當不同帳戶擁有來源與目的地儲存貯體時設定複寫 - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

當不同帳戶擁有來源與目的地儲存貯體時設定複寫

來源目的地儲存貯體擁有不同時設定複寫,類似 AWS 帳戶 於在兩個值區都屬於同一帳戶時設定複寫。唯一的區別是 destination 儲存貯體擁有者必須透過新增儲存貯體政策,授予 source 儲存貯體擁有者複寫物件的許可。

如需有關在跨帳戶案例中藉由 AWS Key Management Service 使用伺服器端加密設定複寫的詳細資訊,請參閱 跨帳戶案例之授予其他許可

在來源和目的地儲存貯體為不同時設定複製 AWS 帳戶
  1. 在此範例中,您會建立兩個不同的來源值區和的地值區 AWS 帳戶。您需要為 AWS CLI (在此範例中,我們使用acctAacctB設定檔名稱) 設定兩個認證設定檔。如需設定憑證描述檔的詳細資訊,請參閱《AWS Command Line Interface 使用者指南》中的具名描述檔

  2. 請按照中的 step-by-step 說明設定相同帳戶內的儲存貯體進行以下變更:

    • 對於與存儲桶活動相關的所有 AWS CLI 命令(用於創建存儲桶,啟用版本控制以及創建 IAM 角色),請使用acctA配置文件。使用 acctB 描述檔建立 destination 儲存貯體。

    • 請確定許可政策指定您為此範例建立的 sourcedestination 儲存貯體。

  3. 在主控台中,新增 destination 儲存貯體上的下列儲存貯體政策,來允許 source 儲存貯體擁有者複寫物件。請務必提供來儲存貯體擁有者的 AWS 帳戶 ID 和的地值區名稱來編輯政策。

    注意

    若要使用下列範例,請以您自己的資訊取代 user input placeholders。將 DOC-EXAMPLE-BUCKET 取代為您的目的地儲存貯體名稱。將 source-bucket-acct-ID:角色/服務角色/來源 ACT-IAM-角色取代為您用於此複製組態的角色。

    如果您手動建立了 IAM 服務角色,請將角色路徑設定為 role/service-role/,如下列政策範例所示。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM ARN

    { "Version":"2012-10-17", "Id":"", "Statement":[ { "Sid":"Set-permissions-for-objects", "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::source-bucket-acct-ID:role/service-role/source-acct-IAM-role" }, "Action":["s3:ReplicateObject", "s3:ReplicateDelete"], "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" }, { "Sid":"Set permissions on bucket", "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::source-bucket-acct-ID:role/service-role/source-acct-IAM-role" }, "Action":["s3:List*", "s3:GetBucketVersioning", "s3:PutBucketVersioning"], "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET" } ] }

選擇儲存貯體及新增儲存貯體政策。如需說明,請參閱使用 Amazon S3 主控台新增儲存貯體政策

在複寫中,來源物件的擁有者依預設還擁有複本。當來源和目的地儲存貯體擁有不同時 AWS 帳戶,您可以新增選擇性組態設定,將複本擁有權變更為擁有目 AWS 帳戶 的地值區的擁有權。這包含授予 ObjectOwnerOverrideToBucketOwner 許可。如需詳細資訊,請參閱 變更複本擁有者