Berechtigungen für die Live-Replikation einrichten - Amazon Simple Storage Service
Erstellen einer IAM-RolleErteilen von Berechtigungen, wenn die Quell- und Ziel-Buckets unterschiedlichen Besitzern gehören AWS-KontenGewähren von Berechtigungen für S3-Batch-OperationenÄndern des ReplikatbesitzersAktivieren des Empfangs replizierter Objekte aus einem Quell-Bucket

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen für die Live-Replikation einrichten

Beim Einrichten der Live-Replikation müssen Sie die erforderlichen Berechtigungen wie folgt erwerben:

  • Amazon S3 benötigt Berechtigungen, um Objekte in Ihrem Namen zu replizieren. Sie gewähren diese Berechtigungen, indem Sie eine IAM Rolle erstellen und diese Rolle dann in Ihrer Replikationskonfiguration angeben.

  • Wenn sich der Quell- und der Ziel-Bucket im Besitz verschiedener Konten befinden, muss der Eigentümer des Ziel-Buckets dem Quell-Bucket-Eigentümer die Berechtigungen zum Speichern der Replikate erteilen.

Erstellen einer IAM-Rolle

Standardmäßig sind alle Amazon-S3-Ressourcen – Buckets, Objekte und zugehörige Unterressourcen – privat, sodass nur der Ressourcenbesitzer auf die Ressource zugreifen kann. Amazon S3 benötigt Berechtigungen zum Lesen und Replizieren von Objekten aus dem Quell-Bucket. Sie gewähren diese Berechtigungen, indem Sie eine IAM Rolle erstellen und die Rolle in Ihrer Replikationskonfiguration angeben.

In diesem Abschnitt werden die Vertrauensrichtlinie und die mindestens erforderliche Berechtigungsrichtlinie erläutert. Die exemplarischen Vorgehensweisen enthalten step-by-step Anweisungen zum Erstellen einer IAM Rolle. Weitere Informationen finden Sie unter Beispiele für die Konfiguration der Live-Replikation.

  • Im folgenden Beispiel wird eine Vertrauensrichtlinie gezeigt, bei der Sie Amazon S3 als den Service-Prinzipal identifizieren, der die Rolle übernehmen kann.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"s3.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

  • Im folgenden Beispiel wird eine Vertrauensrichtlinie gezeigt, bei der Sie Amazon S3 und S3-Batchvorgänge als Service-Prinzipale identifizieren. Dies ist nützlich, wenn Sie einen Batchreplikationsauftrag erstellen. Weitere Informationen finden Sie unter Erstellen eines Batch-Replikationsauftrags für eine erste Replikationsregel oder ein neues Ziel.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service": [
              "s3.amazonaws.com",
              "batchoperations.s3.amazonaws.com"
           ]
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

    Weitere Informationen zu IAM Rollen finden Sie im IAMBenutzerhandbuch unter IAMRollen.

  • Im folgenden Beispiel wird eine Zugriffsrichtlinie gezeigt, bei der Sie der Rolle die Berechtigungen erteilen, Replikationsaufgaben in Ihrem Namen durchzuführen. Wenn Amazon S3 die Rolle annimmt, verfügt es über die Berechtigungen, die Sie in dieser Richtlinie angeben. In dieser Richtlinie ist amzn-s3-demo-bucket1 der Quell-Bucket und amzn-s3-demo-bucket2 der Ziel-Bucket.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetReplicationConfiguration",
            "s3:ListBucket"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-bucket1"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetObjectVersionForReplication",
            "s3:GetObjectVersionAcl",
            "s3:GetObjectVersionTagging"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-bucket1/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:ReplicateObject",
            "s3:ReplicateDelete",
            "s3:ReplicateTags"
         ],
         "Resource":"arn:aws:s3:::amzn-s3-demo-bucket2/*"
      }
   ]
}

    Die Zugriffsrichtlinie erteilt Berechtigungen für folgenden Aktionen:

    • s3:GetReplicationConfiguration und s3:ListBucket – Berechtigungen für diese Aktionen im amzn-s3-demo-bucket1-Bucket (Quell-Bucket) erlauben es Amazon S3, die Replikationskonfiguration abzurufen und den Bucket-Inhalt aufzulisten. (Das aktuelle Berechtigungsmodell erfordert die s3:ListBucket-Berechtigung für den Zugriff auf Löschmarkierungen.)

    • s3:GetObjectVersionForReplicationund s3:GetObjectVersionAcl — Berechtigungen für diese Aktionen werden für alle Objekte erteilt, sodass Amazon S3 eine bestimmte Objektversion und Zugriffskontrollliste (ACL) abrufen kann, die den Objekten zugeordnet sind.

    • s3:ReplicateObject und s3:ReplicateDelete – Berechtigungen für diese Aktionen für alle Objekte im amzn-s3-demo-bucket2-Bucket (Ziel-Bucket) erlauben es Amazon S3, Objekte oder Löschmarkierungen in den Ziel-Bucket zu replizieren. Informationen zu Löschmarkierungen finden Sie unter Auswirkungen von LöschVorgänge auf die Replikation.

      Anmerkung

      Berechtigungen für die s3:ReplicateObject Aktion im amzn-s3-demo-bucket2 Bucket (dem Ziel-Bucket) ermöglichen auch die Replikation von Metadaten wie Objekt-Tags undACLS. Daher müssen Sie für die s3:ReplicateTags-Aktion keine explizite Berechtigung erteilen.

    • s3:GetObjectVersionTagging – Berechtigungen für diese Aktion für Objekte im amzn-s3-demo-bucket1-Bucket (Quell-Bucket) gestatten es Amazon S3, Objekt-Tags für die Replikation zu lesen. Weitere Informationen finden Sie unter Kategorisieren des Speichers mithilfe von Markierungen. Wenn Amazon S3 nicht über diese Berechtigungen verfügt, repliziert es die Objekte, aber nicht die Objekt-Markierungen.

    Eine Liste der Amazon S3-Aktionen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3 in der Service Authorization Reference.

    Wichtig

    AWS-Konto Derjenige, dem die IAM Rolle gehört, muss über Berechtigungen für die Aktionen verfügen, die er der IAM Rolle gewährt.

    Angenommen, der Quell-Bucket enthält beispielsweise Objekte, die im Besitz eines anderen AWS-Konto sind. Der Besitzer der Objekte muss demjenigen AWS-Konto , dem die IAM Rolle gehört, ausdrücklich die erforderlichen Berechtigungen über das Objekt gewährenACL. Andernfalls kann Amazon S3 nicht auf die Objekte zugreifen, und die Replikation dieser Objekte schlägt fehl. Hinweise zu ACL Berechtigungen finden Sie unterÜbersicht über die Zugriffskontrollliste (ACL).

    Die hier beschriebenen Berechtigungen gehören zur Mindest-Replikationskonfiguration. Wenn Sie optionale Replikations-Konfigurationen hinzufügen möchten, müssen Sie Amazon S3 zusätzliche Berechtigungen erteilen.

Erteilen von Berechtigungen, wenn die Quell- und Ziel-Buckets unterschiedlichen Besitzern gehören AWS-Konten

Wenn sich der Quell- und der Ziel-Bucket im Besitz von unterschiedlichen Konten befinden, muss der Eigentümer des Ziel-Buckets auch eine Bucket-Richtlinie hinzufügen, um dem Eigentümer des Quell-Buckets die Berechtigung zum Ausführen von Replikationsaktionen wie folgt zu erteilen. In dieser Richtlinie ist amzn-s3-demo-bucket2 der Ziel-Bucket.

Anmerkung

Das ARN Format der Rolle sieht möglicherweise anders aus. Wenn die Rolle mithilfe der Konsole erstellt wurde, lautet das ARN Formatarn:aws:iam::account-ID:role/service-role/role-name. Wenn die Rolle mithilfe von erstellt wurde AWS CLI, lautet das ARN Formatarn:aws:iam::account-ID:role/role-name. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMRollen. 

{
   "Version":"2012-10-17",
   "Id":"PolicyForDestinationBucket",
   "Statement":[
      {
         "Sid":"Permissions on objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::SourceBucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":[
            "s3:ReplicateDelete",
            "s3:ReplicateObject"
         ],
         "Resource":"arn:aws:s3:::amzn-s3-demo-bucket2/*"
      },
      {
         "Sid":"Permissions on bucket",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::SourceBucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action": [
            "s3:List*",
            "s3:GetBucketVersioning",
            "s3:PutBucketVersioning"
         ],
         "Resource":"arn:aws:s3:::amzn-s3-demo-bucket2"
      }
   ]
}

Ein Beispiel finden Sie unter Konfigurieren der Replikation, wenn sich Quell- und Ziel-Buckets im Eigentum verschiedener Konten befinden.

Wenn Objekte im Quell-Bucket mit einem Tag versehen sind, beachten Sie Folgendes:

  • Wenn der Besitzer des Quell-Buckets Amazon S3 die Erlaubnis für die s3:GetObjectVersionTagging und s3:ReplicateTags Aktionen zur Replikation von Objekt-Tags (über die IAM Rolle) erteilt, repliziert Amazon S3 die Tags zusammen mit den Objekten. Informationen zur IAM Rolle finden Sie unter. Erstellen einer IAM-Rolle

  • Wenn der Eigentümer des Ziel-Buckets die Tags nicht replizieren will, kann er die folgende Anweisung zur Richtlinie für den Ziel-Bucket hinzufügen, um die Berechtigung für die Aktion s3:ReplicateTags explizit zu verweigern. In dieser Richtlinie amzn-s3-demo-bucket2 ist der Ziel-Bucket.

    ...
   "Statement":[
      {
         "Effect":"Deny",
         "Principal":{
            "AWS":"arn:aws:iam::SourceBucket-account-id:role/service-role/source-account-IAM-role"
         },
         "Action":"s3:ReplicateTags",
         "Resource":"arn:aws:s3:::amzn-s3-demo-bucket2/*"
      }
   ]
...

Gewähren von Berechtigungen für S3-Batch-Operationen

Die S3-Batch-Replikation bietet Ihnen eine Möglichkeit, Objekte zu replizieren, die existierten, bevor eine Replikationskonfiguration vorhanden war, Objekte, die zuvor repliziert wurden, und Objekte, bei denen die Replikation fehlgeschlagen ist. Beim Erstellen der ersten Regel in einer neuen Replikationskonfiguration oder beim Hinzufügen eines neuen Ziels zu einer vorhandenen Konfiguration über die AWS Management Console können Sie einen einmaligen Batch-Replikationsauftrag erstellen. Sie können die Batch-Replikation auch für eine bestehende Replikationskonfiguration initiieren, indem Sie einen Batch-Operationsauftrag erstellen.

IAMRollen- und Richtlinienbeispiele für Batch-Replikation finden Sie unterKonfiguration von IAM Richtlinien für die Batch-Replikation.

Ändern des Replikatbesitzers

Wenn unterschiedliche AWS-Konten Eigentümer des Quell- und des Ziel-Buckets sind, können Sie Amazon S3 anweisen, den Eigentümer des Replikats auf den Eigentümer des Ziel-Buckets zu ändern. AWS-Konto Weitere Informationen zum Außerkraftsetzen des Besitzers finden Sie unter Ändern des Replikat-Eigentümers.

Aktivieren des Empfangs replizierter Objekte aus einem Quell-Bucket

Sie können schnell die Richtlinien generieren, die erforderlich sind, um den Empfang replizierter Objekte aus einem Quell-Bucket über die AWS Management Console zu aktivieren.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im linken Navigationsbereich Buckets aus.

  3. Wählen Sie in der Liste Buckets den Bucket aus, den Sie als Ziel-Bucket verwenden möchten.

  4. Wählen Sie die Registerkarte Management (Verwaltung) aus und scrollen Sie nach unten zu Replication rules (Replikationsregeln).

  5. Wählen Sie für Actions (Aktionen) die Option Receive replicated objects (Replizierte Objekte empfangen) aus.

    Folgen Sie den Anweisungen, geben Sie die AWS-Konto ID des Quell-Bucket-Kontos ein und wählen Sie Richtlinien generieren aus. Dadurch werden eine Amazon S3 S3-Bucket-Richtlinie und eine KMS Schlüsselrichtlinie generiert.

  6. Wenn Sie diese Richtlinie Ihrer bestehenden Bucket-Richtlinie hinzufügen möchten, wählen Sie entweder Apply settings (Einstellungen anwenden) oder Copy (Kopieren) aus, um die Änderungen manuell zu kopieren.

  7. (Optional) Kopieren Sie die AWS KMS Richtlinie in die gewünschte KMS Schlüsselrichtlinie auf der AWS Key Management Service Konsole.