Configurazione della replica quando i bucket di origine e di destinazione sono di proprietà di account diversi - Amazon Simple Storage Service

Configurazione della replica quando i bucket di origine e di destinazione sono di proprietà di account diversi

L'impostazione della replica quando i bucket di origine e di destinazione sono di proprietà di Account AWS diversi prevede una procedura simile a quella per l'impostazione della replica quando entrambi i bucket sono di proprietà dello stesso account. L'unica differenza è che il proprietario del bucket di destinazione deve concedere al proprietario del bucket di origine l'autorizzazione per replicare gli oggetti aggiungendo una policy di bucket.

Per ulteriori informazioni sulla configurazione della replica utilizzando la crittografia lato server con AWS Key Management Service in scenari che coinvolgono molteplici account, consulta Concessione di autorizzazioni aggiuntive per scenari multi-account.

Come configurare la replica quando i bucket di origine e di destinazione sono di proprietà di Account AWS diversi
  1. In questo esempio verranno creati i bucket di origine e di destinazione in due Account AWS diversi. Sarà necessario impostare due profili con credenziali di accesso sulla AWS CLI (in questo esempio, utilizzando acctA e acctB come nomi dei profili). Per ulteriori informazioni sull'impostazione di profili con credenziali, consulta Profili denominati nella Guida per l'utente di AWS Command Line Interface.

  2. Segui le istruzioni dettagliate in Configurazione per i bucket nello stesso account apportando le seguenti modifiche:

    • Per tutti i comandi AWS CLI relativi alle attività del bucket di origine (per la creazione del bucket di origine, l'abilitazione del controllo delle versioni e la creazione del ruolo IAM), utilizzare il profilo acctA. Utilizzare il profilo acctB per creare il bucket di destinazione.

    • Assicurarsi che la policy di autorizzazione specifichi i bucket di origine e di destinazione creati per questo esempio.

  3. Nella console, aggiungere la seguente policy di bucket al bucket di destinazione per consentire al proprietario del bucket di origine di replicare gli oggetti. Assicurati di modificare la policy fornendo l'ID Account AWS del proprietario del bucket di origine e il nome del bucket di destinazione.

    { "Version":"2012-10-17", "Id":"", "Statement":[ { "Sid":"Set permissions for objects", "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::source-bucket-acct-ID:role/service-role/source-acct-IAM-role" }, "Action":["s3:ReplicateObject", "s3:ReplicateDelete"], "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" }, { "Sid":"Set permissions on bucket", "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::source-bucket-acct-ID:role/service-role/source-acct-IAM-role" }, "Action":["s3:List*", "s3:GetBucketVersioning", "s3:PutBucketVersioning"], "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET" } ] }

Seleziona il bucket e aggiungi la relativa policy. Per istruzioni, consultare Aggiunta di una policy di bucket utilizzando la console Amazon S3.

Per impostazione predefinita, nella replica, il proprietario dell'oggetto di origine possiede anche la replica stessa. Quando i bucket di origine e di destinazione sono di proprietà di Account AWS diversi, è possibile aggiungere impostazioni di configurazione facoltative per modificare la proprietà di una replica all'account Account AWS proprietario del bucket di destinazione. Ciò include la concessione dell'autorizzazione ObjectOwnerOverrideToBucketOwner. Per ulteriori informazioni, consulta Modifica del proprietario della replica.