Configurazione delle autorizzazioni per la replica in tempo reale - Amazon Simple Storage Service
Fase 1: Concessione delle autorizzazioni al responsabile IAM che crea le regole di replicaFase 2: creazione di un ruolo IAM per Amazon S3 da assumere(Facoltativo) Fase 3: Concessione delle autorizzazioni quando i bucket di origine e di destinazione sono di proprietà di diversi Account AWS(Facoltativo) Fase 4: Concessione delle autorizzazioni per modificare la proprietà delle repliche

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione delle autorizzazioni per la replica in tempo reale

Per la configurazione della replica in tempo reale in Amazon S3, occorre acquisire le autorizzazioni necessarie, come indicato di seguito:

  • Devi concedere al principale AWS Identity and Access Management (IAM) (utente o ruolo) che creerà le regole di replica un determinato set di autorizzazioni.

  • Amazon S3 necessita delle autorizzazioni per replicare gli oggetti per tuo conto. Queste autorizzazioni vengono concesse creando un ruolo IAM e specificandolo nella configurazione di replica.

  • Quando i bucket di origine e di destinazione non sono di proprietà degli stessi account, il proprietario del bucket di destinazione deve concedere al proprietario del bucket di origine anche le autorizzazioni per archiviare le repliche.

Nota

Se utilizzi S3 Batch Operations per replicare oggetti su richiesta anziché configurare la replica live, sono necessari un ruolo e policy IAM diversi per S3 Batch Replication. Per esempi di policy e ruoli IAM di Replica in batch, consulta Configurazione di un ruolo IAM per Replica in batch S3.

Fase 1: Concessione delle autorizzazioni al responsabile IAM che crea le regole di replica

L'utente o il ruolo IAM che utilizzerai per creare le regole di replica necessita delle autorizzazioni per creare regole di replica per repliche unidirezionali o bidirezionali. Se l'utente o il ruolo non dispone di queste autorizzazioni, non sarai in grado di creare regole di replica. Per ulteriori informazioni, consulta IAM Identities nella IAM User Guide.

L'utente o il ruolo necessitano delle seguenti azioni:

  • iam:AttachRolePolicy

  • iam:CreatePolicy

  • iam:CreateServiceLinkedRole

  • iam:PassRole

  • iam:PutRolePolicy

  • s3:GetBucketVersioning

  • s3:GetObjectVersionAcl

  • s3:GetObjectVersionForReplication

  • s3:GetReplicationConfiguration

  • s3:PutReplicationConfiguration

Di seguito è riportato un esempio di policy IAM che include queste azioni.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetAccessPoint",
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets",
                "s3:PutReplicationConfiguration",
                "s3:GetReplicationConfiguration",
                "s3:GetBucketVersioning",
                "s3:GetObjectVersionForReplication",
                "s3:GetObjectVersionAcl",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:GetObjectVersion",
                "s3:GetBucketOwnershipControls",
                "s3:PutBucketOwnershipControls",
                "s3:GetObjectLegalHold",
                "s3:GetObjectRetention",
                "s3:GetBucketObjectLockConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1-*",
                "arn:aws:s3:::amzn-s3-demo-bucket2-*/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:List*AccessPoint*",
                "s3:GetMultiRegion*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:Get*",
                "iam:CreateServiceLinkedRole",
                "iam:CreateRole",
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/service-role/s3*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:List*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:PutRolePolicy",
                "iam:CreatePolicy"
              ],
            "Resource": [
                "arn:aws:iam::*:policy/service-role/s3*",
                "arn:aws:iam::*:role/service-role/s3*"
            ]
        }
    ]
}

Fase 2: creazione di un ruolo IAM per Amazon S3 da assumere

Di default, tutte le risorse di Amazon S3, ossia bucket, oggetti e risorse secondarie correlate, sono private e solo il proprietario vi può accedere. Amazon S3 ha bisogno di autorizzazioni per leggere e replicare gli oggetti dal bucket di origine. Queste autorizzazioni vengono concesse creando un ruolo IAM e specificandolo nella configurazione della replica.

In questa sezione vengono illustrate la policy di attendibilità e la policy di autorizzazione minima richiesta associate a questo ruolo IAM. Le procedure dettagliate di esempio forniscono step-by-step istruzioni per creare un ruolo IAM. Per ulteriori informazioni, consulta Esempi di configurazione della replica in tempo reale.

Nota

Se utilizzi la console per creare la configurazione di replica, ti consigliamo di saltare questa sezione e lasciare che sia invece la console a creare questo ruolo IAM e le politiche di fiducia e autorizzazione necessarie per te.

La policy di attendibilità identifica le identità principali che possono assumere il ruolo IAM. La policy di autorizzazione specifica le azioni che il ruolo IAM può eseguire, su quali risorse e in quali condizioni.

  • L'esempio seguente mostra una politica di fiducia in cui si identifica Amazon S3 come Servizio AWS principale che può assumere il ruolo:

    JSON
    {
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"s3.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

  • Di seguito viene mostrata una policy di attendibilità esemplificativa in cui si identifica Amazon S3 e Operazioni in batch S3 come principali del servizio che può assumere il ruolo. Usare questo approccio quando si crea un processo Replica in batch. Per ulteriori informazioni, consulta Creazione di un processo Replica in batch per nuove destinazioni o regole di replica.

    JSON
    {
   "Version":"2012-10-17",		 	 	 
   "Statement":[ 
      {
         "Effect":"Allow",
         "Principal":{
            "Service": [
              "s3.amazonaws.com",
              "batchoperations.s3.amazonaws.com"
           ]
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

    Per ulteriori informazioni sui ruoli IAM, consulta Ruoli IAM nella Guida per l'utente di IAM.

  • Di seguito viene mostrata una policy di autorizzazioni esemplificativa in cui si concedono al ruolo IAM le autorizzazioni per eseguire attività di replica per proprio conto. Quando Amazon S3 assume il ruolo, dispone delle autorizzazioni che sono state specificate in questa policy. In questa politica, amzn-s3-demo-source-bucket è il bucket di origine e amzn-s3-demo-destination-bucket è il nome del bucket di destinazione.

    JSON
    {
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "s3:GetReplicationConfiguration",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
         ]
      },
      {
         "Effect": "Allow",
         "Action": [
            "s3:GetObjectVersionForReplication",
            "s3:GetObjectVersionAcl",
            "s3:GetObjectVersionTagging"
         ],
         "Resource": [
            "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
         ]
      },
      {
         "Effect": "Allow",
         "Action": [
            "s3:ReplicateObject",
            "s3:ReplicateDelete",
            "s3:ReplicateTags"
         ],
         "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
      }
   ]
}

    La policy di autorizzazioni concede le autorizzazioni per le seguenti azioni:

    • s3:GetReplicationConfiguration e s3:ListBucket: le autorizzazioni per queste azioni sul bucket amzn-s3-demo-source-bucket consentono ad Amazon S3 di recuperare la configurazione della replica ed elencare il contenuto del bucket. (Il modello di autorizzazioni corrente richiede l'autorizzazione s3:ListBucket per l'accesso ai contrassegni di eliminazione.)

    • s3:GetObjectVersionForReplication e s3:GetObjectVersionAcl: le autorizzazioni per queste operazioni concesse su tutti gli oggetti permettono ad Amazon S3 di ottenere una versione dell'oggetto specifica e la lista di controllo degli accessi (ACL) associata agli oggetti.

    • s3:ReplicateObject e s3:ReplicateDelete: le autorizzazioni per queste operazioni sugli oggetti nel bucket di amzn-s3-demo-destination-bucket permettono ad Amazon S3 di replicare gli oggetti o i contrassegni di eliminazione nel bucket di destinazione. Per informazioni sui contrassegni di eliminazione, consulta la sezione Effetto delle operazioni di eliminazione sulla replica.

      Nota

      Le autorizzazioni per l's3:ReplicateObjectazione sul amzn-s3-demo-destination-bucket bucket consentono inoltre la replica di metadati come tag di oggetti e. ACLs Pertanto non è necessario concedere esplicitamente l'autorizzazione per l'operazione s3:ReplicateTags.

    • s3:GetObjectVersionTagging: le autorizzazioni per questa azione sugli oggetti nel bucket amzn-s3-demo-source-bucket permettono ad Amazon S3 di leggere i tag degli oggetti per la replica. Per ulteriori informazioni sui tag degli oggetti, consulta Categorizzare i tuoi oggetti usando i tag. Se non dispone dell'autorizzazione s3:GetObjectVersionTagging, Amazon S3 replica gli oggetti ma non i relativi tag.

    Per visualizzare un elenco di operazioni Amazon S3, consulta Operazioni, risorse e chiavi di condizione per Amazon S3 nella Guida di riferimento per l'autorizzazione al servizio.

    Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta Autorizzazioni necessarie per le operazioni API di Amazon S3.

    Importante

    Il Account AWS proprietario del ruolo IAM deve disporre delle autorizzazioni per le azioni che concede al ruolo IAM.

    Supponiamo ad esempio che il bucket di origine contenga oggetti di proprietà di un altro Account AWS. Il proprietario degli oggetti deve concedere esplicitamente al proprietario del Account AWS ruolo IAM le autorizzazioni richieste tramite gli elenchi di controllo degli accessi degli oggetti (). ACLs In caso contrario, Amazon S3 non può accedere agli oggetti e la replica degli oggetti ha esito negativo. Per informazioni sulle autorizzazioni ACL, consulta la sezione Panoramica delle liste di controllo accessi (ACL).

    Le autorizzazioni descritte si riferiscono alla configurazione di replica minima. Se scegli di aggiungere configurazioni di replica opzionali, devi concedere autorizzazioni aggiuntive ad Amazon S3:

    • Per replicare oggetti crittografati, devi anche concedere le autorizzazioni necessarie AWS Key Management Service () relative alla chiave.AWS KMS Per ulteriori informazioni, consulta Replica di oggetti crittografati (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C).

    • Per utilizzare Object Lock con la replica, è necessario concedere due autorizzazioni aggiuntive sul bucket S3 di origine nel ruolo AWS Identity and Access Management (IAM) utilizzato per configurare la replica. Le due nuove autorizzazioni aggiuntive sono s3:GetObjectRetention e s3:GetObjectLegalHold. Se il ruolo dispone di un'istruzione di autorizzazione s3:Get*, tale istruzione soddisfa il requisito. Per ulteriori informazioni, consulta Utilizzo di Object Lock con la replica S3.

(Facoltativo) Fase 3: Concessione delle autorizzazioni quando i bucket di origine e di destinazione sono di proprietà di diversi Account AWS

Quando i bucket di origine e di destinazione non sono di proprietà degli stessi account, il proprietario del bucket di destinazione deve aggiungere anche una policy di bucket per concedere al proprietario del bucket di origine le autorizzazioni per eseguire le operazioni di replica, come mostrato nel seguente esempio. In questa policy di esempio, amzn-s3-demo-destination-bucket è il nome del bucket di destinazione.

È possibile utilizzare la console Amazon S3 anche per generare automaticamente questa policy di bucket. Per ulteriori informazioni, consulta Abilita la ricezione di oggetti replicati da un bucket di origine.

Nota

Il formato ARN del ruolo può apparire diverso. Se il ruolo è stato creato utilizzando la console, il formato ARN è arn:aws:iam::account-ID:role/service-role/role-name. Se il ruolo è stato creato utilizzando il AWS CLI, il formato ARN è. arn:aws:iam::account-ID:role/role-name Per ulteriori informazioni, consulta Ruoli IAM nella Guida per l'utente IAM.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Id": "PolicyForDestinationBucket",
    "Statement": [
        {
            "Sid": "Permissions on objects",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
            },
            "Action": [
                "s3:ReplicateDelete",
                "s3:ReplicateObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
        },
        {
            "Sid": "Permissions on bucket",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
            },
            "Action": [
                "s3:List*",
                "s3:GetBucketVersioning",
                "s3:PutBucketVersioning"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
        }
    ]
}

Per vedere un esempio, consulta Configurazione della replica per i bucket in account diversi.

In presenza di oggetti con tag nel bucket di origine, tenere in considerazione quanto segue:

  • Se il proprietario del bucket di origine concede ad Amazon S3 l'autorizzazione per le operazioni s3:GetObjectVersionTagging e s3:ReplicateTags per replicare i tag degli oggetti (tramite il ruolo IAM), Amazon S3 replica i tag insieme agli oggetti. Per informazioni sul ruolo IAM, consulta Fase 2: creazione di un ruolo IAM per Amazon S3 da assumere.

  • Se il proprietario del bucket di destinazione non desidera replicare i tag, può aggiungere l'istruzione seguente alla policy del bucket di destinazione per rifiutare esplicitamente l'autorizzazione per l'operazione s3:ReplicateTags. In questa politica, amzn-s3-demo-destination-bucketè il nome del bucket di destinazione.

    ...
   "Statement":[
      {
         "Effect":"Deny",
         "Principal":{
            "AWS":"arn:aws:iam::source-bucket-account-id:role/service-role/source-account-IAM-role"
         },
         "Action":"s3:ReplicateTags",
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
      }
   ]
...
Nota

  • Se si desidera replicare oggetti crittografati, è opportuno anche concedere le autorizzazioni chiave AWS Key Management Service (AWS KMS) necessarie. Per ulteriori informazioni, consulta Replica di oggetti crittografati (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C).

  • Per utilizzare Object Lock con la replica, è necessario concedere due autorizzazioni aggiuntive sul bucket S3 di origine nel ruolo AWS Identity and Access Management (IAM) utilizzato per configurare la replica. Le due nuove autorizzazioni aggiuntive sono s3:GetObjectRetention e s3:GetObjectLegalHold. Se il ruolo dispone di un'istruzione di autorizzazione s3:Get*, tale istruzione soddisfa il requisito. Per ulteriori informazioni, consulta Utilizzo di Object Lock con la replica S3.

Abilitare la ricezione di oggetti replicati da un bucket di origine

Anziché aggiungere manualmente la policy precedente al bucket di destinazione, è possibile generare rapidamente le policy necessarie per abilitare la ricezione di oggetti replicati da un bucket di origine tramite la console Amazon S3.

  1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel pannello di navigazione a sinistra, scegli Buckets (Bucket).

  3. Nell'elenco Buckete, scegliere il bucket da utilizzare come bucket di destinazione.

  4. Seleziona la scheda Gestione, quindi scorri verso il basso fino a Regole di replica.

  5. Per Operazioni, scegliere Ricevi oggetti replicati.

    Segui le istruzioni e inserisci l' Account AWS ID dell'account bucket di origine, quindi scegli Genera politiche. La console genera una policy del bucket Amazon S3 e una policy della chiave KMS.

  6. Per aggiungere questa policy alla policy del bucket esistente, scegli Applica le impostazioni oppure scegli Copia per copiare manualmente le modifiche.

  7. (Facoltativo) Copia la AWS KMS politica nella policy chiave KMS desiderata nella console. AWS Key Management Service

(Facoltativo) Fase 4: Concessione delle autorizzazioni per modificare la proprietà delle repliche

Se Account AWS il bucket di origine e quello di destinazione sono diversi, puoi chiedere ad Amazon S3 di cambiare la proprietà della replica con quella proprietaria del bucket di Account AWS destinazione. Per ignorare la proprietà delle repliche, devi concedere alcune autorizzazioni aggiuntive o modificare le impostazioni di S3 Object Ownership per il bucket di destinazione. Per ulteriori informazioni sulla sovrascrittura del proprietario, consulta Modifica del proprietario della replica.