Menyiapkan bucket Amazon S3 untuk ekspor data - Ekspor Data AWS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan bucket Amazon S3 untuk ekspor data

Anda harus memiliki bucket Amazon S3 di AWS akun Anda untuk menerima dan menyimpan ekspor data Anda. Saat membuat ekspor di konsol, Anda dapat memilih bucket S3 yang sudah ada yang Anda miliki, atau Anda dapat membuat bucket baru. Dalam kedua kasus tersebut, Anda perlu meninjau dan mengonfirmasi penerapan kebijakan bucket S3 default berikut. Mengedit kebijakan ini di konsol Amazon S3 atau mengubah pemilik bucket S3 setelah Anda membuat ekspor mencegah Ekspor Data mengirimkan ekspor Anda. Menyimpan data ekspor di bucket S3 Anda ditagih dengan tarif Amazon S3 standar. Untuk informasi selengkapnya, lihat Kuota dan pembatasan.

Kebijakan berikut diterapkan pada setiap bucket S3 saat membuat Laporan Biaya dan Penggunaan:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableAWSDataExportsToWriteToS3AndCheckPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "billingreports.amazonaws.com",
                    "bcm-data-exports.amazonaws.com"
                ]
            },
            "Action": [
                "s3:PutObject",
                "s3:GetBucketPolicy"
            ],
            "Resource": [
                "arn:aws:s3:::${bucket_name}/*",
                "arn:aws:s3:::${bucket_name}"
            ],
            "Condition": {
                "StringLike": {
                    "aws:SourceAccount": "${accountId}",
                    "aws:SourceArn": [
                        "arn:aws:cur:us-east-1:${accountId}:definition/*",
                        "arn:aws:bcm-data-exports:us-east-1:${accountId}:export/*"
                    ]
                }
            }
        }
    ]
}

Kebijakan bucket S3 ini memastikan bahwa Ekspor Data hanya dapat mengirimkan ekspor ke bucket S3 atas nama akun yang membuat ekspor. Ini juga memungkinkan Ekspor Data untuk memverifikasi bahwa bucket S3 masih dimiliki oleh akun yang membuat ekspor.

  • Untuk mengirimkan ekspor ke bucket S3 Anda, AWS perlu izin menulis untuk bucket S3 tersebut. Untuk melakukan ini, kebijakan bucket S3 memberikan izin layanan Ekspor Data () untuk mengirimkan (bcm-data-exports.amazonaws.coms3:PutObject) laporan ke bucket S3 yang Anda miliki (). arn:aws:s3:::<EXAMPLE-BUCKET>/*

  • Setiap kali Data Exports membuat permintaan untuk menulis ke bucket S3, ia harus memberikan ID akun akun yang membuat ekspor. Kunci kondisi aws:SourceArn dan aws:SourceAccount menegakkan ini.

  • Kebijakan bucket S3 ini tidak memberikan AWS izin untuk membaca atau menghapus objek apa pun di bucket S3 Anda, termasuk Laporan Biaya dan Penggunaan setelah dikirimkan.

Untuk bucket Amazon S3 yang mengaktifkan daftar kontrol akses (ACL), Ekspor Data menerapkan BucketOwnerFullControl ACL ke laporan saat mengirimkannya. Secara default, objek Amazon S3, seperti laporan ini, hanya dapat dibaca oleh pengguna atau kepala layanan yang menulisnya. Untuk memberi Anda atau pemilik bucket S3 izin untuk membaca laporan, AWS perlu menerapkan BucketOwnerFullControl ACL. ACL memberikan pemilik bucket S3 Permission.FullControl untuk laporan ini. Namun, disarankan untuk menonaktifkan ACL dan menggunakan kebijakan bucket S3 untuk mengontrol akses.

catatan

Untuk bucket S3 yang baru dibuat, ACL dinonaktifkan secara default. Untuk informasi selengkapnya, lihat Mengontrol kepemilikan objek dan menonaktifkan ACL untuk bucket Anda.

Jika Anda melihat kesalahan bucket tidak valid di halaman konsol Ekspor Data, verifikasi bahwa kebijakan dan kepemilikan bucket S3 tidak berubah sejak penyiapan laporan.