允許 EC2 執行個體寫入 AMS 帳戶中 S3 儲存貯體的存取權 - AWS Prescriptive Guidance

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

允許 EC2 執行個體寫入 AMS 帳戶中 S3 儲存貯體的存取權

由曼西蘇拉特瓦拉 (AWS) 創作

環境:生產

技術:儲存與備份;資料庫;安全性、身分識別、法規遵循;作業

工作負載:所有其他工作負載

AWS 服務:Amazon S3; AWS Managed Services

Summary

AWS Managed Services (AMS) 可協助您更有效率且安全地操作 Amazon Web Services (AWS) 基礎設施。AMS 帳戶擁有安全防護,可用於標準化管理 AWS 資源。一個要點是,預設 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體描述檔不允許Write存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體。但是,您的組織可能有多個 S3 儲存貯體,並且需要對 EC2 執行個體的存取進行更多控制。例如,您可能希望將 EC2 執行個體的資料庫備份存放在 S3 儲存貯體中。 

此模式說明如何使用變更請求 (RFC) 來允許您的 EC2 執行個體Write存取 AMS 帳戶中的 S3 儲存貯體。RFC 是由您或 AMS 建立的要求,用於在您的受管理環境中進行變更,其中包含變更類型(CT) 特定作業的識別碼。

先決條件和限制

先決條件

  • AMS 進階帳號。如需此項目的詳細資訊,請參閱醫療輔助隊的運作在 AWS Managed Services 文件中。 

  • 存取customer-mc-user-role提交 RFC 的 AWS Identity and Access Management (IAM) 角色。 

  • AWS Command Line Interface (AWS CLI),在 AMS 帳戶中使用 EC2 執行個體進行安裝和設定。 

  • 了解如何在 AMS 建立及提交 RFC。如需此項目的詳細資訊,請參閱變更管理、RFC、變更類型和實例在 AWS Managed Services 文件中。

  • 對手動和自動變更類型(CT)的了解。如需此項目的詳細資訊,請參閱自動和手動 CTs在 AWS Managed Services 文件中。

Architecture

技術堆疊

  • AMS 

  • AWS CLI

  • Amazon EC2

  • Amazon S3

  • IAM

Tools

  • AWS CLI— AWS Command Line Interface (AWS CLI) 是統一的工具,可提供與 AWS 所有部分互動的一致介面。

  • AWS Identity and Access Management (IAM)— IAM 是一種 Web 服務,能讓您安全地控制對 AWS 資源的存取。

  • AWS Managed Services (AMS)— AMS 可協助您更有效率且安全地操作 AWS 基礎設施。 

  • Amazon S3— Amazon Simple Storage Service (Amazon S3) 是網際網路儲存服務。 

  • Amazon EC2— Amazon Elastic Compute Cloud (Amazon EC2) 在 AWS Cloud 提供可擴展的運算容量。

Epics

任務描述所需技能
使用自動 RFC 建立 S3 儲存貯體。
  1. 登入 AMS 帳戶,選擇選擇變更類型頁面中,選擇RFC,然後選擇建立 RFC。 

  2. 提交Create S3 Bucket自動 RFC。 

請注意:請確定您記錄 S3 儲存貯體的名稱。

AWS 開發人員系統管理員
任務描述所需技能
提交手動 RFC 以建立 IAM 角色。

當 AMS 帳戶已上線時,預設會顯示customer-mc-ec2-instance-profileIAM 執行個體設定檔會建立並與 AMS 帳戶中的每個 EC2 執行個體產生關聯。不過,執行個體設定檔沒有Write許可至您的 S3 儲存貯體。

若要新增Write權限,請提交Create IAM Resource手動 RFC 建立具有下列三項政策的 IAM 角色:customer_ec2_instance_customer_deny_policy,以及customer_ec2_s3_integration_policy。 

重要:所以此customer_ec2_instance_customer_deny_policy策略已存在於您的 AMS 帳戶中。不過,您需要建立customer_ec2_s3_integration_policy原則使用下列範例政策:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } Role Permissions: { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload" ], "Resource": "arn:aws:s3:::/*", "Effect": "Allow" } ] }

AWS 開發人員系統管理員
提交手動 RFC 以取代 IAM 執行個體設定檔。

提交手動 RFC,將目標 EC2 執行個體與新的 IAM 執行個體設定檔建立關聯。

AWS 開發人員系統管理員
測試 S3 儲存貯體的複製操作。

在 AWS CLI 中執行下列命令,以測試對 S3 儲存貯體的複製作業:aws s3 cp test.txt s3://<S3 Bucket>/test2.txt

AWS 開發人員系統管理員

相關資源