Konfigurieren einer IAM-Rolle für die S3-Batch-Replikation

Da die Batch-Replikation von Amazon S3 eine Art Batchvorgangs-Auftrag ist, müssen Sie eine AWS Identity and Access Management(IAM)-Rolle erstellen, um Batchvorgängen Berechtigungen zum Ausführen von Aktionen in Ihrem Namen zu erteilen. Sie müssen auch eine IAM-Richtlinie für die Batch-Replikation an die IAM-Rolle von Batchvorgängen anhängen.

Verwenden Sie die folgenden Verfahren, um eine Richtlinie und eine IAM-Rolle zu erstellen, die Batchvorgängen die Berechtigung zum Initiieren eines Batch-Replikationsauftrags erteilt.

So erstellen Sie eine Richtlinie für die Batch-Replikation

Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie unter Access management (Zugriffsverwaltung) Policies (Richtlinien) aus.
Wählen Sie Richtlinie erstellen aus.
Wählen Sie auf der Seite Berechtigungen angeben die Option JSON aus.

Fügen Sie eine der folgenden Richtlinien ein, je nachdem, ob Ihr Manifest von Amazon S3 generiert wurde oder ob Sie Ihr eigenes Manifest angeben. Weitere Informationen zu Manifesten finden Sie unter Angeben eines Manifests für einen Batch-Replikationsauftrag.

Bevor Sie diese Richtlinien verwenden, ersetzen Sie die user input placeholders in den folgenden Richtlinien durch die Namen des Quell-Buckets, des Manifest-Buckets und des Abschlussbericht-Buckets Ihrer Replikation.

Anmerkung

Ihre IAM-Rolle für die Batch-Replikation benötigt unterschiedliche Berechtigungen, je nachdem, ob Sie ein Manifest generieren oder eines bereitstellen. Stellen Sie daher sicher, dass Sie die entsprechende Richtlinie aus den folgenden Beispielen auswählen.

Richtlinie bei Verwendung und Speicherung eines von Amazon S3 generierten Manifests


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Action":[
            "s3:InitiateReplication"
         ],
         "Effect":"Allow",
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
         ]
      },
      {
         "Action":[
            "s3:GetReplicationConfiguration",
            "s3:PutInventoryConfiguration"
         ],
         "Effect":"Allow",
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
         ]
      },
      {
         "Action":[
            "s3:GetObject",
            "s3:GetObjectVersion"
         ],
         "Effect":"Allow",
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-manifest-bucket/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:PutObject"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-completion-report-bucket/*",
            "arn:aws:s3:::amzn-s3-demo-manifest-bucket/*"    
         ]
      }
   ]
}

Richtlinie bei Verwendung eines vom Benutzer bereitgestellten Manifests


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Action":[
            "s3:InitiateReplication"
         ],
         "Effect":"Allow",
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
         ]
      },
            {
         "Action":[
            "s3:GetObject",
            "s3:GetObjectVersion"
         ],
         "Effect":"Allow",
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-manifest-bucket/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:PutObject"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-completion-report-bucket/*"    
         ]
      }
   ]
}

Wählen Sie Weiter.
Legen Sie einen Namen für die Richtlinie fest und wählen Sie dann Create policy (Richtlinie erstellen) aus.

So erstellen Sie eine IAM-Rolle für die Batch-Replikation

Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie unter Access management (Zugriffsverwaltung) Roles (Rollen) aus.
Wählen Sie Rolle erstellen aus.
Wählen Sie als Typ der vertrauenswürdigen Entität AWS-Service aus. Wählen Sie im Abschnitt Anwendungsfall S3 als Service und S3 Batch Operations als Anwendungsfall aus.
Wählen Sie Weiter. Die Seite Add permissions (Berechtigung hinzufügen) wird angezeigt. Suchen Sie im Suchfeld nach der Richtlinie, die Sie im vorherigen Verfahren erstellt haben. Aktivieren Sie das Kontrollkästchen neben dem Richtliniennamen und wählen Sie anschließend Weiter aus.
Geben Sie auf der Seite zum Benennen, Überprüfen und Erstellen einen Namen für Ihre IAM-Rolle an.

Stellen Sie im Abschnitt Schritt 1: Identitäten vertrauen sicher, dass Ihre IAM-Rolle die folgende Vertrauensrichtlinie verwendet:


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"batchoperations.s3.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Stellen Sie im Abschnitt Schritt 2: Berechtigungen hinzufügen sicher, dass Ihre IAM-Rolle die Richtlinie verwendet, die Sie zuvor erstellt haben.
Wählen Sie Rolle erstellen aus.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Replizieren vorhandener Objekte

Batch-Replikation für eine erste Replikationsregel oder ein neues Ziel