La Policy del bucket Amazon S3 perAWS Compute Optimizer

Puoi esportare i consigli di Compute Optimizer in un bucket Amazon Simple Storage Service (Amazon S3). I tuoi consigli vengono esportati come file CSV e i metadati vengono esportati come file JSON. Per ulteriori informazioni, consulta Suggerimenti per l'esportazione.

Prima di creare il processo di esportazione, è necessario creare il bucket S3 di destinazione per l'esportazione dei consigli. Compute Optimizer non crea il bucket S3 per te. Il bucket S3 specificato per i file di esportazione dei consigli non deve essere accessibile al pubblico e non può essere configurato come bucket Requester Pays. Come best practice di sicurezza, crea un bucket S3 dedicato per i file di esportazione di Compute Optimizer. Per ulteriori informazioni, consulta Come creare un bucket S3? nella Guida per l'utente della console Amazon S3.

Specifica di un bucket esistente per l'esportazione dei consigli

Dopo aver creato il bucket S3, segui questi passaggi per aggiungere una policy al bucket S3 che consenta a Compute Optimizer di scrivere consigli ed esportare file nel bucket.

1. Apri la console di Amazon S3 su https://console.aws.amazon.com/s3/.

2. Scegli il bucket in Compute Optimizer dove distribuire i file di esportazione.

3. Seleziona Autorizzazioni.

4. Scegli Bucket Policy (Policy del bucket).

5. Copia una delle seguenti politiche e incollala nella casella di testo Bucket Policy Editor.

6. Sostituisci il seguente testo segnaposto nella politica:

   • Sostituisci myBucketName con il nome del tuo bucket.

   • Sostituisci optionalPrefix con il prefisso dell'oggetto opzionale.

   • Sostituisci myRegion con il codice sorgenteRegione AWS.

   • Sostituisci myAccountId con il numero di conto del richiedente del lavoro di esportazione.

7. Includi tutte e tre le seguenti dichiarazioni nella politica:

   1. La prima istruzione (per l'GetBucketAclazione) consente a Compute Optimizer di recuperare la lista di controllo degli accessi (ACL) del bucket.

   2. La seconda istruzione (relativa all'GetBucketPolicyStatusazione) consente a Compute Optimizer di ottenere lo stato della policy del bucket, indicando se il bucket è pubblico.

   3. La terza istruzione (relativa all'PutObjectazione) offre a Compute Optimizer il pieno controllo per inserire il file di esportazione nel bucket.

   La richiesta di esportazione ha esito negativo se manca una di queste istruzioni o se il nome del bucket e il prefisso dell'oggetto opzionale nella politica non corrispondono a quelli specificati nella richiesta di esportazione. L'esportazione fallisce anche se il numero di conto indicato nella polizza non corrisponde al numero di conto del richiedente del lavoro di esportazione.

   Nota

   Se al bucket esistente sono già collegate una o più policy, aggiungere le istruzioni per l'accesso di Compute Optimizer a tali policy. Valutare il set di autorizzazioni risultante per assicurarsi che siano appropriate per gli utenti che accedono al bucket.

Opzione politica 1: utilizzo di un prefisso opzionale

Il prefisso oggetto è un'aggiunta opzionale alla chiave oggetto S3 che organizza i file di esportazione nel bucket S3. Se desideri specificare un prefisso oggetto quando crei l'esportazione dei consigli, usa la seguente politica.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"Service": "compute-optimizer.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::myBucketName"
        },
        {
            "Effect": "Allow",
            "Principal": {"Service": "compute-optimizer.amazonaws.com"},
            "Action": "s3:GetBucketPolicyStatus",
            "Resource": "arn:aws:s3:::myBucketName"
        },
        {
            "Effect": "Allow",
            "Principal": {"Service": "compute-optimizer.amazonaws.com"},
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::myBucketName/optionalPrefix/compute-optimizer/myAccountID/*",
            "Condition": {"StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": "myAccountID",
                    "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*"
                }
            }
        }
    ]
}

Nota

Il componente Compute-Optimizer/myAccountId/ non fa parte del prefisso opzionale. Compute Optimizer crea automaticamente la parte Optimizer/myAccountId/ del percorso del bucket che viene aggiunta al prefisso specificato.

Opzione politica 2: nessun prefisso oggetto

Se non intendi specificare un prefisso di un oggetto, usa la seguente policy.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"Service": "compute-optimizer.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::myBucketName"
        },
        {
            "Effect": "Allow",
            "Principal": {"Service": "compute-optimizer.amazonaws.com"},
            "Action": "s3:GetBucketPolicyStatus",
            "Resource": "arn:aws:s3:::myBucketName"
        },
        {
            "Effect": "Allow",
            "Principal": {"Service": "compute-optimizer.amazonaws.com"},
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::myBucketName/compute-optimizer/myAccountID/*",
            "Condition": {"StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": "myAccountID",
                    "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*"
                }
            }
        }
    ]
}

Utilizzo di bucket S3 crittografati per l'esportazione dei consigli

Per la destinazione delle esportazioni dei consigli di Compute Optimizer, puoi specificare bucket S3 crittografati con chiavi gestite dal cliente di Amazon S3 o chiaviAWS Key Management Service (KMS).

Per utilizzare un bucket S3 conAWS KMS crittografia abilitata, è necessario creare una chiave KMS simmetrica. Le chiavi KMS simmetriche sono le uniche chiavi KMS supportate da Amazon S3. Per istruzioni, consulta Creating keys nella AWS KMSDeveloper Guide. Dopo aver creato la chiave KMS, applicala al bucket S3 che intendi utilizzare per l'esportazione dei consigli. Per ulteriori informazioni, consulta Attivazione della crittografia predefinita di Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service.

Usa la seguente procedura per concedere a Compute Optimizer l'autorizzazione necessaria per utilizzare la tua chiave KMS. Questa autorizzazione è specifica per crittografare il file di esportazione dei consigli quando lo si salva nel bucket S3 crittografato.

1. Aprire la console AWS KMS all'indirizzo https://console.aws.amazon.com/kms.

2. Per modificare la Regione AWS, utilizza il Selettore di regione nell'angolo in alto a destra della pagina.

3. Dal menu di navigazione a sinistra, scegli Chiavi gestite dal cliente.

   Nota

   Le esportazioni dei consigli di Compute Optimizer non sono consentite per i bucket S3 crittografati con chiaviAWS gestite.

4. Scegli il nome della chiave KMS che hai usato per crittografare il bucket S3 di esportazione.

5. Scegli la scheda Politica chiave, quindi scegli Passa alla visualizzazione delle politiche.

6. Scegli Modifica per modificare la politica chiave.

7. Copia una delle seguenti politiche e incollala nella sezione delle dichiarazioni della politica chiave.

8. Sostituisci il seguente testo segnaposto nella politica:

   • Sostituisci myRegion con il codice sorgenteRegione AWS.

   • Sostituisci myAccountId con il numero di conto del richiedente di esportazione.

   L'GenerateDataKeyistruzione consente a Compute Optimizer di chiamare l'AWS KMSAPI per ottenere la chiave di dati per la crittografia dei file di raccomandazione. In questo modo, il formato dei dati caricati può supportare l'impostazione di crittografia del bucket. In caso contrario, Amazon S3 rifiuta la richiesta di esportazione.

   Nota

   Se alla chiave KMS esistente sono già collegate una o più policy, aggiungere le istruzioni per l'accesso di Compute Optimizer a tali policy. Valutare il set di autorizzazioni risultante per assicurarsi che siano appropriate per gli utenti che accedono alla chiave KMS.

Utilizza la seguente politica se non hai abilitato le chiavi bucket Amazon S3.

{
            "Sid": "Allow use of the key to Compute Optimizer",
            "Effect": "Allow",
            "Principal": {
                "Service": "compute-optimizer.amazonaws.com"
            },
            "Action": "kms:GenerateDataKey",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                   "aws:SourceAccount": "myAccountID",
                   "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*"
                }
            }
        }

Utilizza la seguente politica se hai abilitato le chiavi bucket Amazon S3. Per ulteriori informazioni, consulta Riduzione del costo di SSE-KMS con le chiavi bucket Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service.

{
            "Sid": "Allow use of the key to Compute Optimizer",
            "Effect": "Allow",
            "Principal": {
                "Service": "compute-optimizer.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "myAccountID",
                    "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*"
                }
            }
        }

Risorse aggiuntive

Per ulteriori informazioni sulle policy e i bucket S3, consulta la Guida per gli sviluppatori di Amazon Simple Storage Service.