Creazione di una policy IAM per l'accesso alle risorse Amazon S3 - Amazon Aurora

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di una policy IAM per l'accesso alle risorse Amazon S3

Aurora può accedere alle risorse di Amazon S3 per caricare i dati o per salvare i dati da un cluster DB Aurora. Tuttavia, è necessario prima creare una policy IAM che assegni le autorizzazioni del bucket e dell'oggetto che rendono possibile l'accesso di Aurora ad Amazon S3.

La tabella seguente indica le funzionalità di Aurora che possono accedere a un bucket Amazon S3 per tuo conto e le autorizzazioni minime del bucket e dell'oggetto richieste da ciascuna funzionalità.

Caratteristica Autorizzazioni del bucket Autorizzazioni dell'oggetto

LOAD DATA FROM S3

ListBucket

GetObject

GetObjectVersion
LOAD XML FROM S3

ListBucket

GetObject

GetObjectVersion

SELECT INTO OUTFILE S3

ListBucket

AbortMultipartUpload

DeleteObject

GetObject

ListMultipartUploadParts

PutObject

La seguente policy aggiunge le autorizzazioni che Amazon S3 potrebbe richiedere da Aurora per accedere al bucket per tuo conto. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAuroraToExampleBucket",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:AbortMultipartUpload",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
            ]
        }
    ]
}
Nota

Assicurati di includere entrambe le voci per il valore Resource. Aurora ha bisogno delle autorizzazioni sia sul bucket stesso che su tutti gli oggetti all'interno del bucket.

In base al caso d'uso, potrebbe non essere necessario aggiungere tutte le autorizzazioni presenti nella policy di esempio. Potrebbero inoltre essere richieste altre autorizzazioni. Ad esempio, se il bucket Amazon S3 è crittografato, occorre aggiungere autorizzazioni kms:Decrypt.

È possibile seguire i passaggi seguenti per creare una policy IAM che conceda le autorizzazioni minime necessarie affinché Aurora possa accedere a un bucket Amazon S3 per tuo conto. Per consentire ad Aurora l'accesso a tutti i bucket Amazon S3, puoi saltare questi passaggi e utilizzare la policy IAM predefinita AmazonS3ReadOnlyAccess o AmazonS3FullAccess invece di crearne una nuova.

Per creare una policy IAM per consentire l'accesso alle risorse Amazon S3

  1. Aprire la console di gestione IAM.

  2. Nel pannello di navigazione, selezionare Policies (Policy).

  3. Scegli Create Policy (Crea policy).

  4. Nella scheda Visual editor (Editor visivo) selezionare Choose a service (Scegli un servizio) e quindi S3.

  5. Per Actions (Operazioni), scegliere Expand all (Espandi tutto), quindi scegliere le autorizzazioni del bucket e dell'oggetto necessarie per la policy IAM.

    Le autorizzazioni dell'oggetto si riferiscono alle operazioni sugli oggetti in Amazon S3 e devono essere concesse per gli oggetti presenti nel bucket e non per il bucket stesso. Per ulteriori informazioni sulle autorizzazioni per le operazioni degli oggetti in Amazon S3, consulta Autorizzazioni per operazioni relative agli oggetti.

  6. Scegliere Resources (Risorse) e selezionare Add ARN (Aggiungi ARN) per bucket.

  7. Nella finestra di dialogo Add ARN(s) (Aggiungi ARN), fornire i dettagli sulla risorsa e scegliere Add (Aggiungi).

    Specificare il bucket Amazon S3 a cui consentire l'accesso. Ad esempio, se desideri consentire ad Aurora di accedere al bucket Amazon S3 denominato DOC-EXAMPLE-BUCKET, imposta il valore Amazon Resource Name (ARN) su. arn:aws:s3:::DOC-EXAMPLE-BUCKET

  8. Se la risorsa object (oggetto) è elencata, scegliere Add ARN (Aggiungi ARN) per object (oggetto).

  9. Nella finestra di dialogo Add ARN(s) (Aggiungi ARN), fornire i dettagli sulla risorsa.

    Per il bucket Amazon S3 specificare il bucket Amazon S3 a cui consentire l'accesso. Per l'oggetto, è anche possibile scegliere Any (Qualsiasi) per concedere le autorizzazioni per qualsiasi oggetto nel bucket.

    Nota

    È possibile impostare Amazon Resource Name (ARN) su un valore dell'ARN più specifico in modo da consentire ad Aurora di accedere solo a specifici file o cartelle presenti in un bucket Amazon S3. Per ulteriori informazioni su come definire una policy di accesso per Amazon S3, consulta Gestione delle autorizzazioni di accesso alle risorse Amazon S3.

  10. (Facoltativo) Scegliere Add ARN (Aggiungi ARN) affinché il bucket aggiunga un altro bucket Amazon S3 alla policy e ripetere i passaggi precedenti per il bucket.

    Nota

    È possibile ripetere questa operazione per aggiungere le istruzioni di autorizzazione del bucket corrispondenti alla policy per ciascun bucket Amazon S3 a cui Aurora deve accedere. Facoltativamente, è anche possibile concedere l'accesso a tutti i bucket e gli oggetti in Amazon S3.

  11. Scegliere Review policy (Esamina policy).

  12. Per Name (Nome), immettere un nome per la policy IAM, ad esempio AllowAuroraToExampleBucket. Questo nome viene utilizzato quando si crea un ruolo IAM e lo si associa al cluster DB Aurora. È anche possibile aggiungere un valore Description (Descrizione) facoltativo.

  13. Seleziona Create Policy (Crea policy).

  14. Completa le fasi descritte in Creazione di un ruolo IAM per consentire ad Amazon Aurora di accedere ai servizi AWS.