Konfigurieren von AWS DataSync Übertragungen mit Amazon S3 - AWS DataSync

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren von AWS DataSync Übertragungen mit Amazon S3

Um Daten zu oder von Ihrem S3-Bucket zu übertragen, müssen Sie einen AWS DataSync Übertragungsort erstellen. DataSynckann diesen Standort als Quelle oder Ziel für die Übertragung von Daten verwenden.

Wichtig

Zugreifen auf S3-Buckets

DataSyncerfordert Zugriff auf Ihren Amazon S3 Bucket. Dazu DataSync nimmt er eine AWS Identity and Access Management (IAM-) Rolle mit einer IAM-Richtlinie und AWS Security Token Service (AWS STS) einer Vertrauensbeziehung an. Die Richtlinie bestimmt, welche Aktionen die Rolle ausführen kann.

DataSynckann diese Rolle für Sie erstellen, aber es gibt Situationen, in denen Sie eine Rolle möglicherweise manuell erstellen müssen. Weitere Informationen finden Sie unter Verwenden von IAM-Richtlinien für den Zugriff auf Ihren S3-Bucket.

Überlegungen zur Speicherklasse bei Amazon S3 S3-Übertragungen

DataSynckann Objekte direkt in die Amazon S3 S3-Speicherklasse übertragen, die Sie bei der Erstellung Ihres Amazon S3 S3-Standorts angeben. Einige Speicherklassen weisen Verhaltensweisen auf, die sich auf Ihre Amazon-S3-Speicherkosten auswirken können. Weitere Informationen finden Sie unter Amazon S3 – Preise.

Wichtig

Neue Objekte, die in einen S3-Bucket kopiert werden, werden mit der Speicherklasse gespeichert, die Sie bei der Erstellung Ihres Amazon S3 S3-Standorts angeben. DataSyncändert die Speicherklasse vorhandener Objekte im Bucket nicht (auch wenn dieses Objekt am Quellort geändert wurde).

Amazon S3 S3-Speicherklasse Überlegungen
S3 Standard Wählen Sie S3 Standard, um Ihre häufig aufgerufenen Dateien redundant in mehreren geografisch getrennten Availability Zones zu speichern. Dies ist die Standardeinstellung, wenn Sie keine Speicherklasse angeben.
S3 Intelligent-Tiering

Wählen Sie S3 Intelligent-Tiering, um die Speicherkosten zu optimieren, indem Sie Daten automatisch zur kostengünstigsten Speicherzugriffsstufe verschieben.

Sie zahlen eine monatliche Gebühr pro Objekt in der Speicherklasse S3 Intelligent-Tiering. Diese Amazon S3 S3-Gebühr beinhaltet die Überwachung von Datenzugriffsmustern und das Verschieben von Objekten zwischen den Ebenen.

S3 Standard-IA

Wählen Sie S3 Standard-IA, um Ihre selten aufgerufenen Objekte redundant in mehreren geografisch getrennten Availability Zones zu speichern.

Für Objekte in der Speicherklasse S3 Standard-IA können zusätzliche Gebühren für das Überschreiben, Löschen oder Abrufen anfallen. Bedenken Sie, wie oft diese Objekte geändert werden, wie lange Sie diese Objekte behalten möchten und wie oft Sie darauf zugreifen müssen. Änderungen an Objektdaten oder Metadaten entsprechen dem Löschen eines Objekts und dem Erstellen eines neuen Objekts, um es zu ersetzen. Dies führt zu zusätzlichen Gebühren für Objekte in der Speicherklasse S3 Standard-IA.

Objekte mit weniger als 128 KB sind kleiner als die Mindestkapazitätsgebühr pro Objekt in der Speicherklasse S3 Standard-IA. Diese Objekte werden in der S3-Standardspeicherklasse gespeichert.

S3 One Zone-IA

Wählen Sie S3 One Zone-IA, um Ihre selten aufgerufenen Objekte in einer einzigen Availability Zone zu speichern.

Für Objekte in der Speicherklasse S3 One Zone-IA können zusätzliche Gebühren für das Überschreiben, Löschen oder Abrufen anfallen. Bedenken Sie, wie oft diese Objekte geändert werden, wie lange Sie diese Objekte behalten möchten und wie oft Sie darauf zugreifen müssen. Änderungen an Objektdaten oder Metadaten entsprechen dem Löschen eines Objekts und dem Erstellen eines neuen Objekts, um es zu ersetzen. Dies führt zu zusätzlichen Gebühren für Objekte in der Speicherklasse S3 One Zone-IA.

Objekte mit weniger als 128 KB sind kleiner als die Mindestkapazitätsgebühr pro Objekt in der Speicherklasse S3 One Zone-IA. Diese Objekte werden in der S3-Standardspeicherklasse gespeichert.

S3 Glacier Instant Retrieval

Wählen Sie S3 Glacier Instant Retrieval, um Objekte zu archivieren, auf die selten zugegriffen wird, die aber innerhalb von Millisekunden abgerufen werden müssen.

Daten, die in der Speicherklasse S3 Glacier Instant Retrieval gespeichert sind, bieten Kosteneinsparungen bei gleicher Latenz und Durchsatzleistung. S3 Glacier Instant Retrieval hat jedoch höhere Datenzugriffskosten als S3 Standard-IA.

Für Objekte, die in S3 Glacier Instant Retrieval gespeichert sind, können zusätzliche Gebühren für das Überschreiben, Löschen oder Abrufen anfallen. Bedenken Sie, wie oft diese Objekte geändert werden, wie lange Sie diese Objekte behalten möchten und wie oft Sie darauf zugreifen müssen. Änderungen an Objektdaten oder Metadaten entsprechen dem Löschen eines Objekts und dem Erstellen eines neuen Objekts, um es zu ersetzen. Dies führt zu zusätzlichen Gebühren für Objekte in der Speicherklasse S3 Glacier Instant Retrieval.

Objekte mit weniger als 128 KB sind kleiner als die Mindestkapazitätsgebühr pro Objekt in der Speicherklasse S3 Glacier Instant Retrieval. Diese Objekte werden in der S3-Standardspeicherklasse gespeichert.

S3 Glacier Flexible Retrieval

Wählen Sie S3 Glacier Flexible Retrieval für aktivere Archive.

Für Objekte, die in S3 Glacier Flexible Retrieval gespeichert sind, können zusätzliche Gebühren für das Überschreiben, Löschen oder Abrufen anfallen. Bedenken Sie, wie oft diese Objekte geändert werden, wie lange Sie diese Objekte behalten möchten und wie oft Sie darauf zugreifen müssen. Änderungen an Objektdaten oder Metadaten entsprechen dem Löschen eines Objekts und dem Erstellen eines neuen Objekts, um es zu ersetzen. Dies führt zu zusätzlichen Gebühren für Objekte in der Speicherklasse S3 Glacier Flexible Retrieval.

Objekte mit weniger als 40 KB sind kleiner als die Mindestkapazitätsgebühr pro Objekt in der Speicherklasse S3 Glacier Flexible Retrieval. Diese Objekte werden in der S3-Standardspeicherklasse gespeichert.

Sie müssen in dieser Speicherklasse archivierte Objekte wiederherstellen, bevor Sie sie lesen DataSync können. Informationen finden Sie unter Arbeiten mit archivierten Objekten im Amazon S3 S3-Benutzerhandbuch.

Wenn Sie S3 Glacier Flexible Retrieval verwenden, wählen Sie die Aufgabenoption Nur übertragene Daten verifizieren, um die Prüfsummen von Daten und Metadaten am Ende der Übertragung zu vergleichen. Sie können die Option Alle Daten im Ziel überprüfen nicht für diese Speicherklasse verwenden, da dafür alle vorhandenen Objekte vom Ziel abgerufen werden müssen.

S3 Glacier Deep Archive

Wählen Sie S3 Glacier Deep Archive, um Ihre Objekte für die langfristige Datenspeicherung und digitale Aufbewahrung zu archivieren, wobei auf die Daten ein- oder zweimal im Jahr zugegriffen wird.

Für Objekte, die in S3 Glacier Deep Archive gespeichert sind, können zusätzliche Gebühren für das Überschreiben, Löschen oder Abrufen anfallen. Bedenken Sie, wie oft diese Objekte geändert werden, wie lange Sie diese Objekte behalten möchten und wie oft Sie darauf zugreifen müssen. Änderungen an Objektdaten oder Metadaten entsprechen dem Löschen eines Objekts und dem Erstellen eines neuen Objekts, um es zu ersetzen. Dies führt zu zusätzlichen Gebühren für Objekte in der Speicherklasse S3 Glacier Deep Archive.

Objekte mit weniger als 40 KB sind kleiner als die Mindestkapazitätsgebühr pro Objekt in der Speicherklasse S3 Glacier Deep Archive. Diese Objekte werden in der S3-Standardspeicherklasse gespeichert.

Sie müssen in dieser Speicherklasse archivierte Objekte wiederherstellen, bevor Sie sie lesen DataSync können. Informationen finden Sie unter Arbeiten mit archivierten Objekten im Amazon S3 S3-Benutzerhandbuch.

Wenn Sie S3 Glacier Deep Archive verwenden, wählen Sie die Aufgabenoption Nur übertragene Daten verifizieren, um die Prüfsummen von Daten und Metadaten am Ende der Übertragung zu vergleichen. Sie können die Option Alle Daten im Ziel überprüfen nicht für diese Speicherklasse verwenden, da dafür alle vorhandenen Objekte vom Ziel abgerufen werden müssen.

S3-Außenposten

Die Speicherklasse für Amazon S3 on Outposts.

Bewertung der Kosten für S3-Anfragen bei Verwendung von DataSync

Bei Amazon S3 S3-Standorten entstehen Ihnen Kosten im Zusammenhang mit S3-API-Anfragen vonDataSync. In diesem Abschnitt erfahren Sie, wie diese Anfragen DataSync verwendet werden und wie sie sich auf Ihre Amazon S3 S3-Kosten auswirken können.

S3-Anfragen von DataSync

In der folgenden Tabelle werden die S3-Anfragen beschrieben, die gestellt DataSync werden können, wenn Sie Daten an oder von einem Amazon S3 S3-Standort kopieren.

S3-Anfrage Wie DataSync benutzt es

ListObjectV2

DataSyncstellt mindestens eine LIST Anfrage für jedes Objekt, das mit einem Schrägstrich (/) endet, um die Objekte aufzulisten, die mit diesem Präfix beginnen. Diese Anfrage wird während der Vorbereitungsphase einer Aufgabe aufgerufen.

HeadObject

DataSyncstellt während der Vorbereitungs - und Überprüfungsphase einer Aufgabe HEAD Anfragen zum Abrufen von Objektmetadaten. Es kann mehrere HEAD Anfragen pro Objekt geben, je nachdem, wie Sie die Integrität der übertragenen Daten überprüfen möchten DataSync.

GetObject

DataSyncGETfordert während der Übertragungsphase einer Aufgabe Daten aus einem Objekt an. Für große Objekte kann es mehrere GET Anfragen geben.

PutObject

DataSyncstellt während der Übertragungsphase einer Aufgabe PUT Anfragen zum Erstellen von Objekten in einem S3-Ziel-Bucket. Da die Amazon S3 S3-Funktion zum mehrteiligen Hochladen DataSync verwendet wird, kann es mehrere PUT Anfragen für große Objekte geben.

CopyObject

DataSyncCOPYfordert nur dann an, eine Kopie eines Objekts zu erstellen, wenn sich die Metadaten dieses Objekts ändern. Dies kann passieren, wenn Sie ursprünglich Daten mit einem anderen Dienst oder Tool in den S3-Bucket kopiert haben, dessen Metadaten nicht übertragen wurden.

Kostenüberlegungen

DataSyncstellt jedes Mal, wenn Sie Ihre Aufgabe ausführen, S3-Anfragen an S3-Buckets. Dies kann in bestimmten Situationen dazu führen, dass sich die Gebühren summieren. Beispiel:

  • Sie übertragen häufig Objekte in oder aus einem S3-Bucket.

  • Möglicherweise übertragen Sie nicht viele Daten, aber Ihr S3-Bucket enthält viele Objekte. In diesem Szenario können immer noch hohe Gebühren anfallen, da DataSync S3-Anfragen für jedes Objekt des Buckets gestellt werden.

  • Sie übertragen zwischen S3-Buckets, ebenso DataSync wie S3-Anfragen an Quelle und Ziel.

Beachten Sie Folgendes, um die Kosten für S3-Anfragen im Zusammenhang mit zu DataSync minimieren:

Welche S3-Speicherklassen verwende ich?

S3-Anforderungsgebühren können je nach der Amazon S3 S3-Speicherklasse variieren, die Ihre Objekte verwenden, insbesondere für Klassen, die Objekte archivieren (wie S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval und S3 Glacier Deep Archive).

Hier sind einige Szenarien, in denen sich Speicherklassen bei Verwendung auf Ihre S3-Anforderungsgebühren auswirken könnenDataSync:

  • DataSyncStellt bei jeder Ausführung einer Aufgabe HEAD Anfragen zum Abrufen von Objektmetadaten. Diese Anfragen führen zu Gebühren, auch wenn Sie keine Objekte bewegen. Wie stark sich diese Anfragen auf Ihre Rechnung auswirken, hängt von der Speicherklasse ab, die Ihre Objekte verwenden, sowie von der Anzahl der Objekte, die DataSync gescannt werden.

  • Wenn Sie Objekte in die S3 Glacier Instant Retrieval-Speicherklasse verschoben haben (entweder direkt oder über eine Bucket-Lebenszykluskonfiguration), sind Anfragen für Objekte in dieser Klasse teurer als Objekte in anderen Speicherklassen.

  • Wenn Sie Ihre DataSync Aufgabe so konfigurieren, dass überprüft wird, ob Ihre Quell- und Zielspeicherorte vollständig synchronisiert sind, gibt es GET Anfragen für jedes Objekt in allen Speicherklassen (außer S3 Glacier Flexible Retrieval und S3 Glacier Deep Archive).

  • Zusätzlich zu den GET Anfragen fallen für Sie Datenabrufkosten für Objekte in der Speicherklasse S3 Standard-IA, S3 One Zone-IA oder S3 Glacier Instant Retrieval an.

Weitere Informationen finden Sie unter Amazon S3 – Preise.

Wie oft muss ich meine Daten übertragen?

Wenn Sie Daten regelmäßig verschieben müssen, denken Sie über einen Zeitplan nach, der nicht mehr Aufgaben ausführt, als Sie benötigen.

Sie können auch erwägen, den Umfang Ihrer Transfers einzuschränken. Sie können beispielsweise konfigurieren, dass Sie sich DataSync auf Objekte in bestimmten Präfixen konzentrieren oder filtern, welche Daten übertragen werden. Diese Optionen können dazu beitragen, die Anzahl der S3-Anfragen zu reduzieren, die bei jeder Ausführung Ihrer DataSync Aufgabe gestellt werden.

Weitere Überlegungen zu Amazon S3 S3-Übertragungen

Wenn Sie Amazon S3 mit verwendenDataSync, beachten Sie Folgendes:

  • Änderungen an Objektdaten oder Metadaten entsprechen dem Löschen und Ersetzen eines Objekts. Diese Änderungen führen in den folgenden Szenarien zu zusätzlichen Gebühren:

    • Bei Verwendung der Objektversionierung — Änderungen an Objektdaten oder Metadaten erstellen eine neue Version des Objekts.

    • Bei Verwendung von Speicherklassen, für die zusätzliche Gebühren für das Überschreiben, Löschen oder Abrufen von Objekten anfallen können, führen Änderungen an Objektdaten oder Metadaten zu solchen Gebühren. Weitere Informationen finden Sie unter Überlegungen zur Speicherklasse bei Amazon S3 S3-Übertragungen.

  • Wenn Sie die Objektversionierung in Amazon S3 verwenden, können bei einmaliger Ausführung einer DataSync Aufgabe mehrere Versionen eines Amazon S3 S3-Objekts erstellt werden.

  • DataSyncüberträgt ein Objekt möglicherweise nicht, wenn sein Name Sonderzeichen enthält. Weitere Informationen finden Sie in den Richtlinien zur Benennung von Objektschlüsseln im Amazon S3 S3-Benutzerhandbuch.

  • Um Ihre Amazon S3 S3-Speicherkosten zu minimieren, empfehlen wir die Verwendung einer Lebenszykluskonfiguration, um unvollständige mehrteilige Uploads zu verhindern. Weitere Informationen finden Sie im Amazon S3 S3-Benutzerhandbuch.

  • Nach der ersten Übertragung von Daten aus einem S3-Bucket in ein Dateisystem (z. B. NFS oder Amazon FSx) enthalten nachfolgende Ausführungen derselben DataSync Aufgabe keine Objekte, die geändert wurden, aber dieselbe Größe haben wie bei der ersten Übertragung.

Ihren Amazon S3 S3-Übertragungsstandort erstellen

Um den Speicherort zu erstellen, benötigen Sie einen vorhandenen S3-Bucket. Falls Sie keins haben, finden Sie weitere Informationen unter Erste Schritte mit Amazon S3 im Amazon S3 S3-Benutzerhandbuch.

Tipp

Wenn Ihr S3-Bucket Objekte mit unterschiedlichen Speicherklassen enthält, erfahren Sie, wie Sie mit diesen Speicherklassen DataSync arbeiten und wie sich dies auf Ihre AWS Rechnung auswirken kann.

So erstellen Sie einen Amazon-S3-Speicherort
  1. Öffnen Sie die AWS DataSync Konsole unter https://console.aws.amazon.com/datasync/.

  2. Erweitern Sie im linken Navigationsbereich die Option Datenübertragung und wählen Sie dann Standorte und Standort erstellen aus.

  3. Wählen Sie Amazon S3 als Standorttyp aus.

  4. Wählen Sie für S3-Bucket den Bucket aus, den Sie als Speicherort verwenden möchten. (Wenn Sie Ihre DataSync Aufgabe später erstellen, geben Sie an, ob es sich bei diesem Speicherort um einen Quell- oder Zielort handelt.)

    Wenn sich Ihr S3-Bucket auf einer AWS Outposts Ressource befindet, müssen Sie einen Amazon S3 S3-Access Point angeben. Weitere Informationen finden Sie unter Verwalten des Datenzugriffs mit Amazon S3 S3-Zugriffspunkten im Amazon S3 S3-Benutzerhandbuch.

  5. Wählen Sie für die S3-Speicherklasse eine Speicherklasse aus, die Ihre Objekte verwenden sollen.

    Weitere Informationen finden Sie unter Überlegungen zur Speicherklasse bei Amazon S3 S3-Übertragungen. DataSyncverwendet standardmäßig die Speicherklasse S3 Outposts für Amazon S3 on Outposts.

  6. (Amazon S3 nur für Outposts) Geben Sie für Agenten den Amazon-Ressourcennamen (ARN) des DataSync Agenten in Ihrem Outpost an.

    Weitere Informationen finden Sie unter Stellen Sie Ihren Agenten bereit auf AWS Outposts.

  7. Geben Sie für Ordner im S3-Bucket ein Präfix in den S3-Bucket ein, der DataSync liest oder in den geschrieben wird (je nachdem, ob der Bucket ein Quell- oder Zielspeicherort ist).

    Anmerkung

    Das Präfix darf nicht mit einem Schrägstrich (z. B./photos) beginnen oder aufeinanderfolgende Schrägstriche enthalten, wie z. photos//2006/January

  8. Führen Sie für IAM role (IAM-Rolle) einen der folgenden Schritte aus:

    • Wählen Sie Automatisch generieren fürDataSync, um automatisch eine IAM-Rolle mit den für den Zugriff auf den S3-Bucket erforderlichen Berechtigungen zu erstellen.

      Wenn DataSync zuvor eine IAM-Rolle für diesen S3-Bucket erstellt wurde, wird diese Rolle standardmäßig ausgewählt.

    • Wählen Sie eine benutzerdefinierte IAM-Rolle, die Sie erstellt haben. Weitere Informationen finden Sie unter Manuelles Erstellen einer IAM-Rolle für den Zugriff auf Ihren Amazon S3 S3-Bucket.

  9. (Optional) Wählen Sie Tag hinzufügen, um Ihren Amazon S3 S3-Standort zu kennzeichnen.

    Ein Tag ist ein Schlüssel/Wert-Paar, das Ihnen hilft, Ihre Speicherorte zu verwalten, zu filtern und zu suchen.

  10. Wählen Sie Standort erstellen.

Verwenden von IAM-Richtlinien für den Zugriff auf Ihren S3-Bucket

Abhängig von den Sicherheitseinstellungen Ihres S3-Buckets müssen Sie möglicherweise eine benutzerdefinierte IAM-Richtlinie erstellen, die den DataSync Zugriff auf den Bucket ermöglicht.

Manuelles Erstellen einer IAM-Rolle für den Zugriff auf Ihren Amazon S3 S3-Bucket

Sie DataSync können zwar eine IAM-Rolle mit den erforderlichen S3-Bucket-Berechtigungen für Sie erstellen, aber Sie können eine Rolle auch selbst konfigurieren.

So erstellen Sie manuell eine IAM-Rolle für den Zugriff auf Ihren Amazon S3 S3-Bucket
  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im linken Navigationsbereich unter Zugriffsverwaltung die Option Rollen und dann Rolle erstellen aus.

  3. Wählen Sie auf der Seite Vertrauenswürdige Entität auswählen für Typ Vertrauenswürdiger Entität die Option AWS-Service.

  4. Wählen Sie als Anwendungsfall DataSyncin der Dropdown-Liste die Option DataSync- S3-Standort aus. Wählen Sie Weiter.

  5. Wählen Sie auf der Seite „Berechtigungen hinzufügen“ die Option AmazonS3 FullAccess für S3-Buckets in aus. AWS-Regionen Wählen Sie Weiter.

    Sie können manuell eine restriktivere Richtlinie als FullAccessAmazonS3 erstellen. Ein Beispiel:

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetBucketLocation", "s3:ListBucket", "s3:ListBucketMultipartUploads" ], "Effect": "Allow", "Resource": "YourS3BucketArn" }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:GetObject", "s3:ListMultipartUploadParts", "s3:GetObjectTagging", "s3:PutObjectTagging", "s3:PutObject" ], "Effect": "Allow", "Resource": "YourS3BucketArn/*" } ] }

    Verwenden Sie für Amazon S3 on Outposts die folgende Richtlinie:

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3-outposts:ListBucket", "s3-outposts:ListBucketMultipartUploads" ], "Effect": "Allow", "Resource": [ "s3OutpostsBucketArn", "s3OutpostsAccessPointArn" ], "Condition": { "StringLike": { "s3-outposts:DataAccessPointArn": "s3OutpostsAccessPointArn" } } }, { "Action": [ "s3-outposts:AbortMultipartUpload", "s3-outposts:DeleteObject", "s3-outposts:GetObject", "s3-outposts:ListMultipartUploadParts", "s3-outposts:GetObjectTagging", "s3-outposts:PutObjectTagging" ], "Effect": "Allow", "Resource": [ "s3OutpostsBucketArn/*", "s3OutpostsAccessPointArn" ], "Condition": { "StringLike": { "s3-outposts:DataAccessPointArn": "s3OutpostsAccessPointArn" } } }, { "Effect": "Allow", "Action": [ "s3-outposts:GetAccessPoint" ], "Resource": "s3OutpostsAccessPointArn" } ] }
  6. Geben Sie Ihrer Rolle einen Namen und wählen Sie Rolle erstellen.

  7. Öffnen Sie die AWS DataSync Konsole unter https://console.aws.amazon.com/datasync/.

  8. Klicken Sie neben der IAM-Rolleneinstellung auf die Schaltfläche „Aktualisieren“ und wählen Sie dann die Rolle aus, die Sie gerade erstellt haben.

Vermeidung des dienstübergreifenden Problems des verwirrten Stellvertreters

Um das Problem der dienstübergreifenden verwirrten Stellvertreter zu vermeiden, empfehlen wir, in der Vertrauensrichtlinie Ihrer IAM-Rolle die Schlüssel aws:SourceArn und den aws:SourceAccount globalen Bedingungskontext zu verwenden.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "StringLike": { "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*" } } } ] }

Zugreifen auf S3-Buckets mit serverseitiger Verschlüsselung

DataSynckann Daten in oder aus S3-Buckets kopieren, die serverseitige Verschlüsselung verwenden. Der Typ des Verschlüsselungsschlüssels, den ein Bucket verwendet, kann bestimmen, ob Sie eine benutzerdefinierte Richtlinie benötigen, die den DataSync Zugriff auf den Bucket ermöglicht.

Beachten Sie bei der Verwendung DataSync mit S3-Buckets, die serverseitige Verschlüsselung verwenden, Folgendes:

  • Wenn Ihr S3-Bucket mit einem AWS verwalteten Schlüssel verschlüsselt ist, DataSync können Sie standardmäßig auf die Objekte des Buckets zugreifen, wenn sich alle Ihre Ressourcen in demselben befindenAWS-Konto.

  • Wenn Ihr S3-Bucket mit einem vom Kunden verwalteten AWS Key Management Service (AWS KMS) Schlüssel (SSE-KMS) verschlüsselt ist, muss die Richtlinie des Schlüssels die IAM-Rolle enthalten, die für den Zugriff auf den Bucket DataSync verwendet wird.

  • Wenn Ihr S3-Bucket mit einem vom Kunden verwalteten SSE-KMS-Schlüssel und in einem anderen verschlüsselt ist, DataSync benötigen Sie die Erlaubnis, auf den Bucket im anderen AWS-Konto Bucket zuzugreifen. AWS-Konto Sie können dies einrichten, indem Sie wie folgt vorgehen:

  • Wenn Ihr S3-Bucket mit einem vom Kunden bereitgestellten Verschlüsselungsschlüssel (SSE-C) verschlüsselt ist, DataSync können Sie nicht auf diesen Bucket zugreifen.

Das folgende Beispiel ist eine Schlüsselrichtlinie für einen vom Kunden verwalteten SSE-KMS-Schlüssel. Die Richtlinie ist mit einem S3-Bucket verknüpft, der serverseitige Verschlüsselung verwendet. Die folgenden Werte sind spezifisch für Ihr Setup:

  • Ihr Konto — Ihr. AWS-Konto

  • your-admin-role— Die IAM-Rolle, die den Schlüssel verwalten kann.

  • your-datasync-role— Die IAM-Rolle, die es ermöglicht, den Schlüssel beim Zugriff auf den Bucket DataSync zu verwenden.

{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable IAM Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::your-account:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::your-account:role/your-admin-role" }, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::your-account:role/your-datasync-role" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::your-account:role/your-datasync-role" }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" } } } ] }

Übertragung zu oder von S3-Buckets in verschiedenen AWS-Konten

Mit DataSync können Sie Daten in oder aus S3-Buckets in verschiedenen AWS-Konten Buckets verschieben. Weitere Informationen finden Sie in den folgenden Tutorials: