Erstellen einer IAM-Zugriffsrichtlinie für Amazon S3-Ressourcen - Amazon Aurora

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen einer IAM-Zugriffsrichtlinie für Amazon S3-Ressourcen

Aurora kann auf Amazon S3-Ressourcen zugreifen, um entweder Daten zu laden oder Daten aus einem Aurora-DB-Cluster zu speichern. Jedoch müssen Sie zuerst eine IAM-Zugriffsrichtlinie erstellen, die die Bucket- und Objektberechtigungen bereitstellt, um Aurora den Zugriff auf Amazon S3 zu erlauben.

In der folgenden Tabelle sind die Aurora-Funktionen gelistet, die in Ihrem Auftrag auf ein Amazon S3-Bucket zugreifen können, und das Minimum der erforderlichen Bucket- und Objektberechtigungen, die für jede Funktion benötigt werden.

Funktion Bucket-Berechtigungen Objektberechtigungen

LOAD DATA FROM S3

ListBucket

GetObject

GetObjectVersion
LOAD XML FROM S3

ListBucket

GetObject

GetObjectVersion

SELECT INTO OUTFILE S3

ListBucket

AbortMultipartUpload

DeleteObject

GetObject

ListMultipartUploadParts

PutObject

Die folgende Richtlinie fügt die Berechtigungen hinzu, die Aurora möglicherweise für den Zugriff auf einen Amazon S3-Bucket in Ihrem Namen benötigt. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAuroraToExampleBucket",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:AbortMultipartUpload",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::example-bucket/*",
                "arn:aws:s3:::example-bucket"
            ]
        }
    ]
}
Anmerkung

Achten Sie darauf, dass beide Einträge für den Wert Resource eingeschlossen sind. Aurora benötigt die Berechtigungen sowohl für den Bucket selbst als auch für alle Objekte im Bucket.

Basierend auf Ihrem Anwendungsfall müssen Sie möglicherweise nicht alle Berechtigungen in der Beispielrichtlinie hinzufügen. Möglicherweise sind auch weitere Berechtigungen erforderlich. Wenn Ihr Amazon S3-Bucket beispielsweise verschlüsselt ist, müssen Sie kms:Decrypt-Berechtigungen hinzufügen.

Sie können die folgenden Schritte ausführen, um eine IAM-Zugriffsrichtlinie zu erstellen, die das Minimum der erforderlichen Berechtigungen für Aurora bereitstellt, um in Ihrem Auftrag auf einen Amazon S3-Bucket zuzugreifen. Um Aurora den Zugriff auf alle Ihre Amazon S3-Buckets zu erlauben, können Sie diese Schritte überspringen und die vordefinierte IAM-Richtlinie AmazonS3ReadOnlyAccess oder AmazonS3FullAccess verwenden, anstatt eigene zu erstellen.

So können Sie eine IAM-Zugriffsrichtlinie erstellen, um Zugriff auf Ihre Amazon S3-Ressourcen zu erlauben

  1. Öffnen Sie die IAM-Managementkonsole.

  2. Wählen Sie im Navigationsbereich Policies aus.

  3. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  4. Wählen Sie auf der Registerkarte Visueller Editor die Option Service auswählen und dann S3 aus.

  5. Wählen Sie unter Actions (Aktionen) die Option Expand all (Alle expandieren). Wählen Sie dann die Bucket-Berechtigungen und Objektberechtigungen aus, die für die IAM-Richtlinie benötigt werden.

    Objektberechtigungen sind Berechtigungen für Objektoperationen in Amazon S3 und müssen für Objekte in einem Bucket und nicht für das Bucket selbst erteilt werden. Weitere Informationen über Berechtigungen für Objektoperationen in Amazon S3 finden Sie unter Berechtigungen für Objektoperationen.

  6. Wählen Sie Resources (Ressourcen) und dann Add ARN (ARN hinzufügen) für Bucket (Bucket) aus.

  7. Geben Sie im Dialogfeld ARN(s) hinzufügen die Details zu Ihrer Ressource an, und wählen Sie Hinzufügen.

    Geben Sie das Amazon S3-Bucket an, wofür der Zugriff erlaubt werden soll. Wenn Sie beispielsweise Aurora den Zugriff auf den Amazon S3-Bucket mit dem Namen example-bucket gewähren möchten, dann stellen Sie den Amazon-Ressourcennamen (ARN)-Wert auf arn:aws:s3:::example-bucket ein.

  8. Wenn die Ressource Objekt aufgelistet ist, wählen Sie ARN hinzufügen für Objekt.

  9. Geben Sie im Dialogfeld ARN(s) hinzufügen die Details zu Ihrer Ressource an.

    Geben Sie für den Amazon S3-Bucket den Amazon S3-Bucket an, für den der Zugriff erlaubt werden soll. Sie können für das Objekt Beliebig auswählen, um Berechtigungen für alle Objekte im Bucket bereitzustellen.

    Anmerkung

    Sie können Amazon-Ressourcenname (ARN) auf einen spezifischen ARN-Wert einstellen, um Aurora nur den Zugriff auf spezifische Dateien oder Ordern in einem Amazon S3-Bucket zu erlauben. Weitere Informationen über das Definieren von Zugriffsrichtlinien für Amazon S3 finden Sie unter Verwaltung der Zugriffsberechtigungen zu Ihren Amazon S3-Ressourcen.

  10. (Optional) Wählen Sie Add ARN (ARN hinzufügen) für Bucket, um der Richtlinie einen weiteren Amazon S3-Bucket hinzuzufügen, und wiederholen Sie die vorherigen Schritte für den Bucket.

    Anmerkung

    Sie können diesen Schritt wiederholen, um Ihrer Richtlinie die entsprechenden Bucket-Berechtigungsanweisungen für jeden Amazon S3-Bucket hinzuzufügen, auf den Aurora zugreifen soll. Alternativ können Sie auch Zugriff auf alle Buckets und Objekte in Amazon S3 erlauben.

  11. Wählen Sie Review policy (Richtlinie prüfen).

  12. Geben Sie unter Name einen Namen für Ihre IAM-Richtlinie ein, z. B. AllowAuroraToExampleBucket. Sie verwenden diesen Namen, wenn Sie eine IAM-Rolle erstellen, um sie Ihrem Aurora-DB-Cluster zuzuweisen. Sie können auch einen optionalen Wert für Description (Beschreibung) hinzufügen.

  13. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  14. Führen Sie die Schritte unter au Erstellen einer IAM-Rolle, um Amazon Aurora den Zugriff auf AWS-Services zu erlauben.