Resumo Pré-requisitos e limitações Arquitetura Ferramentas Épicos Recursos relacionados

Permitir que EC2 as instâncias gravem acesso aos buckets do S3 nas contas AMS

Criado por Mansi Suratwala () AWS

Ambiente: produção

Tecnologias: armazenamento e backup; bancos de dados; operações; segurança, identidade e conformidade

AWSserviços: Amazon S3; AWS Managed Services

Resumo

AWS Managed Services (AMS) ajuda você a operar sua AWS infraestrutura com mais eficiência e segurança. AMSas contas têm barreiras de segurança para administração padronizada de seus recursos. AWS Uma barreira é que os perfis de instância padrão do Amazon Elastic Compute Cloud (AmazonEC2) não permitem acesso de gravação aos buckets do Amazon Simple Storage Service (Amazon S3). No entanto, sua organização pode ter vários buckets do S3 e exigir mais controle sobre o acesso por EC2 instâncias. Por exemplo, talvez você queira armazenar backups de banco de dados de EC2 instâncias em um bucket do S3.

Esse padrão explica como usar requests for change (RFCs) para permitir que suas EC2 instâncias gravem acesso aos buckets do S3 em sua AMS conta. Uma RFC é uma solicitação criada por você ou AMS para fazer uma alteração em seu ambiente gerenciado e que inclui uma ID do tipo de alteração (CT) para uma operação específica.

Pré-requisitos e limitações

Pré-requisitos

Uma conta AMS avançada. Para obter mais informações sobre isso, consulte os planos de AMS operações na AMS documentação.
Acesso à customer-mc-user-role função AWS Identity and Access Management (IAM) a ser enviadaRFCs.
AWS Command Line Interface (AWS CLI), instalado e configurado com as EC2 instâncias em sua AMS conta.
Uma compreensão de como criar e enviar RFCsAMS. Para obter mais informações sobre isso, consulte O que são tipos de AMS alteração? na AMS documentação.
Uma compreensão dos tipos de mudança manual e automatizada (CTs). Para obter mais informações sobre isso, consulte Automatizado e manual CTs na AMS documentação.

Arquitetura

Pilha de tecnologia

AMS
AWS CLI
Amazon EC2
Amazon S3
IAM

Ferramentas

AWS Command Line Interface (AWS CLI) é uma ferramenta de código aberto que ajuda você a interagir Serviços da AWS por meio de comandos em seu shell de linha de comando.
AWS Identity and Access Management (IAM) ajuda você a gerenciar com segurança o acesso aos seus AWS recursos controlando quem está autenticado e autorizado a usá-los.
AWS Managed Services (AMS) ajuda você a operar sua AWS infraestrutura com mais eficiência e segurança.
O Amazon Simple Storage Service (Amazon S3) é um serviço de armazenamento de objetos baseado na nuvem que ajuda você a armazenar, proteger e recuperar qualquer quantidade de dados.
O Amazon Elastic Compute Cloud (AmazonEC2) fornece capacidade de computação escalável no. Nuvem AWS Você poderá iniciar quantos servidores virtuais precisar e escalá-los na vertical rapidamente.

Épicos

Tarefa	Descrição	Habilidades necessárias
Crie um bucket S3 usando um automatizadoRFC.	Faça login na sua AMS conta, escolha a página Escolher tipo de alteração, escolha e RFCs, em seguida, escolha Criar RFC. Envie o Create S3 Bucket automaticamenteRFC. Observação: certifique-se de registrar o nome do bucket do S3.	AWSadministrador de sistemas, AWS desenvolvedor

Tarefa Descrição Habilidades necessárias

Tarefa	Descrição	Habilidades necessárias
Envie um manual RFC para criar uma IAM função.	Quando uma AMS conta é integrada, um perfil de IAM instância padrão chamado `customer-mc-ec2-instance-profile` é criado e associado a cada EC2 instância em sua AMS conta. No entanto, o perfil da instância não tem permissões de gravação nos buckets do S3. Para adicionar as permissões de gravação, envie o manual Create IAM Resource RFC para criar uma IAM função que tenha as três políticas a seguir: `customer_ec2_instance_customer_deny_policy`, `customer_ec2_s3_integration_policy` e. Importante: as `customer_deny_policy` políticas `customer_ec2_instance_` e já existem na sua AMS conta. No entanto, você precisa criar `customer_ec2_s3_integration_policy` usando o seguinte exemplo de política: `{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } Role Permissions: { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload" ], "Resource": "arn:aws:s3:::/*", "Effect": "Allow" } ] }`	AWSadministrador de sistemas, AWS desenvolvedor
Envie um manual RFC para substituir o perfil da IAM instância.	Envie um manual RFC para associar as EC2 instâncias de destino ao novo perfil da IAM instância.	AWSadministrador de sistemas, AWS desenvolvedor
Testar uma operação de cópia no bucket do S3.	Teste uma operação de cópia no bucket do S3 executando o seguinte comando no AWS CLI: `aws s3 cp test.txt s3://<S3 bucket>/test2.txt`	AWSadministrador de sistemas, AWS desenvolvedor

Envie um manual RFC para criar uma IAM função.

Quando uma AMS conta é integrada, um perfil de IAM instância padrão chamado customer-mc-ec2-instance-profile é criado e associado a cada EC2 instância em sua AMS conta. No entanto, o perfil da instância não tem permissões de gravação nos buckets do S3.

Para adicionar as permissões de gravação, envie o manual Create IAM Resource RFC para criar uma IAM função que tenha as três políticas a seguir: customer_ec2_instance_customer_deny_policy, customer_ec2_s3_integration_policy e.

Importante: as customer_deny_policy políticas customer_ec2_instance_ e já existem na sua AMS conta. No entanto, você precisa criar customer_ec2_s3_integration_policy usando o seguinte exemplo de política:


{
  "Version": "2012-10-17",
   "Statement": [
    {
      "Sid": "",
       "Effect": "Allow",
       "Principal": {
         "Service": "ec2.amazonaws.com"
      },
       "Action": "sts:AssumeRole"
    }
  ]
}
 
Role Permissions:
{
     "Version": "2012-10-17",
     "Statement": [
        {
             "Action": [
                 "s3:ListBucket",
                 "s3:GetBucketLocation"
            ],
             "Resource": "arn:aws:s3:::",
             "Effect": "Allow"
        },
        {
             "Action": [
                 "s3:GetObject",
                 "s3:PutObject",
                 "s3:ListMultipartUploadParts",
                 "s3:AbortMultipartUpload"
            ],
             "Resource": "arn:aws:s3:::/*",
             "Effect": "Allow"
        }
    ]
}

AWSadministrador de sistemas, AWS desenvolvedor

Envie um manual RFC para substituir o perfil da IAM instância.

Envie um manual RFC para associar as EC2 instâncias de destino ao novo perfil da IAM instância.

AWSadministrador de sistemas, AWS desenvolvedor

Testar uma operação de cópia no bucket do S3.

Teste uma operação de cópia no bucket do S3 executando o seguinte comando no AWS CLI:


aws s3 cp test.txt s3://<S3 bucket>/test2.txt

AWSadministrador de sistemas, AWS desenvolvedor

Recursos relacionados

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Armazenamento e backup

Automatize a ingestão do fluxo de dados em um banco de dados Snowflake