Agregar la opción de invalidación del propietario a la configuración de la replicación Concesión de permisos a Amazon S3 para cambiar la titularidad de la réplica Agregar permiso a la política del bucket de destino para permitir cambiar la titularidad de la réplica Consideraciones adicionales

Cambiar el propietario de la réplica

En la replicación, el propietario del objeto de origen también es propietario de la réplica de manera predeterminada. Cuando los buckets de origen y destino pertenecen a diferentes Cuentas de AWS y desea cambiar la propiedad de réplica a la Cuenta de AWS que posee el bucket de destino, puede agregar ajustes de configuración opcionales para cambiar la propiedad de la réplica a la Cuenta de AWS propietaria de los buckets de destino. Podría hacer esto, por ejemplo, para restringir el acceso a las réplicas de objetos. Esta opción recibe el nombre también de invalidación del propietario en la configuración de replicación. Para obtener más información sobre la opción de invalidación del propietario, consulte Agregar la opción de invalidación del propietario a la configuración de la replicación. Para obtener información acerca de la configuración de replicación, consulte Replicación de objetos.

Para configurar la invalidación del propietario, haga lo siguiente:

Añada la opción de invalidación del propietario a la configuración de replicación para indicar a Amazon S3 que cambie la titularidad de la réplica.
Conceda permisos a Amazon S3 para cambiar la titularidad de la réplica.
Agregue permisos en la política del buckets de destino para permitir cambiar la propiedad de la réplica. Esto permite al propietario de los buckets de destino aceptar la propiedad de las réplicas de objetos.

Para obtener más información, consulte Agregar la opción de invalidación del propietario a la configuración de la replicación. Para ver un ejemplo práctico con instrucciones paso a paso, consulte Cambio del propietario de la réplica cuando los buckets de origen y destino son propiedad de diferentes cuentas.

Configuración de propietario del bucket obligatorio de Object Ownership

Cuando utiliza la replicación de Amazon S3 y los buckets de origen y destino pertenecen a diferentes Cuentas de AWS, el propietario del bucket de destino puede desactivar las ACL (con la configuración de propietario del bucket obligatorio para Object Ownership) para cambiar la propiedad de réplica a la Cuenta de AWS que posee el bucket de destino. Esta configuración imita el comportamiento de anulación del propietario existente sin necesidad del permiso s3:ObjectOwnerOverrideToBucketOwner. Esto significa que todos los objetos que se replican en el bucket de destino con la configuración de propietario del bucket obligatorio pertenecen al propietario del bucket de destino. Para obtener más información acerca de la propiedad de objetos, consulte Control de la propiedad de los objetos y desactivación de las ACL del bucket.

Agregar la opción de invalidación del propietario a la configuración de la replicación

aviso

Agregue la opción de invalidación del propietario solo cuando los buckets de origen y destino pertenezcan a distintas Cuentas de AWS. Amazon S3 no comprueba si los buckets pertenecen a las mismas cuentas o a cuentas diferentes. Si agrega la opción de invalidación del propietario cuando ambos buckets pertenecen a la misma Cuenta de AWS, Amazon S3 aplica la opción de invalidación del propietario. Concede permisos completos al propietario del bucket de destino y no replica las actualizaciones que se realicen posteriormente en la lista de control de acceso (ACL) del objeto de origen. El propietario de la réplica puede cambiar directamente la ACL asociada a una réplica con una solicitud PUT ACL, pero no a través de la replicación.

Para especificar la opción de sustitución de propietario, agregue lo siguiente a cada Destination elemento:

El elemento AccessControlTranslation, que indica a Amazon S3 que cambie la titularidad de la réplica.
El elemento Account, que especifica la Cuenta de AWS del propietario del bucket de destino.


<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
    ...
    <Destination>
      ...
      <AccessControlTranslation>
           <Owner>Destination</Owner>
       </AccessControlTranslation>
      <Account>destination-bucket-owner-account-id</Account>
    </Destination>
  </Rule>
</ReplicationConfiguration>

La siguiente configuración de replicación de ejemplo, indica a Amazon S3 que replique objetos que tiene el prefijo de clave Tax en el bucket de destino y cambie la propiedad de las réplicas.


<?xml version="1.0" encoding="UTF-8"?>
<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
   <Role>arn:aws:iam::account-id:role/role-name</Role>
   <Rule>
      <ID>Rule-1</ID>
      <Priority>1</Priority>
      <Status>Enabled</Status>
      <DeleteMarkerReplication>
         <Status>Disabled</Status>
      </DeleteMarkerReplication>
      <Filter>
         <Prefix>Tax</Prefix>
      </Filter>
      <Destination>
         <Bucket>arn:aws:s3:::destination-bucket</Bucket>
         <Account>destination-bucket-owner-account-id</Account>
         <AccessControlTranslation>
            <Owner>Destination</Owner>
         </AccessControlTranslation>
      </Destination>
   </Rule>
</ReplicationConfiguration>

Concesión de permisos a Amazon S3 para cambiar la titularidad de la réplica

Conceda a Amazon S3 permisos para cambiar la titularidad de la réplica añadiendo permiso para la acción s3:ObjectOwnerOverrideToBucketOwner en la política de permisos asociada con el rol de IAM. Se trata del rol de IAM que especificó en la configuración de replicación que permite a Amazon S3 asumir y replicar objetos en su nombre.


...
{
    "Effect":"Allow",
         "Action":[
       "s3:ObjectOwnerOverrideToBucketOwner"
    ],
    "Resource":"arn:aws:s3:::destination-bucket/*"
}
...

Agregar permiso a la política del bucket de destino para permitir cambiar la titularidad de la réplica

El propietario del bucket de destino debe otorgar al propietario del bucket de origen permiso para cambiar la titularidad de la réplica. El propietario del bucket de destino otorga al propietario del bucket de origen permiso para la acción s3:ObjectOwnerOverrideToBucketOwner. Esto permite al propietario del bucket de destino aceptar la propiedad de las réplicas de objetos. En el siguiente ejemplo de instrucción de política de buckets se muestra cómo se hace esto.


...
{
    "Sid":"1",
    "Effect":"Allow",
    "Principal":{"AWS":"source-bucket-account-id"},
    "Action":["s3:ObjectOwnerOverrideToBucketOwner"],
    "Resource":"arn:aws:s3:::destination-bucket/*"
}
...

Consideraciones adicionales

Al configurar la opción de anulación de propiedad, se aplican las siguientes consideraciones:

De forma predeterminada, el propietario del objeto de origen también es propietario de la réplica. Amazon S3 replica la versión del objeto y la ACL asociada a ella.

Si añade la invalidación del propietario, Amazon S3 replica solo la versión del objeto, no la ACL. Además, Amazon S3 no replica los cambios que se realicen posteriormente en la ACL del objeto de origen. Amazon S3 establece la ACL de la réplica de forma que se conceda control completo al propietario del bucket de destino.
Al actualizar una configuración de replicación para habilitar o inhabilitar la invalidación del propietario, sucede lo siguiente.
- Si añade la opción de invalidación del propietario a la configuración de replicación:
  
  Cuando Amazon S3 replica una versión del objeto, descarta la ACL asociada al objeto de origen. En su lugar, establece la ACL de la réplica de forma que se conceda control completo al propietario del bucket de destino. No replica los cambios que se realicen posteriormente en la ACL del objeto de origen. No obstante, este cambio a la ACL no se aplica a las versiones de objetos que se replicaron antes de configurar la opción de invalidación del propietario. Las actualizaciones de las ACL de los objetos de origen que se replicaron antes de que se configurara la opción de invalidación del propietario se seguirán replicando (porque el objeto y sus réplicas siguen teniendo el mismo propietario).
- Si elimina la opción de invalidación del propietario de la configuración de replicación:
  
  Amazon S3 replica objetos nuevos que aparecen en el bucket de origen y las ACL asociadas a los buckets de destino. Para objetos que se replicaron antes de que eliminar la invalidación del propietario, Amazon S3 no replica las ACL porque el cambio de titularidad del objeto que realizó Amazon S3 permanece en vigor. Es decir, las ACL aplicadas a la versión del objeto que se replicaban cuando se estableció la opción de invalidación del propietario siguen sin replicarse.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Replicación de cambios de metadatos

Replicación de objetos cifrados (SSE-C, SSE-S3, SSE-KMS, DSSE-KMS)