Verwenden eines im Quellkonto gespeicherten CSV-Manifests, um Objekte über hinweg zu kopieren AWS-Konten - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden eines im Quellkonto gespeicherten CSV-Manifests, um Objekte über hinweg zu kopieren AWS-Konten

Sie können eine in einem anderen AWS-Konto gespeicherte CSV-Datei als Manifest für einen S3-Batchoperations-Auftrag verwenden. Informationen zur Verwendung eines S3-Inventory-Berichts finden Sie unter Verwenden eines im Zielkonto bereitgestellten Bestandsberichts, um Objekte über AWS-Konten hinweg zu kopieren.

Das folgende Verfahren zeigt, wie Berechtigungen bei Verwendung eines S3-Batchoperations-Auftrags zum Kopieren von Objekten aus einem Quellkonto in ein Zielkonto unter Verwendung der im Quellkonto gespeicherten CSV-Manifestdatei eingerichtet werden.

So richten Sie ein in einem anderen gespeichertes CSV-Manifest ein AWS-Konto

  1. Erstellen Sie eine Rolle im Zielkonto, die auf der S3-BatchVorgängevertrauensrichtlinie basiert. In diesem Verfahren ist das Zielkonto das Konto, in das die Objekte kopiert werden.

    Weitere Informationen zur Vertrauensrichtlinie finden Sie unter Vertrauensrichtlinie.

    Weitere Informationen zum Erstellen einer Rolle finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service im IAM-Benutzerhandbuch.

    Wenn Sie die Rolle mit der Konsole erstellen, geben Sie einen Namen für die Rolle ein (der Name der Beispielrolle lautet BatchOperationsDestinationRoleCOPY). Wählen Sie den Service S3 und dann den Anwendungsfall S3 Bucket Batch Operations (S3-Bucket-Batch-Vorgänge) aus, mit dem die Vertrauensrichtlinie der Rolle zugewiesen wird.

    Wählen Sie dann Create policy (Richtlinie erstellen) aus, um der Rolle die folgende Richtlinie anzufügen.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowBatchOperationsDestinationObjectCOPY",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:PutObjectVersionAcl",
        "s3:PutObjectAcl",
        "s3:PutObjectVersionTagging",
        "s3:PutObjectTagging",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetObjectAcl",
        "s3:GetObjectTagging",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectVersionTagging"
      ],
      "Resource": [
        "arn:aws:s3:::ObjectDestinationBucket/*",
        "arn:aws:s3:::ObjectSourceBucket/*",
        "arn:aws:s3:::ObjectSourceManifestBucket/*"
      ]
    }
  ]
}

    Mit der Richtlinie gewährt die Rolle die Berechtigung batchoperations.s3.amazonaws.com zum Lesen des Manifests im Quell-Manifest-Bucket. Sie gewährt Berechtigungen für GET-Objekte, Zugriffskontrolllisten (ACLs), Markierungen und Versionen im Quell-Bucket der Objekte. Zudem gewährt sie Berechtigungen für PUT-Objekte, ACLs, Markierungen und Versionen im Ziel-Bucket der Objekte.

  2. Erstellen Sie im Quellkonto eine Bucket-Richtlinie für den Bucket, die der im vorherigen Schritt erstellten Rolle Berechtigungen für GET-Objekte, ACLs, Markierungen und Versionen in Quell-Manifest-Bucket gewährt.

    Dieser Schritt ermöglicht S3-Batch-Vorgänge das Lesen des Manifests unter Verwendung der vertrauenswürdigen Rolle. Weisen Sie die Bucket-Richtlinie dem Bucket zu, in dem sich das Manifest befindet.

    Das folgende Beispiel zeigt eine Bucket-Richtlinie, die dem Quell-Manifest-Bucket zugewiesen werden soll.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowBatchOperationsSourceManfiestRead",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::DestinationAccountNumber:user/ConsoleUserCreatingJob",
          "arn:aws:iam::DestinationAccountNumber:role/BatchOperationsDestinationRoleCOPY"
        ]
      },
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": "arn:aws:s3:::ObjectSourceManifestBucket/*"
    }
  ]
}

    Diese Richtlinie gewährt außerdem die erforderlichen Berechtigungen, damit ein Konsolenbenutzer, der einen Auftrag im Zielkonto erstellt, diese Berechtigungen über dieselbe Bucket-Richtlinie auch für den Ziel-Manifest-Bucket erhält.

  3. Erstellen Sie im Quellkonto eine Bucket-Richtlinie für den Quell-Bucket, die der erstellten Rolle Berechtigungen für GET-Objekte, ACLs, Markierungen und Versionen im Quellobjekt-Bucket gewährt. S3-Batch-Vorgänge kann dann Objekte über die vertrauenswürdige Rolle aus dem Quell-Bucket abrufen.

    Es folgt ein Beispiel für die Bucket-Richtlinie für den Bucket, der die Quellobjekte enthält.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowBatchOperationsSourceObjectCOPY",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DestinationAccountNumber:role/BatchOperationsDestinationRoleCOPY"
      },
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetObjectAcl",
        "s3:GetObjectTagging",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectVersionTagging"
      ],
      "Resource": "arn:aws:s3:::ObjectSourceBucket/*"
    }
  ]
}

  4. Erstellen Sie einen S3-Batchoperations-Auftrag im Zielkonto. Sie benötigen den Amazon-Ressourcennamen (ARN) der im Zielkonto erstellten Rolle.

    Allgemeine Informationen zum Erstellen eines Auftrags finden Sie unter Erstellen eines S3-Batch-Vorgangsauftrags.

    Informationen zum Erstellen eines Auftrags mit der Konsole finden Sie unter Erstellen eines S3-Batch-Vorgangsauftrags.