Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Políticas de buckets de Amazon S3 para AWS Compute Optimizer
Puede exportar sus recomendaciones de Compute Optimizer a un bucket de Amazon Simple Storage Service (Amazon S3). Sus recomendaciones se exportan como CSV un archivo y los metadatos se exportan como un JSON archivo. Para obtener más información, consulte Exportación de recomendaciones.
Antes de crear el trabajo de exportación, debe crear el bucket de S3 de destino para la exportación de sus recomendaciones. Compute Optimizer no crea el bucket de S3 por usted. El bucket de S3 que especifica para exportar las recomendaciones no debe ser de acceso público ni puede configurarse como un bucket de Pago por solicitante. Es recomendable que cree un bucket de S3 dedicado para los archivos de exportación de Compute Optimizer. Para obtener más información, consulte ¿Cómo puedo crear un bucket de S3? en la Guía del usuario de la consola de Amazon S3.
Especificar un bucket existente para la exportación de recomendaciones
Después de crear tu bucket de S3, siga estos pasos para añadir una política al bucket de S3 que permita a Compute Optimizer escribir archivos de recomendaciones y exportar a su bucket.
Abra la consola Amazon S3 en https://console.aws.amazon.com/s3/
. -
Elija el bucket en el que quiere que Compute Optimizer entregue sus archivos de exportación.
-
Elija Permisos.
-
Elija Política del bucket.
-
Copie una de las siguientes políticas y péguelas en el cuadro de texto del Bucket en el editor de políticas.
-
Sustituya el siguiente texto de marcador de posición en la política:
-
Reemplazar
amzn-s3-demo-bucketcon el nombre de su bucket. -
Reemplazar
optionalPrefixcon el prefijo de objeto opcional. -
Reemplazar
myRegioncon la fuente Región de AWS. -
Reemplazar
myAccountIDcon el número de cuenta del solicitante del trabajo de exportación.
-
-
Incluye las tres siguientes declaraciones en la política:
-
La primera sentencia (para la
GetBucketAclacción) permite a Compute Optimizer obtener la lista de control de acceso (ACL) de tu bucket. -
La segunda declaración (para la acción
GetBucketPolicyStatus) permite a Compute Optimizer obtener el estado de la política de su bucket, lo que indica si el bucket es público. -
La tercera declaración (para la acción
PutObject) le da a Compute Optimizer el control total para colocar el archivo de exportación en su bucket.
Su solicitud de exportación fallará si falta alguna de estas instrucciones o si el nombre del bucket y el prefijo de objeto opcional de la política no coinciden con lo que especificó en su solicitud de exportación. La exportación también fallará si el número de cuenta de la política no coincide con el número de cuenta del solicitante del trabajo de exportación.
nota
Si el bucket existente ya tiene una o varias políticas asociadas, añada las instrucciones para que Compute Optimizer tenga acceso a dicha política o políticas. Evalúe el conjunto de permisos resultante para asegurarse de que sean adecuados para los usuarios que tienen acceso al bucket.
-
Opción de política 1: usar un prefijo opcional
El prefijo de objeto es un añadido opcional a la clave del objeto de S3 que organiza sus archivos de exportación en su bucket de S3. Si desea especificar un prefijo de objeto al crear la exportación de recomendaciones, utilice la siguiente política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"Service": "compute-optimizer.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket" }, { "Effect": "Allow", "Principal": {"Service": "compute-optimizer.amazonaws.com"}, "Action": "s3:GetBucketPolicyStatus", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket" }, { "Effect": "Allow", "Principal": {"Service": "compute-optimizer.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/optionalPrefix/compute-optimizer/myAccountID/*", "Condition": {"StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": "myAccountID" }, "StringLike": { "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*" } } } ] }
nota
La compute-optimizer/myAccountID/ el componente no forma parte del prefijo opcional. Compute Optimizer crea el optimizer/myAccountID/ parte de la ruta del depósito que se agrega al prefijo que especifiques.
Opción de política 2: sin prefijo de objeto
Si no desea especificar ningún prefijo de objeto, utilice la siguiente política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"Service": "compute-optimizer.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket" }, { "Effect": "Allow", "Principal": {"Service": "compute-optimizer.amazonaws.com"}, "Action": "s3:GetBucketPolicyStatus", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket" }, { "Effect": "Allow", "Principal": {"Service": "compute-optimizer.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/compute-optimizer/myAccountID/*", "Condition": {"StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": "myAccountID" }, "StringLike": { "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*" } } } ] }
Use buckets de S3 cifrados para la exportación de sus recomendaciones
Para el destino de las exportaciones de tus recomendaciones de Compute Optimizer, puedes especificar buckets de S3 cifrados con claves administradas por el cliente de Amazon S3 o con claves AWS Key Management Service ()KMS.
Para usar un bucket de S3 con el AWS KMS cifrado activado, debes crear una clave simétricaKMS. KMSLas claves simétricas son las únicas KMS claves que admite Amazon S3. Para obtener instrucciones, consulte Creación de claves en la Guía para desarrolladores de AWS KMS . Después de crear la KMS clave, aplíquela al bucket de S3 que planea usar para la exportación de sus recomendaciones. Para obtener más información, consulte Habilitación del cifrado del bucket predeterminado de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.
Usa el siguiente procedimiento para conceder a Compute Optimizer el permiso necesario para usar tu KMS clave. Este permiso es específico para cifrar el archivo de exportación de recomendaciones al guardarlo en el bucket de S3 cifrado.
-
Abre la AWS KMS consola en https://console.aws.amazon.com/kms.
-
Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
-
En el menú de navegación izquierda, elija Claves administradas por el cliente.
nota
No se permiten las exportaciones de recomendaciones de Compute Optimizer para los depósitos de S3 cifrados con AWS claves administradas.
-
Elige el nombre de la KMS clave que usaste para cifrar el depósito de S3 de exportación.
-
Elija la pestaña Política de claves y luego Cambiar a la vista de política.
-
Para editar la política de claves, elija Editar.
-
Copie una de las siguientes políticas y péguela en la sección de declaraciones de la política de claves.
-
Sustituya el siguiente texto de marcador de posición en la política:
-
Reemplazar
myRegioncon la fuente Región de AWS. -
Reemplazar
myAccountIDcon el número de cuenta del solicitante de la exportación.
La
GenerateDataKeydeclaración permite a Compute Optimizer llamar al AWS KMS API para obtener la clave de datos para cifrar los archivos de recomendaciones. De esta forma, el formato de datos cargado puede adaptarse a la configuración de cifrado del bucket. De lo contrario, Amazon S3 rechaza la solicitud de exportación.nota
Si la KMS clave existente ya tiene una o más políticas adjuntas, agrega las instrucciones para el acceso de Compute Optimizer a esas políticas. Evalúa el conjunto de permisos resultante para asegurarte de que son adecuados para los usuarios que acceden a la KMS clave.
-
Utilice la siguiente política si no ha activado las claves de bucket de Amazon S3.
{ "Sid": "Allow use of the key to Compute Optimizer", "Effect": "Allow", "Principal": { "Service": "compute-optimizer.amazonaws.com" }, "Action": "kms:GenerateDataKey", "Resource": "*", "Condition": {"StringEquals": { "aws:SourceAccount": "myAccountID" }, "StringLike": { "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*" } } }
Utilice la siguiente política si ha activado las claves de bucket de Amazon S3. Para obtener más información, consulte Reducir el coste deSSE... KMS con las claves de bucket de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.
{ "Sid": "Allow use of the key to Compute Optimizer", "Effect": "Allow", "Principal": { "Service": "compute-optimizer.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": {"StringEquals": { "aws:SourceAccount": "myAccountID" }, "StringLike": { "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*" } } }
Recursos adicionales de
Para obtener más información sobre los buckets de S3 y las políticas, consulte la Guía del usuario de Amazon Simple Storage Service.
