Configurazione della replica per i bucket in account diversi - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione della replica per i bucket in account diversi

La replica in tempo reale è la copia automatica e asincrona di oggetti tra bucket uguali o diversi. Regioni AWS La replica in tempo reale copia gli oggetti appena creati e gli aggiornamenti degli oggetti da un bucket di origine in uno o più bucket di destinazione. Per ulteriori informazioni, consulta Replica di oggetti all'interno e tra le Regioni.

Quando si configura la replica, vengono aggiunte le regole di replica al bucket di origine. Le regole di replica definiscono gli oggetti del bucket di origine da replicare e i bucket di destinazione in cui vengono archiviati gli oggetti replicati. È possibile creare una regola per replicare tutti gli oggetti in un bucket o un sottoinsieme di oggetti con un prefisso di nome di chiave specifico, uno o più tag di oggetto o entrambi gli elementi. Un bucket di destinazione può trovarsi nello stesso Account AWS del bucket di origine oppure può trovarsi in un account diverso.

Se specifichi l'ID della versione dell'oggetto da eliminare, Amazon S3 elimina la versione dell'oggetto nel bucket di origine. Ma non replica l'eliminazione nel bucket di destinazione. In altre parole, non elimina la stessa versione dell'oggetto dal bucket di destinazione. Ciò permette di proteggere i dati da eliminazioni da parte di utenti malintenzionati.

Quando si aggiunge una regola di replica a un bucket, la regola viene abilitata per impostazione predefinita e pertanto inizia a funzionare non appena viene salvata.

La configurazione della replica in tempo reale quando i bucket di origine e di destinazione sono di proprietà di Account AWS diversi prevede una procedura simile a quella della configurazione della replica quando entrambi i bucket sono di proprietà dello stesso account. Tuttavia, esistono varie differenze quando si configura la replica in uno scenario comprendente più account:

  • Il proprietario del bucket di destinazione deve concedere al proprietario del bucket di origine l'autorizzazione necessaria per replicare gli oggetti nella policy del bucket di destinazione.

  • Quando si replicano oggetti crittografati mediante crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS) in uno scenario multi-account, il proprietario della chiave KMS deve concedere al proprietario del bucket di origine l'autorizzazione per utilizzare la chiave KMS. Per ulteriori informazioni, consulta Concessione di autorizzazioni aggiuntive per scenari multi-account.

  • Per impostazione predefinita, gli oggetti replicati appartengono al proprietario del bucket di origine. In uno scenario multi-account, è possibile configurare la replica per trasferire la proprietà degli oggetti replicati al proprietario del bucket di destinazione. Per ulteriori informazioni, consulta Modifica del proprietario della replica.

Per configurare la replica quando i bucket di origine e di destinazione sono di proprietà di diversi Account AWS

  1. In questo esempio i bucket di origine e di destinazione vengono creati in due Account AWS diversi. È necessario disporre di due profili di credenziali impostati per AWS CLI. Questo esempio utilizza acctA e acctB per i nomi di tali profili. Per informazioni sull'impostazione di profili con credenziali e sull'uso di profili denominati, consulta Impostazioni del file di configurazione e delle credenziali nella Guida per l'utente di AWS Command Line Interface .

  2. Segui le step-by-step istruzioni riportate di seguito Configurazione della replica per i bucket nello stesso account con le seguenti modifiche:

    • Per tutti AWS CLI i comandi relativi alle attività del bucket di origine (come la creazione del bucket di origine, l'abilitazione del controllo delle versioni e la creazione del ruolo IAM), utilizza il profilo. acctA Utilizzare il profilo acctB per creare il bucket di destinazione.

    • Assicurarsi che la policy di autorizzazione per il ruolo IAM specifichi i bucket di origine e di destinazione creati per questo esempio.

  3. Nella console, aggiungere la seguente policy di bucket al bucket di destinazione per consentire al proprietario del bucket di origine di replicare gli oggetti. Per istruzioni, consulta Aggiunta di una policy di bucket utilizzando la console di Amazon S3. Assicurati di modificare la policy fornendo l' Account AWS ID del proprietario del bucket di origine, il nome del ruolo IAM e il nome del bucket di destinazione.

    Nota

    Per utilizzare l'esempio seguente, sostituisci user input placeholders con le tue informazioni. Sostituire amzn-s3-demo-destination-bucket con il nome del bucket di destinazione. Sostituire source-bucket-account-ID:role/service-role/source-account-IAM-role nel nome della risorsa Amazon (ARN) IAM con il ruolo IAM utilizzato per questa configurazione della replica.

    Se il ruolo del servizio IAM è stato creato manualmente, impostare il percorso del ruolo nell'ARN IAM come role/service-role/, come mostrato nel seguente esempio di policy. Per ulteriori informazioni, consulta IAM ARNs nella IAM User Guide. 

    {
   "Version":"2012-10-17",
   "Id":"",
   "Statement":[
      {
         "Sid":"Set-permissions-for-objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::source-bucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":["s3:ReplicateObject", "s3:ReplicateDelete"],
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
      },
      {
         "Sid":"Set permissions on bucket",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::source-bucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":["s3:GetBucketVersioning", "s3:PutBucketVersioning"],
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket"
      }
   ]
}

  4. (Facoltativo) Quando si replicano oggetti crittografati mediante SSE-KMS, il proprietario della chiave KMS deve concedere al proprietario del bucket di origine l'autorizzazione per utilizzare la chiave KMS. Per ulteriori informazioni, consulta Concessione di autorizzazioni aggiuntive per scenari multi-account.

  5. (Facoltativo) Nella replica il proprietario dell'oggetto di origine possiede la replica stessa per impostazione predefinita. Quando i bucket di origine e di destinazione sono di proprietà di diversi Account AWS, puoi aggiungere impostazioni di configurazione opzionali per modificare la proprietà della replica a Account AWS quella proprietaria dei bucket di destinazione. Ciò include la concessione dell'autorizzazione ObjectOwnerOverrideToBucketOwner. Per ulteriori informazioni, consulta Modifica del proprietario della replica.