレポートなど)用です。どちらの統合も、2種類の認証/許可方法をサポートしています。

AWSシークレットキー認証方式

この認証方式は、シークレットキーとアクセスキーIDを生成し、BrazeがAWSアカウントのユーザーとして認証してバケットにデータを書き込めるようにします。

ステップ1:ユーザーを作成する

アクセスキーIDとシークレットアクセスキーを取得するには、AWSでIAMユーザーと管理者グループを作成します。

ステップ2:認証情報を取得する

新しいユーザーの作成後に、Show User Security Credentialsを選択して、アクセスキーIDとシークレットアクセスキーを表示します。次に、これらの認証情報をどこかにメモしておくか、Download Credentialsボタンを選択してください。後でBrazeダッシュボードに入力する必要があります。

ステップ3:ポリシーを作成する

Policies > Get Started > Create Policyに移動して、ユーザーの権限を追加します。次に、Create Your Own Policyを選択します。これにより限定的な権限が付与され、Brazeは指定されたバケットにのみアクセスできます。

任意のポリシー名を指定し、Policy Documentセクションに以下のコードスニペットを入力します。INSERTBUCKETNAMEは必ずバケット名に置き換えてください。これらの権限がないと、認証情報のチェックに失敗し、統合は作成されません。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:ListBucket", "s3:GetBucketLocation"],
            "Resource": ["arn:aws:s3:::INSERTBUCKETNAME"]
        },
        {
            "Effect": "Allow",
            "Action": ["s3:PutObject", "s3:GetObject"],
            "Resource": ["arn:aws:s3:::INSERTBUCKETNAME/*"]
        }
    ]
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:ListBucket", "s3:GetBucketLocation"],
            "Resource": ["arn:aws:s3:::INSERTBUCKETNAME"]
        },
        {
            "Effect": "Allow",
            "Action": ["s3:GetObject", "s3:PutObject", "s3:DeleteObject"],
            "Resource": ["arn:aws:s3:::INSERTBUCKETNAME*", "arn:aws:s3:::INSERTBUCKETNAME/", "arn:aws:s3:::INSERTBUCKETNAME"]
        }
    ]
}

ステップ4:ポリシーをアタッチする

新しいポリシーの作成後に、Usersに移動し、特定のユーザーを選択します。PermissionsタブでAttach Policyを選択し、作成した新しいポリシーを選択します。これで、AWS認証情報をBrazeアカウントにリンクする準備ができました。

ステップ5:BrazeをAWSにリンクする

Brazeで、パートナー連携 > Currentsに移動します。

次に、Create New Currentを選択し、Amazon S3 Data Exportを選択します。

Currentに名前を付けます。Credentialsセクションで、AWS Secret Access Keyが選択されていることを確認し、指定されたフィールドにS3アクセスID、AWSシークレットアクセスキー、およびAWS S3バケット名を入力します。

必要に応じて、次のカスタマイズを追加することもできます。

  • フォルダーパス:デフォルトはcurrentsです。このフォルダが存在しない場合、Brazeが自動的に作成します。
  • サーバーサイド保管時AES-256暗号化:デフォルトはオフで、x-amz-server-side-encryptionヘッダーが含まれます。

Launch Currentを選択して続行します。

認証情報が正常に検証されたかどうかが通知されます。AWS S3がBraze Currents用に設定されました。

Brazeで、パートナー連携 > テクノロジーパートナーに移動し、Amazon S3を選択します。

AWS Credentialsページで、AWS Secret Access Keyが選択されていることを確認し、指定されたフィールドにAWSアクセスID、AWSシークレットアクセスキー、およびAWS S3バケット名を入力します。シークレットキーを入力する際は、まずTest Credentialsを選択して認証情報が機能することを確認し、成功したらSaveを選択します。

認証情報が正常に検証されたかどうかが通知されます。AWS S3がBrazeアカウントに統合されました。

AWSロールARN認証方式

この認証方式は、ロールAmazon Resource Name(ARN)を生成し、BrazeのAmazonアカウントがバケットにデータを書き込むために作成したロールのメンバーとして認証できるようにします。

ステップ1:ポリシーを作成する

まず、アカウント管理者としてAWS管理コンソールにサインインします。AWSコンソールのIAMセクションに移動し、ナビゲーションバーでPoliciesを選択してから、Create Policyを選択します。

JSONタブを開き、Policy Documentセクションに以下のコードスニペットを入力します。INSERTBUCKETNAMEは必ずバケット名に置き換えてください。入力が終わったら、Review Policyを選択します。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:ListBucket", "s3:GetBucketLocation"],
            "Resource": ["arn:aws:s3:::INSERTBUCKETNAME"]
        },
        {
            "Effect": "Allow",
            "Action": ["s3:PutObject", "s3:GetObject"],
            "Resource": ["arn:aws:s3:::INSERTBUCKETNAME/*"]
        }
    ]
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:ListBucket", "s3:GetBucketLocation"],
            "Resource": ["arn:aws:s3:::INSERTBUCKETNAME"]
        },
        {
            "Effect": "Allow",
            "Action": ["s3:PutObject", "s3:GetObject","s3:DeleteObject"],
            "Resource": ["arn:aws:s3:::INSERTBUCKETNAME/*"]
        }
    ]
}

次に、ポリシーに名前と説明を指定し、Create Policyを選択します。

ステップ2:ロールを作成する

コンソールの同じIAMセクションで、Roles > Create Roleを選択します。

BrazeアカウントからBrazeアカウントIDとexternal IDを取得します。

  • Currents:Brazeで、パートナー連携 > Currentsに移動します。次に、Create New Currentを選択し、Amazon S3 Data Exportを選択します。ここで、ロールの作成に必要な識別子を確認できます。
  • ダッシュボードデータエクスポート:Brazeで、パートナー連携 > テクノロジーパートナーに移動し、Amazon S3を選択します。ここで、ロールの作成に必要な識別子を確認できます。(メッセージアーカイブの設定のみを行う場合は、ここでロールを作成してください。)

AWSコンソールに戻り、信頼できるエンティティセレクターのタイプとしてAnother AWS Accountを選択します。BrazeアカウントIDを入力し、Require external IDチェックボックスをオンにして、Brazeのexternal IDを入力します。完了したらNextを選択します。

S3の「Create Role」ページ。このページには、ロール名、ロールの説明、信頼できるエンティティ、ポリシー、および権限境界のフィールドがあります。

ステップ3:ポリシーをアタッチする

次に、以前に作成したポリシーをロールにアタッチします。検索バーでポリシーを検索し、ポリシーの横にチェックマークを付けてアタッチします。完了したらNextを選択します。

ロールARN

ロールに名前と説明を指定し、Create Roleを選択します。

ロールARN

新しく作成したロールがリストに表示されます。

ステップ4:Braze AWSにリンクする

AWSコンソールで、新しく作成したロールをリストから見つけます。名前を選択して、そのロールの詳細を開きます。

ロール概要ページの上部にあるRole ARNをメモします。

Brazeアカウントに戻り、提供されたフィールドにロールARNをコピーします。

Brazeで、パートナー連携 > Currentsに移動します。次に、Create New Currentを選択し、Amazon S3 Data Exportを選択します。

Currentに名前を付けます。次に、CredentialsセクションでAWS Role ARNが選択されていることを確認し、ロールARNとAWS S3バケット名を所定のフィールドに入力します。

必要に応じて、次のカスタマイズを追加することもできます。

  • フォルダーパス(デフォルトはcurrents
  • サーバーサイド保管時AES-256暗号化(デフォルトはオフ)- x-amz-server-side-encryptionヘッダーを含みます

Launch Currentを選択して続行します。認証情報が正常に検証されると通知が表示されます。AWS S3がBraze Currents用に設定されました。

Brazeで、統合テクノロジーパートナーページに移動し、Amazon S3を選択します。

AWS Credentialsページで、AWS Role ARNラジオボタンが選択されていることを確認し、ロールARNとAWS S3バケット名を所定のフィールドに入力します。まずTest Credentialsを選択して認証情報が正しく動作することを確認し、成功したらSaveを選択します。

認証情報が正常に検証されたかどうかが通知されます。AWS S3がBrazeアカウントに統合されました。

エクスポートの動作

クラウドデータストレージソリューションを統合し、API、ダッシュボードレポート、またはCSVレポートをエクスポートしているユーザーは、以下のような動作を経験します。

  • すべてのAPIエクスポートは、レスポンスボディにダウンロードURLを返さず、データストレージを通じて取得する必要があります。
  • すべてのダッシュボードレポートとCSVレポートは、ユーザーのメールに送信されてダウンロードされ(ストレージ権限不要)、データストレージにバックアップされます。

Unable to connect to S3, please validate that your credentials are correctエラー

CSVエクスポートのダウンロード時にこのエラーが表示された場合は、テクノロジーパートナーページでAmazon S3統合を開き、Test Credentialsを選択してください。結果には検証に失敗した内容が表示されます。例えば、キーにGetObject権限がないため、Brazeがダウンロードリンクを生成できない場合があります。

IAMポリシーを更新して、統合ユーザーまたはロールがBraze統合で設定されたS3バケットとオブジェクトパスに対してs3:GetObjectを呼び出せるようにしてください。エクスポートに関するその他の問題については、エクスポートのトラブルシューティングを参照してください。

複数のコネクター

S3バケットに送信するCurrentsコネクタを複数作成する場合は、同じ認証情報を使用できますが、それぞれに異なるフォルダーパスを指定する必要があります。同じワークスペースで作成することも、複数のワークスペースに分割して作成することもできます。また、統合ごとに1つのポリシーを作成するか、両方の統合をカバーする1つのポリシーを作成するかを選択できます。

Currentsとデータエクスポートの両方に同じS3バケットを使用する場合は、それぞれの統合に異なる権限が必要なため、2つの別々のポリシーを作成する必要があります。

トラブルシューティング

エラー:アカウントにPutObjectアクセスがありません

ダッシュボードデータエクスポート用のAmazon S3認証情報を保存する際に以下のエラーが表示された場合、権限の設定が正しくないか、サーバーサイド暗号化の設定に問題がある可能性があります。

1

S3 Credentials are invalid because this account does not have 'PutObject access'. Please check the permissions and ensure that this key has access to 'PutObject' in the 'CUSTOMER-BUCKET-HERE' bucket.

この問題を解決するには、以下の点を確認してください。

バケットポリシーが正しくない

Amazon S3統合で説明されている正しい権限でポリシーを作成したことを確認してください(認証方式に応じたDashboard Data Exportポリシーを使用してください)。

サーバーサイド暗号化

1

User: arn:aws:sts::XXX:assumed-role/braze-iam-role/braze is not authorized to perform: kms:GenerateDataKey on resource: arn:aws:XXX because no identity-based policy allows the kms:GenerateDataKey action

BrazeサポートまたはAWSログでこのエラーメッセージが表示された場合、S3バケットがAWS Key Management Service(SSE-KMS)暗号化で設定されています。BrazeはCurrentsやダッシュボードデータエクスポートでSSE-KMSをサポートしていません。この問題を解決するには、S3バケットでSSE-KMSを無効にしてください。

追加の権限を確認する

s3:GetBucketLocations3:PutObjectなど、必要な権限があることを確認してください。
New Stuff!