Modifica del proprietario della replica - Amazon Simple Storage Service

Modifica del proprietario della replica

Nella replica, il proprietario dell'oggetto di origine possiede anche la replica per impostazione predefinita. Quando i bucket di origine e di destinazione sono di proprietà di diversi Account AWS e si desidera cambiare la proprietà di replica nell'Account AWS che possiede il bucket di destinazione, è possibile aggiungere impostazioni di configurazione facoltative per modificare la proprietà di replica nell'Account AWS proprietario del bucket di destinazione. Ad esempio, è possibile eseguire questa operazione per limitare l'accesso alle repliche degli oggetti. Questa operazione viene definita sostituzione del proprietario della configurazione della replica. Per ulteriori informazioni sull'opzione di sovrascrittura del proprietario, consulta la sezione Aggiunta dell'opzione di sostituzione del proprietario alla configurazione della replica. Per ulteriori informazioni sull'impostazione della configurazione della replica, consulta la sezione Replica di oggetti.

Per configurare la sostituzione del proprietario, procedi come segue:

  • Aggiungi l'opzione di sostituzione del proprietario alla configurazione della replica per indicare ad Amazon S3 di modificare la proprietà della replica.

  • Concedi ad Amazon S3 le autorizzazioni per modificare la proprietà della replica.

  • Aggiungi l'autorizzazione alla policy del bucket di destinazione per consentire la modifica della proprietà della replica. Ciò consente al proprietario dei bucket di destinazione di accettare la proprietà delle repliche dell'oggetto.

Per ulteriori informazioni, consulta Aggiunta dell'opzione di sostituzione del proprietario alla configurazione della replica. Per un esempio di utilizzo con istruzioni dettagliate, consulta la sezione Modificare il proprietario della replica quando i bucket di origine e di destinazione sono di proprietà di account diversi.

Impostazione proprietario del bucket applicato per Object Ownership

Quando utilizzi la replica Amazon S3 e i bucket di origine e di destinazione sono di proprietà di diversi Account AWS, il proprietario del bucket di destinazione può disabilitare le ACL (tramite l'impostazione proprietario del bucket applicata per Proprietà oggetto) per assegnare la proprietà della replica all'Account AWS proprietario del bucket di destinazione. Questa impostazione imita il comportamento di sovrascrittura del proprietario esistente senza la necessità di un'autorizzazione s3:ObjectOwnerOverrideToBucketOwner. Tutti gli oggetti replicati nel bucket di destinazione con l'impostazione proprietario del bucket applicato sono di proprietà del proprietario del bucket di destinazione. Per ulteriori informazioni su Object Ownership, consulta Controllo della proprietà degli oggetti e disabilitazione degli ACL per il bucket.

Aggiunta dell'opzione di sostituzione del proprietario alla configurazione della replica

avvertimento

Aggiungi l'opzione di sostituzione del proprietario solo quando i bucket di origine e di destinazione sono di proprietà di Account AWS diversi. Amazon S3 non controlla se i bucket sono di proprietà dello stesso account o di account diversi. Se aggiungi la sostituzione del proprietario quando entrambi i bucket sono di proprietà dello stesso Account AWS, Amazon S3 applica la sostituzione del proprietario. Concede le autorizzazioni complete al proprietario del bucket di destinazione e non replica gli aggiornamenti successivi nella lista di controllo degli accessi (ACL) dell'oggetto di origine. Il proprietario della replica può modificare direttamente l'ACL associata a una replica con una richiesta PUT ACL, ma non tramite replica.

Per specificare l'opzione di sostituzione del proprietario, aggiungi quanto segue all'elemento Destination:

  • L'elemento AccessControlTranslation, che indica ad Amazon S3 di modificare la proprietà della replica

  • L'elemento Account, che specifica l'Account AWS del proprietario del bucket di destinazione

<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> ... <Destination> ... <AccessControlTranslation> <Owner>Destination</Owner> </AccessControlTranslation> <Account>destination-bucket-owner-account-id</Account> </Destination> </Rule> </ReplicationConfiguration>

La seguente configurazione della replica di esempio indica ad Amazon S3 di replicare gli oggetti con il prefisso della chiave Tax nel bucket di destinazione e di modificare la proprietà delle repliche.

<?xml version="1.0" encoding="UTF-8"?> <ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Role>arn:aws:iam::account-id:role/role-name</Role> <Rule> <ID>Rule-1</ID> <Priority>1</Priority> <Status>Enabled</Status> <DeleteMarkerReplication> <Status>Disabled</Status> </DeleteMarkerReplication> <Filter> <Prefix>Tax</Prefix> </Filter> <Destination> <Bucket>arn:aws:s3:::destination-bucket</Bucket> <Account>destination-bucket-owner-account-id</Account> <AccessControlTranslation> <Owner>Destination</Owner> </AccessControlTranslation> </Destination> </Rule> </ReplicationConfiguration>

Concessione ad Amazon S3 dell'autorizzazione per modificare la proprietà della replica

Concedi ad Amazon S3 le autorizzazioni per modificare la proprietà della replica aggiungendo l'autorizzazione per l'operazione s3:ObjectOwnerOverrideToBucketOwner alla policy di autorizzazione associata al ruolo IAM. Questo è il ruolo IAM specificato nella configurazione della replica che consente ad Amazon S3 di acquisire e replicare gli oggetti per conto tuo.

... { "Effect":"Allow", "Action":[ "s3:ObjectOwnerOverrideToBucketOwner" ], "Resource":"arn:aws:s3:::destination-bucket/*" } ...

Aggiunta dell'autorizzazione alla policy del bucket di destinazione per consentire la modifica della proprietà della replica

Il proprietario del bucket di destinazione deve concedere al proprietario del bucket di origine l'autorizzazione necessaria per modificare la proprietà della replica. Il proprietario del bucket di destinazione concede al proprietario del bucket di origine l'autorizzazione per l'operazione s3:ObjectOwnerOverrideToBucketOwner. Ciò consente al proprietario del bucket di destinazione di accettare la proprietà delle repliche dell'oggetto. La seguente istruzione della policy del bucket di esempio mostra come fare:

... { "Sid":"1", "Effect":"Allow", "Principal":{"AWS":"source-bucket-account-id"}, "Action":["s3:ObjectOwnerOverrideToBucketOwner"], "Resource":"arn:aws:s3:::destination-bucket/*" } ...

Ulteriori considerazioni

Quando configuri l'opzione di sostituzione del proprietario, si applicano le seguenti considerazioni:

  • Per impostazione predefinita, il proprietario dell'oggetto di origine possiede anche la replica. Amazon S3 replica la versione dell'oggetto e l'ACL associata.

    Se aggiungi la sostituzione del proprietario, Amazon S3 replica solo la versione dell'oggetto, non l'ACL. Inoltre, Amazon S3 non replica le modifiche successive all'ACL dell'oggetto di origine. Amazon S3 imposta l'ACL sulla replica che concede il controllo completo al proprietario del bucket di destinazione.

  • Quando aggiorni una configurazione di replica per abilitare o disabilitare la sostituzione del proprietario, si verifica quanto segue.

     

    • Se aggiungi l'opzione di sostituzione del proprietario alla configurazione della replica:

      Quando replica una versione dell'oggetto, Amazon S3 elimina l'ACL associata all'oggetto di origine e imposta l'ACL sulla replica concedendo il controllo completo al proprietario del bucket di destinazione. Non replica le modifiche successive all'ACL dell'oggetto di origine. Tuttavia, questa modifica dell'ACL non si applica alle versioni dell'oggetto che sono state replicate prima di impostare l'opzione di sostituzione proprietario. Gli aggiornamenti all'ACL negli oggetti di origine che sono stati replicati prima che fosse impostata la sostituzione del proprietario continuano a essere replicati in quanto l'oggetto e le relative repliche continuano ad avere lo stesso proprietario.

    • Se rimuovi l'opzione di sostituzione del proprietario dalla configurazione della replica:

      Amazon S3 replica i nuovi oggetti presenti nel bucket di origine e le ACL associate ai bucket di destinazione. Per gli oggetti che sono stati replicati prima della rimozione della sostituzione del proprietario, Amazon S3 non replica le ACL perché rimane valida la modifica della proprietà dell'oggetto apportata da Amazon S3. In altre parole, le ACL associate alla versione dell'oggetto replicata quando la sostituzione del proprietario era impostata continuano a non essere replicate.