Utilizzo di un rapporto di inventario per copiare gli oggetti Account AWS - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di un rapporto di inventario per copiare gli oggetti Account AWS

Puoi utilizzare Amazon S3 Batch Operations per eseguire operazioni batch su larga scala su oggetti Amazon S3. Puoi utilizzare S3 Batch Operations per creare un processo Copy (CopyObject) per copiare oggetti all'interno dello stesso account o su un account di destinazione diverso.

Puoi utilizzare Amazon S3 Inventory per creare un report di inventario e utilizzare il report per creare un elenco (manifesto) di oggetti da copiare con S3 Batch Operations. Per ulteriori informazioni sull'utilizzo di un CSV manifesto nell'account di origine o di destinazione, consulta. Utilizzo di un CSV manifesto per copiare oggetti Account AWS

L'inventario Amazon S3 genera inventari degli oggetti in un bucket. L’elenco risultante viene pubblicato in un file di output. Il bucket inventariato è chiamato bucket di origine, mentre il bucket dove viene memorizzato il file del rapporto di inventario è chiamato bucket di destinazione.

Il report Amazon S3 Inventory può essere configurato per essere consegnato a un altro. Account AWS Ciò consente a S3 Batch Operations di leggere il rapporto di inventario quando il lavoro viene creato nell'account di destinazione.

Per ulteriori informazioni sui bucket di origine e destinazione degli inventari Amazon S3, consulta Bucket di origine e di destinazione.

Il modo più semplice per configurare un inventario è utilizzare la console Amazon S3, ma puoi anche utilizzare Amazon REST API S3 AWS Command Line Interface ,AWS CLI() o. AWS SDKs

La procedura della console seguente contiene le fasi di livello elevato per la configurazione delle autorizzazioni per un processo di operazioni in batch S3. In questa procedura, si copiano gli oggetti da un account di origine a un account di destinazione, con il report di inventario archiviato nell'account di destinazione.

Per configurare Amazon S3 Inventory per bucket di origine e di destinazione di proprietà di account diversi

  1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel pannello di navigazione a sinistra, scegli Buckets (Bucket).

  3. Scegli (o crea) un bucket manifesto di destinazione in cui archiviare il rapporto di inventario. In questa procedura, l’account di destinazione è l’account che possiede sia il bucket manifest di destinazione sia il bucket in cui vengono copiati gli oggetti.

  4. Configura un rapporto di inventario per un bucket di origine. Per informazioni su come utilizzare la console per configurare un inventario o su come crittografare il file dell'elenco inventario, consulta Configurazione di Amazon S3 Inventory.

    Quando configuri il rapporto sull'inventario, specifichi il bucket di destinazione in cui desideri archiviare l'elenco. Il rapporto di inventario per il bucket di origine viene pubblicato nel bucket di destinazione. In questa procedura, l'account di origine è l'account che possiede il bucket di origine.

    Scegli CSVil formato di output.

    Quando si inseriscono le informazioni per il bucket di destinazione, scegliere Buckets in another account (Bucket in un altro account). Quindi inserire il nome del bucket manifest di destinazione. Facoltativamente, è possibile inserire l’ID account dell’account di destinazione.

    Una volta salvata la configurazione dell’inventario, la console visualizza un messaggio simile al seguente:

    Amazon S3 could not create a bucket policy on the destination bucket. Ask the destination bucket owner to add the following bucket policy to allow Amazon S3 to place data in that bucket.

    La console visualizza quindi una policy di bucket che può essere usata per il bucket di destinazione.

  5. Copiare la policy del bucket di destinazione visualizzata sulla console.

  6. Nell’account di destinazione, aggiungere la policy di bucket copiata nel bucket manifest di destinazione in cui è memorizzato il rapporto di inventario.

  7. Creare un ruolo nell'account di destinazione basato sulla policy di attendibilità delle operazioni in batch S3. Per ulteriori informazioni su questa politica di fiducia, consultaPolicy di attendibilità.

    Per ulteriori informazioni sulla creazione di un ruolo, vedere Creazione di un ruolo per delegare le autorizzazioni a un utente Servizio AWS nella Guida per l'IAMutente.

    Immettete un nome per il ruolo (l'esempio seguente, il ruolo utilizza il nome) BatchOperationsDestinationRoleCOPY). Scegli il servizio S3, quindi scegli lo use case S3 Batch Operations, che applica la policy di fiducia al ruolo.

    Quindi scegliere Create policy (Crea policy) per collegare la seguente policy al ruolo. Per utilizzare questa politica, sostituisci il segnaposti di input dall'utente con le tue informazioni. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowBatchOperationsDestinationObjectCOPY",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:PutObjectVersionAcl",
        "s3:PutObjectAcl",
        "s3:PutObjectVersionTagging",
        "s3:PutObjectTagging",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetObjectAcl",
        "s3:GetObjectTagging",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectVersionTagging"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-destination-bucket/*",
        "arn:aws:s3:::amzn-s3-demo-source-bucket/*",
        "arn:aws:s3:::amzn-s3-demo-manifest-bucket/*"
      ]
    }
  ]
}

    Il ruolo usa la policy per concedere l’autorizzazione batchoperations.s3.amazonaws.com per leggere il manifest nel bucket di destinazione. Concede inoltre le autorizzazioni agli GET oggetti, alle liste di controllo degli accessi (ACLs), ai tag e alle versioni nel bucket degli oggetti di origine. Inoltre, concede le autorizzazioni agli PUT oggettiACLs, ai tag e alle versioni nel bucket degli oggetti di destinazione.

  8. Nell'account di origine, crea una policy per il bucket di origine che conceda le autorizzazioni del ruolo creato nel passaggio precedente agli GET oggettiACLs, ai tag e alle versioni nel bucket di origine. Questa fase consente alle operazioni in batch S3 di ottenere oggetti dal bucket di origine tramite il ruolo trusted.

    Segue un esempio della policy di bucket per l’account di origine. Per utilizzare questa politica, sostituisci la segnaposti di input dall'utente con le tue informazioni.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowBatchOperationsSourceObjectCOPY",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DestinationAccountNumber:role/BatchOperationsDestinationRoleCOPY"
      },
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetObjectAcl",
        "s3:GetObjectTagging",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectVersionTagging"
      ],
      "Resource": "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
    }
  ]
}

  9. Una volta che il rapporto sull'inventario è disponibile, crea un job S3 Batch Operations Copy (CopyObject) nell'account di destinazione e scegli il rapporto di inventario dal bucket di manifesto di destinazione. È necessario ARN il IAM ruolo che hai creato nell'account di destinazione.

    Per informazioni generali sulla creazione di un processo, consultare Creazione di un processo di operazioni in batch S3.

    Per informazioni sulla creazione di un lavoro utilizzando la console, consultaCreazione di un processo di operazioni in batch S3.