本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用儲存在來源帳戶中的 CSV 資訊清單,以在 AWS 帳戶 間複製物件
您可以使用儲存在不同 AWS 帳戶 中的 CSV 檔案作為 S3 批次操作任務的資訊清單。若要使用 S3 庫存報告,請參閱使用傳遞至目的地帳戶的清查報告,在 AWS 帳戶 間複製物件。
以下程序顯示當使用 S3 批次操作任務將物件從來源帳戶複製到目的地帳戶時,如何使用來源帳戶中存放的 CSV 資訊清單檔案設定許可。
設定存放在不同 AWS 帳戶 的 CSV 資訊清單
-
在以 S3 批次操作信任政策為基礎的目的地帳戶中建立角色。在此程序中,destination account (目的地帳戶) 為物件複製到的目的地帳戶。
如需信任政策的詳細資訊,請參閱「信任政策」。
如需建立角色的詳細資訊,請參閱《IAM 使用者指南》中的建立角色以將許可委派給 AWS 服務。
若您使用主控台建立角色,請為角色輸入名稱 (此範例角色使用名稱
BatchOperationsDestinationRoleCOPY
)。選擇 S3 (S3) 服務,然後選擇 S3 bucket Batch Operations (S3 儲存貯體批次操作) 使用案例 (用於套用信任政策至角色)。然後選擇 Create policy (建立政策) 以連接以下政策至角色。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowBatchOperationsDestinationObjectCOPY", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectVersionAcl", "s3:PutObjectAcl", "s3:PutObjectVersionTagging", "s3:PutObjectTagging", "s3:GetObject", "s3:GetObjectVersion", "s3:GetObjectAcl", "s3:GetObjectTagging", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTagging" ], "Resource": [ "arn:aws:s3:::
ObjectDestinationBucket
/*", "arn:aws:s3:::ObjectSourceBucket
/*", "arn:aws:s3:::ObjectSourceManifestBucket
/*" ] } ] }透過使用政策,該角色可授予
batchoperations.s3.amazonaws.com
權限以讀取來源資訊清單儲存貯體中的資訊清單。它也會授予權限給來源物件儲存貯體中的 GET 物件、ACL、標籤和版本。它也會授予 PUT 物件、ACL、標籤和版本權限至目的地物件儲存貯體中。 -
在來源帳戶中建立儲存貯體的儲存貯體政策,以在來源資訊清單儲存貯體中授予角色至您上一步驟中建立的 GET 物件、ACL、標籤和版本。
此步驟可讓 S3 批次操作使用信任的角色讀取資訊清單。套用儲存貯體政策至包含資訊清單的儲存貯體。
以下為套用至來源資訊清單儲存貯體的儲存貯體政策範例。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowBatchOperationsSourceManfiestRead", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::
DestinationAccountNumber
:user/ConsoleUserCreatingJob", "arn:aws:iam::DestinationAccountNumber
:role/BatchOperationsDestinationRoleCOPY" ] }, "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::ObjectSourceManifestBucket
/*" } ] }此政策也將授予權限,以允許在目的地帳戶中建立任務的主控台使用者,可透過相同的儲存貯體政策,以在來源資訊清單儲存貯體中具有相同的權限。
-
在來源帳戶中建立來源儲存貯體的儲存貯體政策,該原則會將您建立的角色授予來源儲存貯體中的 GET 物件、ACL、標籤和版本。然後 S3 批次操作可以透過信任的角色從來源儲存貯體取得物件。
以下為包含來源物件的儲存貯體之儲存貯體政策範例。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowBatchOperationsSourceObjectCOPY", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
DestinationAccountNumber
:role/BatchOperationsDestinationRoleCOPY" }, "Action": [ "s3:GetObject", "s3:GetObjectVersion", "s3:GetObjectAcl", "s3:GetObjectTagging", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTagging" ], "Resource": "arn:aws:s3:::ObjectSourceBucket
/*" } ] } -
在目的地帳戶中建立 S3 批次操作任務。您需要在目標帳戶中建立的角色 Amazon Resource Name (ARN)。
如需建立任務的一般資訊,請參閱「建立 S3 批次操作任務」。
如需使用主控台建立任務的資訊,請參閱「建立 S3 批次操作任務」。