Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Impostazione delle autorizzazioni per la replica in tempo reale
Quando si configura la replica live, è necessario acquisire le autorizzazioni necessarie come segue:
-
Amazon S3 necessita delle autorizzazioni per replicare gli oggetti per tuo conto. È possibile concedere queste autorizzazioni creando un IAM ruolo e quindi specificando tale ruolo nella configurazione di replica.
-
Quando i bucket di origine e di destinazione non sono di proprietà degli stessi account, il proprietario del bucket di destinazione deve concedere al proprietario del bucket di origine le autorizzazioni per archiviare le repliche.
Argomenti
- Creazione di un ruolo IAM
- Concessione delle autorizzazioni quando i bucket di origine e di destinazione sono di proprietà di diversi Account AWS
- Concessione di autorizzazioni per le operazioni in batch S3
- Modifica del proprietario della replica
- Abilita la ricezione di oggetti replicati da un bucket di origine
Creazione di un ruolo IAM
Di default, tutte le risorse di Amazon S3, ossia bucket, oggetti e risorse secondarie correlate, sono private e solo il proprietario vi può accedere. Amazon S3 ha bisogno di autorizzazioni per leggere e replicare gli oggetti dal bucket di origine. Tali autorizzazioni vengono concesse creando un IAM ruolo e specificando il ruolo nella configurazione di replica.
In questa sezione vengono illustrate la policy di trust e la policy di autorizzazione minima richiesta. Le procedure dettagliate di esempio forniscono step-by-step istruzioni per creare un ruolo. IAM Per ulteriori informazioni, consulta Esempi di configurazione della replica in tempo reale.
-
Di seguito viene mostrata una policy di attendibilità in cui identifichi Amazon S3 come principale del servizio che può assumere il ruolo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"s3.amazonaws.com" }, "Action":"sts:AssumeRole" } ] } -
Nell'esempio seguente viene illustrata una policy di attendibilità in cui identifichi Amazon S3 e Operazioni di batch S3 come principali del servizio. Ciò è utile quando crei un processo di replica in batch. Per ulteriori informazioni, consulta Creazione di un processo Batch Replication per una prima regola di replica o una nuova destinazione.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service": [ "s3.amazonaws.com", "batchoperations.s3.amazonaws.com" ] }, "Action":"sts:AssumeRole" } ] }Per ulteriori informazioni sui IAM ruoli, vedere IAM Ruoli nella Guida per l'IAMutente.
-
Di seguito viene mostrata una policy di accesso in cui concedi al ruolo le autorizzazioni per eseguire attività di replica per tuo conto. Quando Amazon S3 assume il ruolo, dispone delle autorizzazioni che sono state specificate in questa policy. In questa politica,
amzn-s3-demo-bucket1amzn-s3-demo-bucket2{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:GetReplicationConfiguration", "s3:ListBucket" ], "Resource":[ "arn:aws:s3:::amzn-s3-demo-bucket1" ] }, { "Effect":"Allow", "Action":[ "s3:GetObjectVersionForReplication", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTagging" ], "Resource":[ "arn:aws:s3:::amzn-s3-demo-bucket1/*" ] }, { "Effect":"Allow", "Action":[ "s3:ReplicateObject", "s3:ReplicateDelete", "s3:ReplicateTags" ], "Resource":"arn:aws:s3:::amzn-s3-demo-bucket2/*" } ] }La policy di accesso concede le autorizzazioni per le seguenti operazioni:
-
s3:GetReplicationConfigurationes3:ListBucket— Autorizzazioni per queste azioni sul bucketamzn-s3-demo-bucket1s3:ListBucketper l'accesso ai contrassegni di eliminazione.) -
s3:GetObjectVersionForReplicationes3:GetObjectVersionAcl— Le autorizzazioni per queste azioni vengono concesse su tutti gli oggetti per consentire ad Amazon S3 di ottenere una versione specifica dell'oggetto e una lista di controllo dell'accesso ACL () associata agli oggetti. -
s3:ReplicateObjectes3:ReplicateDelete: le autorizzazioni per queste operazioni sugli oggetti nel bucket diamzn-s3-demo-bucket2Nota
Le autorizzazioni per l'
s3:ReplicateObjectazione sulamzn-s3-demo-bucket2s3:ReplicateTags. -
s3:GetObjectVersionTagging: le autorizzazioni per questa operazione sugli oggetti nel bucketamzn-s3-demo-bucket1
Per un elenco delle azioni di Amazon S3, consulta Azioni, risorse e chiavi di condizione per Amazon S3 nel Service Authorization Reference.
Importante
Il Account AWS proprietario del IAM ruolo deve disporre delle autorizzazioni per le azioni che concede al ruolo. IAM
Supponiamo ad esempio che il bucket di origine contenga oggetti di proprietà di un altro Account AWS. Il proprietario degli oggetti deve concedere esplicitamente al proprietario del Account AWS IAM ruolo le autorizzazioni necessarie tramite l'oggetto. ACL In caso contrario, Amazon S3 non può accedere agli oggetti e la replica degli oggetti ha esito negativo. Per informazioni sulle ACL autorizzazioni, vedere. Panoramica della lista di controllo degli accessi (ACL)
Le autorizzazioni descritte si riferiscono alla configurazione di replica minima. Se scegli di aggiungere configurazioni di replica facoltative, devi concedere ulteriori autorizzazioni ad Amazon S3.
-
Concessione delle autorizzazioni quando i bucket di origine e di destinazione sono di proprietà di diversi Account AWS
Quando i bucket di origine e di destinazione non sono di proprietà degli stessi account, il proprietario del bucket di destinazione deve aggiungere anche una policy di bucket per concedere al proprietario del bucket di origine le autorizzazioni per eseguire le operazioni di replica, come illustrato di seguito. In questa policy, amzn-s3-demo-bucket2
Nota
Il ARN formato del ruolo potrebbe apparire diverso. Se il ruolo è stato creato utilizzando la console, il ARN formato èarn:aws:iam::. Se il ruolo è stato creato utilizzando il AWS CLI, il ARN formato èaccount-ID:role/service-role/role-namearn:aws:iam::. Per ulteriori informazioni, consulta IAMi ruoli nella Guida IAM per l'utente. account-ID:role/role-name
{ "Version":"2012-10-17", "Id":"PolicyForDestinationBucket", "Statement":[ { "Sid":"Permissions on objects", "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::SourceBucket-account-ID:role/service-role/source-account-IAM-role" }, "Action":[ "s3:ReplicateDelete", "s3:ReplicateObject" ], "Resource":"arn:aws:s3:::/*" }, { "Sid":"Permissions on bucket", "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::amzn-s3-demo-bucket2SourceBucket-account-ID:role/service-role/source-account-IAM-role" }, "Action": [ "s3:List*", "s3:GetBucketVersioning", "s3:PutBucketVersioning" ], "Resource":"arn:aws:s3:::" } ] }amzn-s3-demo-bucket2
Per vedere un esempio, consulta Configurazione della replica quando i bucket di origine e di destinazione sono di proprietà di account diversi.
In presenza di oggetti con tag nel bucket di origine, tenere in considerazione quanto segue:
-
Se il proprietario del bucket di origine concede ad Amazon S3 l'autorizzazione per i tag
s3:ReplicateTagses3:GetObjectVersionTaggingle azioni di replica degli oggetti (tramite IAM il ruolo), Amazon S3 replica i tag insieme agli oggetti. Per informazioni sul ruolo, consulta. IAM Creazione di un ruolo IAM -
Se il proprietario del bucket di destinazione non desidera replicare i tag, può aggiungere l'istruzione seguente alla policy del bucket di destinazione per rifiutare esplicitamente l'autorizzazione per l'operazione
s3:ReplicateTags. In questa politica,amzn-s3-demo-bucket2... "Statement":[ { "Effect":"Deny", "Principal":{ "AWS":"arn:aws:iam::SourceBucket-account-id:role/service-role/source-account-IAM-role" }, "Action":"s3:ReplicateTags", "Resource":"arn:aws:s3:::amzn-s3-demo-bucket2
Concessione di autorizzazioni per le operazioni in batch S3
S3 Batch Replication fornisce un modo per replicare gli oggetti che esistevano già prima della configurazione della replica, gli oggetti replicati in precedenza e gli oggetti la cui replica è fallita. Quando crei la prima regola in una nuova configurazione di replica o quando aggiungi una nuova destinazione a una configurazione esistente tramite la AWS Management Console, hai la possibilità di creare un processo Batch Replication una tantum. Inoltre, puoi avviare Batch Replication per una configurazione di replica esistente creando un processo Batch Operations.
Per esempi di IAM ruoli e policy di Batch Replication, vedere,Configurazione delle IAM policy per la replica in batch.
Modifica del proprietario della replica
Se Account AWS il bucket di origine e quello di destinazione sono diversi, puoi chiedere ad Amazon S3 di cambiare la proprietà della replica con quella proprietaria del bucket di Account AWS destinazione. Per ulteriori informazioni sulla sovrascrittura del proprietario, consulta Modifica del proprietario della replica.
Abilita la ricezione di oggetti replicati da un bucket di origine
È possibile generare rapidamente le policy necessarie per abilitare la ricezione di oggetti replicati da un bucket di origine tramite AWS Management Console.
Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/
-
Nel pannello di navigazione a sinistra, scegli Buckets (Bucket).
-
Nell'elenco Buckete, scegliere il bucket da utilizzare come bucket di destinazione.
-
Seleziona la scheda Gestione, quindi scorri verso il basso fino a Regole di replica.
-
Per Operazioni, scegliere Ricevi oggetti replicati.
Segui le istruzioni e inserisci l' Account AWS ID dell'account bucket di origine e scegli Genera politiche. Ciò genererà una policy sui bucket di Amazon S3 e una KMS policy chiave.
-
Per aggiungere questa policy alla policy del bucket esistente, scegli Applica le impostazioni oppure scegli Copia per copiare manualmente le modifiche.
-
(Facoltativo) Copia la AWS KMS policy nella policy KMS chiave desiderata sulla AWS Key Management Service console.
