設定批次複寫的 IAM 政策 - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定批次複寫的 IAM 政策

因為 S3 批次複寫是一種批次操作任務,因此您必須建立批次操作 AWS Identity and Access Management (IAM) 角色以授予 Amazon S3 代您執行動作的許可。您還必須將批次複寫 IAM 政策連接到批次操作 IAM 角色。以下範例建立了一個 IAM 角色,該角色授予批次操作啟動批次複寫任務的許可。

建立 IAM 角色和政策

  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. Access management (存取管理) 下,請選擇 Roles (角色)。

  3. 選擇建立角色

  4. 選擇 AWS 服務 做為信任實體類型、Amazon S3 做為服務、S3 Batch Operations (S3 批次操作) 做為使用案例。

  5. 選擇 Next: Permissions (下一步:許可)。

  6. 選擇 Create Policy (建立政策)。

  7. 選擇 JSON 並根據您的資訊清單插入以下政策之一。

    注意

    如果您要產生資訊清單或提供資訊清單,則需要不同的許可。若要取得更多資訊,請參閱指定批次複寫任務的資訊清單

    使用和存放 S3 產生的資訊清單時的政策

    { "Version":"2012-10-17", "Statement":[ { "Action":[ "s3:InitiateReplication" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*** replication source bucket ***/*" ] }, { "Action":[ "s3:GetReplicationConfiguration", "s3:PutInventoryConfiguration" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*** replication source bucket ***" ] }, { "Action":[ "s3:GetObject", "s3:GetObjectVersion" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*** manifest bucket ***/*" ] }, { "Effect":"Allow", "Action":[ "s3:PutObject" ], "Resource":[ "arn:aws:s3:::*** completion report bucket ****/*", "arn:aws:s3:::*** manifest bucket ****/*" ] } ] }

    使用使用者提供的資訊清單時的政策

    { "Version":"2012-10-17", "Statement":[ { "Action":[ "s3:InitiateReplication" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*** replication source bucket ***/*" ] }, { "Action":[ "s3:GetObject", "s3:GetObjectVersion" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*** manifest bucket ***/*" ] }, { "Effect":"Allow", "Action":[ "s3:PutObject" ], "Resource":[ "arn:aws:s3:::*** completion report bucket ****/*" ] } ] }
  8. 選擇下一步:標籤

  9. 選擇下一步:檢閱

  10. 選擇政策的名稱,然後選擇 Create policy (建立政策)。

  11. 將此政策連接到您的角色,然後選擇 Next: Tags (下一步:標籤)。

  12. 選擇下一步:檢閱

  13. 選擇角色的名稱,然後選擇 Create role (建立角色)。

驗證信任政策

  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. Access management (存取管理) 下,選擇 Roles (角色),然後選取您新建立的角色。

  3. Trust relationships (信任關係) 標籤下,選擇 Edit trust relationship (編輯信任關係)。

  4. 驗證此角色是否使用下列信任政策:

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"batchoperations.s3.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }