使用儲存在來源帳戶中的 CSV 資訊清單,以在 AWS 帳戶 間複製物件 - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用儲存在來源帳戶中的 CSV 資訊清單,以在 AWS 帳戶 間複製物件

您可以使用儲存在不同 AWS 帳戶 中的 CSV 檔案作為 S3 批次操作任務的資訊清單。若要使用 S3 庫存報告,請參閱使用傳遞至目的地帳戶的清查報告,在 AWS 帳戶 間複製物件

以下程序顯示當使用 S3 批次操作任務將物件從來源帳戶複製到目的地帳戶時,如何使用來源帳戶中存放的 CSV 資訊清單檔案設定許可。

設定存放在不同 AWS 帳戶 的 CSV 資訊清單

  1. 在以 S3 批次操作信任政策為基礎的目的地帳戶中建立角色。在此程序中,destination account (目的地帳戶) 為物件複製到的目的地帳戶。

    如需信任政策的詳細資訊,請參閱「信任政策」。

    如需建立角色的詳細資訊,請參閱《IAM 使用者指南》中的建立角色以將許可委派給 AWS 服務

    若您使用主控台建立角色,請為角色輸入名稱 (此範例角色使用名稱 BatchOperationsDestinationRoleCOPY)。選擇 S3 (S3) 服務,然後選擇 S3 bucket Batch Operations (S3 儲存貯體批次操作) 使用案例 (用於套用信任政策至角色)。

    然後選擇 Create policy (建立政策) 以連接以下政策至角色。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowBatchOperationsDestinationObjectCOPY",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:PutObjectVersionAcl",
        "s3:PutObjectAcl",
        "s3:PutObjectVersionTagging",
        "s3:PutObjectTagging",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetObjectAcl",
        "s3:GetObjectTagging",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectVersionTagging"
      ],
      "Resource": [
        "arn:aws:s3:::ObjectDestinationBucket/*",
        "arn:aws:s3:::ObjectSourceBucket/*",
        "arn:aws:s3:::ObjectSourceManifestBucket/*"
      ]
    }
  ]
}

    透過使用政策,該角色可授予 batchoperations.s3.amazonaws.com 權限以讀取來源資訊清單儲存貯體中的資訊清單。它也會授予權限給來源物件儲存貯體中的 GET 物件、ACL、標籤和版本。它也會授予 PUT 物件、ACL、標籤和版本權限至目的地物件儲存貯體中。

  2. 在來源帳戶中建立儲存貯體的儲存貯體政策,以在來源資訊清單儲存貯體中授予角色至您上一步驟中建立的 GET 物件、ACL、標籤和版本。

    此步驟可讓 S3 批次操作使用信任的角色讀取資訊清單。套用儲存貯體政策至包含資訊清單的儲存貯體。

    以下為套用至來源資訊清單儲存貯體的儲存貯體政策範例。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowBatchOperationsSourceManfiestRead",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::DestinationAccountNumber:user/ConsoleUserCreatingJob",
          "arn:aws:iam::DestinationAccountNumber:role/BatchOperationsDestinationRoleCOPY"
        ]
      },
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": "arn:aws:s3:::ObjectSourceManifestBucket/*"
    }
  ]
}

    此政策也將授予權限,以允許在目的地帳戶中建立任務的主控台使用者,可透過相同的儲存貯體政策,以在來源資訊清單儲存貯體中具有相同的權限。

  3. 在來源帳戶中建立來源儲存貯體的儲存貯體政策,該原則會將您建立的角色授予來源儲存貯體中的 GET 物件、ACL、標籤和版本。然後 S3 批次操作可以透過信任的角色從來源儲存貯體取得物件。

    以下為包含來源物件的儲存貯體之儲存貯體政策範例。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowBatchOperationsSourceObjectCOPY",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DestinationAccountNumber:role/BatchOperationsDestinationRoleCOPY"
      },
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetObjectAcl",
        "s3:GetObjectTagging",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectVersionTagging"
      ],
      "Resource": "arn:aws:s3:::ObjectSourceBucket/*"
    }
  ]
}

  4. 在目的地帳戶中建立 S3 批次操作任務。您需要在目標帳戶中建立的角色 Amazon Resource Name (ARN)。

    如需建立任務的一般資訊,請參閱「建立 S3 批次操作任務」。

    如需使用主控台建立任務的資訊,請參閱「建立 S3 批次操作任務」。