Hinzufügen der Eigentümer-Überschreibungs-Option zur Replikations-Konfiguration Erteilen der Berechtigung zur Änderung der Replikat-Eigentümerschaft an Amazon S3 Hinzufügen der Berechtigung zur Ziel-Bucket-Richtlinie, um das Ändern der Replikat-Eigentümerschaft zuzulassen Weitere Überlegungen

Ändern des Replikat-Eigentümers

Bei der Replikation besitzt der Eigentümer des Quellobjekts standardmäßig auch das Replikat. Wenn sich der Quell- und der Ziel-Bucket im Besitz verschiedener befinden AWS-Konten und Sie die Replikateigentümerschaft in den ändern möchten AWS-Konto , der die Ziel-Buckets besitzt, können Sie optionale Konfigurationseinstellungen hinzufügen, um die Replikateigentümerschaft in den zu ändern AWS-Konto , der die Ziel-Buckets besitzt. Sie können dies z. B. tun, um den Zugriff auf Objektreplikate einzuschränken. Dies wird auch als die Eigentümer-Überschreibungs-Option der Replikationskonfiguration bezeichnet. Weitere Informationen zur Besitzer-Überschreibungs-Option finden Sie unter Hinzufügen der Eigentümer-Überschreibungs-Option zur Replikations-Konfiguration. Weitere Informationen zum Einrichten der Replikationskonfiguration finden Sie unter Replizieren von Objekten.

Um die Eigentümer-Überschreibung zu konfigurieren, gehen Sie wie folgt vor:

Fügen Sie die Eigentümer-Überschreibungs-Option zur Replikations-Konfiguration hinzu, um Amazon S3 anzuweisen, die Replikat-Eigentümerschaft zu ändern.
Erteilen Sie Amazon-S3-Berechtigungen zum Ändern der Replikat-Eigentümerschaft.
Fügen Sie in der Richtlinie für die Ziel-Buckets die Berechtigung zum Ändern der Replikat-Eigentümerschaft hinzu. So kann der Eigentümer der Ziel-Buckets die Eigentümerschaft von Objektreplikaten annehmen.

Weitere Informationen finden Sie unter Hinzufügen der Eigentümer-Überschreibungs-Option zur Replikations-Konfiguration. Ein funktionierendes Beispiel mit step-by-step Anweisungen finden Sie unter Ändern des Replikat-Eigentümers, wenn sich Quell- und Ziel-Buckets im Eigentum unterschiedlicher Konten befinden.

Vom Bucket-Eigentümer erzwungene Einstellung für Object Ownership

Wenn Sie die Amazon S3-Replikation verwenden und sich der Quell- und der Ziel-Bucket im Besitz verschiedener befinden AWS-Konten, kann der Bucket-Eigentümer des Ziel-Buckets ACLs deaktivieren (mit der Einstellung „Bucket-Eigentümer erzwungen“ für Object Ownership), um die Replikateigentümerschaft in den zu ändern AWS-Konto , der den Ziel-Bucket besitzt. Diese Einstellung ahmt das Verhalten der bestehenden Besitzerüberschreibung nach, ohne dass eine s3:ObjectOwnerOverrideToBucketOwner-Berechtigung erforderlich ist. Dies bedeutet, dass alle Objekte, die mit der erzwungenen Einstellung des Bucket-Eigentümers in den Ziel-Bucket repliziert werden, dem Eigentümer des Ziel-Buckets gehören. Informationen zu Object Ownership finden Sie unter Weitere Informationen finden Sie unter Steuern des Eigentums an Objekten und Deaktivieren von ACLs für Ihren Bucket..

Hinzufügen der Eigentümer-Überschreibungs-Option zur Replikations-Konfiguration

Warnung

Fügen Sie die Eigentümer-Überschreibungsoption nur hinzu, wenn sich der Quell- und der Ziel-Bucket im Besitz verschiedener befinden AWS-Konten. Amazon S3 überprüft nicht, ob die Buckets im Besitz von gleichen oder unterschiedlichen Konten sind. Wenn Sie die Eigentümer-Überschreibung hinzufügen, wenn sich beide Buckets im Besitz desselben befinden AWS-Konto, wendet Amazon S3 die Eigentümer-Überschreibung an. Sie gewährt dem Ziel-Bucket-Eigentümer vollständige Berechtigungen und repliziert keine nachfolgenden Aktualisierungen der Quellobjekt-Access-Control-List (ACL). Der Replikateigentümer kann die ACL, die mit einem Replikat mit einer PUT ACL-Anforderung verknüpft ist, direkt ändern, aber nicht über eine Replikation.

Um die Option zur Eigentümer-Überschreibung festzulegen, fügen Sie Folgendes zu jedem Destination-Element hinzu:

Das Element AccessControlTranslation, das Amazon S3 anweist, die Replikateigentümerschaft zu ändern
Das -AccountElement, das die AWS-Konto des Ziel-Bucket-Eigentümers angibt


<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
    ...
    <Destination>
      ...
      <AccessControlTranslation>
           <Owner>Destination</Owner>
       </AccessControlTranslation>
      <Account>destination-bucket-owner-account-id</Account>
    </Destination>
  </Rule>
</ReplicationConfiguration>

Die folgende Beispiel-Replikationskonfiguration weist Amazon S3 an, Objekte mit dem Schlüsselpräfix Tax in den Ziel-Bucket zu replizieren und die Replikateigentümerschaft zu ändern.


<?xml version="1.0" encoding="UTF-8"?>
<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
   <Role>arn:aws:iam::account-id:role/role-name</Role>
   <Rule>
      <ID>Rule-1</ID>
      <Priority>1</Priority>
      <Status>Enabled</Status>
      <DeleteMarkerReplication>
         <Status>Disabled</Status>
      </DeleteMarkerReplication>
      <Filter>
         <Prefix>Tax</Prefix>
      </Filter>
      <Destination>
         <Bucket>arn:aws:s3:::destination-bucket</Bucket>
         <Account>destination-bucket-owner-account-id</Account>
         <AccessControlTranslation>
            <Owner>Destination</Owner>
         </AccessControlTranslation>
      </Destination>
   </Rule>
</ReplicationConfiguration>

Erteilen der Berechtigung zur Änderung der Replikat-Eigentümerschaft an Amazon S3

Erteilen Sie Amazon S3 die Berechtigungen zum Ändern der Replikateigentümerschaft, indem Sie die Berechtigung für die Aktion s3:ObjectOwnerOverrideToBucketOwner zur Berechtigungsrichtlinie hinzufügen, die mit der IAM-Rolle verknüpft ist. Dies ist die IAM-Rolle, die Sie in der Replikations-Konfiguration festgelegt haben und die es Amazon S3 gestattet, Objekte in Ihrem Namen anzunehmen und zu replizieren.


...
{
    "Effect":"Allow",
         "Action":[
       "s3:ObjectOwnerOverrideToBucketOwner"
    ],
    "Resource":"arn:aws:s3:::destination-bucket/*"
}
...

Hinzufügen der Berechtigung zur Ziel-Bucket-Richtlinie, um das Ändern der Replikat-Eigentümerschaft zuzulassen

Der Eigentümer des Ziel-Buckets muss dem Eigentümer des Quell-Buckets die Berechtigung zum Ändern der Replikat-Eigentümerschaft erteilen. Der Eigentümer des Ziel-Buckets erteilt dem Eigentümer des Quell-Buckets die Berechtigung für die Aktion s3:ObjectOwnerOverrideToBucketOwner. Dies ermöglicht dem Eigentümer des Ziel-Buckets, die Eigentümerschaft von Objektreplikaten anzunehmen. Die folgende Beispielanweisung einer Bucket-Richtlinie zeigt, wie dies funktioniert:


...
{
    "Sid":"1",
    "Effect":"Allow",
    "Principal":{"AWS":"source-bucket-account-id"},
    "Action":["s3:ObjectOwnerOverrideToBucketOwner"],
    "Resource":"arn:aws:s3:::destination-bucket/*"
}
...

Weitere Überlegungen

Wenn Sie die Eigentümer-Überschreibungs-Option konfigurieren, berücksichtigen Sie die folgenden Überlegungen:

Standardmäßig besitzt der Eigentümer des Quellobjekts auch das Replikat. Amazon S3 repliziert die Objektversion und die damit verbundene ACL.

Wenn Sie die Eigentümer-Überschreibung hinzufügen, repliziert Amazon S3 nur die Objektversion, nicht die ACL. Darüber hinaus repliziert Amazon S3 keine nachfolgenden Änderungen an der ACL des Quellobjekts. Amazon S3 legt die ACL für das Replikat fest, das dem Ziel-Bucket-Eigentümer Vollzugriff erteilt.
Wenn Sie eine Replikations-Konfiguration ändern und die Eigentümerüberschreibung aktivieren oder deaktivieren, geschieht Folgendes:
- Wenn Sie die Eigentümerüberschreibungs-Option zur Replikations-Konfiguration hinzufügen
  
  Wenn Amazon S3 eine Objektversion repliziert, verwirft es die ACL, die mit dem Quellobjekt verknüpft ist. Es legt stattdessen die ACL für das Replikat fest, sodass der Ziel-Bucket-Eigentümer vollständige Kontrolle erhält. Es repliziert keine nachfolgenden Änderungen an der Quellobjekt-ACL. Diese Änderung der ACL gilt nicht für Objektversionen, die repliziert wurden, bevor Sie die Eigentümer-Überschreibungs-Option festgelegt haben. ACL-Aktualisierungen an den Quellobjekten, die repliziert wurden, bevor die Eigentümer-Überschreibungs-Option festgelegt wurde, werden weiterhin repliziert (da das Objekt und seine Replikate weiterhin denselben Eigentümer haben).
- Wenn Sie die Eigentümer-Überschreibungs-Option aus der Replikations-Konfiguration entfernen
  
  Amazon S3 repliziert neue Objekte, die im Quell-Bucket erscheinen, und die zugehörigen ACLs in die Ziel-Buckets. Bei Objekten, die repliziert wurden, bevor Sie die Eigentümer-Überschreibung entfernt haben, repliziert Amazon S3 die ACLs nicht, da die Änderung der Objekteigentümerschaft, die Amazon S3 vorgenommen hat, gültig bleibt. Das bedeutet, dass in der Objektversion abgelegte ACLs, die repliziert wurden, als Sie die Eigentümer-Überschreibungs-Option festgelegt hatten, weiterhin nicht repliziert werden.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Replizieren von Metadatenänderungen

Replizieren von verschlüsselten Objekten (SSE-C, SSE-S3, SSE-KMS, DSSE-KMS)