Erstellen von Replikationsregeln in Outposts - Amazon S3 in Outposts

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen von Replikationsregeln in Outposts

S3-Replikation auf Outposts ist die automatische, asynchrone Replikation von Objekten über Buckets in demselben oder unterschiedlichen Buckets. AWS Outposts Bei der Replikation werden neu erstellte Objekte und Objektaktualisierungen aus einem Quell-Outposts-Bucket in einen oder mehrere Ziel-Outposts-Bucket(s) kopiert. Weitere Informationen finden Sie unter Replikation von Objekten für S3 in Outposts.

Anmerkung

Objekte, die bereits vor dem Einrichten von Replikationsregeln in Ihrem Quell-Outposts-Bucket vorhanden waren, werden nicht repliziert. Anders ausgedrückt: S3 in Outposts repliziert Objekte nicht rückwirkend. Um Objekte zu replizieren, die vor Ihrer Replikationskonfiguration erstellt wurden, können Sie diese CopyObject API Operation verwenden, um sie in denselben Bucket zu kopieren. Nach dem Kopieren werden die Objekte als „neue“ Objekte im Bucket angezeigt und es gilt die Replikationskonfiguration für diese Objekte. Weitere Hinweise zum Kopieren eines Objekts finden Sie unter Kopieren eines Objekts in einem Amazon S3 on Outposts-Bucket mit dem AWS SDK for Java und CopyObjectin der Amazon Simple Storage Service API Reference.

Wenn Sie die Replikation konfigurieren, fügen Sie dem Quell-Outposts-Bucket Replikationsregeln hinzu. Replikationsregeln definieren, welche Quell-Outposts-Bucket-Objekte repliziert werden sollen und in welchem Ziel-Outposts-Bucket/welchen Ziel-Outposts-Buckets die replizierten Objekte gespeichert werden sollen. Sie können eine Regel erstellen, um alle Objekte in einem Bucket oder eine Untermenge von Objekten mit einem spezifischen Schlüsselnamenpräfixen, einem oder mehreren Objekt-Markierungen oder beidem zu replizieren. Ein Ziel-Outposts-Bucket kann sich in demselben Outpost wie der Quell-Outposts-Bucket oder in einem anderen Outpost befinden.

Für die Replikationsregeln von S3 on Outposts müssen Sie sowohl den Access Point Amazon Resource Name (ARN) des Quell-Outposts-Buckets als auch den Access Point des Ziel-Outposts-Buckets ARN anstelle der Quell- und Ziel-Outposts-Bucket-Namen angeben.

Wenn Sie angeben, dass eine Objektversions-ID gelöscht werden soll, löscht S3 in Outposts diese Objektversion im Quell-Outposts-Bucket. Die Löschung wird jedoch nicht in den Ziel-Outposts-Bucket repliziert. Anders ausgedrückt: Dieselbe Objektversion wird nicht aus dem Ziel-Outposts-Bucket gelöscht. Dieses Verhalten schützt Daten vor böswilligen Löschungen.

Wenn Sie einem Outposts-Bucket eine Replikationsregel hinzufügen, ist diese standardmäßig aktiviert, sodass sie ausgeführt wird, sobald Sie sie speichern.

In diesem Beispiel richten Sie eine Replikation für Quell- und Ziel-Outposts-Buckets ein, die sich in unterschiedlichen Outposts befinden und demselben AWS-Konto gehören. Es werden Beispiele für die Verwendung der Amazon S3 S3-Konsole, der AWS Command Line Interface (AWS CLI) und der AWS SDK for Java und bereitgestellt AWS SDK for .NET. Informationen zu den kontoübergreifenden Berechtigungen für die S3-Replikation in Outposts finden Sie unter Erteilen von Berechtigungen, wenn die Quell- und Ziel-Outposts-Buckets unterschiedlichen Besitzern gehören AWS-Konten.

Die Voraussetzungen für die Einrichtung der Replikationsregeln von S3 in Outposts finden Sie unter Voraussetzungen für das Erstellen von Konfigurationsregeln.

Führen Sie die folgenden Schritte aus, um eine Replikationsregel zu konfigurieren, wenn sich der Amazon-S3-in-Outposts-Ziel-Bucket in einem anderen Outpost als der Quell-Outposts-Bucket befindet.

Wenn sich der Ziel-Outposts-Bucket in einem anderen Konto als der Quell-Outposts-Bucket befindet, müssen Sie dem Ziel-Outposts-Bucket eine Bucket-Richtlinie hinzufügen, um dem Eigentümer des Quell-Outposts-Bucket-Kontos die Berechtigung zum Replizieren von Objekten in den Ziel-Outposts-Bucket zu erteilen.

So erstellen Sie eine Replikationsrolle

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie in der Liste Outposts-Buckets den Namen des Buckets aus, den Sie als Quell-Bucket verwenden möchten.

  3. Wählen Sie die Registerkarte Verwaltung aus, scrollen Sie nach unten zum Abschnitt Replikationsregeln und wählen Sie dann Replikationsregel erstellen aus.

  4. Geben Sie in Name der Replikationsregel einen Namen für Ihre Regel ein, um sie später besser identifizieren zu können. Der Name ist erforderlich und muss innerhalb des Buckets eindeutig sein.

  5. In Status ist standardmäßig Aktiviert ausgewählt. Eine aktivierte Regel wird ausgeführt, sobald Sie speichern. Wenn Sie die Regel später aktivieren möchten, wählen Sie Deaktiviert aus.

  6. Unter Priorität bestimmt der Prioritätswert der Regel, welche Regel im Falle einer Überschneidung von Regeln angewendet wird. Wenn Objekte in den Geltungsbereich von mehr als einer Replikationsregel fallen, verwendet S3 in Outposts diese Prioritätswerte, um Konflikte zu vermeiden. Standardmäßig werden neue Regeln mit der höchsten Priorität zur Replikationskonfiguration hinzugefügt. Je höher die Zahl, desto höher die Priorität.

    Um die Priorität für die Regel zu ändern, wählen Sie nach dem Speichern der Regel zunächst den Namen der Regel aus der Liste der Replikationsregeln, dann Aktionen und schließlich Priorität bearbeiten aus.

  7. Unter Quell-Bucket stehen Ihnen folgende Optionen zum Festlegen der Replikationsquelle zur Verfügung:

    • Um den gesamten Bucket zu replizieren, wählen Sie Auf alle Objekte im Bucket anwenden aus.

    • Um die Präfix- oder Tag-Filterung auf die Replikationsquelle anzuwenden, wählen Sie Geltungsbereich dieser Regel durch Verwendung von einem oder mehreren Filtern beschränken aus. Sie können ein Präfix und Markierungen kombinieren.

      • Um alle Objekte mit demselben Präfix zu replizieren, geben Sie unter Präfix ein Präfix in das Feld ein. Bei Verwendung des Filters Präfix ist die Replikation auf alle Objekte beschränkt, deren Namen mit derselben Zeichenfolge beginnen (z. B. pictures).

        Wenn Sie ein Präfix eingeben, bei dem es sich um den Namen eines Ordners handelt, müssen Sie einen / (Schrägstrich) als letztes Zeichen eingeben (z. B. pictures/).

      • Um alle Objekte mit einem oder mehreren gleichen Objekt-Tags zu replizieren, wählen Sie Tag hinzufügen aus und geben Sie das Schlüssel-Wert-Paar in die Felder ein. Wiederholen Sie den Vorgang, um ein weiteres Tag hinzuzufügen. Weitere Informationen über Objekt-Markierungen finden Sie unter Hinzufügen von Tags für S3-on-Outposts-Buckets.

  8. Um für die Replikation auf Ihren S3-in-Outposts-Quell-Bucket zuzugreifen, wählen Sie unter Quellzugriffspunktname einen Zugriffspunkt aus, der an den Quell-Bucket angehängt ist.

  9. Wählen Sie unter Destination den Access Point ARN des Ziel-Outposts-Buckets aus, an dem S3 on Outposts Objekte replizieren soll. Der Ziel-Outposts-Bucket kann sich im selben oder einem anderen Bucket AWS-Konto wie der Quell-Outposts-Bucket befinden.

    Wenn sich der Ziel-Bucket in einem anderen Konto als der Quell-Outposts-Bucket befindet, müssen Sie dem Ziel-Outposts-Bucket eine Bucket-Richtlinie hinzufügen, um dem Eigentümer des Quell-Outposts-Bucket-Kontos die Berechtigung zum Replizieren von Objekten in den Ziel-Outposts-Bucket zu erteilen. Weitere Informationen finden Sie unter Erteilen von Berechtigungen, wenn die Quell- und Ziel-Outposts-Buckets unterschiedlichen Besitzern gehören AWS-Konten.

    Anmerkung

    Wenn die Versionsverwaltung für den Ziel-Outposts-Bucket nicht aktiviert ist, erhalten Sie eine Warnmeldung, die die Schaltfläche Versionierung aktivieren enthält. Wählen Sie diese Schaltfläche, um das Versioning für den Bucket zu aktivieren.

  10. Richten Sie eine AWS Identity and Access Management (IAM) -Servicerolle ein, die S3 on Outposts übernehmen kann, um Objekte in Ihrem Namen zu replizieren.

    Um eine IAM Rolle einzurichten, führen Sie unter IAMRolle einen der folgenden Schritte aus:

    • Damit S3 on Outposts eine neue IAM Rolle für Ihre Replikationskonfiguration erstellt, wählen Sie Aus vorhandenen IAM Rollen auswählen und dann Neue Rolle erstellen aus. Wenn Sie die Regel speichern, wird eine neue Richtlinie für die IAM Rolle generiert, die den von Ihnen ausgewählten Quell- und Ziel-Outposts-Buckets entspricht. Wir empfehlen Ihnen, die Option Neue Rolle erstellen auszuwählen.

    • Sie können sich auch dafür entscheiden, eine bestehende IAM Rolle zu verwenden. In diesem Fall müssen Sie eine Rolle auswählen, die S3 in Outposts die erforderlichen Berechtigungen für die Replikation gewährt. Wenn diese Rolle S3 in Outposts keine ausreichenden Berechtigungen gewährt, um Ihre Replikationsregel zu befolgen, schlägt die Replikation fehl.

      Um eine bestehende Rolle auszuwählen, wählen Sie Aus vorhandenen IAM Rollen auswählen und wählen Sie dann die Rolle aus dem Dropdownmenü aus. Sie können auch „IAMRolle eingeben“ wählen ARN und dann den Amazon-Ressourcennamen der IAM Rolle (ARN) eingeben.

    Wichtig

    Wenn Sie eine Replikationsregel zu einem S3 on Outposts-Bucket hinzufügen, benötigen Sie die iam:PassRole Berechtigungen iam:CreateRole und, um die IAM Rolle erstellen und weitergeben zu können, die S3 on Outposts Replikationsberechtigungen gewährt. Weitere Informationen finden Sie im Benutzerhandbuch unter Erteilen von Benutzerberechtigungen zur Übergabe einer Rolle AWS-Service an einen. IAM

  11. Alle Objekte in Outposts-Buckets sind standardmäßig verschlüsselt. Weitere Informationen zur Verschlüsselung in S3 in Outposts finden Sie unter Datenverschlüsselung in S3 on Outposts. Nur Objekte, die mit serverseitiger Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) verschlüsselt wurden, können repliziert werden. Die Replikation von Objekten, die mit serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) oder serverseitiger Verschlüsselung mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (SSE-C) verschlüsselt wurden, wird nicht unterstützt.

  12. Aktivieren Sie beim Festlegen der Konfiguration der Replikationsregeln nach Bedarf die folgenden zusätzlichen Optionen:

  13. Wählen Sie Regel erstellen aus, um den Vorgang abzuschließen.

Nach dem Speichern der Regel können Sie diese bearbeiten, aktivieren, deaktivieren oder löschen. Wechseln Sie hierfür auf die Registerkarte Verwaltung für den Quell-Outposts-Bucket, scrollen Sie nach unten zum Abschnitt Replikationsregeln, wählen Sie Ihre Regel aus und wählen Sie dann Regel bearbeiten aus.

Gehen Sie wie folgt vor AWS CLI , um die Replikation einzurichten, wenn die Quell- und Ziel-Outposts-Buckets demselben AWS-Konto gehören:

  • Erstellen Sie Quell- und Ziel-Outposts-Buckets.

  • Aktivieren Sie die Versionsverwaltung für beide Buckets.

  • Erstellen Sie eine IAM Rolle, die S3 on Outposts die Erlaubnis erteilt, Objekte zu replizieren.

  • Fügen Sie die Replikationskonfiguration zum Quell-Outposts-Bucket hinzu.

Um die Einrichtung zu prüfen, testen Sie sie.

Um die Replikation einzurichten, wenn die Quell- und Ziel-Outposts-Buckets demselben gehören AWS-Konto

  1. Richten Sie das Anmeldeinformationsprofil für die AWS CLI ein. In diesem Beispiel verwenden wir den Profilnamen acctA. Informationen zum Einrichten der Anmeldeinformations-Profile finden Sie unter Named Profiles (Benannte Profile) im AWS Command Line Interface -Benutzerhandbuch.

    Wichtig

    Das Profil, das Sie für diese Übung verwenden, muss über die nötigen Berechtigungen verfügen. In der Replikationskonfiguration geben Sie beispielsweise die IAM Servicerolle an, die S3 on Outposts übernehmen kann. Dies können Sie nur tun, wenn das verwendete Profil über die Berechtigungen iam:CreateRole und iam:PassRole verfügt. Weitere Informationen finden Sie im Benutzerhandbuch unter Erteilen von Benutzerberechtigungen zur Übergabe einer Rolle AWS-Service an einen. IAM Wenn Sie zur Erstellung eines benannten Profils die Anmeldeinformationen eines Administrators verwenden, verfügt das benannte Profil über die erforderliche Berechtigung, um alle Aufgaben durchzuführen.

  2. Erstellen Sie einen Quell-Bucket und aktivieren Sie das Versioning für ihn. Mit dem folgenden Befehl create-bucket wird ein SOURCE-OUTPOSTS-BUCKET-Bucket in der Region USA Ost (Nord-Virginia) (us-east-1) erstellt. Zur Verwendung dieses Befehls ersetzen Sie user input placeholders durch eigene Informationen.

    aws s3control create-bucket --bucket SOURCE-OUTPOSTS-BUCKET --outpost-id SOURCE-OUTPOST-ID --profile acctA --region us-east-1

    Mit dem folgenden Befehl put-bucket-versioning wird die Versionsverwaltung auf dem SOURCE-OUTPOSTS-BUCKET-Bucket aktiviert. Zur Verwendung dieses Befehls ersetzen Sie user input placeholders durch eigene Informationen.

    aws s3control put-bucket-versioning --account-id 123456789012 --bucket arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET --versioning-configuration Status=Enabled --profile acctA

  3. Erstellen Sie einen Ziel-Bucket und aktivieren Sie das Versioning für ihn. Mit dem folgenden Befehl create-bucket wird ein DESTINATION-OUTPOSTS-BUCKET-Bucket in der Region USA West (Oregon) (us-west-2) erstellt. Zur Verwendung dieses Befehls ersetzen Sie user input placeholders durch eigene Informationen.

    Anmerkung

    Um eine Replikationskonfiguration einzurichten, wenn sich sowohl der Quell- als auch der Ziel-Outposts-Bucket in demselben Namen befinden AWS-Konto, verwenden Sie dasselbe benannte Profil. Dieses Beispiel verwendet acctA. Um die Replikationskonfiguration zu testen, wenn die Buckets unterschiedlichen Besitzern gehören AWS-Konten, geben Sie für jeden Bucket unterschiedliche Profile an.

    aws s3control create-bucket --bucket DESTINATION-OUTPOSTS-BUCKET --create-bucket-configuration LocationConstraint=us-west-2 --outpost-id DESTINATION-OUTPOST-ID --profile acctA --region us-west-2

    Mit dem folgenden Befehl put-bucket-versioning wird die Versionsverwaltung auf dem DESTINATION-OUTPOSTS-BUCKET-Bucket aktiviert. Zur Verwendung dieses Befehls ersetzen Sie user input placeholders durch eigene Informationen.

    aws s3control put-bucket-versioning --account-id 123456789012 --bucket arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET --versioning-configuration Status=Enabled --profile acctA

  4. Erstellen Sie eine IAM Servicerolle. Zu einem späteren Zeitpunkt der Replikationskonfiguration fügen Sie diese Servicerolle dem SOURCE-OUTPOSTS-BUCKET-Bucket hinzu. S3 in Outposts übernimmt diese Rolle, um Objekte in Ihrem Namen zu replizieren. Sie erstellen eine IAM Rolle in zwei Schritten:

    1. Erstellen Sie eine IAM Rolle.

      1. Kopieren Sie die folgende Vertrauensrichtlinie und speichern Sie sie in einer Datei mit dem Namen s3-on-outposts-role-trust-policy.json im aktuellen Verzeichnis auf Ihrem lokalen Computer. Diese Richtlinie gewährt S3 in Outposts Service-Prinzipal-Berechtigungen, um die Servicerolle anzunehmen.

        {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"s3-outposts.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

      2. Führen Sie den folgenden -Befehl aus, um die Rolle zu erstellen. Ersetzen Sie user input placeholders durch Ihre Informationen.

        aws iam create-role --role-name replicationRole --assume-role-policy-document file://s3-on-outposts-role-trust-policy.json --profile acctA

    2. Fügen Sie eine Berechtigungsrichtlinie zur Servicerolle hinzu.

      1. Kopieren Sie die folgende Berechtigungsrichtlinie und speichern Sie sie in einer Datei mit dem Namen s3-on-outposts-role-permissions-policy.json im aktuellen Verzeichnis auf Ihrem lokalen Computer. Diese Richtlinie erteilt Berechtigungen für verschiedene S3-in-Outposts-Bucket- und -Objektaktionen. Wenn Sie diese Richtlinie verwenden möchten, ersetzen Sie user input placeholders durch eigene Informationen.

        {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3-outposts:GetObjectVersionForReplication",
            "s3-outposts:GetObjectVersionTagging"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET/object/*",
            "arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/accesspoint/SOURCE-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3-outposts:ReplicateObject",
            "s3-outposts:ReplicateDelete"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*",
            "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ] 
      }
   ]
}

      2. Führen Sie den folgenden Befehl aus, um eine Richtlinie zu erstellen und sie der Rolle anzufügen. Ersetzen Sie user input placeholders durch Ihre Informationen.

        aws iam put-role-policy --role-name replicationRole --policy-document file://s3-on-outposts-role-permissions-policy.json --policy-name replicationRolePolicy --profile acctA

  5. Fügen Sie eine Replikationskonfiguration zum SOURCE-OUTPOSTS-BUCKET-Bucket hinzu.

    1. Obwohl für S3 on Outposts API eine Replikationskonfiguration im XML Format AWS CLI erforderlich ist, müssen Sie die Replikationskonfiguration im JSON Format angeben. Speichern Sie Folgendes JSON in einer Datei namens replication.json im lokalen Verzeichnis auf Ihrem Computer. Wenn Sie diese Konfiguration verwenden möchten, ersetzen Sie user input placeholders durch Ihre Informationen.

      {
  "Role": "IAM-role-ARN",
  "Rules": [
    {
      "Status": "Enabled",
      "Priority": 1,
      "DeleteMarkerReplication": { "Status": "Disabled" },
      "Filter" : { "Prefix": "Tax"},
      "Destination": {
        "Bucket": 
        "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT"
      }
    }
  ]
}

    2. Führen Sie den folgenden Befehl put-bucket-replication aus, um die Replikationskonfiguration zu Ihrem Quell-Outposts-Bucket hinzuzufügen. Zur Verwendung dieses Befehls ersetzen Sie user input placeholders durch eigene Informationen.

      aws s3control put-bucket-replication --account-id 123456789012 --bucket arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET --replication-configuration file://replication.json --profile acctA

    3. Um die Replikationskonfiguration abzurufen, verwenden Sie den Befehl get-bucket-replication. Zur Verwendung dieses Befehls ersetzen Sie user input placeholders durch eigene Informationen.

      aws s3control get-bucket-replication --account-id 123456789012 --bucket arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET --profile acctA

  6. Testen Sie das Setup in der Amazon-S3-Konsole:

    1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

    2. Erstellen Sie im SOURCE-OUTPOSTS-BUCKET-Bucket einen Ordner mit dem Namen Tax.

    3. Fügen Sie Beispielobjekte zum Tax-Ordner im SOURCE-OUTPOSTS-BUCKET-Bucket hinzu.

    4. Überprüfen Sie im DESTINATION-OUTPOSTS-BUCKET-Bucket Folgendes:

      • S3 in Outposts hat die Objekte repliziert.

        Anmerkung

        Die von S3 in Outposts für die Replikation eines Objekts benötigte Zeit hängt von der Größe des Objekts ab. Weitere Informationen zum Anzeigen des Replikationsstatus finden Sie unter Abrufen von Replikationsstatusinformationen.

      • Auf der Registerkarte Eigenschaften des Objekts ist Replikationsstatus auf Replikat gesetzt (sodass dies als Replikatobjekt identifiziert wird).