Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Einrichten von Berechtigungen
Wenn Sie die Replikation einrichten, müssen Sie die erforderlichen Berechtigungen wie folgt einholen:
-
Amazon S3 benötigt Berechtigungen, um Objekte in Ihrem Namen zu replizieren. Sie erteilen diese Berechtigungen, indem Sie eine IAM-Rolle erstellen und die Rolle in der Replikationskonfiguration festlegen.
-
Wenn sich der Quell- und der Ziel-Bucket im Besitz verschiedener Konten befinden, muss der Eigentümer des Ziel-Buckets dem Quell-Bucket-Eigentümer die Berechtigungen zum Speichern der Replikate erteilen.
Themen
Erstellen einer IAM-Rolle
Standardmäßig sind alle Amazon-S3-Ressourcen – Buckets, Objekte und zugehörige Unterressourcen – privat, sodass nur der Ressourcenbesitzer auf die Ressource zugreifen kann. Amazon S3 benötigt Berechtigungen zum Lesen und Replizieren von Objekten aus dem Quell-Bucket. Sie erteilen diese Berechtigungen, indem Sie eine IAM-Rolle erstellen und die Rolle in der Replikations-Konfiguration festlegen.
In diesem Abschnitt werden die Vertrauensrichtlinie und die mindestens erforderliche Berechtigungsrichtlinie erläutert. Die Beispiel-Walkthroughs enthalten step-by-step Anweisungen zum Erstellen einer IAM-Rolle. Weitere Informationen finden Sie unter Anleitungen: Beispiele zum Konfigurieren der Replikation.
-
Im folgenden Beispiel wird eine Vertrauensrichtlinie gezeigt, bei der Sie Amazon S3 als den Service-Prinzipal identifizieren, der die Rolle übernehmen kann.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"s3.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
-
Im folgenden Beispiel wird eine Vertrauensrichtlinie gezeigt, bei der Sie Amazon S3 und S3-Batchvorgänge als Service-Prinzipale identifizieren. Dies ist nützlich, wenn Sie einen Batchreplikationsauftrag erstellen. Weitere Informationen finden Sie unter Erstellen eines Batch-Replikationsauftrags für eine erste Replikationsregel oder ein neues Ziel.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service": [ "s3.amazonaws.com", "batchoperations.s3.amazonaws.com" ] }, "Action":"sts:AssumeRole" } ] }
Weitere Informationen zu IAM-Rollen finden Sie unter IAM-Rollen im IAM-Benutzerhandbuch.
-
Im folgenden Beispiel wird eine Zugriffsrichtlinie gezeigt, bei der Sie der Rolle die Berechtigungen erteilen, Replikationsaufgaben in Ihrem Namen durchzuführen. Wenn Amazon S3 die Rolle annimmt, verfügt es über die Berechtigungen, die Sie in dieser Richtlinie angeben. In dieser Richtlinie ist
der Quell-Bucket undDOC-EXAMPLE-BUCKET1
der Ziel-Bucket.DOC-EXAMPLE-BUCKET2
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:GetReplicationConfiguration", "s3:ListBucket" ], "Resource":[ "arn:aws:s3:::
DOC-EXAMPLE-BUCKET1
" ] }, { "Effect":"Allow", "Action":[ "s3:GetObjectVersionForReplication", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTagging" ], "Resource":[ "arn:aws:s3:::DOC-EXAMPLE-BUCKET1
/*" ] }, { "Effect":"Allow", "Action":[ "s3:ReplicateObject", "s3:ReplicateDelete", "s3:ReplicateTags" ], "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET2
/*" } ] }Die Zugriffsrichtlinie erteilt Berechtigungen für folgenden Aktionen:
-
s3:GetReplicationConfiguration
unds3:ListBucket
– Berechtigungen für diese Aktionen im
-Bucket (Quell-Bucket) erlauben es Amazon S3, die Replikationskonfiguration abzurufen und den Bucket-Inhalt aufzulisten. (Das aktuelle Berechtigungsmodell erfordert dieDOC-EXAMPLE-BUCKET1
s3:ListBucket
-Berechtigung für den Zugriff auf Löschmarkierungen.) -
s3:GetObjectVersionForReplication
unds3:GetObjectVersionAcl
– Berechtigungen für diese Aktionen, die für alle Objekte erteilt wurden, erlauben es Amazon S3, eine bestimmte Objektversion und eine mit Objekten verknüpfte Zugriffssteuerungsliste (ACL) abzurufen. -
s3:ReplicateObject
unds3:ReplicateDelete
– Berechtigungen für diese Aktionen für alle Objekte im
-Bucket (Ziel-Bucket) erlauben es Amazon S3, Objekte oder Löschmarkierungen in den Ziel-Bucket zu replizieren. Informationen zu Löschmarkierungen finden Sie unter Auswirkungen von LöschVorgänge auf die Replikation.DOC-EXAMPLE-BUCKET2
Anmerkung
Berechtigungen für die Aktion
s3:ReplicateObject
im
-Bucket (dem Ziel-Bucket) ermöglichen auch die Replikation von Metadaten wie Objekt-Tags und ACLs. Daher müssen Sie für dieDOC-EXAMPLE-BUCKET2
s3:ReplicateTags
-Aktion keine explizite Berechtigung erteilen. -
s3:GetObjectVersionTagging
– Berechtigungen für diese Aktion für Objekte im
-Bucket (Quell-Bucket) gestatten es Amazon S3, Objekt-Tags für die Replikation zu lesen. Weitere Informationen finden Sie unter Kategorisieren des Speichers mithilfe von Markierungen. Wenn Amazon S3 nicht über diese Berechtigungen verfügt, repliziert es die Objekte, aber nicht die Objekt-Markierungen.DOC-EXAMPLE-BUCKET1
Eine Liste der Amazon-S3-Aktionen finden Sie unter Amazon S3-Richtlinienaktionen.
Wichtig
Das AWS-Konto , dem die IAM-Rolle gehört, muss über Berechtigungen für die Aktionen verfügen, die es der IAM-Rolle gewährt.
Angenommen, der Quell-Bucket enthält beispielsweise Objekte, die im Besitz eines anderen AWS-Konto sind. Der Eigentümer der Objekte muss dem AWS-Konto , das die IAM-Rolle besitzt, die erforderlichen Berechtigungen explizit über die Objekt-ACL erteilen. Andernfalls kann Amazon S3 nicht auf die Objekte zugreifen, und die Replikation dieser Objekte schlägt fehl. Weitere Informationen zu ACL-Berechtigungen finden Sie unter Zugriffskontrolllisten (ACL) – Übersicht.
Die hier beschriebenen Berechtigungen gehören zur Mindest-Replikationskonfiguration. Wenn Sie optionale Replikations-Konfigurationen hinzufügen möchten, müssen Sie Amazon S3 zusätzliche Berechtigungen erteilen. Weitere Informationen finden Sie unter Zusätzliche Replikations-Konfigurationen.
-
Erteilen von Berechtigungen, wenn sich der Quell- und der Ziel-Bucket im Besitz verschiedener befinden AWS-Konten
Wenn sich der Quell- und der Ziel-Bucket im Besitz von unterschiedlichen Konten befinden, muss der Eigentümer des Ziel-Buckets auch eine Bucket-Richtlinie hinzufügen, um dem Eigentümer des Quell-Buckets die Berechtigung zum Ausführen von Replikationsaktionen wie folgt zu erteilen. In dieser Richtlinie ist
der Ziel-Bucket.DOC-EXAMPLE-BUCKET2
Anmerkung
Das ARN-Format der Rolle kann anders aussehen. Wenn die Rolle mit der Konsole erstellt wurde, lautet das ARN-Format arn:aws:iam::account-ID
:role/service-role/role-name
. Wenn die Rolle mit der erstellt wurde AWS CLI, lautet das ARN-Format arn:aws:iam::account-ID
:role/role-name
. Weitere Informationen finden Sie unter IAM-Rollen im IAM-Benutzerhandbuch.
{ "Version":"2012-10-17", "Id":"PolicyForDestinationBucket", "Statement":[ { "Sid":"Permissions on objects", "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::
SourceBucket-account-ID
:role/service-role/source-account-IAM-role
" }, "Action":[ "s3:ReplicateDelete", "s3:ReplicateObject" ], "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET2
/*" }, { "Sid":"Permissions on bucket", "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::SourceBucket-account-ID
:role/service-role/source-account-IAM-role
" }, "Action": [ "s3:List*", "s3:GetBucketVersioning", "s3:PutBucketVersioning" ], "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET2
" } ] }
Ein Beispiel finden Sie unter Konfigurieren der Replikation, wenn sich Quell- und Ziel-Buckets im Eigentum verschiedener Konten befinden.
Wenn Objekte im Quell-Bucket mit einem Tag versehen sind, beachten Sie Folgendes:
-
Wenn der Eigentümer des Quell-Buckets Amazon S3 die Berechtigung für die Aktionen
s3:GetObjectVersionTagging
unds3:ReplicateTags
zum Replizieren von Objekt-Tags (über die IAM-Rolle) erteilt, repliziert Amazon S3 die Tags zusammen mit den Objekten. Weitere Information zur IAM-Rolle finden Sie unter Erstellen einer IAM-Rolle. -
Wenn der Eigentümer des Ziel-Buckets die Tags nicht replizieren will, kann er die folgende Anweisung zur Richtlinie für den Ziel-Bucket hinzufügen, um die Berechtigung für die Aktion
s3:ReplicateTags
explizit zu verweigern. In dieser Richtlinie ist
der Ziel-Bucket.DOC-EXAMPLE-BUCKET2
... "Statement":[ { "Effect":"Deny", "Principal":{ "AWS":"arn:aws:iam::
SourceBucket-account-id
:role/service-role/source-account-IAM-role
" }, "Action":"s3:ReplicateTags", "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET2
/*" } ] ...
Gewähren von Berechtigungen für S3-Batch-Operationen
Die S3-Batch-Replikation bietet Ihnen eine Möglichkeit, Objekte zu replizieren, die existierten, bevor eine Replikationskonfiguration vorhanden war, Objekte, die zuvor repliziert wurden, und Objekte, bei denen die Replikation fehlgeschlagen ist. Beim Erstellen der ersten Regel in einer neuen Replikationskonfiguration oder beim Hinzufügen eines neuen Ziels zu einer vorhandenen Konfiguration über die AWS Management Console können Sie einen einmaligen Batch-Replikationsauftrag erstellen. Sie können die Batch-Replikation auch für eine bestehende Replikationskonfiguration initiieren, indem Sie einen Batch-Operationsauftrag erstellen.
Beispiele für Batch-Replikations-IAM-Rollen und -Richtlinien finden Sie unter Konfigurieren von IAM-Richtlinien für die Batch-Replikation.
Ändern des Replikatbesitzers
Wenn der Quell- und der Ziel-Bucket unterschiedlich AWS-Konten sind, können Sie Amazon S3 anweisen, die Eigentümerschaft des Replikats zu dem zu ändern AWS-Konto , dem der Ziel-Bucket gehört. Weitere Informationen zum Außerkraftsetzen des Besitzers finden Sie unter Ändern des Replikat-Eigentümers.
Aktivieren des Empfangs replizierter Objekte aus einem Quell-Bucket
Sie können schnell die Richtlinien generieren, die erforderlich sind, um den Empfang replizierter Objekte aus einem Quell-Bucket über die AWS Management Console zu aktivieren.
Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3-Konsole unter https://console.aws.amazon.com/s3/
. -
Wählen Sie im linken Navigationsbereich Buckets aus.
-
Wählen Sie in der Liste Buckets den Bucket aus, den Sie als Ziel-Bucket verwenden möchten.
-
Wählen Sie die Registerkarte Management (Verwaltung) aus und scrollen Sie nach unten zu Replication rules (Replikationsregeln).
-
Wählen Sie für Actions (Aktionen) die Option Receive replicated objects (Replizierte Objekte empfangen) aus.
Folgen Sie den Anweisungen, geben Sie die AWS-Konto ID des Quell-Bucket-Kontos ein und wählen Sie Richtlinien generieren aus. Daraufhin werden eine Amazon-S3-Bucket-Richtlinie und eine KMS-Schlüsselrichtlinie erstellt.
-
Wenn Sie diese Richtlinie Ihrer bestehenden Bucket-Richtlinie hinzufügen möchten, wählen Sie entweder Apply settings (Einstellungen anwenden) oder Copy (Kopieren) aus, um die Änderungen manuell zu kopieren.
-
(Optional) Kopieren Sie die AWS KMS Richtlinie in die gewünschte KMS-Schlüsselrichtlinie in der AWS Key Management Service -Konsole.