Erstellen von Replikationsregeln in Outposts - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen von Replikationsregeln in Outposts

Die S3-Replikation in Outposts ist eine automatische, asynchrone und Bucket-übergreifende Replikation von Objekten in demselben oder verschiedenen AWS Outposts. Bei der Replikation werden neu erstellte Objekte und Objektaktualisierungen aus einem Quell-Outposts-Bucket in einen oder mehrere Ziel-Outposts-Bucket(s) kopiert. Weitere Informationen finden Sie unter Replikation von Objekten für S3 in Outposts.

Anmerkung

Objekte, die bereits vor dem Einrichten von Replikationsregeln in Ihrem Quell-Outposts-Bucket vorhanden waren, werden nicht repliziert. Anders ausgedrückt: S3 in Outposts repliziert Objekte nicht rückwirkend. Um Objekte zu replizieren, die vor der Konfiguration Ihrer Replikation erstellt wurden, können Sie diese unter Verwendung der API-Operation CopyObject in denselben Bucket kopieren. Nach dem Kopieren werden die Objekte als „neue“ Objekte im Bucket angezeigt und es gilt die Replikationskonfiguration für diese Objekte. Weitere Informationen zum Kopieren eines Objekts finden Sie unter Kopieren eines Objekts in einem Amazon S3 on Outposts-Bucket mit AWS SDK for Java und CopyObject in Amazon Simple Storage Service – API-Referenz.

Wenn Sie die Replikation konfigurieren, fügen Sie dem Quell-Outposts-Bucket Replikationsregeln hinzu. Replikationsregeln definieren, welche Quell-Outposts-Bucket-Objekte repliziert werden sollen und in welchem Ziel-Outposts-Bucket/welchen Ziel-Outposts-Buckets die replizierten Objekte gespeichert werden sollen. Sie können eine Regel erstellen, um alle Objekte in einem Bucket oder eine Untermenge von Objekten mit einem spezifischen Schlüsselnamenpräfixen, einem oder mehreren Objekt-Markierungen oder beidem zu replizieren. Ein Ziel-Outposts-Bucket kann sich in demselben Outpost wie der Quell-Outposts-Bucket oder in einem anderen Outpost befinden.

Für die Replikationsregeln von S3 in Outposts müssen Sie sowohl den Amazon-Ressourcennamen (ARN) des Zugriffspunkts des Quell-Outposts-Buckets als auch den ARN des Zugriffspunkts des Ziel-Outposts-Buckets anstelle der Namen des Quell-Outposts-Buckets und des Ziel-Outposts-Buckets angeben.

Wenn Sie angeben, dass eine Objektversions-ID gelöscht werden soll, löscht S3 in Outposts diese Objektversion im Quell-Outposts-Bucket. Die Löschung wird jedoch nicht in den Ziel-Outposts-Bucket repliziert. Anders ausgedrückt: Dieselbe Objektversion wird nicht aus dem Ziel-Outposts-Bucket gelöscht. Dieses Verhalten schützt Daten vor böswilligen Löschungen.

Wenn Sie einem Outposts-Bucket eine Replikationsregel hinzufügen, ist diese standardmäßig aktiviert, sodass sie ausgeführt wird, sobald Sie sie speichern.

In diesem Beispiel richten Sie eine Replikation für Quell- und Ziel-Outposts-Buckets ein, die sich in unterschiedlichen Outposts befinden und demselben AWS-Konto gehören. Beispiele für die Verwendung der Amazon-S3-Konsole, der AWS Command Line Interface (AWS CLI) und der AWS SDK for Java und AWS SDK for .NET. Informationen zu den kontoübergreifenden Berechtigungen für die S3-Replikation in Outposts finden Sie unter Erteilen von Berechtigungen, wenn sich die Quell- und Ziel-Outposts-Buckets im Besitz verschiedener AWS-Konten befinden.

Die Voraussetzungen für die Einrichtung der Replikationsregeln von S3 in Outposts finden Sie unter Voraussetzungen für das Erstellen von Konfigurationsregeln.

Führen Sie die folgenden Schritte aus, um eine Replikationsregel zu konfigurieren, wenn sich der Amazon-S3-in-Outposts-Ziel-Bucket in einem anderen Outpost als der Quell-Outposts-Bucket befindet.

Wenn sich der Ziel-Outposts-Bucket in einem anderen Konto als der Quell-Outposts-Bucket befindet, müssen Sie dem Ziel-Outposts-Bucket eine Bucket-Richtlinie hinzufügen, um dem Eigentümer des Quell-Outposts-Bucket-Kontos die Berechtigung zum Replizieren von Objekten in den Ziel-Outposts-Bucket zu erteilen. Weitere Informationen finden Sie unter Erteilen von Berechtigungen, wenn die Quell- und Ziel-Buckets unterschiedlichen Besitzern gehören AWS-Konten.

So erstellen Sie eine Replikationsrolle

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie in der Liste Outposts-Buckets den Namen des Buckets aus, den Sie als Quell-Bucket verwenden möchten.

  3. Wählen Sie die Registerkarte Verwaltung aus, scrollen Sie nach unten zum Abschnitt Replikationsregeln und wählen Sie dann Replikationsregel erstellen aus.

  4. Geben Sie in Name der Replikationsregel einen Namen für Ihre Regel ein, um sie später besser identifizieren zu können. Der Name ist erforderlich und muss innerhalb des Buckets eindeutig sein.

  5. In Status ist standardmäßig Aktiviert ausgewählt. Eine aktivierte Regel wird ausgeführt, sobald Sie speichern. Wenn Sie die Regel später aktivieren möchten, wählen Sie Deaktiviert aus.

  6. Unter Priorität bestimmt der Prioritätswert der Regel, welche Regel im Falle einer Überschneidung von Regeln angewendet wird. Wenn Objekte in den Geltungsbereich von mehr als einer Replikationsregel fallen, verwendet S3 in Outposts diese Prioritätswerte, um Konflikte zu vermeiden. Standardmäßig werden neue Regeln mit der höchsten Priorität zur Replikationskonfiguration hinzugefügt. Je höher die Zahl, desto höher die Priorität.

    Um die Priorität für die Regel zu ändern, wählen Sie nach dem Speichern der Regel zunächst den Namen der Regel aus der Liste der Replikationsregeln, dann Aktionen und schließlich Priorität bearbeiten aus.

  7. Unter Quell-Bucket stehen Ihnen folgende Optionen zum Festlegen der Replikationsquelle zur Verfügung:

    • Um den gesamten Bucket zu replizieren, wählen Sie Auf alle Objekte im Bucket anwenden aus.

    • Um die Präfix- oder Tag-Filterung auf die Replikationsquelle anzuwenden, wählen Sie Geltungsbereich dieser Regel durch Verwendung von einem oder mehreren Filtern beschränken aus. Sie können ein Präfix und Markierungen kombinieren.

      • Um alle Objekte mit demselben Präfix zu replizieren, geben Sie unter Präfix ein Präfix in das Feld ein. Bei Verwendung des Filters Präfix ist die Replikation auf alle Objekte beschränkt, deren Namen mit derselben Zeichenfolge beginnen (z. B. pictures).

        Wenn Sie ein Präfix eingeben, bei dem es sich um den Namen eines Ordners handelt, müssen Sie einen / (Schrägstrich) als letztes Zeichen eingeben (z. B. pictures/).

      • Um alle Objekte mit einem oder mehreren gleichen Objekt-Tags zu replizieren, wählen Sie Tag hinzufügen aus und geben Sie das Schlüssel-Wert-Paar in die Felder ein. Wiederholen Sie den Vorgang, um ein weiteres Tag hinzuzufügen. Weitere Informationen über Objekt-Markierungen finden Sie unter Hinzufügen von Tags für S3-on-Outposts-Buckets.

  8. Um für die Replikation auf Ihren S3-in-Outposts-Quell-Bucket zuzugreifen, wählen Sie unter Quellzugriffspunktname einen Zugriffspunkt aus, der an den Quell-Bucket angehängt ist.

  9. Wählen Sie unter Ziel den Zugriffspunkt-ARN des Ziel-Outposts-Buckets aus, in den S3 in Outposts Objekte replizieren soll. Der Ziel-Outposts-Bucket kann sich in demselben AWS-Konto wie der Quell-Outposts-Bucket oder in einem anderen befinden.

    Wenn sich der Ziel-Bucket in einem anderen Konto als der Quell-Outposts-Bucket befindet, müssen Sie dem Ziel-Outposts-Bucket eine Bucket-Richtlinie hinzufügen, um dem Eigentümer des Quell-Outposts-Bucket-Kontos die Berechtigung zum Replizieren von Objekten in den Ziel-Outposts-Bucket zu erteilen. Weitere Informationen finden Sie unter Erteilen von Berechtigungen, wenn sich die Quell- und Ziel-Outposts-Buckets im Besitz verschiedener AWS-Konten befinden.

    Anmerkung

    Wenn die Versionsverwaltung für den Ziel-Outposts-Bucket nicht aktiviert ist, erhalten Sie eine Warnmeldung, die die Schaltfläche Versionierung aktivieren enthält. Wählen Sie diese Schaltfläche, um das Versioning für den Bucket zu aktivieren.

  10. Richten Sie eine AWS Identity and Access Management (IAM)-Servicerolle ein, die S3 in Outposts annehmen kann, um Objekte in Ihrem Namen zu replizieren.

    Führen Sie zum Einrichten einer IAM-Rolle unter IAM-Rolle einen der folgenden Schritte aus:

    • Damit S3 in Outposts eine neue IAM-Rolle für Ihre Replikationskonfiguration erstellt, wählen Sie Aus vorhandenen IAM-Rollen auswählen und dann Neue Rolle erstellen aus. Wenn Sie die Regel speichern, wird eine neue Richtlinie für die IAM-Rolle erstellt, die mit den von Ihnen ausgewählten Quell- und Ziel-Outposts-Buckets übereinstimmt. Wir empfehlen Ihnen, die Option Neue Rolle erstellen auszuwählen.

    • Sie haben auch die Möglichkeit, eine vorhandene IAM-Rolle zu verwenden. In diesem Fall müssen Sie eine Rolle auswählen, die S3 in Outposts die erforderlichen Berechtigungen für die Replikation gewährt. Wenn diese Rolle S3 in Outposts keine ausreichenden Berechtigungen gewährt, um Ihre Replikationsregel zu befolgen, schlägt die Replikation fehl.

      Um eine vorhandene Rolle auszuwählen, wählen Sie Aus vorhandenen IAM-Rollen auswählen und dann im Dropdown-Menü die Rolle aus. Sie können auch die Option IAM-Rollen-ARN eingeben auswählen und dann den Amazon-Ressourcennamen (ARN) der IAM-Rolle eingeben.

    Wichtig

    Wenn Sie eine Replikationsregel zu einem S3-in-Outposts-Bucket hinzufügen, benötigen Sie die Berechtigungen iam:CreateRole und iam:PassRole, um die IAM-Rolle erstellen und übergeben zu können, die S3 in Outposts Replikationsberechtigungen gewährt. Weitere Informationen finden Sie unter Erteilen von Berechtigungen, mit denen ein Benutzer eine Rolle an einen AWS-Service übergeben kann im IAM-Benutzerhandbuch.

  11. Alle Objekte in Outposts-Buckets sind standardmäßig verschlüsselt. Weitere Informationen zur Verschlüsselung in S3 in Outposts finden Sie unter Datenverschlüsselung in S3 on Outposts. Nur Objekte, die durch die serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) verschlüsselt wurden, können repliziert werden. Die Replikation von Objekten, die durch serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS)-Schlüsseln (SSE-KMS) oder durch serverseitige Verschlüsselung mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (SSE-C) verschlüsselt wurden, wird nicht unterstützt.

  12. Aktivieren Sie beim Festlegen der Konfiguration der Replikationsregeln nach Bedarf die folgenden zusätzlichen Optionen:

  13. Wählen Sie Regel erstellen aus, um den Vorgang abzuschließen.

Nach dem Speichern der Regel können Sie diese bearbeiten, aktivieren, deaktivieren oder löschen. Wechseln Sie hierfür auf die Registerkarte Verwaltung für den Quell-Outposts-Bucket, scrollen Sie nach unten zum Abschnitt Replikationsregeln, wählen Sie Ihre Regel aus und wählen Sie dann Regel bearbeiten aus.

Um die AWS CLI zum Einrichten der Replikation zu verwenden, wenn sich die Quell- und Ziel-Outposts-Buckets im Besitz desselben AWS-Kontos befinden, gehen Sie wie folgt vor:

  • Erstellen Sie Quell- und Ziel-Outposts-Buckets.

  • Aktivieren Sie die Versionsverwaltung für beide Buckets.

  • Erstellen Sie eine IAM-Rolle, die S3 in Outposts die Berechtigung zur Replikation von Objekten erteilt.

  • Fügen Sie die Replikationskonfiguration zum Quell-Outposts-Bucket hinzu.

Um die Einrichtung zu prüfen, testen Sie sie.

So richten Sie die Replikation ein, wenn sich die Quell- und Ziel-Outposts-Buckets im Besitz desselben AWS-Kontos befinden

  1. Richten Sie das Anmeldeinformationsprofil für die AWS CLI ein. In diesem Beispiel verwenden wir den Profilnamen acctA. Informationen zum Einrichten der Anmeldeinformations-Profile finden Sie unter Named Profiles (Benannte Profile) im AWS Command Line Interface-Benutzerhandbuch.

    Wichtig

    Das Profil, das Sie für diese Übung verwenden, muss über die nötigen Berechtigungen verfügen. Beispielsweise legen Sie in der Replikationskonfiguration die IAM-Servicerolle fest, die S3 in Outposts annehmen kann. Dies können Sie nur tun, wenn das verwendete Profil über die Berechtigungen iam:CreateRole und iam:PassRole verfügt. Weitere Informationen finden Sie unter Erteilen von Berechtigungen, mit denen ein Benutzer eine Rolle an einen AWS-Service übergeben kann im IAM-Benutzerhandbuch. Wenn Sie zur Erstellung eines benannten Profils die Anmeldeinformationen eines Administrators verwenden, verfügt das benannte Profil über die erforderliche Berechtigung, um alle Aufgaben durchzuführen.

  2. Erstellen Sie einen Quell-Bucket und aktivieren Sie das Versioning für ihn. Mit dem folgenden Befehl create-bucket wird ein SOURCE-OUTPOSTS-BUCKET-Bucket in der Region USA Ost (Nord-Virginia) (us-east-1) erstellt. Zur Verwendung dieses Befehls ersetzen Sie user input placeholders durch eigene Informationen.

    aws s3control create-bucket --bucket SOURCE-OUTPOSTS-BUCKET --outpost-id SOURCE-OUTPOST-ID --profile acctA --region us-east-1

    Mit dem folgenden Befehl put-bucket-versioning wird die Versionsverwaltung auf dem SOURCE-OUTPOSTS-BUCKET-Bucket aktiviert. Zur Verwendung dieses Befehls ersetzen Sie user input placeholders durch eigene Informationen.

    aws s3control put-bucket-versioning --account-id 123456789012 --bucket arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET --versioning-configuration Status=Enabled --profile acctA

  3. Erstellen Sie einen Ziel-Bucket und aktivieren Sie das Versioning für ihn. Mit dem folgenden Befehl create-bucket wird ein DESTINATION-OUTPOSTS-BUCKET-Bucket in der Region USA West (Oregon) (us-west-2) erstellt. Zur Verwendung dieses Befehls ersetzen Sie user input placeholders durch eigene Informationen.

    Anmerkung

    Um die Replikationskonfiguration einzurichten, wenn sich die Quell- und Ziel-Outposts-Bucket in demselben AWS-Konto befinden, verwenden Sie dasselbe benannte Profil. Dieses Beispiel verwendet acctA. Zum Testen der Replikationskonfiguration, wenn sich die Buckets im Besitz unterschiedlicher AWS-Konten befinden, legen Sie verschiedene Profile für jeden Bucket fest.

    aws s3control create-bucket --bucket DESTINATION-OUTPOSTS-BUCKET --create-bucket-configuration LocationConstraint=us-west-2 --outpost-id DESTINATION-OUTPOST-ID --profile acctA --region us-west-2

    Mit dem folgenden Befehl put-bucket-versioning wird die Versionsverwaltung auf dem DESTINATION-OUTPOSTS-BUCKET-Bucket aktiviert. Zur Verwendung dieses Befehls ersetzen Sie user input placeholders durch eigene Informationen.

    aws s3control put-bucket-versioning --account-id 123456789012 --bucket arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET --versioning-configuration Status=Enabled --profile acctA

  4. Erstellen Sie eine IAM-Servicerolle. Zu einem späteren Zeitpunkt der Replikationskonfiguration fügen Sie diese Servicerolle dem SOURCE-OUTPOSTS-BUCKET-Bucket hinzu. S3 in Outposts übernimmt diese Rolle, um Objekte in Ihrem Namen zu replizieren. Sie erstellen eine IAM-Rolle in zwei Schritten:

    1. Erstellen Sie eine IAM-Rolle.

      1. Kopieren Sie die folgende Vertrauensrichtlinie und speichern Sie sie in einer Datei mit dem Namen s3-on-outposts-role-trust-policy.json im aktuellen Verzeichnis auf Ihrem lokalen Computer. Diese Richtlinie gewährt S3 in Outposts Service-Prinzipal-Berechtigungen, um die Servicerolle anzunehmen.

        {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"s3-outposts.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

      2. Führen Sie den folgenden -Befehl aus, um die Rolle zu erstellen. Ersetzen Sie user input placeholders durch Ihre Informationen.

        aws iam create-role --role-name replicationRole --assume-role-policy-document file://s3-on-outposts-role-trust-policy.json --profile acctA

    2. Fügen Sie eine Berechtigungsrichtlinie zur Servicerolle hinzu.

      1. Kopieren Sie die folgende Berechtigungsrichtlinie und speichern Sie sie in einer Datei mit dem Namen s3-on-outposts-role-permissions-policy.json im aktuellen Verzeichnis auf Ihrem lokalen Computer. Diese Richtlinie erteilt Berechtigungen für verschiedene S3-in-Outposts-Bucket- und -Objektaktionen. Wenn Sie diese Richtlinie verwenden möchten, ersetzen Sie user input placeholders durch eigene Informationen.

        {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3-outposts:GetObjectVersionForReplication",
            "s3-outposts:GetObjectVersionTagging"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET/object/*",
            "arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/accesspoint/SOURCE-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3-outposts:ReplicateObject",
            "s3-outposts:ReplicateDelete"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*",
            "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ] 
      }
   ]
}

      2. Führen Sie den folgenden Befehl aus, um eine Richtlinie zu erstellen und sie der Rolle anzufügen. Ersetzen Sie user input placeholders durch Ihre Informationen.

        aws iam put-role-policy --role-name replicationRole --policy-document file://s3-on-outposts-role-permissions-policy.json --policy-name replicationRolePolicy --profile acctA

  5. Fügen Sie eine Replikationskonfiguration zum SOURCE-OUTPOSTS-BUCKET-Bucket hinzu.

    1. Zwar erfordert die S3-in-Outposts-API eine Replikationskonfiguration im XML-Format, die AWS CLI verlangt jedoch die Angabe der Replikationskonfiguration im JSON-Format. Speichern Sie den folgenden JSON-Code in einer Datei mit dem Namen replication.json im lokalen Verzeichnis auf Ihrem Computer. Wenn Sie diese Konfiguration verwenden möchten, ersetzen Sie user input placeholders durch Ihre Informationen.

      {
  "Role": "IAM-role-ARN",
  "Rules": [
    {
      "Status": "Enabled",
      "Priority": 1,
      "DeleteMarkerReplication": { "Status": "Disabled" },
      "Filter" : { "Prefix": "Tax"},
      "Destination": {
        "Bucket": 
        "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT"
      }
    }
  ]
}

    2. Führen Sie den folgenden Befehl put-bucket-replication aus, um die Replikationskonfiguration zu Ihrem Quell-Outposts-Bucket hinzuzufügen. Zur Verwendung dieses Befehls ersetzen Sie user input placeholders durch eigene Informationen.

      aws s3control put-bucket-replication --account-id 123456789012 --bucket arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET --replication-configuration file://replication.json --profile acctA

    3. Um die Replikationskonfiguration abzurufen, verwenden Sie den Befehl get-bucket-replication. Zur Verwendung dieses Befehls ersetzen Sie user input placeholders durch eigene Informationen.

      aws s3control get-bucket-replication --account-id 123456789012 --bucket arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET --profile acctA

  6. Testen Sie das Setup in der Amazon-S3-Konsole:

    1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

    2. Erstellen Sie im SOURCE-OUTPOSTS-BUCKET-Bucket einen Ordner mit dem Namen Tax.

    3. Fügen Sie Beispielobjekte zum Tax-Ordner im SOURCE-OUTPOSTS-BUCKET-Bucket hinzu.

    4. Überprüfen Sie im DESTINATION-OUTPOSTS-BUCKET-Bucket Folgendes:

      • S3 in Outposts hat die Objekte repliziert.

        Anmerkung

        Die von S3 in Outposts für die Replikation eines Objekts benötigte Zeit hängt von der Größe des Objekts ab. Weitere Informationen zum Anzeigen des Replikationsstatus finden Sie unter Abrufen von Replikationsstatusinformationen.

      • Auf der Registerkarte Eigenschaften des Objekts ist Replikationsstatus auf Replikat gesetzt (sodass dies als Replikatobjekt identifiziert wird).