AWSは、移行・近代化を支援する『AWS Transform』が、顧客自身が所有するアーティファクトストア(S3バケット)への成果物保存に対応したことを公式に発表した。これまで変換結果はサービス側で管理される領域に置かれることが前提だったが、本アップデートにより、顧客は自社アカウント・自社リージョン・自社KMSキーの配下にあるS3へ直接成果物を書き出せる。
技術的なポイントは、既存のS3運用パターンとの親和性にある。AWSは合わせて、SSE-S3からSSE-KMSへの暗号化方式の切り替え手順、S3 Batch Operationsによる大規模な暗号化オブジェクト移行、クライアントサイド暗号鍵のKMSへの移行といった一次ドキュメントを提示している。これらは「顧客所有バケットを使う以上、暗号化と鍵管理は顧客責任で設計する」という前提を支える実装ガイドとして機能する。CloudFormationのCLI packageコマンドのように、ローカル成果物をS3にアップロードして参照する既存のワークフローとも整合する。
日本市場への含意は明確だ。金融・公共・医療といった領域では、ベンダー管理ストレージに中間成果物が残る構成は調達・監査の観点で敬遠されてきた。顧客所有バケットへの保存が標準オプションになることで、データレジデンシー、鍵管理主体、アクセスログの所在という3点の説明責任を社内規程の枠内で完結させやすくなる。
一方で、運用設計の負荷は顧客側に移る。バケットポリシー、KMSキーポリシー、AWS Transform実行ロールへの権限委譲、CloudTrailによる書き込み監査の有効化を、PoC段階から最小権限で詰めておく必要がある。
