Configurar políticas do IAM para replicação em lote
Como o S3 Batch Replication é um tipo de trabalho de operações em lote, você deve criar uma função do AWS Identity and Access Management (IAM) de operações em lote para conceder permissões ao Amazon S3 para executar ações em seu nome. Você também deve anexar uma política do IAM de replicação em lote à função do IAM de operações em lote. O exemplo a seguir cria uma função do IAM que concede permissão às operações em lote para iniciar um trabalho de replicação em lote.
Criar uma política e uma função do IAM
Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/
. -
Em Access management (Gerenciamento de acesso), escolha Roles (Funções).
-
Selecione Criar função.
-
Escolha Serviço da AWS como o tipo de entidade de confiança, Amazon S3 como o serviço e S3 Batch Operations (Operações em lote do S3) como caso de uso.
-
Escolha Next: Permissions (Próximo: permissões).
-
Selecione Create Policy (Criar política).
-
Escolha JSON e insira uma das seguintes políticas com base no manifesto.
nota
Permissões diferentes serão necessárias se você estiver gerando um manifesto ou fornecendo um. Consulte mais informações em Especificando um manifesto para um trabalho de replicação em lote.
Política se usar e armazenar um manifesto gerado pelo S3
{ "Version":"2012-10-17", "Statement":[ { "Action":[ "s3:InitiateReplication" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*** replication source bucket ***/*" ] }, { "Action":[ "s3:GetReplicationConfiguration", "s3:PutInventoryConfiguration" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*** replication source bucket ***" ] }, { "Action":[ "s3:GetObject", "s3:GetObjectVersion" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*** manifest bucket ***/*" ] }, { "Effect":"Allow", "Action":[ "s3:PutObject" ], "Resource":[ "arn:aws:s3:::*** completion report bucket ****/*", "arn:aws:s3:::*** manifest bucket ****/*" ] } ] }Política se estiver usando um manifesto fornecido pelo usuário
{ "Version":"2012-10-17", "Statement":[ { "Action":[ "s3:InitiateReplication" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*** replication source bucket ***/*" ] }, { "Action":[ "s3:GetObject", "s3:GetObjectVersion" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*** manifest bucket ***/*" ] }, { "Effect":"Allow", "Action":[ "s3:PutObject" ], "Resource":[ "arn:aws:s3:::*** completion report bucket ****/*" ] } ] } -
Escolha Next: Tags (Próximo: etiquetas).
-
Selecione Next: Review (Próximo: revisar).
-
Escolha um nome para a política e escolha Create policy (Criar política).
-
Anexe essa política à sua função e escolha Next: Tags (Próximo: etiquetas).
-
Selecione Next: Review (Próximo: revisar).
-
Escolha um nome para a função e escolha Create role (Criar função).
Verifique a política de confiança
Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/
. -
Em Access management (Gerenciamento de acesso), escolha Roles (Perfis) e selecione o perfil que acabou de criar.
-
Na guia Trust relationships (Relações de confiança), escolha Edit trust relationship (Editar relação de confiança).
-
Verifique se essa função está usando a seguinte política de confiança:
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"batchoperations.s3.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
