Eine IAM Richtlinie für den Zugriff auf Amazon S3 S3-Ressourcen erstellen - Amazon Aurora

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Eine IAM Richtlinie für den Zugriff auf Amazon S3 S3-Ressourcen erstellen

Aurora kann auf Amazon S3-Ressourcen zugreifen, um entweder Daten zu laden oder Daten aus einem Aurora-DB-Cluster zu speichern. Sie müssen jedoch zuerst eine IAM Richtlinie erstellen, die die Bucket- und Objektberechtigungen bereitstellt, die Aurora den Zugriff auf Amazon S3 ermöglichen.

In der folgenden Tabelle sind die Aurora-Funktionen gelistet, die in Ihrem Auftrag auf ein Amazon S3-Bucket zugreifen können, und das Minimum der erforderlichen Bucket- und Objektberechtigungen, die für jede Funktion benötigt werden.

Funktion Bucket-Berechtigungen Objektberechtigungen

LOAD DATA FROM S3

ListBucket

GetObject

GetObjectVersion
LOAD XML FROM S3

ListBucket

GetObject

GetObjectVersion

SELECT INTO OUTFILE S3

ListBucket

AbortMultipartUpload

DeleteObject

GetObject

ListMultipartUploadParts

PutObject

Die folgende Richtlinie fügt die Berechtigungen hinzu, die Aurora möglicherweise für den Zugriff auf einen Amazon S3-Bucket in Ihrem Namen benötigt. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAuroraToExampleBucket",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:AbortMultipartUpload",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}
Anmerkung

Achten Sie darauf, dass beide Einträge für den Wert Resource eingeschlossen sind. Aurora benötigt die Berechtigungen sowohl für den Bucket selbst als auch für alle Objekte im Bucket.

Basierend auf Ihrem Anwendungsfall müssen Sie möglicherweise nicht alle Berechtigungen in der Beispielrichtlinie hinzufügen. Möglicherweise sind auch weitere Berechtigungen erforderlich. Wenn Ihr Amazon S3-Bucket beispielsweise verschlüsselt ist, müssen Sie kms:Decrypt-Berechtigungen hinzufügen.

Sie können die folgenden Schritte verwenden, um eine IAM Richtlinie zu erstellen, die die Mindestberechtigungen für Aurora bereitstellt, um in Ihrem Namen auf einen Amazon S3 S3-Bucket zuzugreifen. Damit Aurora auf all Ihre Amazon S3 S3-Buckets zugreifen kann, können Sie diese Schritte überspringen und entweder die AmazonS3ReadOnlyAccess oder die AmazonS3FullAccess vordefinierte IAM Richtlinie verwenden, anstatt Ihre eigene zu erstellen.

Um eine IAM Richtlinie zu erstellen, um Zugriff auf Ihre Amazon S3 S3-Ressourcen zu gewähren

  1. Öffnen Sie die IAM-Management Console.

  2. Wählen Sie im Navigationsbereich Richtlinien.

  3. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  4. Wählen Sie auf der Registerkarte Visueller Editor die Option Service auswählen und dann S3 aus.

  5. Wählen Sie für Aktionen die Option Alle erweitern und wählen Sie dann die für die IAM Richtlinie erforderlichen Bucket- und Objektberechtigungen aus.

    Objektberechtigungen sind Berechtigungen für Objektoperationen in Amazon S3 und müssen für Objekte in einem Bucket und nicht für das Bucket selbst erteilt werden. Weitere Informationen über Berechtigungen für Objektoperationen in Amazon S3 finden Sie unter Berechtigungen für Objektoperationen.

  6. Wählen Sie Ressourcen und dann Hinzufügen ARN für den Bucket aus.

  7. Geben Sie im Dialogfeld „Hinzufügen ARN“ die Details zu Ihrer Ressource ein und wählen Sie „Hinzufügen“.

    Geben Sie das Amazon S3-Bucket an, wofür der Zugriff erlaubt werden soll. Zum Beispiel, wenn Sie Aurora den Zugriff auf den Amazon S3 S3-Bucket mit dem Namen erlauben möchten amzn-s3-demo-bucketund setzen Sie dann den Wert Amazon Resource Name (ARN) aufarn:aws:s3:::amzn-s3-demo-bucket.

  8. Wenn die Objektressource aufgeführt ist, wählen Sie Add ARN for object aus.

  9. Geben Sie im Dialogfeld Hinzufügen ARN (s) die Details zu Ihrer Ressource ein.

    Geben Sie für den Amazon S3-Bucket den Amazon S3-Bucket an, für den der Zugriff erlaubt werden soll. Sie können für das Objekt Beliebig auswählen, um Berechtigungen für alle Objekte im Bucket bereitzustellen.

    Anmerkung

    Sie können Amazon Resource Name (ARN) auf einen genaueren ARN Wert setzen, damit Aurora nur auf bestimmte Dateien oder Ordner in einem Amazon S3 S3-Bucket zugreifen kann. Weitere Informationen über das Definieren von Zugriffsrichtlinien für Amazon S3 finden Sie unter Verwaltung der Zugriffsberechtigungen zu Ihren Amazon S3-Ressourcen.

  10. (Optional) Wählen Sie ARN Für Bucket hinzufügen, um der Richtlinie einen weiteren Amazon S3 S3-Bucket hinzuzufügen, und wiederholen Sie die vorherigen Schritte für den Bucket.

    Anmerkung

    Sie können diesen Schritt wiederholen, um Ihrer Richtlinie die entsprechenden Bucket-Berechtigungsanweisungen für jeden Amazon S3-Bucket hinzuzufügen, auf den Aurora zugreifen soll. Alternativ können Sie auch Zugriff auf alle Buckets und Objekte in Amazon S3 erlauben.

  11. Wählen Sie Richtlinie prüfen.

  12. Geben Sie unter Name beispielsweise einen Namen für Ihre IAM Richtlinie einAllowAuroraToExampleBucket. Sie verwenden diesen Namen, wenn Sie eine IAM Rolle erstellen, die Sie Ihrem Aurora-DB-Cluster zuordnen möchten. Sie können auch einen optionalen Wert für Description (Beschreibung) hinzufügen.

  13. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  14. Führen Sie die Schritte unter au Erstellen einer IAM-Rolle, um Amazon Aurora den Zugriff auf AWS-Services zu erlauben.