Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Beispiele für die Konfiguration einer Live-Replikation
Die folgenden Beispiele bieten step-by-step exemplarische Vorgehensweisen, die zeigen, wie die Live-Replikation für allgemeine Anwendungsfälle konfiguriert wird.
**Anmerkung**
Die Live-Replikation bezieht sich auf Replikation innerhalb derselben Region (SRR) und die Replikation in mehreren Regionen (CRR). Die Live-Replikation repliziert keine Objekte, die bereits vor dem Einrichten der Replikation in dem Bucket vorhanden waren. Verwenden Sie die On-Demand-Replikation, um Objekte zu replizieren, die bereits vor dem Einrichten der Replikation vorhanden waren. Informationen zum Synchronisieren von Buckets und zum bedarfsbasierten Replizieren vorhandener Objekte finden Sie unter [Replizieren vorhandener Objekte](s3-batch-replication-batch.md).
Diese Beispiele zeigen, wie eine Replikationskonfiguration mithilfe der Amazon S3 S3-Konsole, AWS Command Line Interface (AWS CLI) und AWS SDKs (AWS SDK für Java und es werden AWS SDK für .NET Beispiele gezeigt) erstellt.
Informationen zur Installation und Konfiguration von finden Sie in den folgenden Themen im *AWS Command Line Interface Benutzerhandbuch*: AWS CLI
+ [Beginnen Sie mit dem AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)
+ [Konfigurieren Sie das AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html) — Sie müssen mindestens ein Profil einrichten. Richten Sie bei kontoübergreifenden Szenarien zwei Profile ein.
Informationen über das AWS SDKs finden Sie unter [AWS SDK für Java](https://aws.amazon.com/sdk-for-java/)und [AWS SDK für .NET](https://aws.amazon.com/sdk-for-net/).
**Tipp**
Ein step-by-step Tutorial, das zeigt, wie Sie Daten mithilfe der Live-Replikation replizieren können, finden Sie unter Praktische [Einführung: Replizieren von Daten innerhalb und zwischen Daten AWS-Regionen mithilfe der S3-Replikation](https://aws.amazon.com/getting-started/hands-on/replicate-data-using-amazon-s3-replication/?ref=docs_gateway/amazons3/replication-example-walkthroughs.html).
**Topics**
+ [Konfigurieren für Buckets im selben Konto](replication-walkthrough1.md)
+ [Konfigurieren bei Buckets in verschiedenen Konten](replication-walkthrough-2.md)
+ [Begrenzung der S3-Replikationszeit (S3 RTC)](replication-time-control.md)
+ [Replizieren verschlüsselter Objekte](replication-config-for-kms-objects.md)
+ [Replizieren von Metadatenänderungen](replication-for-metadata-changes.md)
+ [Replizieren von Löschmarkierungen](delete-marker-replication.md)
# Konfigurieren einer Replikation für Buckets im selben Konto
Bei der Live-Replikation handelt es sich um das automatische, asynchrone Kopieren von Objekten zwischen Allzweck-Buckets in denselben oder unterschiedlichen Buckets. AWS-Regionen Eine Live-Replikation kopiert neu erstellte Objekte und Objektaktualisierungen aus einem Quell-Bucket in einen Ziel-Bucket oder mehrere Buckets. Weitere Informationen finden Sie unter [Replizieren von Objekten innerhalb und zwischen Regionen](replication.md).
Wenn Sie die Replikation konfigurieren, fügen Sie dem Quell-Bucket Replikationsregeln hinzu. Replikationsregeln definieren, welche Quell-Bucket-Objekte repliziert werden sollen, und den Ziel-Bucket/die Ziel-Buckets, in dem/denen die replizierten Objekte gespeichert werden sollen. Sie können eine Regel erstellen, um alle Objekte in einem Bucket oder eine Untermenge von Objekten mit einem spezifischen Schlüsselnamenpräfixen, einem oder mehreren Objekt-Markierungen oder beidem zu replizieren. Ein Ziel-Bucket kann sich im selben AWS-Konto wie der Quell-Bucket oder in einem anderen Konto befinden.
Wenn Sie angeben, dass eine Objektversions-ID gelöscht werden soll, löscht Amazon S3 diese Objektversion im Quell-Bucket. Es repliziert die Löschung aber nicht im Ziel-Bucket. Anders ausgedrückt: Dieselbe Objektversion wird im Ziel-Bucket nicht gelöscht. Dies schützt Daten vor missbräuchlichen Löschungen.
Wenn Sie einem Bucket eine Replikationsregel hinzufügen, ist diese standardmäßig aktiviert, sodass sie ausgeführt wird, sobald Sie sie speichern.
In diesem Beispiel richten Sie eine Live-Replikation für Quell- und Ziel-Buckets ein, die demselben AWS-Konto gehören. Es werden Beispiele für die Verwendung der Amazon S3 S3-Konsole, der AWS Command Line Interface (AWS CLI) und der AWS SDK für Java und bereitgestellt AWS SDK für .NET.
## Voraussetzungen
Bevor Sie die folgenden Verfahren verwenden, stellen Sie sicher, dass Sie die erforderlichen Berechtigungen für die Replikation eingerichtet haben, je nachdem, ob sich Quell- und Ziel-Buckets im Eigentum desselben oder unterschiedlicher befinden. Weitere Informationen finden Sie unter [Einrichten von Berechtigungen für die Live-Replikation](setting-repl-config-perm-overview.md).
**Anmerkung**
Wenn Sie verschlüsselte Objekte replizieren möchten, müssen Sie auch die erforderlichen Berechtigungen für den AWS KMS-Schlüssel ( AWS Key Management Service ) erteilen. Weitere Informationen finden Sie unter [Replizieren verschlüsselter Objekte (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
Um Object Lock mit der Replikation zu verwenden, müssen Sie zwei zusätzliche Berechtigungen für den Quell-S3-Bucket in der AWS Identity and Access Management (IAM) -Rolle gewähren, mit der Sie die Replikation einrichten. Die zwei neuen Berechtigungen sind `s3:GetObjectRetention` und `s3:GetObjectLegalHold`. Wenn die Rolle über eine `s3:Get*`-Berechtigungsanweisung verfügt, ist die Anforderung dadurch erfüllt. Weitere Informationen finden Sie unter [Verwenden von Object Lock mit der S3-Replikation](object-lock-managing.md#object-lock-managing-replication).
## Verwenden der S3-Konsole
Gehen Sie wie folgt vor, um eine Replikationsregel zu konfigurieren, wenn sich der Ziel-Bucket im selben AWS-Konto wie der Quell-Bucket befindet.
Wenn sich der Ziel-Bucket in einem anderen Konto als der Quell-Bucket befindet, müssen Sie eine Bucket-Richtlinie für den Ziel-Bucket hinzufügen, um dem Eigentümer des Quell-Bucket-Kontos die Berechtigung zum Replizieren von Objekten in der Ziel-Bucket zu erteilen. Weitere Informationen finden Sie unter [(Optional) Schritt 3: Erteilen von Berechtigungen, wenn die Quell- und Ziel-Buckets unterschiedlichen Besitzern gehören AWS-Konten](setting-repl-config-perm-overview.md#setting-repl-config-crossacct).
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Allzweck-Buckets** aus.
1. Wählen Sie in der Liste Buckets den Namen des von Ihnen erstellten Buckets aus.
1. Wählen Sie die Registerkarte **Verwaltung** aus, scrollen Sie nach unten zu **Replikationsregeln** und wählen Sie dann **Replikationsregel erstellen** aus.
1. Geben Sie im Abschnitt **Replikationsregelkonfiguration** unter **Name der Replikationsregel** einen Namen für Ihre Regel ein, um die Regel später leichter identifizieren zu können. Der Name ist erforderlich und muss innerhalb des Buckets eindeutig sein.
1. In **Status (Status)**ist **Enabled (Aktiviert)** standardmäßig ausgewählt. Eine aktivierte Regel wird ausgeführt, sobald Sie speichern. Wenn Sie die Regel später aktivieren möchten, wählen Sie **Deaktiviert** aus.
1. Wenn es bereits Replikationsregeln für den Bucket gibt, werden Sie angewiesen, eine Priorität für die Regel festzulegen. Sie müssen eine Priorität für die Regel festlegen, um Konflikte zu vermeiden, die durch Objekte verursacht werden, die mehreren Regeln unterliegen. Wenn sich Regeln überschneiden, verwendet Amazon S3 die Regelpriorität, um die Regel zu ermitteln, die angewendet werden muss. Je höher die Zahl, desto höher die Priorität. Weitere Informationen zur Priorität von Regeln finden Sie unter [Elemente der Replikationskonfigurationsdatei](replication-add-config.md).
1. Unter **Quell-Bucket** stehen Ihnen folgende Optionen zum Festlegen der Replikationsquelle zur Verfügung:
+ Um den gesamten Bucket zu replizieren, wählen Sie **Apply to all objects in the bucket** (Auf alle Objekte im Bucket anwenden).
+ Um alle Objekte zu replizieren, die dasselbe Präfix haben, wählen Sie **Limit the scope of this rule using one or more filters (Geltungsbereich dieser Regel mit einem oder mehreren Filtern einschränken)**. Dies beschränkt die Replikation auf alle Objekte, deren Namen mit dem von Ihnen angegebenen Präfix beginnen (z. B. `pictures`). Geben Sie ein Präfix in das Feld **Präfix** ein.
**Anmerkung**
Wenn Sie ein Präfix eingeben, das den Namen eines Ordners darstellt, müssen Sie **/** (Schrägstrich) als letztes Zeichen eingeben (z. B. `pictures/`).
+ Um alle Objekte mit einem oder mehreren Objekt-Tags zu replizieren, wählen Sie **Tag hinzufügen** aus und geben Sie das Schlüssel-Wert-Paar in die Felder ein. Wiederholen Sie den Vorgang, um ein weiteres Tag hinzuzufügen. Sie können ein Präfix und Markierungen kombinieren. Weitere Informationen über Objekt-Markierungen finden Sie unter [Kategorisierung Ihrer Objekte mit Hilfe von Tags](object-tagging.md).
Das neue XML-Schema für die Replikationskonfiguration unterstützt das Filtern nach Präfix und Tag und die Priorisierung von Regeln. Weitere Informationen über das neue Schema finden Sie unter [Überlegungen zur Rückwärtskompatibilität](replication-add-config.md#replication-backward-compat-considerations). Weitere Informationen über das mit der Amazon-S3-API verwendete XML, das hinter der Benutzeroberfläche funktioniert, finden Sie unter [Elemente der Replikationskonfigurationsdatei](replication-add-config.md). Das neue Schema wird als *XML V2 für die Replikationskonfiguration* beschrieben.
1. Wählen Sie unter **Ziel** den Bucket aus, in den Amazon S3 Objekte replizieren soll.
**Anmerkung**
Die Anzahl der Ziel-Buckets ist auf die Anzahl der AWS-Regionen in einer bestimmten Partition beschränkt. Eine Partition ist eine Gruppierung von Regionen. AWS hat derzeit drei Partitionen: `aws` (Standardregionen), `aws-cn` (China-Regionen) und `aws-us-gov` (AWS GovCloud (US) Regionen). Sie können [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) verwenden, um eine Erhöhung Ihres Ziel-Bucket-Kontingents anzufordern.
+ Um in einen Bucket oder mehrere Buckets in Ihrem Konto zu replizieren, wählen Sie **Bucket in diesem Konto wählen** aus und geben Sie die Ziel-Bucket-Namen ein oder suchen Sie danach.
+ Um in einen oder mehrere Buckets in einem anderen Bucket zu replizieren AWS-Konto, wählen Sie **Spezify a bucket in another account** aus und geben Sie die Konto-ID und den Bucket-Namen des Ziel-Buckets ein.
Wenn sich das Ziel in einem anderen Konto als der Quell-Bucket befindet, müssen Sie eine Bucket-Richtlinie für die Ziel-Buckets hinzufügen, um dem Eigentümer des Quell-Bucket-Kontos die Berechtigung zum Replizieren von Objekten zu erteilen. Weitere Informationen finden Sie unter [(Optional) Schritt 3: Erteilen von Berechtigungen, wenn die Quell- und Ziel-Buckets unterschiedlichen Besitzern gehören AWS-Konten](setting-repl-config-perm-overview.md#setting-repl-config-crossacct).
Wenn Sie eine leichtere Standardisierung der Eigentümerschaft für neue Objekte im Ziel-Bucket ermöglichen möchten, wählen Sie **Objekteigentümerschaft in Eigentümer des Ziel-Buckets ändern** aus. Weitere Informationen zu dieser Option finden Sie unter [Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket](about-object-ownership.md).
**Anmerkung**
Wenn die Versionssteuerung für den Ziel-Bucket nicht aktiviert ist, erhalten Sie eine Warnmeldung, die die Schaltfläche **Versionierung aktivieren** enthält. Wählen Sie diese Schaltfläche, um das Versioning für den Bucket zu aktivieren.
1. Richten Sie eine AWS Identity and Access Management (IAM-) Rolle ein, die Amazon S3 übernehmen kann, um Objekte in Ihrem Namen zu replizieren.
Um eine IAM-Rolle einzurichten, wählen Sie im Abschnitt **IAM-Rolle** eine der folgenden Optionen aus der Dropdown-Liste **IAM-Rolle** aus:
+ Wir empfehlen Ihnen, **Create new role (Neue Rolle erstellen)** auszuwählen, um Amazon S3 anzuweisen, eine neue IAM-Rolle für Sie zu erstellen. Wenn Sie die Regel speichern, wird eine neue Richtlinie für die IAM-Rolle erstellt, die mit den von Ihnen ausgewählten Quell- und Ziel-Buckets übereinstimmt.
+ Sie haben auch die Möglichkeit eine vorhandene IAM-Rolle zu verwenden. In diesem Fall müssen Sie eine Rolle auswählen, die Amazon S3 die erforderlichen Berechtigungen für die Replikation gewährt. Die Replikation schlägt fehl, wenn diese Rolle Amazon S3 keine ausreichenden Berechtigungen gewährt, um Ihre Replikationsregel zu befolgen.
**Wichtig**
Wenn Sie eine Replikationsregel zu einem Bucket hinzufügen, benötigen Sie die Berechtigung `iam:PassRole` zum Übergeben der IAM-Rolle, die Amazon S3 Replikationsberechtigungen erteilt. Weitere Informationen finden Sie unter [Erteilen von Berechtigungen, mit denen ein Benutzer eine Rolle an einen AWS-Serviceübergeben kann](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) im *IAM-Benutzerhandbuch*.
1. **Um Objekte im Quell-Bucket zu replizieren, die mit serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) verschlüsselt sind, wählen Sie unter **Verschlüsselung** die Option Objekte replizieren mit. AWS KMS** Unter **AWS KMS -Schlüssel für die Verschlüsselung von Zielobjekten** befinden sich die Quellschlüssel, deren Verwendung Sie der Replikation erlauben. Alle Quell-KMS-Schlüssel sind standardmäßig enthalten. Um die KMS-Schlüsselauswahl einzuschränken, können Sie einen Alias oder eine Schlüssel-ID auswählen.
Objekte, die nicht von Ihnen ausgewählt wurden AWS KMS keys , verschlüsselt wurden, werden nicht repliziert. Ein KMS-Schlüssel oder eine Gruppe von KMS-Schlüsseln wird für Sie ausgewählt, aber Sie können die KMS-Schlüssel auch selbst auswählen. Hinweise zur Verwendung AWS KMS mit Replikation finden Sie unter[Replizieren verschlüsselter Objekte (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
**Wichtig**
Wenn Sie Objekte replizieren, die mit verschlüsselt sind AWS KMS, verdoppelt sich die AWS KMS Anforderungsrate in der Quellregion und steigt in der Zielregion um den gleichen Betrag. Diese erhöhten Anrufraten AWS KMS sind auf die Art und Weise zurückzuführen, wie Daten mithilfe des KMS-Schlüssels, den Sie für die Zielregion der Replikation definieren, erneut verschlüsselt werden. AWS KMS hat ein Kontingent für die Anforderungsrate, das pro Anrufkonto und Region gilt. Informationen zu den standardmäßigen Kontingenten finden Sie unter [AWS KMS -Kontingente – Anforderungen pro Sekunde: variabel](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html#requests-per-second) im *AWS Key Management Service Entwicklerhandbuch*.
Wenn Ihre aktuelle Amazon S3 `PUT` S3-Objektanforderungsrate während der Replikation mehr als die Hälfte der AWS KMS Standardratenbegrenzung für Ihr Konto beträgt, empfehlen wir Ihnen, eine Erhöhung Ihres Anforderungsratenkontingents zu AWS KMS beantragen. Wenn Sie eine Erhöhung anfordern möchten, erstellen Sie einen Fall im Support -Center unter [Contact Us](https://aws.amazon.com/contact-us/) (Kontakt). Nehmen wir zum Beispiel an, dass Ihre aktuelle `PUT` Objektanforderungsrate 1.000 Anfragen pro Sekunde beträgt und AWS KMS Sie Ihre Objekte verschlüsseln. In diesem Fall empfehlen wir Ihnen, eine Erhöhung Ihres AWS KMS Ratenlimits auf 2.500 Anfragen pro Sekunde Support zu beantragen, und zwar sowohl in Ihrer Quell- als auch in Ihrer Zielregion (falls unterschiedlich), um sicherzustellen, dass es nicht zu einer Drosselung durch kommt. AWS KMS
Ihre `PUT` Objektanforderungsrate im Quell-Bucket finden Sie `PutRequests` in den CloudWatch Amazon-Anforderungsmetriken für Amazon S3. Informationen zum Anzeigen von CloudWatch Metriken finden Sie unter[Verwenden der S3-Konsole](configure-request-metrics-bucket.md#configure-metrics).
Wenn Sie Objekte replizieren möchten, die mit verschlüsselt sind AWS KMS, gehen Sie wie folgt vor:
1. Geben Sie unter **AWS KMS key für die Verschlüsselung von Zielobjekten** Ihren KMS-Schlüssel auf eine der folgenden Arten an:
+ Wenn Sie aus einer Liste verfügbarer KMS-Schlüssel auswählen möchten, wählen Sie **Aus Ihren AWS KMS keys wählen** und anschließend den **KMS-Schlüssel** in der Liste der verfügbaren Schlüssel aus.
Sowohl der Von AWS verwalteter Schlüssel (`aws/s3`) als auch Ihr vom Kunden verwalteter Schlüssel werden in dieser Liste angezeigt. Weitere Informationen über vom Kunden verwaltete Schlüssel finden Sie unter [Kundenschlüssel und AWS -Schlüssel](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) im *Entwicklerhandbuch zu AWS Key Management Service *.
+ Wählen Sie zum Eingeben des Amazon-Ressourcennamens (ARN) des KMS-Schlüssels ** AWS KMS key -ARN eingeben** aus und geben Sie Ihren KMS-Schlüssel-ARN in das angezeigte Feld ein. Dadurch werden die Replikate im Ziel-Bucket verschlüsselt. Sie finden den ARN für Ihren KMS-Schlüssel in der [IAM-Konsole](https://console.aws.amazon.com/iam/) unter **Verschlüsselungsschlüssel**.
+ Um einen neuen vom Kunden verwalteten Schlüssel in der AWS KMS Konsole zu **erstellen, wählen Sie Create a KMS Key** aus.
Weitere Informationen zum Erstellen eines finden Sie AWS KMS key unter [Creating Keys](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html) im *AWS Key Management Service Developer Guide*.
**Wichtig**
Sie können nur KMS-Schlüssel verwenden, die im selben AWS-Region Bucket aktiviert sind. Wenn Sie **Aus Ihren KMS-Schlüsseln wählen** auswählen, werden in der S3-Konsole nur 100 KMS-Schlüssel pro Region aufgeführt. Wenn Sie über mehr als 100 KMS-Schlüssel in derselben Region verfügen, können Sie nur die ersten 100 KMS-Schlüssel in der S3-Konsole sehen. Um einen nicht in der Konsole aufgeführten KMS-Schlüssel zu verwenden, wählen Sie ** AWS KMS key -ARN eingeben** aus und geben Sie Ihren KMS-Schlüssel-ARN ein.
Wenn Sie einen AWS KMS key für die serverseitige Verschlüsselung in Amazon S3 verwenden, müssen Sie einen KMS-Schlüssel für die symmetrische Verschlüsselung wählen. Amazon S3 unterstützt nur KMS-Schlüssel mit symmetrischer Verschlüsselung und keine asymmetrischen KMS-Schlüssel. Weitere Informationen finden Sie unter [Erkennen von symmetrischen und asymmetrischen KMS-Schlüsseln](https://docs.aws.amazon.com//kms/latest/developerguide/find-symm-asymm.html) im *Entwicklerhandbuch zu AWS Key Management Service *.
Weitere Informationen zum Erstellen eines AWS KMS key finden Sie unter [Creating Keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im *AWS Key Management Service Developer* Guide. Weitere Informationen zur Verwendung AWS KMS mit Amazon S3 finden Sie unter[Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS)](UsingKMSEncryption.md).
1. Wenn Sie Ihre Daten in eine bestimmte Speicherklasse im Ziel replizieren wollen, wählen Sie unter **Zielspeicherklasse** die Option **Speicherklasse für die replizierten Objekte ändern** aus. Anschließend wählen Sie die Speicherklasse, die Sie für die replizierten Objekte im Ziel verwenden wollen. Wenn Sie diese Option nicht auswählen, ist die Speicherklasse für replizierte Objekte dieselbe Klasse wie für die ursprünglichen Objekte.
1. Beim Festlegen der **zusätzlichen Replikationsoptionen** haben Sie folgende zusätzliche Optionen:
+ Wenn Sie die Begrenzung der S3-Replikationszeit (S3 RTC) in Ihrer Replikationskonfiguration aktivieren möchten, wählen Sie **Replikationszeitkontrolle (Replication Time Control, RTC)** aus. Weitere Informationen zu dieser Option finden Sie unter [Erfüllen der Compliance-Anforderungen durch eine Begrenzung der S3-Replikationszeit (S3 RTC)](replication-time-control.md).
+ Wenn Sie S3-Replikationsmetriken in Ihrer Replikationskonfiguration aktivieren möchten, wählen Sie **Replication metrics and events** (Replikationsmetriken und -ereignisse) aus. Weitere Informationen finden Sie unter [Überwachen der Replikation mit Metriken, Ereignisbenachrichtigungen und Status](replication-metrics.md).
+ Wenn Sie die Replikation von Löschmarkierungen in Ihrer Replikations-Konfiguration aktivieren möchten, wählen Sie **Markierungsreplikation löschen** aus. Weitere Informationen finden Sie unter [Replizieren von Löschmarkierungen auf Buckets](delete-marker-replication.md).
+ Wenn Sie die Synchronisierung der Amazon-S3-Replikatänderung in Ihrer Replikations-Konfiguration aktivieren möchten, wählen Sie **Synchronisierung der Replikatänderung** aus. Weitere Informationen finden Sie unter [Replizieren von Metadatenänderungen mit der Synchronisierung von Replikatänderungen](replication-for-metadata-changes.md).
**Anmerkung**
Wenn Sie S3-RTC- oder S3-Replikationsmetriken verwenden, fallen zusätzliche Gebühren an.
1. Zum Abschluss wählen Sie **Save (Speichern)**.
1. Nachdem Sie Ihre Regel gespeichert haben, können Sie Ihre Regel bearbeiten, aktivieren, deaktivieren oder löschen, indem Sie Ihre Regel auswählen und **Edit rule (Regel bearbeiten)** wählen.
## Verwenden des AWS CLI
Gehen Sie wie folgt vor AWS CLI , um die Replikation einzurichten, wenn Quell- und Ziel-Buckets demselben AWS-Konto gehören:
+ Erstellen Sie Quell- und Ziel-Buckets.
+ Aktivieren Sie die Versionsverwaltung für die Buckets.
+ Erstellen Sie eine AWS Identity and Access Management (IAM-) Rolle, die Amazon S3 die Berechtigung erteilt, Objekte zu replizieren.
+ Fügen Sie die Replikationskonfiguration zum Quell-Bucket hinzu.
Um die Einrichtung zu prüfen, testen Sie sie.
**Um die Replikation einzurichten, wenn die Quell- und Ziel-Buckets demselben gehören AWS-Konto**
1. Richten Sie das Anmeldeinformationsprofil für die AWS CLI ein. Dieses Beispiel verwendet den Profilnamen `acctA`. Informationen zum Einrichten der Anmeldeinformations-Profile und der Verwendung benannter Profile finden Sie unter [Einstellungen der Konfigurations- und Anmeldeinformationsdatei](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) im *Benutzerhandbuch zur AWS Command Line Interface *.
**Wichtig**
Das Profil, das Sie für dieses Beispiel verwenden, muss über die nötigen Berechtigungen verfügen. Beispielsweise legen Sie in der Replikations-Konfiguration die IAM-Rolle fest, die Amazon S3 annehmen kann. Dies gelingt Ihnen nur, wenn das verwendete Profil über die `iam:PassRole`-Berechtigung verfügt. Weitere Informationen finden Sie unter [Einem Benutzer Berechtigungen zum Übergeben einer Rolle an einen AWS-Service erteilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) im *Benutzerhandbuch zu IAM*. Wenn Sie zur Erstellung eines benannten Profils die Anmeldeinformationen eines Administrators verwenden, können Sie alle Aufgaben durchführen.
1. Verwenden Sie die folgenden AWS CLI -Befehle, um einen Quell-Bucket zu erstellen und die Versionsverwaltung für ihn zu aktivieren. Wenn Sie diese Befehle verwenden wollen, ersetzen Sie *`user input placeholders`* durch Ihre eigenen Informationen.
Mit dem folgenden `create-bucket`-Befehl wird ein Quell-Bucket mit dem Namen `amzn-s3-demo-source-bucket` in der Region USA Ost (Nord-Virginia) (`us-east-1`) erstellt:
```
aws s3api create-bucket \
--bucket amzn-s3-demo-source-bucket \
--region us-east-1 \
--profile acctA
```
Mit dem folgenden `put-bucket-versioning`-Befehl wird die S3-Versionsverwaltung auf dem Bucket `amzn-s3-demo-source-bucket` aktiviert:
```
aws s3api put-bucket-versioning \
--bucket amzn-s3-demo-source-bucket \
--versioning-configuration Status=Enabled \
--profile acctA
```
1. Erstellen Sie einen Ziel-Bucket und aktivieren Sie die Versionsverwaltung für ihn, indem Sie die folgenden AWS CLI Befehle verwenden. Wenn Sie diese Befehle verwenden wollen, ersetzen Sie *`user input placeholders`* durch Ihre eigenen Informationen.
**Anmerkung**
Um eine Replikationskonfiguration einzurichten, wenn sich Quell- und Ziel-Bucket im selben befinden AWS-Konto, verwenden Sie dasselbe Profil für Quell- und Ziel-Bucket. Dieses Beispiel verwendet `acctA`.
Um eine Replikationskonfiguration zu testen, wenn die Buckets unterschiedlichen Besitzern gehören AWS-Konten, geben Sie für jedes Konto unterschiedliche Profile an. Verwenden Sie beispielsweise ein `acctB`-Profil für den Ziel-Bucket.
Mit dem folgenden `create-bucket`-Befehl wird ein Ziel-Bucket mit dem Namen `amzn-s3-demo-destination-bucket` in der Region USA West (Oregon) (`us-west-2`) erstellt:
```
aws s3api create-bucket \
--bucket amzn-s3-demo-destination-bucket \
--region us-west-2 \
--create-bucket-configuration LocationConstraint=us-west-2 \
--profile acctA
```
Mit dem folgenden `put-bucket-versioning`-Befehl wird die S3-Versionsverwaltung auf dem Bucket `amzn-s3-demo-destination-bucket` aktiviert:
```
aws s3api put-bucket-versioning \
--bucket amzn-s3-demo-destination-bucket \
--versioning-configuration Status=Enabled \
--profile acctA
```
1. Erstellen Sie eine IAM-Rolle. Sie geben diese Rolle in der Replizierungskonfiguration an, die Sie später zum *Quell-Bucket* hinzufügen. Amazon S3 übernimmt diese Rolle, um Objekte in Ihrem Namen zu replizieren. Sie erstellen eine IAM-Rolle in zwei Schritten:
+ Erstellen Sie eine Rolle.
+ Fügen Sie eine Berechtigungsrichtlinie zur Rolle hinzu.
1. Erstellen Sie die IAM-Rolle.
1. Kopieren Sie die folgende Vertrauensrichtlinie und speichern Sie sie in einer Datei mit dem Namen `s3-role-trust-policy.json` im aktuellen Verzeichnis auf Ihrem lokalen Computer. Diese Richtlinie erteilt dem Amazon-S3-Service Prinzipalberechtigungen, um die Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"s3.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
1. Führen Sie den folgenden Befehl aus, um eine Rolle zu erstellen.
```
$ aws iam create-role \
--role-name replicationRole \
--assume-role-policy-document file://s3-role-trust-policy.json \
--profile acctA
```
1. Fügen Sie eine Berechtigungsrichtlinie zur Rolle hinzu.
1. Kopieren Sie die folgende Berechtigungsrichtlinie und speichern Sie sie in einer Datei mit dem Namen `s3-role-permissions-policy.json` im aktuellen Verzeichnis auf Ihrem lokalen Computer. Diese Zugriffsrichtlinie erteilt Berechtigungen für verschiedene Amazon-S3-Bucket- und -Objektaktionen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:GetObjectVersionForReplication",
"s3:GetObjectVersionAcl",
"s3:GetObjectVersionTagging"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-source-bucket/*"
]
},
{
"Effect":"Allow",
"Action":[
"s3:ListBucket",
"s3:GetReplicationConfiguration"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-source-bucket"
]
},
{
"Effect":"Allow",
"Action":[
"s3:ReplicateObject",
"s3:ReplicateDelete",
"s3:ReplicateTags"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
}
]
}
```
------
**Anmerkung**
Wenn Sie verschlüsselte Objekte replizieren möchten, müssen Sie auch die erforderlichen Berechtigungen für den AWS KMS-Schlüssel ( AWS Key Management Service ) erteilen. Weitere Informationen finden Sie unter [Replizieren verschlüsselter Objekte (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
Um Object Lock mit der Replikation zu verwenden, müssen Sie zwei zusätzliche Berechtigungen für den S3-Quell-Bucket in der AWS Identity and Access Management (IAM) -Rolle gewähren, mit der Sie die Replikation einrichten. Die zwei neuen Berechtigungen sind `s3:GetObjectRetention` und `s3:GetObjectLegalHold`. Wenn die Rolle über eine `s3:Get*`-Berechtigungsanweisung verfügt, ist die Anforderung dadurch erfüllt. Weitere Informationen finden Sie unter [Verwenden von Object Lock mit der S3-Replikation](object-lock-managing.md#object-lock-managing-replication).
1. Führen Sie den folgenden Befehl aus, um eine Richtlinie zu erstellen und sie der Rolle anzufügen. Ersetzen Sie *`user input placeholders`* durch Ihre Informationen.
```
$ aws iam put-role-policy \
--role-name replicationRole \
--policy-document file://s3-role-permissions-policy.json \
--policy-name replicationRolePolicy \
--profile acctA
```
1. Fügen Sie eine Replikationskonfiguration zum Quell-Bucket hinzu.
1. Die Amazon S3 S3-API erfordert zwar, dass Sie die Replikationskonfiguration als XML angeben, AWS CLI erfordert jedoch, dass Sie die Replikationskonfiguration als JSON angeben. Speichern Sie den folgenden JSON-Code in einer Datei mit dem Namen `replication.json` im lokalen Verzeichnis auf Ihrem Computer.
```
{
"Role": "IAM-role-ARN",
"Rules": [
{
"Status": "Enabled",
"Priority": 1,
"DeleteMarkerReplication": { "Status": "Disabled" },
"Filter" : { "Prefix": "Tax"},
"Destination": {
"Bucket": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
}
}
]
}
```
1. Aktualisieren Sie die JSON-Datei, indem Sie die Werte für den `amzn-s3-demo-destination-bucket` und den `IAM-role-ARN` durch Ihre eigenen Informationen ersetzen. Speichern Sie die Änderungen.
1. Führen Sie den folgenden `put-bucket-replication`-Befehl aus, um die Replikationskonfiguration zu Ihrem Quell-Bucket hinzuzufügen. Stellen Sie sicher, dass Sie den Namen für den Quell-Bucket angeben:
```
$ aws s3api put-bucket-replication \
--replication-configuration file://replication.json \
--bucket amzn-s3-demo-source-bucket \
--profile acctA
```
Um die Replikationskonfiguration abzurufen, verwenden Sie den Befehl `get-bucket-replication`:
```
$ aws s3api get-bucket-replication \
--bucket amzn-s3-demo-source-bucket \
--profile acctA
```
1. Testen Sie die Einrichtung in der Amazon-S3-Konsole, indem Sie die folgenden Schritte durchführen:
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Buckets** aus. Wählen Sie in der Liste der **Allzweck-Buckets** den Quell-Bucket aus.
1. Erstellen Sie im Quell-Bucket einen Ordner mit dem Namen `Tax`.
1. Fügen Sie Beispielobjekte zum `Tax`-Ordner im Quell-Bucket hinzu.
**Anmerkung**
Die von Amazon S3 für die Replikation eines Objekts benötigte Zeit hängt von der Größe des Objekts ab. Weitere Informationen zum Anzeigen des Replikationsstatus finden Sie unter [Abrufen von Replikationsstatusinformationen](replication-status.md).
Überprüfen Sie im *Ziel*-Bucket Folgendes:
+ Dass Amazon S3 die Objekte repliziert hat.
+ Dass es sich bei den Objekten um Replikate handelt. Scrollen Sie auf der Registerkarte **Properties (Eigenschaften)** für Ihre Objekte nach unten zum Abschnitt **Object management overview (Objektverwaltung – Übersicht)**. Beachten Sie unter **Management configurations (Verwaltungskonfigurationen)** den Wert unter **Replication status (Replikationsstatus)**. Stellen Sie sicher, dass dieser Wert auf `REPLICA` festgelegt ist.
+ Und dass sich die Replikate im Besitz des Quell-Bucket-Kontos befinden. Sie können die Eigentümerschaft Ihrer Objekte auf der Registerkarte **Permissions (Berechtigungen)** überprüfen.
Wenn sich der Quell- und der Ziel-Bucket im Besitz verschiedener Konten befinden, können Sie eine optionale Konfiguration hinzufügen, um Amazon S3 anzuweisen, die Replikateigentümerschaft zu dem Zielkonto zu ändern. Ein Beispiel finden Sie unter [So ändern Sie den Replikateigentümer](replication-change-owner.md#replication-walkthrough-3).
## Verwenden Sie den AWS SDKs
Verwenden Sie die folgenden Codebeispiele, um einem Bucket eine Replikationskonfiguration mit dem AWS SDK für Java bzw. AWS SDK für .NET hinzuzufügen.
**Anmerkung**
Wenn Sie verschlüsselte Objekte replizieren möchten, müssen Sie auch die erforderlichen Berechtigungen für den AWS KMS-Schlüssel ( AWS Key Management Service ) erteilen. Weitere Informationen finden Sie unter [Replizieren verschlüsselter Objekte (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
Um Object Lock mit der Replikation zu verwenden, müssen Sie zwei zusätzliche Berechtigungen für den S3-Quell-Bucket in der AWS Identity and Access Management (IAM) -Rolle gewähren, mit der Sie die Replikation einrichten. Die zwei neuen Berechtigungen sind `s3:GetObjectRetention` und `s3:GetObjectLegalHold`. Wenn die Rolle über eine `s3:Get*`-Berechtigungsanweisung verfügt, ist die Anforderung dadurch erfüllt. Weitere Informationen finden Sie unter [Verwenden von Object Lock mit der S3-Replikation](object-lock-managing.md#object-lock-managing-replication).
------
#### [ Java ]
Um einem Bucket eine Replikationskonfiguration hinzuzufügen und dann die Konfiguration mithilfe des AWS SDK for Java abzurufen und zu überprüfen, können Sie den S3Client verwenden, um die Replikationseinstellungen programmgesteuert zu verwalten.
Beispiele für die Konfiguration der Replikation mit dem AWS SDK for Java finden Sie unter Die [Replikationskonfiguration für einen Bucket festlegen](https://docs.aws.amazon.com/AmazonS3/latest/API/s3_example_s3_PutBucketReplication_section.html) in der *Amazon S3 S3-API-Referenz*.
------
#### [ C\$1 ]
Das folgende AWS SDK für .NET Codebeispiel fügt einem Bucket eine Replikationskonfiguration hinzu und ruft sie dann ab. Um diesen Code zu verwenden, geben Sie die Namen für die Buckets und den Amazon-Ressourcennamen (ARN) für die IAM-Rolle an. Informationen zum Einrichten und Ausführen der Codebeispiele finden Sie unter [Getting Started with the AWS SDK für .NET](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/net-dg-config.html) (Erste Schritte mit dem NET) im *AWS SDK für .NET -Entwicklerhandbuch*.
```
using Amazon;
using Amazon.S3;
using Amazon.S3.Model;
using System;
using System.Threading.Tasks;
namespace Amazon.DocSamples.S3
{
class CrossRegionReplicationTest
{
private const string sourceBucket = "*** source bucket ***";
// Bucket ARN example - arn:aws:s3:::destinationbucket
private const string destinationBucketArn = "*** destination bucket ARN ***";
private const string roleArn = "*** IAM Role ARN ***";
// Specify your bucket region (an example region is shown).
private static readonly RegionEndpoint sourceBucketRegion = RegionEndpoint.USWest2;
private static IAmazonS3 s3Client;
public static void Main()
{
s3Client = new AmazonS3Client(sourceBucketRegion);
EnableReplicationAsync().Wait();
}
static async Task EnableReplicationAsync()
{
try
{
ReplicationConfiguration replConfig = new ReplicationConfiguration
{
Role = roleArn,
Rules =
{
new ReplicationRule
{
Prefix = "Tax",
Status = ReplicationRuleStatus.Enabled,
Destination = new ReplicationDestination
{
BucketArn = destinationBucketArn
}
}
}
};
PutBucketReplicationRequest putRequest = new PutBucketReplicationRequest
{
BucketName = sourceBucket,
Configuration = replConfig
};
PutBucketReplicationResponse putResponse = await s3Client.PutBucketReplicationAsync(putRequest);
// Verify configuration by retrieving it.
await RetrieveReplicationConfigurationAsync(s3Client);
}
catch (AmazonS3Exception e)
{
Console.WriteLine("Error encountered on server. Message:'{0}' when writing an object", e.Message);
}
catch (Exception e)
{
Console.WriteLine("Unknown encountered on server. Message:'{0}' when writing an object", e.Message);
}
}
private static async Task RetrieveReplicationConfigurationAsync(IAmazonS3 client)
{
// Retrieve the configuration.
GetBucketReplicationRequest getRequest = new GetBucketReplicationRequest
{
BucketName = sourceBucket
};
GetBucketReplicationResponse getResponse = await client.GetBucketReplicationAsync(getRequest);
// Print.
Console.WriteLine("Printing replication configuration information...");
Console.WriteLine("Role ARN: {0}", getResponse.Configuration.Role);
foreach (var rule in getResponse.Configuration.Rules)
{
Console.WriteLine("ID: {0}", rule.Id);
Console.WriteLine("Prefix: {0}", rule.Prefix);
Console.WriteLine("Status: {0}", rule.Status);
}
}
}
}
```
------
# Konfigurieren einer Replikation bei Buckets in verschiedenen Konten
Live-Replikation ist das automatische, asynchrone Kopieren von Objekten zwischen Buckets, die sich in denselben oder unterschiedlichen Buckets befinden. AWS-Regionen Eine Live-Replikation kopiert neu erstellte Objekte und Objektaktualisierungen aus einem Quell-Bucket in einen Ziel-Bucket oder mehrere Buckets. Weitere Informationen finden Sie unter [Replizieren von Objekten innerhalb und zwischen Regionen](replication.md).
Wenn Sie die Replikation konfigurieren, fügen Sie dem Quell-Bucket Replikationsregeln hinzu. Replikationsregeln definieren, welche Quell-Bucket-Objekte repliziert werden sollen, und den Ziel-Bucket/die Ziel-Buckets, in dem/denen die replizierten Objekte gespeichert werden sollen. Sie können eine Regel erstellen, um alle Objekte in einem Bucket oder eine Untermenge von Objekten mit einem spezifischen Schlüsselnamenpräfixen, einem oder mehreren Objekt-Markierungen oder beidem zu replizieren. Ein Ziel-Bucket kann sich im selben AWS-Konto wie der Quell-Bucket oder in einem anderen Konto befinden.
Wenn Sie angeben, dass eine Objektversions-ID gelöscht werden soll, löscht Amazon S3 diese Objektversion im Quell-Bucket. Es repliziert die Löschung aber nicht im Ziel-Bucket. Anders ausgedrückt: Dieselbe Objektversion wird im Ziel-Bucket nicht gelöscht. Dies schützt Daten vor missbräuchlichen Löschungen.
Wenn Sie einem Bucket eine Replikationsregel hinzufügen, ist diese standardmäßig aktiviert, sodass sie ausgeführt wird, sobald Sie sie speichern.
Die Einrichtung einer Live-Replikation, wenn sich Quell- und Ziel-Bucket im Besitz verschiedener AWS-Konten befinden, ähnelt der Einrichtung der Replikation, wenn sich beide Buckets im Besitz des gleichen Kontos befinden. Es gibt jedoch mehrere Unterschiede, wenn Sie die Replikation in einem kontoübergreifenden Szenario konfigurieren:
+ Der Eigentümer des Ziel-Buckets muss dem Eigentümer des Quell-Buckets in der Ziel-Bucket-Richtlinie die Berechtigungen zum Replizieren von Objekten erteilen.
+ Wenn Sie in einem kontoübergreifenden Szenario Objekte replizieren, die serverseitig mit AWS Key Management Service (AWS KMS)-Schlüsseln (SSE-KMS) verschlüsselt sind, muss der Eigentümer des KMS-Schlüssels dem Eigentümer des Quell-Buckets die Berechtigung erteilen, den KMS-Schlüssel zu verwenden. Weitere Informationen finden Sie unter [Erteilen von zusätzlichen Berechtigungen für kontenübergreifende Szenarien](replication-config-for-kms-objects.md#replication-kms-cross-acct-scenario).
+ Standardmäßig befinden sich replizierte Objekte im Besitz des Eigentümers des Quell-Buckets. In einem kontoübergreifenden Szenario möchten Sie die Replikation vielleicht so konfigurieren, dass die Eigentümerschaft der replizierten Objekte auf den Eigentümer des Ziel-Buckets übergeht. Weitere Informationen finden Sie unter [Ändern des Replikat-Eigentümers](replication-change-owner.md).
**Um die Replikation zu konfigurieren, wenn Quell- und Ziel-Buckets unterschiedlichen Besitzern gehören AWS-Konten**
1. In diesem Beispiel erstellen Sie Quell- und Ziel-Buckets in zwei unterschiedlichen AWS-Konten. Sie müssen zwei Anmeldeinformationsprofile für die AWS CLI eingerichtet haben. In diesem Beispiel werden für diese Profilnamen die Werte `acctA` und `acctB` verwendet. Informationen zum Einrichten der Anmeldeinformations-Profile und der Verwendung benannter Profile finden Sie unter [Einstellungen der Konfigurations- und Anmeldeinformationsdatei](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) im *Benutzerhandbuch zur AWS Command Line Interface *.
1. Folgen Sie den step-by-step Anweisungen unter [Konfigurieren einer Replikation für Buckets im selben Konto](replication-walkthrough1.md) mit den folgenden Änderungen:
+ Verwenden Sie für alle AWS CLI Befehle, die sich auf Quell-Bucket-Aktivitäten beziehen (z. B. das Erstellen des Quell-Buckets, das Aktivieren der Versionierung und das Erstellen der IAM-Rolle), das `acctA` Profil. Verwenden Sie das Profil `acctB`, um den Ziel-Bucket zu erstellen.
+ Stellen Sie sicher, dass die Berechtigungsrichtlinie für die IAM-Rolle den Quell- und den Ziel-Bucket angibt, die Sie für dieses Beispiel erstellt haben.
1. Fügen Sie in der Konsole die folgende Bucket-Richtlinie für den *Ziel*-Bucket hinzu, um dem Eigentümer des *Quell*-Buckets die Berechtigung zum Replizieren von Objekten zu erteilen. Detaillierte Anweisungen finden Sie unter [Hinzufügen einer Bucket-Richtlinie mit der Amazon-S3-Konsole](add-bucket-policy.md). Achten Sie darauf, die Richtlinie zu bearbeiten, indem Sie die AWS-Konto ID des Quell-Bucket-Besitzers, den IAM-Rollennamen und den Ziel-Bucket-Namen angeben.
**Anmerkung**
Wenn Sie das folgende Beispiel verwenden möchten, ersetzen Sie die `user input placeholders` (Platzhalter für Benutzereingaben) durch Ihre eigenen Informationen. Ersetzen Sie `amzn-s3-demo-destination-bucket` durch den Namen Ihres Ziel-Buckets. Ersetzen Sie `source-bucket-account-ID:role/service-role/source-account-IAM-role` im Amazon-Ressourcennamen (ARN) von IAM durch die IAM-Rolle, die Sie für diese Replikationskonfiguration verwenden.
Wenn Sie die IAM-Servicerolle manuell erstellt haben, legen Sie den Rollenpfad im IAM-ARN als `role/service-role/` fest, wie im folgenden Richtlinienbeispiel dargestellt. Weitere Informationen finden Sie unter [IAM ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) im *IAM-Benutzerhandbuch*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "",
"Statement": [
{
"Sid": "Set-permissions-for-objects",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
},
"Action": [
"s3:ReplicateObject",
"s3:ReplicateDelete"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
},
{
"Sid": "Set-permissions-on-bucket",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
},
"Action": [
"s3:GetBucketVersioning",
"s3:PutBucketVersioning"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
}
]
}
```
------
1. (Optional) Wenn Sie Objekte replizieren, die mit SSE-KMS verschlüsselt sind, muss der Eigentümer des KMS-Schlüssels dem Eigentümer des Quell-Buckets die Berechtigung erteilen, den KMS-Schlüssel zu verwenden. Weitere Informationen finden Sie unter [Erteilen von zusätzlichen Berechtigungen für kontenübergreifende Szenarien](replication-config-for-kms-objects.md#replication-kms-cross-acct-scenario).
1. (Optional) Bei der Replikation besitzt der Eigentümer des Quellobjekts standardmäßig das Replikat. Wenn Quell- und Ziel-Bucket unterschiedlichen Besitzern gehören AWS-Konten, können Sie optionale Konfigurationseinstellungen hinzufügen, um den Besitz des Replikats auf den Eigentümer der AWS-Konto Ziel-Buckets zu übertragen. Dazu gehört auch die Gewährung der `ObjectOwnerOverrideToBucketOwner`-Berechtigung. Weitere Informationen finden Sie unter [Ändern des Replikat-Eigentümers](replication-change-owner.md).
# Ändern des Replikat-Eigentümers
Bei der Replikation besitzt der Eigentümer des Quellobjekts standardmäßig auch das Replikat. Wenn die Quell- und Ziel-Buckets jedoch unterschiedlichen Eigentümern gehören AWS-Konten, möchten Sie möglicherweise den Besitz des Replikats ändern. Vielleicht möchten Sie beispielsweise die Eigentümerschaft ändern, um den Zugriff auf Objektreplikate einzuschränken. In Ihrer Replikationskonfiguration können Sie optionale Konfigurationseinstellungen hinzufügen, um den Besitz des Replikats auf das Replikat zu ändern AWS-Konto , dem die Ziel-Buckets gehören.
Gehen Sie wie folgt vor, um den Replikateigentümer zu ändern:
+ Fügen Sie die Option zum *Überschreiben des Eigentümers* zur Replikationskonfiguration hinzu, um Amazon S3 anzuweisen, die Replikat-Eigentümerschaft zu ändern.
+ Erteilen Sie Amazon S3 die Berechtigung `s3:ObjectOwnerOverrideToBucketOwner` zum Ändern der Replikat-Eigentümerschaft.
+ Fügen Sie die Berechtigung `s3:ObjectOwnerOverrideToBucketOwner` zur Richtlinie für den Ziel-Bucket hinzu, um das Ändern der Replikateigentümerschaft zuzulassen. Die Berechtigung `s3:ObjectOwnerOverrideToBucketOwner` ermöglicht es dem Eigentümer der Ziel-Buckets, die Eigentümerschaft von Objektreplikaten anzunehmen.
Weitere Informationen erhalten Sie unter [Überlegungen zur Option zum Überschreiben der Eigentümerschaft](#repl-ownership-considerations) und [Hinzufügen der Eigentümer-Überschreibungs-Option zur Replikations-Konfiguration](#repl-ownership-owneroverride-option). Ein funktionierendes Beispiel mit step-by-step Anweisungen finden Sie unter. [So ändern Sie den Replikateigentümer](#replication-walkthrough-3)
**Wichtig**
Anstatt die Option zum Überschreiben des Eigentümers zu verwenden, können Sie die Einstellung zum Erzwingen des Bucket-Eigentümers für die Objekteigentümerschaft verwenden. Wenn Sie die Replikation verwenden und Quell- und Ziel-Bucket unterschiedlichen Besitzern gehören AWS-Konten, kann der Bucket-Besitzer des Ziel-Buckets die vom Bucket-Besitzer erzwungene Einstellung für Objekteigentümer verwenden, um den Besitz des Replikats auf den AWS-Konto Besitzer des Ziel-Buckets zu ändern. Diese Einstellung deaktiviert Objektzugriffskontrolllisten (). ACLs
Die Einstellung zum Erzwingen des Bucket-Eigentümers ahmt das Verhalten der Überschreibung des bestehenden Eigentümers nach, ohne dass eine `s3:ObjectOwnerOverrideToBucketOwner`-Berechtigung erforderlich ist. Alle Objekte, die mit der Einstellung „Bucket-Eigentümer erzwungen“ in den Ziel-Bucket repliziert werden, gehören dem Eigentümer des Ziel-Buckets. Informationen zu Object Ownership finden Sie unter [Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket](about-object-ownership.md).
## Überlegungen zur Option zum Überschreiben der Eigentümerschaft
Wenn Sie die Option zum Überschreiben der Eigentümerschaft konfigurieren, berücksichtigen Sie die folgenden Überlegungen:
+ Standardmäßig besitzt der Eigentümer des Quellobjekts auch das Replikat. Amazon S3 repliziert die Objektversion und die damit verbundene ACL.
Wenn Sie die Option zum Überschreiben der Eigentümerschaft zu Ihrer Replikationskonfiguration hinzufügen, repliziert Amazon S3 nur die Objektversion, nicht die ACL. Darüber hinaus repliziert Amazon S3 keine nachfolgenden Änderungen an der ACL des Quellobjekts. Amazon S3 legt die ACL für das Replikat fest, das dem Ziel-Bucket-Eigentümer Vollzugriff erteilt.
+ Wenn Sie eine Replikationskonfiguration ändern, um die Option zum Überschreiben der Eigentümerschaft zu aktivieren oder zu deaktivieren, tritt folgendes Verhalten ein:
+ Wenn Sie die Option zur Überschreibung des Eigentümers zur Replikationskonfiguration hinzufügen
Wenn Amazon S3 eine Objektversion repliziert, verwirft es die ACL, die mit dem Quellobjekt verknüpft ist. Amazon S3 legt stattdessen die ACL für das Replikat fest, sodass der Ziel-Bucket-Eigentümer vollständige Kontrolle erhält. Amazon S3 repliziert keine nachfolgenden Änderungen an der ACL des Quellobjekts. Diese Änderung der ACL gilt nicht für Objektversionen, die repliziert wurden, bevor Sie die Eigentümer-Überschreibungs-Option festgelegt haben. ACL-Aktualisierungen an den Quellobjekten, die repliziert wurden, bevor die Eigentümer-Überschreibungs-Option festgelegt wurde, werden weiterhin repliziert (da das Objekt und seine Replikate weiterhin denselben Eigentümer haben).
+ Wenn Sie die Eigentümer-Überschreibungs-Option aus der Replikations-Konfiguration entfernen
Amazon S3 repliziert neue Objekte, die im Quell-Bucket und den mit den Ziel-Buckets verknüpften ACLs Buckets erscheinen. Für Objekte, die repliziert wurden, bevor Sie die Eigentümerüberschreibung entfernt haben, repliziert Amazon S3 das nicht, ACLs da die von Amazon S3 vorgenommene Änderung des Objekteigentums weiterhin in Kraft ist. Das heißt, ACLs die Objektversion, die repliziert wurde, als die Eigentümerüberschreibung festgelegt wurde, wird weiterhin nicht repliziert.
## Hinzufügen der Eigentümer-Überschreibungs-Option zur Replikations-Konfiguration
**Warnung**
Fügen Sie die Option zum Überschreiben des Besitzers nur hinzu, wenn die Quell- und Ziel-Buckets unterschiedlichen Besitzern gehören. AWS-Konten Amazon S3 überprüft nicht, ob die Buckets im Besitz von gleichen oder unterschiedlichen Konten sind. Wenn Sie die Besitzer-Override hinzufügen, obwohl beide Buckets demselben gehören AWS-Konto, wendet Amazon S3 die Besitzer-Override an. Diese Option gewährt dem Besitzer des Ziel-Buckets volle Rechte und repliziert keine nachfolgenden Aktualisierungen der Zugriffskontrolllisten der Quellobjekte (). ACLs Der Replikateigentümer kann die ACL, die mit einem Replikat mit einer `PutObjectAcl`-Anforderung verknüpft ist, direkt ändern, aber nicht über eine Replikation.
Um die Option zur Eigentümer-Überschreibung festzulegen, fügen Sie Folgendes zu jedem `Destination`-Element hinzu:
+ Das Element `AccessControlTranslation`, das Amazon S3 anweist, die Replikateigentümerschaft zu ändern
+ Das `Account` Element, das den Besitzer AWS-Konto des Ziel-Buckets angibt
```
...
...
Destination
destination-bucket-owner-account-id
```
Die folgende Beispiel-Replikations-Konfiguration weist Amazon S3 an, Objekte mit dem Schlüsselpräfix *`Tax`* in den Ziel-Bucket `amzn-s3-demo-destination-bucket` zu replizieren und die Replikat-Eigentümerschaft zu ändern. Wenn Sie dieses Beispiel verwenden möchten, ersetzen Sie die `user input placeholders` (Platzhalter für Benutzereingaben) durch Ihre Informationen.
```
arn:aws:iam::account-id:role/role-name
Rule-1
1
Enabled
Disabled
Tax
arn:aws:s3:::amzn-s3-demo-destination-bucket
destination-bucket-owner-account-id
Destination
```
## Erteilen der Berechtigung zur Änderung der Replikat-Eigentümerschaft an Amazon S3
Gewähren Sie Amazon S3 S3-Berechtigungen zum Ändern des Replikatbesitzes, indem Sie in der Berechtigungsrichtlinie, die mit der AWS Identity and Access Management (IAM-) Rolle verknüpft ist, die Berechtigung für die `s3:ObjectOwnerOverrideToBucketOwner` Aktion hinzufügen. Diese Rolle ist die IAM-Rolle, die Sie in der Replikations-Konfiguration festgelegt haben und die es Amazon S3 gestattet, Objekte in Ihrem Namen anzunehmen und zu replizieren. Um das folgende Beispiel zu verwenden, ersetzen Sie `amzn-s3-demo-destination-bucket` durch den Namen des Ziel-Buckets.
```
...
{
"Effect":"Allow",
"Action":[
"s3:ObjectOwnerOverrideToBucketOwner"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
}
...
```
## Hinzufügen der Berechtigung zur Ziel-Bucket-Richtlinie, um das Ändern der Replikat-Eigentümerschaft zuzulassen
Der Eigentümer des Ziel-Buckets muss dem Eigentümer des Quell-Buckets die Berechtigung zum Ändern der Replikat-Eigentümerschaft erteilen. Der Eigentümer des Ziel-Buckets erteilt dem Eigentümer des Quell-Buckets die Berechtigung für die Aktion `s3:ObjectOwnerOverrideToBucketOwner`. Diese Berechtigung ermöglicht dem Eigentümer des Ziel-Buckets, die Eigentümerschaft von Objektreplikaten anzunehmen. Die folgende Beispielanweisung einer Bucket-Richtlinie zeigt, wie dies funktioniert: Wenn Sie dieses Beispiel verwenden möchten, ersetzen Sie die `user input placeholders` (Platzhalter für Benutzereingaben) durch Ihre Informationen.
```
...
{
"Sid":"1",
"Effect":"Allow",
"Principal":{"AWS":"source-bucket-account-id"},
"Action":["s3:ObjectOwnerOverrideToBucketOwner"],
"Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
}
...
```
## So ändern Sie den Replikateigentümer
Wenn die Quell- und Ziel-Buckets in einer Replikationskonfiguration unterschiedlichen Besitzern gehören AWS-Konten, können Sie Amazon S3 anweisen, den Besitz des Replikats in den Besitz des AWS-Konto Ziel-Buckets zu ändern. Die folgenden Beispiele zeigen, wie Sie die Amazon S3 S3-Konsole, die AWS Command Line Interface (AWS CLI) und die verwenden, AWS SDKs um den Besitz eines Replikats zu ändern.
### Verwenden der S3-Konsole
step-by-stepEine Anleitung finden Sie unter[Konfigurieren einer Replikation für Buckets im selben Konto](replication-walkthrough1.md). Dieses Thema enthält Anweisungen zum Einrichten einer Replikationskonfiguration, wenn Quell- und Ziel-Buckets denselben und unterschiedlichen AWS-Konten Besitzern gehören.
### Verwenden von AWS CLI
Das folgenden Verfahren zeigt, wie Sie die Replikat-Eigentümerschaft mithilfe der AWS CLIändern können. In diesem Verfahren gehen Sie wie folgt vor:
+ Erstellen Sie die Quell- und Ziel-Buckets.
+ Aktivieren Sie die Versionsverwaltung für die Buckets.
+ Erstellen Sie eine AWS Identity and Access Management (IAM-) Rolle, die Amazon S3 die Berechtigung erteilt, Objekte zu replizieren.
+ Fügen Sie die Replikationskonfiguration zum Quell-Bucket hinzu.
+ In der Replikationskonfiguration weisen Sie Amazon S3 an, die Eigentümerschaft für das Replikat zu ändern.
+ Testen Sie Ihre Replikationskonfiguration.
**Um den Besitz des Replikats zu ändern, wenn der Quell- und der Ziel-Bucket different () gehören AWS-Konten AWS CLI**
Um die AWS CLI Beispielbefehle in diesem Verfahren zu verwenden, ersetzen Sie die `user input placeholders` durch Ihre eigenen Informationen.
1. In diesem Beispiel erstellen Sie die Quell- und Ziel-Buckets in zwei verschiedenen AWS-Konten Buckets. Um mit diesen beiden Konten zu arbeiten, konfigurieren Sie die AWS CLI mit zwei benannten Profilen. Bei diesem Beispiel werden die Profile *`acctA`* bzw. *`acctB`* verwendet. Informationen zum Einrichten der Anmeldeinformations-Profile und der Verwendung benannter Profile finden Sie unter [Einstellungen der Konfigurations- und Anmeldeinformationsdatei](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) im *Benutzerhandbuch zur AWS Command Line Interface *.
**Wichtig**
Die Profile, die Sie für dieses Verfahren verwenden, müssen über die nötigen Berechtigungen verfügen. Beispielsweise legen Sie in der Replikations-Konfiguration die IAM-Rolle fest, die Amazon S3 annehmen kann. Dies gelingt Ihnen nur, wenn das verwendete Profil über die `iam:PassRole`-Berechtigung verfügt. Wenn Sie zur Erstellung eines benannten Profils die Benutzer-Anmeldeinformationen eines Administrators verwenden, können Sie alle Aufgaben in diesem Verfahren durchführen. Weitere Informationen finden Sie unter [Erteilen von Berechtigungen, mit denen ein Benutzer eine Rolle an einen AWS-Serviceübergeben kann](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) im *IAM-Benutzerhandbuch*.
1. Erstellen Sie den *Quell*-Bucket und aktivieren Sie das Versioning für ihn. In diesem Beispiel erstellen wir einen Quell-Bucket mit dem Namen `amzn-s3-demo-source-bucket` in der Region USA Ost (Nord-Virginia) (`us-east-1`).
```
aws s3api create-bucket \
--bucket amzn-s3-demo-source-bucket \
--region us-east-1 \
--profile acctA
```
```
aws s3api put-bucket-versioning \
--bucket amzn-s3-demo-source-bucket \
--versioning-configuration Status=Enabled \
--profile acctA
```
1. Erstellen Sie einen *Ziel*-Bucket und aktivieren Sie das Versioning für ihn. In diesem Beispiel erstellen wir einen Ziel-Bucket mit dem Namen `amzn-s3-demo-destination-bucket` in der Region USA West (Oregon) (`us-west-2`). Verwenden Sie ein anderes AWS-Konto -Profil als das, das Sie für den Quell-Bucket verwendet haben.
```
aws s3api create-bucket \
--bucket amzn-s3-demo-destination-bucket \
--region us-west-2 \
--create-bucket-configuration LocationConstraint=us-west-2 \
--profile acctB
```
```
aws s3api put-bucket-versioning \
--bucket amzn-s3-demo-destination-bucket \
--versioning-configuration Status=Enabled \
--profile acctB
```
1. Sie müssen Ihrer *Ziel*-Bucket-Richtlinie Berechtigungen hinzufügen, um eine Änderung der Replikat-Eigentümerschaft zuzulassen.
1. Speichern Sie die folgende Richtlinie in eine Datei mit dem Namen `destination-bucket-policy.json`. Ersetzen Sie *`user input placeholders`* durch Ihre eigenen Informationen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "destination_bucket_policy_sid",
"Principal": {
"AWS": "source-bucket-owner-123456789012"
},
"Action": [
"s3:ReplicateObject",
"s3:ReplicateDelete",
"s3:ObjectOwnerOverrideToBucketOwner",
"s3:ReplicateTags",
"s3:GetObjectVersionTagging"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
]
}
]
}
```
------
1. Fügen Sie die vorherige Richtlinie mithilfe des folgenden `put-bucket-policy`-Befehls zum Ziel-Bucket hinzu:
```
aws s3api put-bucket-policy --region $ {destination-region} --bucket $ {amzn-s3-demo-destination-bucket} --policy file://destination_bucket_policy.json
```
1. Erstellen Sie eine IAM-Rolle. Sie geben diese Rolle in der Replizierungskonfiguration an, die Sie später zum *Quell-Bucket* hinzufügen. Amazon S3 übernimmt diese Rolle, um Objekte in Ihrem Namen zu replizieren. Sie erstellen eine IAM-Rolle in zwei Schritten:
+ Erstellen Sie die Rolle.
+ Fügen Sie eine Berechtigungsrichtlinie zur Rolle hinzu.
1. Erstellen Sie die IAM-Rolle.
1. Kopieren Sie die folgende Vertrauensrichtlinie und speichern Sie sie in einer Datei mit dem Namen `s3-role-trust-policy.json` im aktuellen Verzeichnis auf Ihrem lokalen Computer. Diese Richtlinie erteilt Amazon S3 Berechtigungen für die Übernahme der Rolle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"s3.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
1. Führen Sie den folgenden AWS CLI `create-role` Befehl aus, um die IAM-Rolle zu erstellen:
```
$ aws iam create-role \
--role-name replicationRole \
--assume-role-policy-document file://s3-role-trust-policy.json \
--profile acctA
```
Notieren Sie sich den Amazon-Ressourcennamen (ARN) der von Ihnen erstellten IAM-Rolle. Sie werden diesen ARN in einem späteren Schritt benötigen.
1. Fügen Sie eine Berechtigungsrichtlinie zur Rolle hinzu.
1. Kopieren Sie die folgende Berechtigungsrichtlinie und speichern Sie sie in einer Datei mit dem Namen `s3-role-perm-pol-changeowner.json` im aktuellen Verzeichnis auf Ihrem lokalen Computer. Diese Zugriffsrichtlinie erteilt Berechtigungen für verschiedene Amazon-S3-Bucket- und -Objektaktionen. In den folgenden Schritten fügen Sie diese Richtlinie der IAM-Rolle hinzu, die Sie zuvor erstellt haben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:GetObjectVersionForReplication",
"s3:GetObjectVersionAcl"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-source-bucket/*"
]
},
{
"Effect":"Allow",
"Action":[
"s3:ListBucket",
"s3:GetReplicationConfiguration"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-source-bucket"
]
},
{
"Effect":"Allow",
"Action":[
"s3:ReplicateObject",
"s3:ReplicateDelete",
"s3:ObjectOwnerOverrideToBucketOwner",
"s3:ReplicateTags",
"s3:GetObjectVersionTagging"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
}
]
}
```
------
1. Verwenden Sie den folgenden `put-role-policy`-Befehl, um die vorherige Berechtigungsrichtlinie der Rolle hinzuzufügen.
```
$ aws iam put-role-policy \
--role-name replicationRole \
--policy-document file://s3-role-perm-pol-changeowner.json \
--policy-name replicationRolechangeownerPolicy \
--profile acctA
```
1. Fügen Sie Ihrem Quell-Bucket eine Replikations-Konfiguration hinzu.
1. Das AWS CLI erfordert die Angabe der Replikationskonfiguration als JSON. Speichern Sie den folgenden JSON-Code in einer Datei mit dem Namen `replication.json` im aktuellen Verzeichnis auf Ihrem lokalen Computer. In der Konfiguration legt `AccessControlTranslation` die Änderung der Eigentümerschaft des Replikats vom Eigentümer des Quell-Buckets zum Eigentümer des Ziel-Buckets fest.
```
{
"Role":"IAM-role-ARN",
"Rules":[
{
"Status":"Enabled",
"Priority":1,
"DeleteMarkerReplication":{
"Status":"Disabled"
},
"Filter":{
},
"Status":"Enabled",
"Destination":{
"Bucket":"arn:aws:s3:::amzn-s3-demo-destination-bucket",
"Account":"destination-bucket-owner-account-id",
"AccessControlTranslation":{
"Owner":"Destination"
}
}
}
]
}
```
1. Bearbeiten Sie die JSON-Datei, indem Sie Werte für den Namen des Ziel-Buckets, die Konto-ID des Eigentümers des Ziel-Buckets und den `IAM-role-ARN` angeben. Ersetzen Sie *`IAM-role-ARN`* durch den ARN des Buckets, den Sie zuvor erstellt haben. Speichern Sie die Änderungen.
1. Um die Replikationskonfiguration zum Quell-Bucket hinzuzufügen, führen Sie den folgenden Befehl aus:
```
$ aws s3api put-bucket-replication \
--replication-configuration file://replication.json \
--bucket amzn-s3-demo-source-bucket \
--profile acctA
```
1. Testen Sie Ihre Replikationskonfiguration, indem Sie die Replikateigentümerschaft in der Amazon-S3-Konsole überprüfen.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Fügen Sie Objekte zum *Quell*-Bucket hinzu. Stellen Sie sicher, dass der Ziel-Bucket die Objektreplikate enthält und dass der Eigentümer der Replikate auf den Eigentümer des Ziel-Buckets übergegangen ist. AWS-Konto
### Verwenden von AWS SDKs
Ein Code-Beispiel zum Hinzufügen einer Replikationskonfiguration finden Sie unter [Verwenden Sie den AWS SDKs](replication-walkthrough1.md#replication-ex1-sdk). Sie müssen die Replikationskonfiguration entsprechend ändern. Weitere konzeptuelle Informationen finden Sie unter [Ändern des Replikat-Eigentümers](#replication-change-owner).
# Erfüllen der Compliance-Anforderungen durch eine Begrenzung der S3-Replikationszeit (S3 RTC)
Die Begrenzung der S3-Replikationszeit (S3 RTC) hilft Ihnen bei der Einhaltung von Compliance- oder Geschäftsanforderungen für die Datenreplikation und bietet Einblick in die Amazon-S3-Replikationsaktivitäten. S3 RTC repliziert die meisten Objekte, die Sie zu Amazon S3 hochladen, in Sekunden und 99,9 Prozent dieser Objekte innerhalb von 15 Minuten.
Standardmäßig bietet S3 RTC Ihnen zwei Möglichkeiten, den Fortschritt der Replikation zu verfolgen:
+ **S3-Replikationsmetriken** – Sie können S3-Replikationsmetriken verwenden, um die Gesamtzahl der S3-API-Operationen mit ausstehender Replikation, die Gesamtgröße der Objekte mit ausstehender Replikation, die maximale Replikationszeit in der Zielregion und der Gesamtzahl der Operationen zu überwachen, deren Replikation fehlgeschlagen ist. Anschließend können Sie jedes Dataset, das Sie separat replizieren, überwachen. Sie können S3-Replikationsmetriken auch unabhängig von S3 RTC aktivieren. Weitere Informationen finden Sie unter [Verwenden von S3-Replikationsmetriken](repl-metrics.md).
Replikationsregeln mit aktivierter Begrenzung der S3-Replikationszeit (S3 RTC) veröffentlichen S3-Replikationsmetriken. Replikationsmetriken sind innerhalb von 15 Minuten nach der Aktivierung von S3 RTC verfügbar. Replikationsmetriken sind über die Amazon S3 S3-Konsole, die Amazon S3 S3-API AWS SDKs, the, AWS Command Line Interface the (AWS CLI) und Amazon verfügbar CloudWatch. Weitere Informationen zu CloudWatch Metriken finden Sie unter[Metriken mit Amazon überwachen CloudWatch](cloudwatch-monitoring.md). Weitere Informationen zum Anzeigen von Replikationsmetriken über die Amazon-S3-Konsole finden Sie unter [Anzeigen von Replikationsmetriken](repl-metrics.md#viewing-replication-metrics).
S3-Replikationsmetriken werden zum gleichen Tarif wie CloudWatch benutzerdefinierte Amazon-Metriken abgerechnet. Weitere Informationen finden Sie unter [ CloudWatchAmazon-Preise](https://aws.amazon.com/cloudwatch/pricing/).
+ **Amazon-S3-Ereignisbenachrichtigungen** – S3 RTC bietet `OperationMissedThreshold`- und `OperationReplicatedAfterThreshold`-Ereignisse, die den Bucket-Eigentümer benachrichtigen, wenn die Objektreplikation den 15-Minuten-Grenzwert überschreitet oder danach erfolgt. Mit S3 RTC können Sie in den seltenen Fällen, in denen Objekte nicht innerhalb von 15 Minuten oder erst nach dem Grenzwert von 15 Minuten repliziert werden, Amazon-S3-Ereignisbenachrichtigungen erhalten.
Replikationsmetriken sind innerhalb von 15 Minuten nach der Aktivierung von S3 RTC verfügbar. Amazon S3 S3-Ereignisbenachrichtigungen sind über Amazon SQS, Amazon SNS oder verfügbar. AWS Lambda Weitere Informationen finden Sie unter [Erhalten von Amazon-S3-Ereignisbenachrichtigungen über Replikations-Fehlerereignisse](replication-metrics-events.md).
## Bewährte Methoden und Richtlinien für S3 RTC
Befolgen Sie beim Replizieren von Daten in Amazon S3 mit aktivierter Begrenzung der S3-Replikationszeit (S3 RTC) diese bewährten Methoden, um die Replikationsleistung für Ihre Workloads zu optimieren.
**Topics**
+ [Leistungsrichtlinien für Amazon-S3-Replikation and -Anforderungsraten](#rtc-request-rate-performance)
+ [Schätzen der Replikationsanforderungsraten](#estimating-replication-request-rates)
+ [Überschreiten der Kontingente für die S3-RTC-Datenübertragungsrate](#exceed-rtc-data-transfer-limits)
+ [AWS KMS Anforderungsraten für die Replikation verschlüsselter Objekte](#kms-object-replication-request-rates)
### Leistungsrichtlinien für Amazon-S3-Replikation and -Anforderungsraten
Wenn Speicherinhalte zu Amazon S3 hochgeladen oder von dort abgerufen werden, können Ihre Anwendungen Tausende von Transaktionen pro Sekunde bei der Anforderungsleistung erhalten. Beispielsweise kann eine Anwendung mindestens 3.500 `PUT`/`COPY`/`POST`/`DELETE`- oder 5.500 `GET`/`HEAD`-Anforderungen pro Sekunde pro Präfix in einem S3-Bucket erreichen, einschließlich der Anforderungen, die die S3-Replikation in Ihrem Namen vornimmt. Es gibt keine Einschränkungen für die Anzahl der Präfixe in einem Bucket. Sie können Ihre Lese- und Schreibleistung steigern, indem Sie Lesevorgänge parallelisieren. Wenn Sie beispielsweise 10 Präfixe in einem S3-Bucket für parallele Lesevorgänge einrichten, können Sie damit die Leseleistung auf 55 000 Leseanfragen pro Sekunde skalieren.
Amazon S3 skaliert automatisch als Reaktion auf anhaltende Anforderungsraten oberhalb dieser Richtlinien oder anhaltender Anforderungsraten übereinstimmend mit `LIST`-Anforderungen. Während Amazon S3 intern für die neue Anforderungsrate optimiert wird, erhalten Sie möglicherweise temporär HTTP 503-Anforderungsantworten, bis die Optimierung abgeschlossen ist. Dieses Verhalten kann mit steigenden Anforderungsraten pro Sekunde oder beim ersten Aktivieren von S3 RTC auftreten. Während dieser Zeiträume kann sich die Replikationslatenz erhöhen. Das S3 RTC Service Level Agreement (SLA) gilt nicht für Zeiträume, in denen Amazon-S3-Leistungsrichtlinien für Anforderungen pro Sekunde überschritten werden.
Das S3 RTC SLA gilt auch nicht für Zeiträume, in denen Ihre Replikationsdatenübertragungsrate das Standardlimit von 1 Gbit/s überschreitet. Wenn Sie erwarten, dass Ihre Replikations-Übertragungsrate 1 Gbit/s überschreitet, können Sie Ihr [AWS Support -Center](https://console.aws.amazon.com/support/home#/) kontaktieren oder über [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) eine Erhöhung Ihres Kontingents für die Replikationsübertragungsrate anfordern.
### Schätzen der Replikationsanforderungsraten
Ihre Gesamtanforderungsrate einschließlich der Anforderungen, die die Amazon-S3-Replikation in Ihrem Namen vornimmt, muss den Richtlinien für die Amazon-S3-Anforderungsrate sowohl für die Quell- als auch für die Ziel-Buckets der Replikation entsprechen. Für jedes replizierte Objekt führt die Amazon-S3-Replikation bis zu fünf `GET`/`HEAD`-Anforderungen und eine `PUT`-Anforderung an den Quell-Bucket sowie eine `PUT`-Anforderung an jeden Ziel-Bucket aus.
Wenn Sie beispielsweise davon ausgehen, dass 100 Objekte pro Sekunde repliziert werden, kann die Amazon-S3-Replikation für Sie zusätzliche 100 `PUT`-Anforderungen für insgesamt 200 `PUT`-Anforderungen pro Sekunde an den Quell-S3-Bucket ausführen. Die Amazon-S3-Replikation kann außerdem bis zu 500 `GET`/`HEAD`-Anforderungen ausführen (5 `GET`/`HEAD`-Anforderungen für jedes replizierte Objekt).
**Anmerkung**
Es entstehen Kosten für nur eine `PUT`-Anforderung pro repliziertem Objekt. Weitere Informationen finden Sie in den Preisinformationen zur [Replikation in Amazon S3 FAQs ](https://aws.amazon.com/s3/faqs/#Replication).
### Überschreiten der Kontingente für die S3-RTC-Datenübertragungsrate
Wenn Sie erwarten, dass die Datenübertragungsrate von S3 RTC das Standardkontingent von 1 Gbit/s überschreitet, wenden Sie sich an Ihr [AWS Support -Center](https://console.aws.amazon.com/support/home#/) oder verwenden Sie [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html), um eine Erhöhung Ihres Kontingents für die Datenübertragungsrate anzufordern.
### AWS KMS Anforderungsraten für die Replikation verschlüsselter Objekte
Wenn Sie Objekte replizieren, die mit serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) verschlüsselt sind, gelten Kontingente für AWS KMS Anfragen pro Sekunde. AWS KMS lehnt möglicherweise eine ansonsten gültige Anfrage ab, weil Ihre Anforderungsrate das Kontingent für die Anzahl der Anfragen pro Sekunde überschreitet. Wenn eine Anfrage gedrosselt wird, wird ein AWS KMS `ThrottlingException` Fehler zurückgegeben. Das AWS KMS Anforderungsratenkontingent gilt für Anfragen, die Sie direkt stellen, und für Anfragen, die von der Amazon S3 S3-Replikation in Ihrem Namen gestellt werden.
Wenn Sie beispielsweise damit rechnen, 1.000 Objekte pro Sekunde zu replizieren, können Sie 2.000 Anfragen von Ihrer AWS KMS Quote für Anfragen abziehen. Die daraus resultierende Anforderungsrate pro Sekunde ist für Ihre AWS KMS Workloads ohne Replikation verfügbar. Sie können die [AWS KMS Anforderungsmetriken in Amazon](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html) verwenden CloudWatch, um die gesamte AWS KMS Anforderungsrate auf Ihrem zu überwachen AWS-Konto.
Um eine Erhöhung Ihres Kontingents für AWS KMS Anfragen pro Sekunde zu beantragen, wenden Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/) oder nutzen Sie [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).
## Aktivieren der Begrenzung der S3-Replikationszeit (S3 RTC)
Sie können die Begrenzung der S3-Replikationszeit (S3 RTC) mit einer neuen oder einer vorhandenen Replikationsregel verwenden. Sie können die Replikationsregel auf einen gesamten S3-Bucket oder auf Objekte mit einem bestimmten Präfix oder Tag anwenden. Wenn Sie S3 RTC aktivieren, werden S3-Replikationsmetriken auch für Ihre Replikationsregel aktiviert.
Sie können S3 RTC mithilfe der Amazon S3 S3-Konsole, der Amazon S3 S3-API AWS SDKs, der und der AWS Command Line Interface (AWS CLI) konfigurieren.
**Topics**
### Verwenden der S3-Konsole
step-by-stepAnweisungen finden Sie unter[Konfigurieren einer Replikation für Buckets im selben Konto](replication-walkthrough1.md). Dieses Thema enthält Anweisungen zur Aktivierung von S3 RTC in Ihrer Replikationskonfiguration, wenn Quell- und Ziel-Buckets denselben und unterschiedlichen Besitzern gehören. AWS-Konten
### Verwenden von AWS CLI
Um Objekte mit aktiviertem S3 RTC AWS CLI zu replizieren, erstellen Sie Buckets, aktivieren die Versionierung für die Buckets, erstellen eine IAM-Rolle, die Amazon S3 die Berechtigung erteilt, Objekte zu replizieren, und fügen die Replikationskonfiguration zum Quell-Bucket hinzu. Für die Replikationskonfiguration muss S3 RTC aktiviert sein, wie im folgenden Beispiel gezeigt.
step-by-stepAnweisungen zum Einrichten Ihrer Replikationskonfiguration mithilfe von finden Sie unter. AWS CLI[Konfigurieren einer Replikation für Buckets im selben Konto](replication-walkthrough1.md)
Das folgende Beispiel für eine Replikationskonfiguration aktiviert die Werte `ReplicationTime` und `EventThreshold` und legt sie für eine Replikationsregel fest. Wenn Sie diese Werte aktivieren und festlegen, wird S3 RTC für die Regel aktiviert.
```
{
"Rules": [
{
"Status": "Enabled",
"Filter": {
"Prefix": "Tax"
},
"DeleteMarkerReplication": {
"Status": "Disabled"
},
"Destination": {
"Bucket": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
"Metrics": {
"Status": "Enabled",
"EventThreshold": {
"Minutes": 15
}
},
"ReplicationTime": {
"Status": "Enabled",
"Time": {
"Minutes": 15
}
}
},
"Priority": 1
}
],
"Role": "IAM-Role-ARN"
}
```
**Wichtig**
Für `Metrics:EventThreshold:Minutes` und `ReplicationTime:Time:Minutes` ist als gültiger Wert nur `15` zulässig.
### Verwenden des AWS SDK for Java
Im folgenden Java-Beispiel wird eine Replikationskonfiguration mit aktivierter Begrenzung der S3-Replikationszeit (S3 RTC) hinzugefügt.
```
import software.amazon.awssdk.auth.credentials.AwsBasicCredentials;
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.s3.model.DeleteMarkerReplication;
import software.amazon.awssdk.services.s3.model.Destination;
import software.amazon.awssdk.services.s3.model.Metrics;
import software.amazon.awssdk.services.s3.model.MetricsStatus;
import software.amazon.awssdk.services.s3.model.PutBucketReplicationRequest;
import software.amazon.awssdk.services.s3.model.ReplicationConfiguration;
import software.amazon.awssdk.services.s3.model.ReplicationRule;
import software.amazon.awssdk.services.s3.model.ReplicationRuleFilter;
import software.amazon.awssdk.services.s3.model.ReplicationTime;
import software.amazon.awssdk.services.s3.model.ReplicationTimeStatus;
import software.amazon.awssdk.services.s3.model.ReplicationTimeValue;
public class Main {
public static void main(String[] args) {
S3Client s3 = S3Client.builder()
.region(Region.US_EAST_1)
.credentialsProvider(() -> AwsBasicCredentials.create(
"AWS_ACCESS_KEY_ID",
"AWS_SECRET_ACCESS_KEY")
)
.build();
ReplicationConfiguration replicationConfig = ReplicationConfiguration
.builder()
.rules(
ReplicationRule
.builder()
.status("Enabled")
.priority(1)
.deleteMarkerReplication(
DeleteMarkerReplication
.builder()
.status("Disabled")
.build()
)
.destination(
Destination
.builder()
.bucket("destination_bucket_arn")
.replicationTime(
ReplicationTime.builder().time(
ReplicationTimeValue.builder().minutes(15).build()
).status(
ReplicationTimeStatus.ENABLED
).build()
)
.metrics(
Metrics.builder().eventThreshold(
ReplicationTimeValue.builder().minutes(15).build()
).status(
MetricsStatus.ENABLED
).build()
)
.build()
)
.filter(
ReplicationRuleFilter
.builder()
.prefix("testtest")
.build()
)
.build())
.role("role_arn")
.build();
// Put replication configuration
PutBucketReplicationRequest putBucketReplicationRequest = PutBucketReplicationRequest
.builder()
.bucket("source_bucket")
.replicationConfiguration(replicationConfig)
.build();
s3.putBucketReplication(putBucketReplicationRequest);
}
}
```
# Replizieren verschlüsselter Objekte (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)
**Wichtig**
Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüssel (SSE-S3) als Basisverschlüsselung für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für das Hochladen neuer Objekte ist in den CloudTrail Protokollen, im S3-Inventar, in der S3-Speicherlinse, in der Amazon S3-Konsole und als zusätzlicher Amazon S3 S3-API-Antwortheader im AWS CLI und AWS SDKs verfügbar. Weitere Informationen finden Sie unter [Häufig gestellte Fragen zur Standardverschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html).
Bei der Replikation von Objekten, die mit der serverseitigen Verschlüsselung verschlüsselt wurden, sind einige besondere Punkte zu beachten. Amazon S3 unterstützt die folgenden Arten von serverseitiger Verschlüsselung:
+ Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3)
+ Serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüsseln (SSE-KMS)
+ Zweischichtige serverseitige Verschlüsselung mit Schlüsseln (DSSE-KMS) AWS KMS
+ Serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C)
Weitere Informationen zur serverseitigen Verschlüsselung finden Sie unter [Schützen von Daten mit serverseitiger Verschlüsselung](serv-side-encryption.md).
In diesem Thema werden die Berechtigungen erläutert, die Sie benötigen, um Amazon S3 anzuweisen, Objekte zu replizieren, die mithilfe serverseitiger Verschlüsselung verschlüsselt wurden. Dieses Thema enthält auch zusätzliche Konfigurationselemente, die Sie hinzufügen können, sowie Beispielrichtlinien AWS Identity and Access Management (IAM), die die erforderlichen Berechtigungen für die Replikation verschlüsselter Objekte gewähren.
Ein Beispiel mit step-by-step Anweisungen finden Sie unter. [Aktivieren der Replikation für verschlüsselte Objekte](#replication-walkthrough-4) Weitere Informationen zum Erstellen einer Replikationskonfiguration finden Sie unter [Replizieren von Objekten innerhalb und zwischen Regionen](replication.md).
**Anmerkung**
Sie können Multiregion AWS KMS keys in Amazon S3 verwenden. Amazon S3 behandelt jedoch derzeit Multi-Regions-Schlüssel wie Einzel-Regions-Schlüssel und verwendet nicht die Multi-Regions-Funktionen des Schlüssels. Weitere Informationen finden Sie unter [Verwenden von multiregionalen Schlüsseln)](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) im *AWS Key Management Service -Entwicklerhandbuch*.
**Topics**
+ [So wirkt sich die Standard-Bucket-Verschlüsselung auf die Replikation aus](#replication-default-encryption)
+ [Mit SSE-C verschlüsselte Objekte replizieren](#replicationSSEC)
+ [Replizieren von mit SSE-S3, SSE-KMS oder DSSE-KMS verschlüsselten Objekten](#replications)
+ [Aktivieren der Replikation für verschlüsselte Objekte](#replication-walkthrough-4)
## So wirkt sich die Standard-Bucket-Verschlüsselung auf die Replikation aus
Wenn Sie die Standard-Verschlüsselung für einen Replikations-Ziel-Bucket aktivieren, gilt das folgende Verschlüsselungsverhalten:
+ Wenn Objekte im Quell-Bucket nicht verschlüsselt sind, werden die Replikatobjekte im Ziel-Bucket mithilfe der Einstellungen der Standard-Verschlüsselung des Ziel-Buckets verschlüsselt. Infolgedessen unterscheiden sich die Entity-Tags (ETags) der Quellobjekte von denen ETags der Replikatobjekte. Wenn Sie Anwendungen haben, die dies verwenden ETags, müssen Sie diese Anwendungen aktualisieren, um diesen Unterschied zu berücksichtigen.
+ Wenn Objekte im Quell-Bucket mit serverseitiger Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3), serverseitiger Verschlüsselung mit () -Schlüsseln AWS Key Management Service (SSE-KMS AWS KMS) oder zweischichtiger serverseitiger Verschlüsselung mit AWS KMS Schlüsseln (DSSE-KMS) verschlüsselt werden, verwenden die Replikatobjekte im Ziel-Bucket denselben Verschlüsselungstyp wie die Quellobjekte. Die Einstellungen der Standard-Verschlüsselung des Ziel-Buckets werden nicht verwendet.
## Mit SSE-C verschlüsselte Objekte replizieren
Die serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) gestattet Ihnen, Ihre eigenen Verschlüsselungsschlüssel zu verwalten. Mit SSE-C verwalten Sie die Schlüssel, während Amazon S3 den Verschlüsselungs- und Entschlüsselungsprozess verwaltet. Sie müssen einen Verschlüsselungsschlüssel als Teil Ihrer Anfrage angeben, brauchen aber keinen Code zu schreiben, um die Objektverschlüsselung oder -entschlüsselung durchzuführen. Wenn Sie ein Objekt hochladen, verschlüsselt Amazon S3 das Objekt mithilfe des von Ihnen angegebenen Schlüssels. Amazon S3 löscht diesen Schlüssel dann aus dem Speicher. Wenn Sie ein Objekt abrufen, müssen Sie denselben Verschlüsselungsschlüssel als Teil Ihrer Anfrage angeben. Weitere Informationen finden Sie unter [Verwenden von serverseitiger Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C)](ServerSideEncryptionCustomerKeys.md).
Die S3-Replikation unterstützt Objekte, die mit SSE-C verschlüsselt sind. Sie können die SSE-C-Objektreplikation in der Amazon S3 S3-Konsole oder mit der AWS SDKs auf dieselbe Weise konfigurieren, wie Sie die Replikation für unverschlüsselte Objekte konfigurieren. Es gibt keine zusätzlichen SSE-C-Berechtigungen, die über das hinausgehen, was derzeit für die Replikation erforderlich ist.
Die S3-Replikation repliziert automatisch neu hochgeladene mit SSE-C verschlüsselte Objekte, sofern sie wie in Ihrer S3-Replikationskonfiguration angegeben infrage kommen. Verwenden Sie die S3-Batchreplikation, um vorhandene Objekte in Ihren Buckets zu replizieren. Weitere Informationen zum Replizieren von Objekten finden Sie unter [Einrichten einer Live-Replikation – Überblick](replication-how-setup.md) und [Replizieren vorhandener Objekte mit der Batch-Replikation](s3-batch-replication-batch.md).
Für die Replikation von SSE-C-Objekten fallen keine zusätzlichen Gebühren an. Einzelheiten zu den Replikationspreisen finden Sie unter [Amazon S3 – Preise](https://aws.amazon.com/s3/pricing/).
## Replizieren von mit SSE-S3, SSE-KMS oder DSSE-KMS verschlüsselten Objekten
Standardmäßig repliziert Amazon S3 keine Objekte, die mit SSE-KMS oder DSSE-KMS verschlüsselt sind. In diesem Abschnitt werden die zusätzlichen Konfigurationselemente erörtert, die Sie hinzufügen können, um Amazon S3 anzuweisen, diese Objekte zu replizieren.
Ein Beispiel mit step-by-step Anweisungen finden Sie unter. [Aktivieren der Replikation für verschlüsselte Objekte](#replication-walkthrough-4) Weitere Informationen zum Erstellen einer Replikationskonfiguration finden Sie unter [Replizieren von Objekten innerhalb und zwischen Regionen](replication.md).
### Angeben zusätzlicher Informationen in der Replikations-Konfiguration
In der Replikations-Konfiguration machen Sie Folgendes:
+ Fügen Sie in dem `Destination` Element in Ihrer Replikationskonfiguration die ID des symmetrischen, vom AWS KMS Kunden verwalteten Schlüssels hinzu, den Amazon S3 zur Verschlüsselung von Objektreplikaten verwenden soll, wie in der folgenden Beispiel-Replikationskonfiguration gezeigt.
+ Melden Sie sich ausdrücklich an, indem Sie die Replikation von Objekten aktivieren, die mit KMS-Schlüsseln (SSE-KMS oder DSSE-KMS) verschlüsselt wurden. Fügen Sie dazu das `SourceSelectionCriteria`-Element hinzu, wie im folgenden Beispiel einer Replikationskonfiguration dargestellt.
```
...
Enabled
...
AWS KMS key ARN or Key Alias ARN that's in the same AWS-Region as the destination bucket.
...
```
**Wichtig**
Der KMS-Schlüssel muss im selben Ordner AWS-Region wie der Ziel-Bucket erstellt worden sein.
Der KMS-Schlüssel *muss* gültig sein. Die `PutBucketReplication`-API-Operation überprüft nicht die Gültigkeit von KMS-Schlüsseln. Wenn Sie einen ungültigen KMS-Schlüssel verwenden, erhalten Sie als Antwort den HTTP-`200 OK`-Statuscode, aber die Replikation schlägt fehl.
Das folgende Beispiel zeigt eine Replikationskonfiguration, die optionale Konfigurationselemente enthält. Diese Replikations-Konfiguration weist eine Regel auf. Die Regel wird auf alle Objekte mit dem Schlüsselpräfix `Tax` angewendet. Amazon S3 verwendet die angegebene AWS KMS key ID, um diese Objektreplikate zu verschlüsseln.
```
arn:aws:iam::account-id:role/role-name
Rule-1
1
Enabled
Disabled
Tax
arn:aws:s3:::amzn-s3-demo-destination-bucket
AWS KMS key ARN or Key Alias ARN that's in the same AWS-Region as the destination bucket.
Enabled
```
### Erteilen zusätzlicher Berechtigungen für die IAM-Rolle
Um Objekte zu replizieren, die im Ruhezustand mithilfe von SSE-S3, SSE-KMS oder DSSE-KMS verschlüsselt wurden, gewähren Sie der AWS Identity and Access Management (IAM-) Rolle, die Sie in der Replikationskonfiguration angeben, die folgenden zusätzlichen Berechtigungen. Sie erteilen diese Berechtigungen, indem Sie die mit der IAM-Rolle verknüpfte Berechtigungsrichtlinie aktualisieren.
+ **`s3:GetObjectVersionForReplication`-Aktion für Quellobjekte** – Diese Aktion ermöglicht Amazon S3, sowohl unverschlüsselte Objekte als auch Objekte, die mit serverseitiger Verschlüsselung mit SSE-S3, SSE-KMS oder DSSE-KMS erstellt wurden, zu replizieren.
**Anmerkung**
Wir empfehlen, dass Sie die Aktion `s3:GetObjectVersionForReplication` statt der Aktion `s3:GetObjectVersion` verwenden, da `s3:GetObjectVersionForReplication` Amazon S3 nur die minimalen Berechtigungen bereitstellt, die für eine Replikation nötig sind. Darüber hinaus ermöglicht die Aktion `s3:GetObjectVersion` die Replikation von unverschlüsselten und über SSE-S3 verschlüsselten Objekten, nicht aber von Objekten, die mit KMS-Schlüsseln (SSE-KMS oder DSSE-KMS) verschlüsselt wurden.
+ **`kms:Decrypt``kms:Encrypt` AWS KMS und Aktionen für die KMS-Schlüssel**
+ Sie müssen `kms:Decrypt`-Berechtigungen für den AWS KMS key gewähren, der zum Entschlüsseln des Quellobjekts verwendet wird.
+ Sie müssen `kms:Encrypt`-Berechtigungen für den AWS KMS key gewähren, der zum Verschlüsseln des Objektreplikats verwendet wird.
+ **`kms:GenerateDataKey`-Aktion zur Replikation von Klartextobjekten** – Wenn Sie Klartextobjekte in einen Bucket replizieren, für den die SSE-KMS- oder DSSE-KMS-Verschlüsselung standardmäßig aktiviert ist, müssen Sie die `kms:GenerateDataKey`-Berechtigung für den Zielverschlüsselungskontext und den KMS-Schlüssel zur IAM-Richtlinie hinzufügen.
**Wichtig**
Wenn Sie S3 Batch Replication verwenden, um Datensätze regionsübergreifend zu replizieren und der serverseitige Verschlüsselungstyp Ihrer Objekte zuvor von SSE-S3 auf SSE-KMS aktualisiert wurde, benötigen Sie möglicherweise zusätzliche Berechtigungen. Für den Bucket der Quellregion benötigen Sie Berechtigungen. `kms:decrypt` Anschließend benötigen Sie die `kms:encrypt` Berechtigungen `kms:decrypt` und für den Bucket in der Zielregion.
Wir empfehlen, diese Berechtigungen mithilfe von AWS KMS Bedingungsschlüsseln nur auf die Ziel-Buckets und -Objekte zu beschränken. Derjenige AWS-Konto , dem die IAM-Rolle gehört, muss über Berechtigungen für die `kms:Encrypt` und `kms:Decrypt` Aktionen für die KMS-Schlüssel verfügen, die in der Richtlinie aufgeführt sind. Wenn die KMS-Schlüssel einer anderen Person gehören AWS-Konto, muss der Besitzer der KMS-Schlüssel diese Berechtigungen demjenigen gewähren AWS-Konto , dem die IAM-Rolle gehört. Weitere Informationen zur Verwaltung des Zugriffs auf diese KMS-Schlüssel finden Sie unter [Verwenden von IAM-Richtlinien mit AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) im * AWS Key Management Service Entwicklerhandbuch*.
### S3 Bucket-Schlüssel und Replikation
Um die Replikation mit einem S3-Bucket-Schlüssel zu verwenden, muss die AWS KMS key Richtlinie für den KMS-Schlüssel, der zum Verschlüsseln des Objektreplikats verwendet wird, die `kms:Decrypt` Berechtigung für den aufrufenden Prinzipal enthalten. Der Aufruf zur `kms:Decrypt` Überprüfung der Integrität des S3-Bucket-Schlüssels, bevor er verwendet wird. Weitere Informationen finden Sie unter [Verwenden eines S3-Bucket-Schlüssels mit Replikation](bucket-key.md#bucket-key-replication).
Wenn ein S3-Bucket-Schlüssel für den Quell- oder Ziel-Bucket aktiviert ist, ist der Verschlüsselungskontext der Amazon-Ressourcenname (ARN) des Buckets, nicht der Objekt-ARN (z. B. `arn:aws:s3:::bucket_ARN`). Sie müssen Ihre IAM-Richtlinien aktualisieren, um den Bucket-ARN für den Verschlüsselungskontext verwenden zu können:
```
"kms:EncryptionContext:aws:s3:arn": [
"arn:aws:s3:::bucket_ARN"
]
```
Weitere Informationen finden Sie unter [Verschlüsselungskontext (`x-amz-server-side-encryption-context`)](specifying-kms-encryption.md#s3-kms-encryption-context) (im Abschnitt „Verwenden der REST-API“ und unter [Änderungen, die Sie vor dem Aktivieren eines S3-Bucket-Schlüssels beachten sollten](bucket-key.md#bucket-key-changes).
### Beispielrichtlinien: Verwenden von SSE-S3 und SSE-KMS bei der Replikation
Die folgenden IAM-Beispielrichtlinien zeigen Anweisungen für die Verwendung von SSE-S3 und SSE-KMS bei der Replikation.
**Example – Verwenden von SSE-KMS mit separaten Ziel-Buckets**
Die folgende Beispielrichtlinie zeigt Anweisungen zur Verwendung von SSE-KMS mit separaten Ziel-Buckets.
**Example – Replizieren von mit SSE-S3 und SSE-KMS erstellten Objekten**
Im Folgenden sehen Sie eine vollständige IAM-Richtlinie, die die erforderlichen Berechtigungen zum Replizieren von unverschlüsselten Objekten, Objekten, die mit SSE-S3 erstellt wurden, und Objekten, die mit SSE-KMS erstellt wurden, gewährt.
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:GetReplicationConfiguration",
"s3:ListBucket"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-source-bucket"
]
},
{
"Effect":"Allow",
"Action":[
"s3:GetObjectVersionForReplication",
"s3:GetObjectVersionAcl"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-source-bucket/key-prefix1*"
]
},
{
"Effect":"Allow",
"Action":[
"s3:ReplicateObject",
"s3:ReplicateDelete"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/key-prefix1*"
},
{
"Action":[
"kms:Decrypt"
],
"Effect":"Allow",
"Condition":{
"StringLike":{
"kms:ViaService":"s3.us-east-1.amazonaws.com",
"kms:EncryptionContext:aws:s3:arn":[
"arn:aws:s3:::amzn-s3-demo-source-bucket/key-prefix1*"
]
}
},
"Resource":[
"arn:aws:kms:us-east-1:111122223333:key/key-id"
]
},
{
"Action":[
"kms:Encrypt"
],
"Effect":"Allow",
"Condition":{
"StringLike":{
"kms:ViaService":"s3.us-east-1.amazonaws.com",
"kms:EncryptionContext:aws:s3:arn":[
"arn:aws:s3:::amzn-s3-demo-destination-bucket/prefix1*"
]
}
},
"Resource":[
"arn:aws:kms:us-east-1:111122223333:key/key-id"
]
}
]
}
```
**Example – Replizieren von Objekten mit S3-Bucket-Schlüsseln**
Im Folgenden sehen Sie eine vollständige IAM-Richtlinie, die die erforderlichen Berechtigungen zum Replizieren von Objekten mit S3-Bucket-Schlüsseln gewährt.
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:GetReplicationConfiguration",
"s3:ListBucket"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-source-bucket"
]
},
{
"Effect":"Allow",
"Action":[
"s3:GetObjectVersionForReplication",
"s3:GetObjectVersionAcl"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-source-bucket/key-prefix1*"
]
},
{
"Effect":"Allow",
"Action":[
"s3:ReplicateObject",
"s3:ReplicateDelete"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/key-prefix1*"
},
{
"Action":[
"kms:Decrypt"
],
"Effect":"Allow",
"Condition":{
"StringLike":{
"kms:ViaService":"s3.us-east-1.amazonaws.com",
"kms:EncryptionContext:aws:s3:arn":[
"arn:aws:s3:::amzn-s3-demo-source-bucket"
]
}
},
"Resource":[
"arn:aws:kms:us-east-1:111122223333:key/key-id"
]
},
{
"Action":[
"kms:Encrypt"
],
"Effect":"Allow",
"Condition":{
"StringLike":{
"kms:ViaService":"s3.us-east-1.amazonaws.com",
"kms:EncryptionContext:aws:s3:arn":[
"arn:aws:s3:::amzn-s3-demo-destination-bucket"
]
}
},
"Resource":[
"arn:aws:kms:us-east-1:111122223333:key/key-id"
]
}
]
}
```
### Erteilen von zusätzlichen Berechtigungen für kontenübergreifende Szenarien
In einem kontoübergreifenden Szenario, in dem die Quell- und Ziel-Buckets unterschiedlichen Besitzern gehören, können Sie einen KMS-Schlüssel verwenden AWS-Konten, um Objektreplikate zu verschlüsseln. Der KMS-Schlüssel-Besitzer muss dem Besitzer des Quell-Buckets jedoch die Berechtigung erteilen, den KMS-Schlüssel zu verwenden.
**Anmerkung**
Wenn Sie SSE-KMS-Daten kontenübergreifend replizieren müssen, muss Ihre Replikationsregel einen vom [Kunden](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) verwalteten Schlüssel für das Zielkonto angeben. AWS KMS [Von AWS verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)erlauben keine kontoübergreifende Verwendung und können daher nicht für die kontenübergreifende Replikation verwendet werden.
**So erteilen Sie dem Quell-Bucket-Eigentümer die Berechtigung zur Verwendung des KMS-Schlüssels (AWS KMS -Konsole)**
1. [Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS KMS Konsole unter https://console.aws.amazon.com /kms.](https://console.aws.amazon.com/kms)
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Zum Anzeigen der Schlüssel in Ihrem Konto, die Sie erstellen und verwalten, wählen Sie im Navigationsbereich **Customer managed keys (Vom Kunden verwaltete Schlüssel)** aus.
1. Wählen Sie den KMS-Schlüssel aus.
1. Wählen Sie unter **Allgemeine Konfiguration** den Tab **Schlüsselrichtlinie** aus.
1. **Scrollen Sie nach unten zu Andere. AWS-Konten**
1. Wählen **Sie Andere hinzufügen AWS-Konten**.
Daraufhin wird das Dialogfeld **Other AWS-Konten** (Andere AWS-Konten) angezeigt.
1. Wählen Sie im Dialogfeld **Weitere hinzufügen** aus AWS-Konto. Geben Sie für **arn:aws:iam::** die Konto-ID des Quell-Buckets ein.
1. Wählen Sie **Änderungen speichern** aus.
**So erteilen Sie dem Quell-Bucket-Eigentümer die Berechtigung zur Verwendung des KMS-Schlüssels (AWS CLI)**
+ Informationen zum Befehl `put-key-policy` AWS Command Line Interface (AWS CLI) finden Sie [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)in der * AWS CLI Befehlsreferenz*. Weitere Informationen über die zugrundeliegende `PutKeyPolicy`-API-Operation finden Sie unter [https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) in der [AWS Key Management Service -API-Referenz](https://docs.aws.amazon.com/kms/latest/APIReference/).
### AWS KMS Überlegungen zu Transaktionsquoten
Wenn Sie nach der Aktivierung der regionsübergreifenden Replikation (CRR) viele neue Objekte mit AWS KMS Verschlüsselung hinzufügen, kann es zu Drosselungen (HTTP-Fehler) kommen. `503 Service Unavailable` Die Drosselung erfolgt, wenn die Anzahl an AWS KMS -Transaktionen pro Sekunde das aktuelle Kontingent überschreitet. Weitere Informationen finden Sie unter [Kontingente](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html) im *AWS Key Management Service -Entwicklerhandbuch*.
Zum Anfordern einer Erhöhung für ein Kontingent verwenden Sie Service-Quotas verwenden. Weitere Informationen finden Sie unter [Anfordern einer Kontingenterhöhung](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html). Wenn Service Quotas in Ihrer Region nicht unterstützt werden, [öffnen Sie einen AWS Support Fall](https://console.aws.amazon.com/support/home#/).
## Aktivieren der Replikation für verschlüsselte Objekte
Standardmäßig repliziert Amazon S3 keine Objekte, die mit serverseitiger Verschlüsselung mit () -Schlüsseln AWS Key Management Service (SSE-KMS AWS KMS) oder zweischichtiger serverseitiger Verschlüsselung mit Schlüsseln (DSSE-KMS) verschlüsselt wurden. AWS KMS Um mit SSE-KMS oder DSSE-KMS verschlüsselte Objekte zu replizieren, müssen Sie die Bucket-Replikationskonfiguration ändern und weisen damit Amazon S3 an, diese Objekte zu replizieren. In diesem Beispiel wird erklärt, wie Sie die Amazon S3 S3-Konsole und die AWS Command Line Interface (AWS CLI) verwenden, um die Bucket-Replikationskonfiguration zu ändern, um die Replikation verschlüsselter Objekte zu ermöglichen.
**Anmerkung**
Wenn ein S3-Bucket-Schlüssel für den Quell- oder Ziel-Bucket aktiviert ist, ist der Verschlüsselungskontext der Amazon-Ressourcenname (ARN) des Buckets, nicht der Objekt-ARN. Sie müssen Ihre IAM-Richtlinien aktualisieren, um den Bucket-ARN für den Verschlüsselungskontext verwenden zu können. Weitere Informationen finden Sie unter [S3 Bucket-Schlüssel und Replikation](#bk-replication).
**Anmerkung**
Sie können Multiregion AWS KMS keys in Amazon S3 verwenden. Amazon S3 behandelt jedoch derzeit Multi-Regions-Schlüssel wie Einzel-Regions-Schlüssel und verwendet nicht die Multi-Regions-Funktionen des Schlüssels. Weitere Informationen finden Sie unter [Verwenden von multiregionalen Schlüsseln)](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) im *AWS Key Management Service -Entwicklerhandbuch*.
### Verwenden der S3-Konsole
step-by-stepAnweisungen finden Sie unter[Konfigurieren einer Replikation für Buckets im selben Konto](replication-walkthrough1.md). Dieses Thema enthält Anweisungen zum Einrichten einer Replikationskonfiguration, wenn Quell- und Ziel-Buckets denselben und unterschiedlichen AWS-Konten Besitzern gehören.
### Verwenden von AWS CLI
Um verschlüsselte Objekte mit dem zu replizieren AWS CLI, gehen Sie wie folgt vor:
+ Erstellen Sie Quell- und Ziel-Buckets und aktivieren Sie die Versionsverwaltung für diese Buckets.
+ Erstellen Sie eine AWS Identity and Access Management (IAM) -Servicerolle, die Amazon S3 die Berechtigung erteilt, Objekte zu replizieren. Zu den Berechtigungen für die IAM-Rolle gehören die, die zum Replizieren der verschlüsselten Objekte notwendig sind.
+ Fügen Sie eine Replikationskonfiguration zum Quell-Bucket hinzu. Die Replikationskonfiguration stellt Informationen zur Replizierung von Objekten bereit, die mit KMS-Schlüsseln verschlüsselt wurden.
+ Fügen Sie verschlüsselte Objekte zum Quell-Bucket hinzu.
+ Testen Sie die Einrichtung, um sicherzustellen, dass Ihre verschlüsselten Objekte in den Ziel-Bucket repliziert werden.
Die folgenden Verfahren führen Sie durch diesen Prozess.
**Replizieren Sie serverseitig verschlüsselte Objekte (AWS CLI) wie folgt:**
Die Beispiele in diesem Verfahren können Sie verwenden, indem Sie die `user input placeholders` durch Ihre eigenen Informationen ersetzen.
1. In diesem Beispiel erstellen Sie den Quell-Bucket (*`amzn-s3-demo-source-bucket`*) und den Ziel-Bucket (*`amzn-s3-demo-destination-bucket`*) im selben AWS-Konto. Sie richten auch das Anmeldeinformationsprofil für die AWS CLI ein. Dieses Beispiel verwendet den Profilnamen `acctA`.
Informationen zum Einrichten der Anmeldeinformations-Profile und der Verwendung benannter Profile finden Sie unter [Einstellungen der Konfigurations- und Anmeldeinformationsdatei](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) im *Benutzerhandbuch zur AWS Command Line Interface *.
1. Verwenden Sie die folgenden Befehle, um den `amzn-s3-demo-source-bucket`-Bucket zu erstellen und die Versionsverwaltung für diesen zu aktivieren. Mit den folgenden Beispielbefehlen wird der `amzn-s3-demo-source-bucket`-Bucket in der Region USA Ost (Nord-Virginia) (`us-east-1`) erstellt.
```
aws s3api create-bucket \
--bucket amzn-s3-demo-source-bucket \
--region us-east-1 \
--profile acctA
```
```
aws s3api put-bucket-versioning \
--bucket amzn-s3-demo-source-bucket \
--versioning-configuration Status=Enabled \
--profile acctA
```
1. Verwenden Sie die folgenden Befehle, um den `amzn-s3-demo-destination-bucket`-Bucket zu erstellen und die Versionsverwaltung für diesen zu aktivieren. Mit den folgenden Beispielbefehlen wird der `amzn-s3-demo-destination-bucket`-Bucket in der Region USA West (Oregon) (`us-west-2`) erstellt.
**Anmerkung**
Um eine Replikationskonfiguration einzurichten, wenn sich `amzn-s3-demo-source-bucket`- und `amzn-s3-demo-destination-bucket`-Bucket im selben AWS-Konto befinden, verwenden Sie dasselbe Profil. Dieses Beispiel verwendet `acctA`. Um die Replikation zu konfigurieren, wenn die Buckets unterschiedlichen Besitzern gehören AWS-Konten, geben Sie für jeden Bucket unterschiedliche Profile an.
```
aws s3api create-bucket \
--bucket amzn-s3-demo-destination-bucket \
--region us-west-2 \
--create-bucket-configuration LocationConstraint=us-west-2 \
--profile acctA
```
```
aws s3api put-bucket-versioning \
--bucket amzn-s3-demo-destination-bucket \
--versioning-configuration Status=Enabled \
--profile acctA
```
1. Als Nächstes erstellen Sie eine IAM-Servicerolle. Sie geben diese Rolle in der Replizierungskonfiguration an, die Sie später zum `amzn-s3-demo-source-bucket`-Bucket hinzufügen. Amazon S3 übernimmt diese Rolle, um Objekte in Ihrem Namen zu replizieren. Sie erstellen eine IAM-Rolle in zwei Schritten:
+ Erstellen Sie eine Servicerolle.
+ Fügen Sie eine Berechtigungsrichtlinie zur Rolle hinzu.
1. Um eine IAM-Servicerolle zu erstellen, gehen Sie wie folgt vor:
1. Kopieren Sie die folgende Vertrauensrichtlinie und speichern Sie sie in einer Datei mit dem Namen `s3-role-trust-policy-kmsobj.json` im aktuellen Verzeichnis auf Ihrem lokalen Computer. Diese Richtlinie erteilt dem Amazon-S3-Service Prinzipal-Berechtigungen zum Übernehmen der Rolle, damit Amazon S3 Aufgaben in Ihrem Namen durchführen kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"s3.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
1. Verwenden Sie den folgenden Befehl, um die Rolle zu erstellen:
```
$ aws iam create-role \
--role-name replicationRolekmsobj \
--assume-role-policy-document file://s3-role-trust-policy-kmsobj.json \
--profile acctA
```
1. Als Nächstes fügen Sie eine Berechtigungsrichtlinie zur Rolle hinzu. Diese Zugriffsrichtlinie erteilt Berechtigungen für verschiedene Amazon-S3-Bucket- und -Objektaktionen.
1. Kopieren Sie die folgende Berechtigungsrichtlinie und speichern Sie sie in einer Datei mit dem Namen `s3-role-permissions-policykmsobj.json` im aktuellen Verzeichnis auf Ihrem lokalen Computer. Sie werden eine IAM-Rolle erstellen und fügen ihr später die Richtlinie an.
**Wichtig**
In der Berechtigungsrichtlinie geben Sie den AWS KMS Schlüssel an IDs , der für die Verschlüsselung der `amzn-s3-demo-destination-bucket` Buckets `amzn-s3-demo-source-bucket` und verwendet wird. Sie müssen zwei separate KMS-Schlüssel für die `amzn-s3-demo-destination-bucket` Buckets `amzn-s3-demo-source-bucket` und erstellen. AWS KMS keys werden nicht außerhalb des Bereichs geteilt, AWS-Region in dem sie erstellt wurden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action":[
"s3:ListBucket",
"s3:GetReplicationConfiguration",
"s3:GetObjectVersionForReplication",
"s3:GetObjectVersionAcl",
"s3:GetObjectVersionTagging"
],
"Effect":"Allow",
"Resource":[
"arn:aws:s3:::amzn-s3-demo-source-bucket",
"arn:aws:s3:::amzn-s3-demo-source-bucket/*"
]
},
{
"Action":[
"s3:ReplicateObject",
"s3:ReplicateDelete",
"s3:ReplicateTags"
],
"Effect":"Allow",
"Condition":{
"StringLikeIfExists":{
"s3:x-amz-server-side-encryption":[
"aws:kms",
"AES256",
"aws:kms:dsse"
],
"s3:x-amz-server-side-encryption-aws-kms-key-id":[
"AWS KMS key IDs(in ARN format) to use for encrypting object replicas"
]
}
},
"Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
},
{
"Action":[
"kms:Decrypt"
],
"Effect":"Allow",
"Condition":{
"StringLike":{
"kms:ViaService":"s3.us-east-1.amazonaws.com",
"kms:EncryptionContext:aws:s3:arn":[
"arn:aws:s3:::amzn-s3-demo-source-bucket/*"
]
}
},
"Resource":[
"arn:aws:kms:us-east-1:111122223333:key/key-id"
]
},
{
"Action":[
"kms:Encrypt"
],
"Effect":"Allow",
"Condition":{
"StringLike":{
"kms:ViaService":"s3.us-west-2.amazonaws.com",
"kms:EncryptionContext:aws:s3:arn":[
"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
]
}
},
"Resource":[
"arn:aws:kms:us-west-2:111122223333:key/key-id"
]
}
]
}
```
------
1. Erstellen Sie eine Richtlinie und hängen Sie sie an die Rolle an.
```
$ aws iam put-role-policy \
--role-name replicationRolekmsobj \
--policy-document file://s3-role-permissions-policykmsobj.json \
--policy-name replicationRolechangeownerPolicy \
--profile acctA
```
1. Als Nächstes fügen Sie die folgende Replikationskonfiguration zum `amzn-s3-demo-source-bucket`-Bucket hinzu. Sie weist Amazon S3 an, Objekte mit dem Präfix `Tax/` in den `amzn-s3-demo-destination-bucket`-Bucket zu replizieren.
**Wichtig**
In der Replikationskonfiguration legen Sie die IAM-Rolle fest, die Amazon S3 annehmen kann. Dies können Sie nur tun, wenn Sie über die `iam:PassRole`-Berechtigung verfügen. Das Profil, das Sie im CLI-Befehl angeben, muss über diese Berechtigung verfügen. Weitere Informationen finden Sie unter [Erteilen von Berechtigungen, mit denen ein Benutzer eine Rolle an einen AWS-Serviceübergeben kann](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) im *IAM-Benutzerhandbuch*.
```
IAM-Role-ARN
1
Disabled
Tax
Enabled
Enabled
arn:aws:s3:::amzn-s3-demo-destination-bucket
AWS KMS key IDs to use for encrypting object replicas
```
Um eine Replikationskonfiguration zum `amzn-s3-demo-source-bucket`-Bucket hinzuzufügen, gehen Sie wie folgt vor:
1. AWS CLI Dazu müssen Sie die Replikationskonfiguration als JSON angeben. Speichern Sie den folgenden JSON-Code in einer Datei (`replication.json`) im aktuellen Verzeichnis auf Ihrem lokalen Computer.
```
{
"Role":"IAM-Role-ARN",
"Rules":[
{
"Status":"Enabled",
"Priority":1,
"DeleteMarkerReplication":{
"Status":"Disabled"
},
"Filter":{
"Prefix":"Tax"
},
"Destination":{
"Bucket":"arn:aws:s3:::amzn-s3-demo-destination-bucket",
"EncryptionConfiguration":{
"ReplicaKmsKeyID":"AWS KMS key IDs (in ARN format) to use for encrypting object replicas"
}
},
"SourceSelectionCriteria":{
"SseKmsEncryptedObjects":{
"Status":"Enabled"
}
}
}
]
}
```
1. Bearbeiten Sie den JSON-Code, um Werte für den `amzn-s3-demo-destination-bucket`-Bucket, die `AWS KMS key IDs (in ARN format)` und den `IAM-role-ARN` anzugeben. Speichern Sie die Änderungen.
1. Verwenden Sie den folgenden Befehl, um die Replikationskonfiguration zu Ihrem `amzn-s3-demo-source-bucket`-Bucket hinzuzufügen. Stellen Sie sicher, dass Sie den Namen für den `amzn-s3-demo-source-bucket`-Bucket angeben.
```
$ aws s3api put-bucket-replication \
--replication-configuration file://replication.json \
--bucket amzn-s3-demo-source-bucket \
--profile acctA
```
1. Testen Sie die Konfiguration, um zu überprüfen, ob die verschlüsselten Objekte repliziert werden. Führen Sie in der Amazon-S3-Konsole die folgenden Schritte aus:
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Erstellen Sie im `amzn-s3-demo-source-bucket`-Bucket einen Ordner mit dem Namen `Tax`.
1. Fügen Sie Beispielobjekte zum Ordner hinzu. Stellen Sie sicher, dass Sie die Verschlüsselungsoption wählen und Ihren KMS-Schlüssel angeben, um die Objekte zu verschlüsseln.
1. Vergewissern Sie sich, dass der `amzn-s3-demo-destination-bucket`-Bucket die Objektreplikate enthält und dass sie mithilfe des KMS-Schlüssels verschlüsselt sind, den Sie in der Konfiguration angegeben haben. Weitere Informationen finden Sie unter [Abrufen von Replikationsstatusinformationen](replication-status.md).
### Verwenden Sie den AWS SDKs
Ein Code-Beispiel, das zeigt, wie eine Replikationskonfiguration hinzugefügt wird, finden Sie unter [Verwenden Sie den AWS SDKs](replication-walkthrough1.md#replication-ex1-sdk). Sie müssen die Replikationskonfiguration entsprechend ändern.
# Replizieren von Metadatenänderungen mit der Synchronisierung von Replikatänderungen
Amazon S3 Replica Modification Sync kann Ihnen dabei helfen, Objektmetadaten wie Tags, Zugriffskontrolllisten (ACLs) und Object Lock-Einstellungen zwischen Replikaten und Quellobjekten replizieren zu lassen. Standardmäßig repliziert Amazon S3 Metadaten aus den Quellobjekten nur auf die Replikate. Wenn die Synchronisierung von Replikatänderungen aktiviert ist, repliziert Amazon S3 Metadatenänderungen an den Replikatkopien zurück auf das Quellobjekt, sodass die Replikation bidirektional erfolgt.
## Aktivieren der Synchronisierung von Replikatänderungen
Sie können die Synchronisierung von Amazon-S3-Replikatänderungen mit neuen oder vorhandenen Replikationsregeln verwenden. Sie können sie auf einen gesamten Bucket oder auf Objekte anwenden, die ein bestimmtes Präfix haben.
Informationen zum Aktivieren der Synchronisierung von Replikatänderungen über die Amazon-S3-Konsole finden Sie unter [Beispiele für die Konfiguration einer Live-Replikation](replication-example-walkthroughs.md). Dieses Thema enthält Anweisungen zur Aktivierung der Synchronisierung von Replikatänderungen in Ihrer Replikationskonfiguration, wenn die Quell- und Ziel-Buckets demselben oder verschiedenen gehören. AWS-Konten
Um die Synchronisierung von Replikatänderungen mithilfe von AWS Command Line Interface (AWS CLI) zu aktivieren, müssen Sie dem Bucket, der die Replikate enthält, eine Replikationskonfiguration hinzufügen, wenn diese Option aktiviert ist. `ReplicaModifications` Um eine bidirektionale Replikation einzurichten, erstellen Sie eine Replikationsregel vom Quell-Bucket (`amzn-s3-demo-source-bucket`) zu dem Bucket, der die Replikate enthält (`amzn-s3-demo-destination-bucket`). Erstellen Sie dann eine zweite Replikationsregel von dem Bucket, der die Replikate enthält (`amzn-s3-demo-destination-bucket`), zum Quell-Bucket (`amzn-s3-demo-source-bucket`). Die Quell- und Ziel-Buckets können sich im selben oder in unterschiedlichen Buckets befinden. AWS-Regionen
**Anmerkung**
Sie müssen die Replikatänderungssynchronisierung sowohl für den Quell- als auch für den Ziel-Bucket aktivieren, um Änderungen an den Replikatmetadaten wie Objektzugriffskontrolllisten (ACLs), Objekttags oder Objektsperreinstellungen für die replizierten Objekte zu replizieren. Wie alle Replikationsregeln können Sie diese Regeln entweder auf den gesamten Bucket oder auf eine nach Präfix oder Objektmarkierung gefilterte Teilmenge von Objekten anwenden.
In der folgenden Beispielkonfiguration repliziert Amazon S3 Metadatenänderungen unter dem Präfix `Tax` auf den Bucket `amzn-s3-demo-source-bucket`, der die Quellobjekte enthält.
```
{
"Rules": [
{
"Status": "Enabled",
"Filter": {
"Prefix": "Tax"
},
"SourceSelectionCriteria": {
"ReplicaModifications":{
"Status": "Enabled"
}
},
"Destination": {
"Bucket": "arn:aws:s3:::amzn-s3-demo-source-bucket"
},
"Priority": 1
}
],
"Role": "IAM-Role-ARN"
}
```
Vollständige Anweisungen zum Erstellen von Replikationsregeln mithilfe von finden Sie unter. AWS CLI[Konfigurieren einer Replikation für Buckets im selben Konto](replication-walkthrough1.md)
# Replizieren von Löschmarkierungen auf Buckets
Wenn S3-Replikation aktiviert ist und ein Objekt im Quell-Bucket gelöscht wird, fügt Amazon S3 standardmäßig nur im Quell-Bucket eine Löschmarkierung hinzu. Diese Aktion trägt dazu bei, Daten in den Ziel-Buckets vor versehentlichem oder böswilligem Löschen zu schützen. Wenn Sie die *Replikation von Löschmarkierungen* aktiviert haben, werden diese Markierungen in die Ziel-Buckets kopiert und Amazon S3 verhält sich so, als sei das Objekt sowohl in den Quell- als auch in den Ziel-Buckets gelöscht worden. Weitere Informationen zur Funktionsweise von Löschmarkierungen finden Sie unter [Arbeiten mit Löschmarkierungen](DeleteMarker.md).
**Anmerkung**
Die Replikation von Löschmarkierungen wird für markierungsbasierte Replikationsregeln nicht unterstützt. Die Replikation von Löschmarkierungen erfüllt auch nicht das SLA (Service Level Agreement) von 15 Minuten, das gewährt wird, wenn Sie die Begrenzung der S3-Replikationszeit (S3 RTC) verwenden.
Wenn Sie nicht die neueste Version der Replikationskonfiguration-XML verwenden, wirken sich Löschvorgänge unterschiedlich auf die Replikation aus. Weitere Informationen finden Sie unter [Auswirkungen von Löschvorgängen auf die Replikation](replication-what-is-isnot-replicated.md#replication-delete-op).
Wenn Sie die Replikation von Löschmarkierungen aktivieren und Ihr Quell-Bucket über eine S3-Lebenszyklusablaufregel verfügt, werden die durch die S3-Lebenszyklusablaufregel hinzugefügten Löschmarkierungen nicht auf den Ziel-Bucket repliziert.
## Aktivieren der Replikation von Löschmarkierungen
Sie können die Replikation von Löschmarkierungen mit einer neuen oder einer vorhandenen Replikationsregel verwenden. Sie können die Replikation von Löschmarkierungen auf einen gesamten Bucket oder auf Objekte anwenden, die ein bestimmtes Präfix haben.
Informationen zum Aktivieren der Replikation von Löschmarkierungen mit der Amazon-S3-Konsole finden Sie unter [Verwenden der S3-Konsole](replication-walkthrough1.md#enable-replication). Dieses Thema enthält Anweisungen zur Aktivierung der Replikation mit Löschmarkern in Ihrer Replikationskonfiguration, wenn Quell- und Ziel-Buckets demselben oder unterschiedlichen AWS-Konten Eigentümer sind.
Um die Replikation mit Löschmarkern mithilfe von AWS Command Line Interface (AWS CLI) zu aktivieren, müssen Sie dem Quell-Bucket eine Replikationskonfiguration mit `DeleteMarkerReplication` aktivierter Option hinzufügen, wie in der folgenden Beispielkonfiguration gezeigt.
In der folgenden Beispielkonfiguration werden Löschmarkierungen für Objekte unter dem Präfix `Tax` auf den Ziel-Bucket `amzn-s3-demo-destination-bucket` repliziert.
```
{
"Rules": [
{
"Status": "Enabled",
"Filter": {
"Prefix": "Tax"
},
"DeleteMarkerReplication": {
"Status": "Enabled"
},
"Destination": {
"Bucket": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
},
"Priority": 1
}
],
"Role": "IAM-Role-ARN"
}
```
Vollständige Anweisungen zum Erstellen von Replikationsregeln mit dem AWS CLI finden Sie unter[Konfigurieren einer Replikation für Buckets im selben Konto](replication-walkthrough1.md).