La configuración de la reproducción para los buckets de origen y destino son propiedad de diferentes cuentas
La configuración de replicación cuando los buckets de origen y destino son propiedad de diferentes Cuentas de AWS es similar a la configuración de replicación cuando los dos buckets son propiedad de la misma cuenta. La única diferencia es que el propietario del bucket de destino debe otorgar al propietario del bucket de origen permiso para replicar objetos añadiendo una política de bucket.
Para obtener más información acerca de la configuración de la replicación mediante el cifrado del lado del servidor con AWS Key Management Service en escenarios entre cuentas, consulte Conceder permisos adicionales para escenarios que afectan a varias cuentas.
Para configurar la replicación cuando los buckets de origen y destino son propiedad de diferentes Cuentas de AWS
-
En este ejemplo, crea los buckets de
origenydestinoen dos Cuentas de AWS diferentes. Debe tener dos perfiles de credenciales configurados para la AWS CLI (en este ejemplo, utilizamosacctAyacctBpara los nombres de perfil). Para obtener más información acerca de la configuración de perfiles de credenciales, consulte Perfiles con nombre en la Guía del usuario de AWS Command Line Interface. -
Siga las instrucciones paso a paso en Configuración de buckets en la misma cuenta con los siguientes cambios:
-
Para todos los comandos de la AWS CLI relacionados con actividades del bucket de
origen(para crear el bucket deorigen, habilitar el control de versiones y crear el rol de IAM), utilice el perfilacctA. Utilice el perfilacctBpara crear el bucket dedestino. -
Asegúrese de que la política de permisos especifica los bucket de
origeny dedestinocreados para este ejemplo.
-
-
En la consola, añada la siguiente política de bucket al bucket de
destinopara permitir al propietario del bucket deorigenreplicar objetos: Asegúrese de editar la política proporcionando el ID de la Cuenta de AWS del propietario del bucket deorigeny el nombre del bucket dedestino.nota
Para utilizar el ejemplo siguiente, sustituya
user input placeholdersDOC-EXAMPLE-BUCKETpor el nombre de su bucket de destino. Sustituyasource-bucket-acct-ID:role/service-role/source-acct-IAM-rolepor el rol que está utilizando para esta configuración de replicación.Si creó el rol de servicio de IAM manualmente, establezca la ruta del rol como
role/service-role/, tal y como se muestra en el siguiente ejemplo de política. Para obtener más información, consulte ARN de IAM en la guía del usuario de IAM.{ "Version":"2012-10-17", "Id":"", "Statement":[ { "Sid":"Set-permissions-for-objects", "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::source-bucket-acct-ID:role/service-role/source-acct-IAM-role" }, "Action":["s3:ReplicateObject", "s3:ReplicateDelete"], "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" }, { "Sid":"Set permissions on bucket", "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::source-bucket-acct-ID:role/service-role/source-acct-IAM-role" }, "Action":["s3:List*", "s3:GetBucketVersioning", "s3:PutBucketVersioning"], "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET" } ] }
Elija el bucket y añada la política de buckets. Para obtener instrucciones, consulte Agregar una política de bucket mediante la consola de Amazon S3.
En la replicación, el propietario del objeto de origen es propietario de la réplica de manera predeterminada. Cuando los buckets de origen y destino son propiedad de diferentes Cuentas de AWS, puede agregar ajustes de configuración opcionales para cambiar la propiedad de la réplica a la Cuenta de AWS propietaria de los buckets de destino. Esto incluye la concesión del permiso ObjectOwnerOverrideToBucketOwner. Para obtener más información, consulte Cambiar el propietario de la réplica.
