Membuat kebijakan IAM untuk mengakses sumber daya Amazon S3 - Amazon Aurora

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat kebijakan IAM untuk mengakses sumber daya Amazon S3

Aurora dapat mengakses sumber daya Amazon S3 untuk memuat data ke atau menyimpan data dari klaster DB Aurora. Namun, Anda harus terlebih dahulu membuat kebijakan IAM yang memberikan izin bucket dan objek yang memungkinkan Aurora mengakses Amazon S3.

Tabel berikut mencantumkan fitur Aurora yang dapat mengakses bucket Amazon S3 atas nama Anda, serta izin bucket dan objek minimum yang diperlukan setiap fitur.

Fitur Izin bucket Izin objek

LOAD DATA FROM S3

ListBucket

GetObject

GetObjectVersion
LOAD XML FROM S3

ListBucket

GetObject

GetObjectVersion

SELECT INTO OUTFILE S3

ListBucket

AbortMultipartUpload

DeleteObject

GetObject

ListMultipartUploadParts

PutObject

Kebijakan berikut menambahkan izin yang mungkin diperlukan Aurora untuk mengakses bucket Amazon S3 atas nama Anda. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAuroraToExampleBucket",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:AbortMultipartUpload",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
            ]
        }
    ]
}
catatan

Pastikan untuk menyertakan kedua entri tersebut untuk nilai Resource. Aurora memerlukan izin pada bucket itu sendiri dan semua objek di dalam bucket.

Berdasarkan kasus penggunaan Anda, Anda mungkin tidak perlu menambahkan semua izin dalam contoh kebijakan. Selain itu, izin lain mungkin diperlukan. Misalnya, jika bucket Amazon S3 Anda dienkripsi, Anda perlu menambahkan izin kms:Decrypt.

Anda dapat menggunakan langkah-langkah berikut untuk membuat kebijakan IAM yang memberikan izin minimum yang diperlukan bagi Aurora untuk mengakses bucket Amazon S3 atas nama Anda. Untuk mengizinkan Aurora mengakses semua bucket Amazon S3 Anda, Anda dapat melewati langkah-langkah ini dan menggunakan kebijakan IAM standar AmazonS3ReadOnlyAccess atau AmazonS3FullAccess daripada membuatnya sendiri.

Untuk membuat kebijakan IAM untuk memberikan akses ke sumber daya Amazon S3 Anda

  1. Buka Konsol Manajemen IAM.

  2. Di panel navigasi, pilih Kebijakan.

  3. Pilih Buat kebijakan.

  4. Pada tab Editor visual, klik Pilih layanan, lalu pilih S3.

  5. Untuk Tindakan, pilih Perluas semua, lalu pilih izin bucket dan izin objek yang diperlukan untuk kebijakan IAM.

    Izin objek adalah izin untuk operasi objek di Amazon S3, dan perlu diberikan untuk objek dalam bucket, bukan bucket itu sendiri. Untuk informasi selengkapnya tentang izin untuk operasi objek di Amazon S3, lihat Izin untuk operasi objek.

  6. Pilih Sumber Daya, lalu pilih Tambahkan ARN untuk bucket.

  7. Di kotak dialog Tambahkan ARN, berikan detail tentang sumber daya Anda, dan pilih Tambahkan.

    Tentukan ke bucket Amazon S3 mana akses akan diizinkan. Misalnya, jika Anda ingin mengizinkan Aurora mengakses bucket Amazon S3 bernama DOC-EXAMPLE-BUCKET, setel nilai Amazon Resource Name (ARN) ke. arn:aws:s3:::DOC-EXAMPLE-BUCKET

  8. Jika sumber daya objek dicantumkan, pilih Tambahkan ARN untuk objek.

  9. Di kotak dialog Tambahkan ARN, berikan detail tentang sumber daya Anda.

    Untuk bucket Amazon S3, tentukan ke bucket Amazon S3 mana akses akan diizinkan. Untuk objeknya, Anda dapat memilih Apa pun untuk memberikan izin ke objek apa pun di bucket.

    catatan

    Anda dapat mengatur Amazon Resource Name (ARN) ke nilai ARN yang lebih spesifik untuk memungkinkan Aurora hanya mengakses file atau folder tertentu dalam bucket Amazon S3. Untuk informasi selengkapnya tentang cara menentukan kebijakan akses untuk Amazon S3, lihat Mengelola izin akses ke sumber daya Amazon S3 Anda.

  10. (Opsional) Pilih Tambahkan ARN untuk bucket guna menambahkan bucket Amazon S3 lainnya ke kebijakan, dan ulangi langkah sebelumnya untuk bucket.

    catatan

    Anda dapat mengulanginya untuk menambahkan pernyataan izin bucket yang sesuai ke kebijakan Anda untuk setiap bucket Amazon S3 yang Anda ingin agar diakses Aurora. Secara opsional, Anda juga dapat memberikan akses ke semua bucket dan objek di Amazon S3.

  11. Pilih Tinjau kebijakan.

  12. Untuk Nama, masukkan nama untuk kebijakan IAM Anda, misalnya AllowAuroraToExampleBucket. Anda menggunakan nama ini saat membuat peran IAM untuk dikaitkan dengan klaster DB Aurora Anda. Anda juga dapat menambahkan nilai Deskripsi opsional.

  13. Pilih Buat kebijakan.

  14. Selesaikan langkah-langkah dalam Membuat peran IAM untuk mengizinkan Amazon Aurora mengakses layanan AWS.