Amazon-S3-Bucket-Richtlinie fürAWS Compute Optimizer - AWS Compute Optimizer

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon-S3-Bucket-Richtlinie fürAWS Compute Optimizer

Sie können Ihre Compute Optimizer Optimizer-Empfehlungen in einer CSV-Datei mit durch Kommas getrennten Werten (CSV) und deren Metadaten in einer JavaScript Objektschreibdatei (.json) in einem Amazon-S3-Bucket (Amazon Simple Storage Service). Weitere Informationen finden Sie unter Exportieren von Empfehlungen.

Sie müssen den S3-Ziel-Bucket für den Export Ihrer Empfehlungen erstellen, bevor Sie den Exportauftrag erstellen. Compute Optimizer erstellt den S3-Bucket nicht für Sie. Der S3-Bucket, den Sie für Ihre Empfehlungen-Exportdateien angeben, kann nicht öffentlich zugänglich sein und kann nicht alsZahlung durch den AnfordererBucket.

Die bewährte Methode besteht darin, einen speziellen S3 Bucket für Compute Optimizer Optimizer-Exportdateien zu erstellen. Weitere Informationen finden Sie unterWie erstelle ich einen S3-Bucket?imAmazon S3-Konsole Benutzerhandbuchaus. Nachdem Sie den S3-Bucket erstellt haben, vergewissern Sie sich, dass er über die erforderliche Berechtigungsrichtlinie verfügt, damit Compute Optimizer die Exportdateien in den Bucket schreiben kann. Weitere Informationen finden Sie unter Angeben eines vorhandenen Buckets für den Export Ihrer Empfehlungen.

Verschlüsselte S3-Buckets für den Export Ihrer Empfehlungen verwenden

Für das Ziel Ihrer Compute Optimizer Optimizer-Empfehlungen können Sie S3-Buckets angeben, die entweder mit Amazon S3-verwalteten Schlüsseln (SSE-S3) oder mit von Amazon S3 verschlüsselt werdenAWS KMS keysVon gespeichertAWS Key Management Service(AWS KMS) enthalten.

Sie müssen einen symmetrischen KMS-Verschlüsselungsschlüssel erstellen, um einen S3-Bucket zu verwendenAWS KMSverschlüsselung aktiviert. KMS-Schlüssel mit symmetrischer Verschlüsselung sind die einzigen KMS-Schlüssel, die von Amazon S3 unterstützt werden. Weitere Informationen finden Sie unter Erstellen von Schlüsseln im AWS KMS-Entwicklerhandbuch. Nachdem Sie den KMS-Schlüssel erstellt haben, müssen Sie ihn auf den S3-Bucket anwenden, den Sie für den Export Ihrer Empfehlungen verwenden möchten. Weitere Informationen finden Sie unterAktivieren der Amazon-S3-Standard-Bucket-VerschlüsselungimAmazon Simple Storage Serviceaus.

Gehen Sie wie folgt vor, um Compute Optimizer die erforderliche Berechtigung zu erteilen, Ihren KMS-Schlüssel zum Verschlüsseln Ihrer Empfehlungen-Exportdatei zu verwenden, wenn Sie sie in Ihrem verschlüsselten S3-Bucket speichern.

  1. Öffnen Sie die AWS KMS-Konsole unter https://console.aws.amazon.com/kms.

  2. Um die AWS-Region zu ändern, verwenden Sie den Region selector (Regionsauswahl) in der oberen rechten Ecke der Seite.

  3. Klicken Sie im linken Navigationsmenü aufKundenverwaltete Schlüsselaus.

  4. Wählen Sie den Namen des KMS-Schlüssels, den Sie zum Verschlüsseln des S3-Export-Buckets verwendet haben.

  5. Wählen Sie das SymbolSchlüsselrichtlinieund wählen Sie dannWechseln zur -Richtlinienansichtaus.

  6. Klicken Sie aufBearbeitenum die wichtigsten Richtlinien zu bearbeiten.

  7. Kopieren Sie eine der folgenden Richtlinien, und fügen Sie sie in den Abschnitt mit den Anweisungen der wichtigsten Richtlinie ein. ErsetzenMeine Regiondurch die QuelleAWSRegion undMeine Konto-IDdurch die Kontonummer des Anforderers des Exportauftrags.

    Die Aussage (für dieGenerateDataKeyaction) ermöglicht Compute Optimizer das Aufrufen desAWS KMSAPI zum Abrufen des Datenschlüssels zum Verschlüsseln der Empfehlungsdateien. Auf diese Weise kann das hochgeladene Datenformat die Bucket-Verschlüsselungseinstellung berücksichtigen. Andernfalls lehnt Amazon S3 die Exportanforderung ab.

    Anmerkung

    Sind dem vorhandenen KMS-Schlüssel bereits ein oder mehrere Richtlinien angefügt, fügen Sie für den Compute Optimizer Optimizer-Zugriff auf diese Richtlinien die Anweisungen hinzu. Nehmen Sie eine Beurteilung der daraus resultierenden Berechtigungen vor, um sicherzustellen, dass sie für die Benutzer, die auf den KMS-Schlüssel zugreifen werden, geeignet sind.

    • Verwenden Sie die folgende Richtlinie, wenn Sienicht aktiviert habenAmazon-S3-Bucket-Schlüssel

      { "Sid": "Allow use of the key to Compute Optimizer", "Effect": "Allow", "Principal": { "Service": "compute-optimizer.amazonaws.com" }, "Action": "kms:GenerateDataKey", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*" } } }
    • Verwenden Sie die folgende Richtlinie, wenn Sieaktiviert habenAmazon-S3-Bucket-Schlüssel Weitere Informationen finden Sie unter Reduzieren der Kosten für SSE-KMS mit Amazon-S3-Bucket-Schlüsseln im Benutzerhandbuch von Amazon Simple Storage Service.

      { "Sid": "Allow use of the key to Compute Optimizer", "Effect": "Allow", "Principal": { "Service": "compute-optimizer.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*" } } }

Angeben eines vorhandenen Buckets für den Export Ihrer Empfehlungen

Gehen Sie wie folgt vor, um Ihrem S3-Bucket eine Richtlinie hinzuzufügen, die es Compute Optimizer ermöglicht, Empfehlungs-Exportdateien in Ihren Bucket zu schreiben.

  1. Öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie den Bucket, in dem Compute Optimizer Ihre Exportdateien bereitstellen soll.

  3. Wählen Sie Permissions (Berechtigungen).

  4. Wählen Sie Bucket Policy aus.

  5. Kopieren Sie die folgende Richtlinie und fügen Sie sie in dasBucket-RichtlinieneditorTextfeld (Textfeld).

    ErsetzenmyBucketNamedurch den Namen Ihres -BucketsOptionales Präfixmit dem optionalen ObjektpräfixMeine Regiondurch die QuelleAWSRegion undMeine Konto-IDdurch die Kontonummer des Anforderers des Exportauftrags. Wenn Sie beim Erstellen Ihres Empfehlungsexports ein Objektpräfix angeben möchten, nehmen Sie es in die Richtlinie auf. Das Objektpräfix ist ein optionaler Zusatz zum S3-Objektschlüssel, mit dem der Exportdateien in Ihrem S3-Bucket organisiert wird.

    Sie müssen diese Richtlinie kopieren und einfügen, um alle drei Anweisungen einzubeziehen. Die erste Anweisung (für denGetBucketAclaction) ermöglicht Compute Optimizer, die Zugriffskontrollliste (ACL) Ihres -Buckets abzurufen. Die zweite Anweisung (für dieGetBucketPolicyStatusaction) ermöglicht Compute Optimizer, den Richtlinienstatus Ihres -Buckets abzurufen, der angibt, ob der Bucket öffentlich ist. Die dritte Aussage (für diePutObjectaction) gibt Compute Optimizer die volle Kontrolle über das Ablegen der Exportdatei in Ihren Bucket. Ihre Exportanfrage schlägt fehl, wenn eine dieser Anweisungen fehlt oder wenn der Bucket-Name und das optionale Objektpräfix in der Richtlinie nicht mit dem übereinstimmen, was Sie in Ihrer Exportanforderung angeben. Es schlägt auch fehl, wenn die Kontonummer in der Richtlinie nicht mit der Kontonummer des Anforderers des Exportauftrags übereinstimmt.

    Anmerkung

    Sind dem vorhandenen Bucket bereits ein oder mehrere Richtlinien angefügt, fügen Sie für den Compute Optimizer Optimizer-Zugriff auf diese Richtlinie oder auf Richtlinien die Anweisungen hinzu. Nehmen Sie eine Beurteilung der daraus resultierenden Berechtigungen vor, um sicherzustellen, dass sie für die Benutzer, die auf den Bucket zugreifen werden, geeignet sind.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"Service": "compute-optimizer.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::myBucketName" }, { "Effect": "Allow", "Principal": {"Service": "compute-optimizer.amazonaws.com"}, "Action": "s3:GetBucketPolicyStatus", "Resource": "arn:aws:s3:::myBucketName" }, { "Effect": "Allow", "Principal": {"Service": "compute-optimizer.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/optionalPrefix/compute-optimizer/myAccountID/*", "Condition": {"StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*" } } } ] }

    Wenn Sie kein Objektpräfix verwenden möchten, verwenden Sie stattdessen die folgende Richtlinie:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"Service": "compute-optimizer.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::myBucketName" }, { "Effect": "Allow", "Principal": {"Service": "compute-optimizer.amazonaws.com"}, "Action": "s3:GetBucketPolicyStatus", "Resource": "arn:aws:s3:::myBucketName" }, { "Effect": "Allow", "Principal": {"Service": "compute-optimizer.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/compute-optimizer/myAccountID/*", "Condition": {"StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*" } } } ] }

Weitere Ressourcen

Weitere Informationen zu S3-Buckets und -Richtlinien finden Sie im Benutzerhandbuch für Amazon Simple Storage Service.