Création d'une IAM politique d'accès aux ressources Amazon S3 - Amazon Aurora

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une IAM politique d'accès aux ressources Amazon S3

Aurora peut accéder aux ressources Amazon S3 pour charger des données ou enregistrer des données à partir d'un cluster de base de données Aurora. Cependant, vous devez d'abord créer une IAM politique qui fournit les autorisations de compartiment et d'objet permettant à Aurora d'accéder à Amazon S3.

Le tableau ci-dessous répertorie les fonctions Aurora qui peuvent accéder à un compartiment Amazon S3 en votre nom, ainsi que les autorisations de compartiment et d'objet minimales requises pour chaque fonction.

Fonction Permissions de compartiment Autorisations d'objet

LOAD DATA FROM S3

ListBucket

GetObject

GetObjectVersion
LOAD XML FROM S3

ListBucket

GetObject

GetObjectVersion

SELECT INTO OUTFILE S3

ListBucket

AbortMultipartUpload

DeleteObject

GetObject

ListMultipartUploadParts

PutObject

La stratégie suivante ajoute les autorisations pouvant être requises par Aurora pour accéder à un compartiment Amazon S3 en votre nom. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAuroraToExampleBucket",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:AbortMultipartUpload",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}
Note

Veillez à inclure les deux entrées pour la valeur Resource. Aurora a besoin des autorisations sur le compartiment lui-même et sur tous les objets à l'intérieur du compartiment.

En fonction de votre cas d'utilisation, vous n'avez peut-être pas besoin d'ajouter toutes les autorisations dans l'exemple de stratégie. Aussi, d'autres autorisations peuvent être requises. Par exemple, si votre compartiment Amazon S3 est chiffré, vous devez ajouter les autorisations kms:Decrypt.

Vous pouvez suivre les étapes suivantes pour créer une IAM politique qui fournit les autorisations minimales requises pour qu'Aurora accède à un compartiment Amazon S3 en votre nom. Pour permettre à Aurora d'accéder à tous vos compartiments Amazon S3, vous pouvez ignorer ces étapes et utiliser la politique AmazonS3ReadOnlyAccess ou une IAM politique AmazonS3FullAccess prédéfinie au lieu de créer la vôtre.

Pour créer une IAM politique permettant d'accorder l'accès à vos ressources Amazon S3

  1. Ouvrez la console de gestion IAM.

  2. Dans le panneau de navigation, choisissez Politiques.

  3. Sélectionnez Create policy (Créer une politique).

  4. Sous l'onglet Visual editor (Éditeur visuel), choisissez Choose a service (Choisir un service), puis S3.

  5. Pour Actions, choisissez Expand all, puis choisissez les autorisations de bucket et les autorisations d'objet nécessaires pour la IAM politique.

    Les autorisations d'objet sont des autorisations pour les opérations d'objet dans Amazon S3. Elles doivent être accordées pour les objets d'un compartiment et non pour le compartiment lui-même. Pour plus d'informations sur les autorisations liées aux opérations d'objet dans Amazon S3, consultez Autorisations pour des opérations d'objet.

  6. Choisissez Resources, puis choisissez Ajouter ARN pour le bucket.

  7. Dans la boîte de dialogue Ajouter ARN (s), fournissez les informations relatives à votre ressource, puis choisissez Ajouter.

    Spécifiez le compartiment Amazon S3 auquel autoriser l'accès. Par exemple, si vous souhaitez autoriser Aurora à accéder au compartiment Amazon S3 nommé amzn-s3-demo-bucket, puis définissez la valeur Amazon Resource Name (ARN) surarn:aws:s3:::amzn-s3-demo-bucket.

  8. Si la ressource de l'objet est répertoriée, choisissez Ajouter ARN pour l'objet.

  9. Dans la boîte de dialogue Ajouter ARN (s), fournissez les informations relatives à votre ressource.

    Pour le compartiment Amazon S3, spécifiez le compartiment Amazon S3 auquel autoriser l'accès. Pour l'objet, vous pouvez choisir Any (Tous) pour accorder des autorisations à tous les objets du compartiment.

    Note

    Vous pouvez définir une ARN valeur plus spécifique pour Amazon Resource Name (ARN) afin de permettre à Aurora d'accéder uniquement à des fichiers ou dossiers spécifiques dans un compartiment Amazon S3. Pour plus d'informations sur la définition d'une stratégie d'accès pour Amazon S3, consultez Gestion des autorisations d'accès de vos ressources Amazon S3.

  10. (Facultatif) Choisissez Ajouter ARN pour le compartiment pour ajouter un autre compartiment Amazon S3 à la politique, puis répétez les étapes précédentes pour le compartiment.

    Note

    Vous pouvez répéter ces étapes pour ajouter les instructions d'autorisation de compartiment correspondantes à votre stratégie pour chaque compartiment Amazon S3 auquel Aurora doit accéder. Si vous le souhaitez, vous pouvez également accorder l'accès à tous les compartiments et à tous les objets dans Amazon S3.

  11. Choisissez Examiner une stratégie.

  12. Dans Nom, entrez un nom pour votre IAM politique, par exempleAllowAuroraToExampleBucket. Vous utilisez ce nom lorsque vous créez un IAM rôle à associer à votre cluster de base de données Aurora. Vous pouvez également ajouter une valeur Description facultative.

  13. Choisissez Créer une stratégie.

  14. Suivez les étapes de Création d'un rôle IAM pour autoriser Amazon Aurora à accéder aux services AWS.