Création d'une stratégie IAM pour accéder aux ressources Amazon S3 - Amazon Aurora

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une stratégie IAM pour accéder aux ressources Amazon S3

Aurora peut accéder aux ressources Amazon S3 pour charger des données ou enregistrer des données à partir d'un cluster de base de données Aurora. Toutefois, vous devez créer au préalable une stratégie IAM pour fournir les autorisations de compartiment et d'objet permettant à Aurora d'accéder à Amazon S3.

Le tableau ci-dessous répertorie les fonctions Aurora qui peuvent accéder à un compartiment Amazon S3 en votre nom, ainsi que les autorisations de compartiment et d'objet minimales requises pour chaque fonction.

Fonction Permissions de compartiment Autorisations d'objet

LOAD DATA FROM S3

ListBucket

GetObject

GetObjectVersion
LOAD XML FROM S3

ListBucket

GetObject

GetObjectVersion

SELECT INTO OUTFILE S3

ListBucket

AbortMultipartUpload

DeleteObject

GetObject

ListMultipartUploadParts

PutObject

La stratégie suivante ajoute les autorisations pouvant être requises par Aurora pour accéder à un compartiment Amazon S3 en votre nom. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAuroraToExampleBucket",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:AbortMultipartUpload",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::example-bucket/*",
                "arn:aws:s3:::example-bucket"
            ]
        }
    ]
}
Note

Veillez à inclure les deux entrées pour la valeur Resource. Aurora a besoin des autorisations sur le compartiment lui-même et sur tous les objets à l'intérieur du compartiment.

En fonction de votre cas d'utilisation, vous n'avez peut-être pas besoin d'ajouter toutes les autorisations dans l'exemple de stratégie. Aussi, d'autres autorisations peuvent être requises. Par exemple, si votre compartiment Amazon S3 est chiffré, vous devez ajouter les autorisations kms:Decrypt.

Vous pouvez effectuer les étapes ci-dessous pour créer une stratégie IAM qui fournit les autorisations minimales nécessaires à Aurora pour accéder à un compartiment Amazon S3 en votre nom. Pour autoriser Aurora à accéder à tous vos compartiments Amazon S3, vous pouvez ignorer ces étapes et utiliser la stratégie IAM prédéfinie AmazonS3ReadOnlyAccess ou AmazonS3FullAccess au lieu d'en créer une.

Pour créer une stratégie IAM accordant l'accès à vos ressources Amazon S3

  1. Ouvrez IAM Management Console.

  2. Dans le panneau de navigation, choisissez Policies (Politiques).

  3. Choisissez Créer une stratégie.

  4. Sous l'onglet Visual editor (Éditeur visuel), choisissez Choose a service (Choisir un service), puis S3.

  5. Sous Actions, choisissez Expand all (Développer tout), puis choisissez les autorisations de compartiment et d'objet nécessaires à la stratégie IAM.

    Les autorisations d'objet sont des autorisations pour les opérations d'objet dans Amazon S3. Elles doivent être accordées pour les objets d'un compartiment et non pour le compartiment lui-même. Pour plus d'informations sur les autorisations liées aux opérations d'objet dans Amazon S3, consultez Autorisations pour des opérations d'objet.

  6. Choisissez Resources (Ressources), puis Add ARN (Ajouter un ARN) pour bucket (compartiment).

  7. Dans la boîte de dialogue Add ARN(s) (Ajouter un ou des ARN), fournissez les détails sur votre ressource, puis choisissez Add (Ajouter).

    Spécifiez le compartiment Amazon S3 auquel autoriser l'accès. Par exemple, si vous voulez autoriser Aurora à accéder au compartiment Amazon S3 nommé example-bucket, définissez la valeur de l'Amazon Resource Name (ARN) sur arn:aws:s3:::example-bucket.

  8. Si la ressource object (objet) est répertoriée, choisissez Add ARN (Ajouter un ARN) pour object (objet).

  9. Dans la boîte de dialogue Add ARN(s) (Ajouter un ou des ARN), fournissez les détails sur votre ressource.

    Pour le compartiment Amazon S3, spécifiez le compartiment Amazon S3 auquel autoriser l'accès. Pour l'objet, vous pouvez choisir Any (Tous) pour accorder des autorisations à tous les objets du compartiment.

    Note

    Vous pouvez affecter à Amazon Resource Name (ARN) une valeur d'ARN plus spécifique afin d'autoriser Aurora à accéder uniquement à des fichiers ou des dossiers spécifiques dans un compartiment Amazon S3. Pour plus d'informations sur la définition d'une stratégie d'accès pour Amazon S3, consultez Gestion des autorisations d'accès de vos ressources Amazon S3.

  10. (Facultatif) Choisissez Add ARN (Ajouter un ARN) pour bucket (compartiment) pour ajouter un autre compartiment Amazon S3 à la stratégie, puis répétez les étapes précédentes pour le compartiment.

    Note

    Vous pouvez répéter ces étapes pour ajouter les instructions d'autorisation de compartiment correspondantes à votre stratégie pour chaque compartiment Amazon S3 auquel Aurora doit accéder. Si vous le souhaitez, vous pouvez également accorder l'accès à tous les compartiments et à tous les objets dans Amazon S3.

  11. Choisissez Examiner une stratégie.

  12. Dans Name (Name), attribuez un nom à votre stratégie IAM, par exemple AllowAuroraToExampleBucket. Vous utilisez ce nom lorsque vous créez un rôle IAM à associer à votre cluster de base de données Aurora. Vous pouvez également ajouter une valeur Description facultative.

  13. Choisissez Créer une stratégie.

  14. Suivez les étapes de Création d'un rôle IAM pour autoriser Amazon Aurora à accéder aux services AWS.