Amazon-S3-Buckch-Richtlinie fürAWS Compute Optimizer - AWS Compute Optimizer
Angeben eines vorhandenen Buckets für den EmpfehlungsexportVerwenden Sie verschlüsselte S3-Buckets für den Export Ihrer EmpfehlungenWeitere Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon-S3-Buckch-Richtlinie fürAWS Compute Optimizer

Sie können Ihre Compute Optimizer in einen Amazon-S3-Bucket (Amazon Simple Storage Service) exportieren. Ihre Empfehlungen werden als CSV-Datei exportiert und die Metadaten werden als JSON-Datei exportiert. Weitere Informationen finden Sie unter Empfehlungen exportieren.

Bevor Sie den Exportjob erstellen, müssen Sie zuerst den Ziel-S3-Bucket für Ihren Empfehlungsexport erstellen. Compute Optimizer erstellt den S3-Bucket nicht für Sie. Der S3-Bucket, den Sie für die Exportdateien Ihrer Empfehlungen angeben, darf nicht öffentlich zugänglich sein und kann nicht als Requester Pays-Bucket konfiguriert werden. Die bewährte Methode besteht darin, einen speziellen S3 Bucket für Compute Optimizer-Exportdateien zu erstellen. Weitere Informationen finden Sie unter Wie erstelle ich einen S3-Bucket? im Amazon S3-Konsole Benutzerhandbuch

Angeben eines vorhandenen Buckets für den Empfehlungsexport

Nachdem Sie Ihren S3-Bucket erstellt haben, gehen Sie wie folgt vor, um dem S3-Bucket eine Richtlinie hinzuzufügen, die es Compute Optimizer ermöglicht, Empfehlungen zu schreiben und Dateien in Ihren Bucket zu exportieren.

  1. Öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie den Bucket, in dem Compute Optimizer Ihre Exportdateien bereitstellen soll.

  3. Wählen Sie Permissions (Berechtigungen).

  4. Wählen Sie Bucket Policy aus.

  5. Kopieren Sie eine der folgenden Richtlinien und fügen Sie sie in das Textfeld des Bucket Policy Editors ein.

  6. Ersetzen Sie den folgenden Platzhaltertext in der Richtlinie:

    • Ersetzen Sie myBucketName durch den Namen von Ihrem Bucket.

    • Ersetzen Sie OptionalPrefix durch das optionale Objektpräfix.

    • Ersetzen Sie myRegion durch die QuelleAWS-Region.

    • Ersetzen Sie myAccountId durch die Kontonummer des Anforderers des Exportauftrags.

  7. Nehmen Sie alle drei der folgenden Aussagen in die Richtlinie auf:

    1. Die erste Anweisung (für dieGetBucketAcl Aktion) ermöglicht Compute Optimizer, die Zugriffssteuerungsliste (Access Control List, ACL) Ihres Buckets abzurufen.

    2. Die zweite Anweisung (für dieGetBucketPolicyStatus Aktion) ermöglicht es Compute Optimizer, den Richtlinienstatus Ihres Buckets abzurufen und anzugeben, ob der Bucket öffentlich ist.

    3. Die dritte Anweisung (für diePutObject Aktion) gibt Compute Optimizer die volle Kontrolle darüber, die Exportdatei in Ihren Bucket zu legen.

    Ihre Exportanfrage schlägt fehl, wenn eine dieser Anweisungen fehlt oder wenn der Bucket-Name und das optionale Objektpräfix in der Richtlinie nicht mit den Angaben in Ihrer Exportanfrage übereinstimmen. Ihr Export schlägt auch fehl, wenn die Kontonummer in der Richtlinie nicht mit der Kontonummer des Anforderers des Exportauftrags übereinstimmt.

    Anmerkung

    Sind dem vorhandenen Bucket bereits ein oder mehrere Richtlinien angefügt, fügen Sie für den Compuch-Optimizer-Zugriff auf diese Richtlinie oder auf Richtlinien die Anweisungen hinzu. Nehmen Sie eine Beurteilung der daraus resultierenden Berechtigungen vor, um sicherzustellen, dass sie für die Benutzer, die auf den Bucket zugreifen, geeignet sind.

Richtlinienoption 1: Verwendung eines optionalen Präfixes

Das Objektpräfix ist eine optionale Ergänzung zum S3-Objektschlüssel, der Ihre Exportdateien in Ihrem S3-Bucket organisiert. Wenn Sie beim Erstellen Ihres Empfehlungsexports ein Objektpräfix angeben möchten, verwenden Sie die folgende Richtlinie.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"Service": "compute-optimizer.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::myBucketName"
        },
        {
            "Effect": "Allow",
            "Principal": {"Service": "compute-optimizer.amazonaws.com"},
            "Action": "s3:GetBucketPolicyStatus",
            "Resource": "arn:aws:s3:::myBucketName"
        },
        {
            "Effect": "Allow",
            "Principal": {"Service": "compute-optimizer.amazonaws.com"},
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::myBucketName/optionalPrefix/compute-optimizer/myAccountID/*",
            "Condition": {"StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": "myAccountID",
                    "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*"
                }
            }
        }
    ]
}
Anmerkung

Die Komponente compute-optimizer/myAccountID/ ist nicht Teil des optionalen Präfixes. Compute Optimizer erstellt für Sie den Optimizer/myAccountId/-Teil des Bucket-Pfads, der dem von Ihnen angegebenen Präfix hinzugefügt wird.

Richtlinienoption 2: Kein Objektpräfix

Wenn Sie kein Objektpräfix angeben möchten, verwenden Sie die folgende Richtlinie.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"Service": "compute-optimizer.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::myBucketName"
        },
        {
            "Effect": "Allow",
            "Principal": {"Service": "compute-optimizer.amazonaws.com"},
            "Action": "s3:GetBucketPolicyStatus",
            "Resource": "arn:aws:s3:::myBucketName"
        },
        {
            "Effect": "Allow",
            "Principal": {"Service": "compute-optimizer.amazonaws.com"},
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::myBucketName/compute-optimizer/myAccountID/*",
            "Condition": {"StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": "myAccountID",
                    "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*"
                }
            }
        }
    ]
}

Verwenden Sie verschlüsselte S3-Buckets für den Export Ihrer Empfehlungen

Als Ziel Ihrer Compute Optimizer-Empfehlungsexporte können Sie S3-Buckets angeben, die entweder mit kundenverwalteten Amazon S3-Schlüsseln oderAWS Key Management Service (KMS) -Schlüsseln verschlüsselt sind.

Um einen S3-Bucket mit aktivierterAWS KMS Verschlüsselung zu verwenden, müssen Sie einen symmetrischen KMS-Schlüssel erstellen. Symmetrische KMS-Schlüssel sind die einzigen KMS-Schlüssel, die Amazon S3 unterstützt. Eine Anleitung finden Sie unter Schlüssel erstellen im AWS KMSEntwicklerhandbuch. Nachdem Sie den KMS-Schlüssel erstellt haben, wenden Sie ihn auf den S3-Bucket an, den Sie für den Export Ihrer Empfehlungen verwenden möchten. Weitere Informationen finden Sie unter Amazon-S3-Buckch-Richtlinien im Amazon Simple Storage Service Benutzerhandbuch.

Gehen Sie wie folgt vor, um Compute Optimizer die erforderliche Berechtigung für die Verwendung Ihres KMS-Schlüssel zu gewähren. Diese Berechtigung gilt speziell für die Verschlüsselung Ihrer Empfehlungsexportdatei, wenn Sie sie in Ihrem verschlüsselten S3-Bucket speichern.

  1. Öffnen Sie die AWS KMS-Konsole unter https://console.aws.amazon.com/kms.

  2. Um die AWS-Region zu ändern, verwenden Sie die Regionenauswahl in der oberen rechten Ecke der Seite.

  3. Wählen Sie im linken Navigationsmenü Kundenverwaltete Schlüssel.

    Anmerkung

    Compute Optimizer-Empfehlungsexporte sind für S3-Buckets, die mit AWSverwalteten Schlüsseln verschlüsselt sind, nicht zulässig.

  4. Wählen Sie den Namen des KMS-Schlüssels, den Sie zum Verschlüsseln des Export-S3-Buckets verwendet haben.

  5. Wählen Sie den Tab „Wichtige Richtlinie“ und anschließend „Zur Richtlinienansicht wechseln“.

  6. Wählen Sie Bearbeiten, um die Schlüsselrichtlinie zu bearbeiten.

  7. Kopieren Sie eine der folgenden Richtlinien und fügen Sie sie in den Abschnitt mit den Anweisungen der wichtigsten Richtlinie ein.

  8. Ersetzen Sie den folgenden Platzhaltertext in der Richtlinie:

    • Ersetzen Sie myRegion durch die QuelleAWS-Region.

    • Ersetzen Sie myAccountId durch die Kontonummer des Exportanforderers.

    DieGenerateDataKey Anweisung ermöglicht es Compute Optimizer, dieAWS KMS API aufzurufen, um den Datenschlüssel für die Verschlüsselung der Empfehlungsdateien abzurufen. Auf diese Weise kann das hochgeladene Datenformat die Einstellung für die Bucket-Verschlüsselung berücksichtigen. Andernfalls lehnt Amazon S3 die Exportanforderung ab.

    Anmerkung

    Sind dem vorhandenen KMS-Schlüssel bereits ein oder mehrere Richtlinien angefügt, fügen Sie für den Compuch-Optimizer-Zugriff auf diese Richtlinie die Anweisungen hinzu. Nehmen Sie eine Beurteilung der daraus resultierenden Berechtigungen vor, um sicherzustellen, dass sie für die Benutzer, die auf den KMS-Schlüssel zugreifen, geeignet sind.

Verwenden Sie die folgende Richtlinie, wenn Sie die Amazon S3-Bucket-Schlüssel nicht aktiviert haben.

{
            "Sid": "Allow use of the key to Compute Optimizer",
            "Effect": "Allow",
            "Principal": {
                "Service": "compute-optimizer.amazonaws.com"
            },
            "Action": "kms:GenerateDataKey",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                   "aws:SourceAccount": "myAccountID",
                   "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*"
                }
            }
        }

Verwenden Sie die folgende Richtlinie, wenn Sie Amazon S3-Bucket-Schlüssel aktiviert haben. Weitere Informationen finden Sie unter Reduzieren der Kosten für SSE-KMS mit Amazon-S3-Bucket-Schlüsseln im Benutzerhandbuch von Amazon Simple Storage Service.

{
            "Sid": "Allow use of the key to Compute Optimizer",
            "Effect": "Allow",
            "Principal": {
                "Service": "compute-optimizer.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "myAccountID",
                    "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*"
                }
            }
        }

Weitere Ressourcen

Weitere Informationen zu S3-Buckets und -Richtlinien finden Sie im Benutzerhandbuch für Amazon Simple Storage Service.