Konfiguration der Replikation für Buckets in verschiedenen Konten - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration der Replikation für Buckets in verschiedenen Konten

Bei der Live-Replikation handelt es sich um das automatische, asynchrone Kopieren von Objekten zwischen Buckets in demselben oder unterschiedlichen Buckets. AWS-Regionen Bei der Live-Replikation werden neu erstellte Objekte und Objektaktualisierungen von einem Quell-Bucket in einen oder mehrere Ziel-Buckets kopiert. Weitere Informationen finden Sie unter Objekte innerhalb und zwischen Regionen replizieren.

Wenn Sie die Replikation konfigurieren, fügen Sie dem Quell-Bucket Replikationsregeln hinzu. Replikationsregeln definieren, welche Quell-Bucket-Objekte repliziert werden sollen, und den Ziel-Bucket/die Ziel-Buckets, in dem/denen die replizierten Objekte gespeichert werden sollen. Sie können eine Regel erstellen, um alle Objekte in einem Bucket oder eine Untermenge von Objekten mit einem spezifischen Schlüsselnamenpräfixen, einem oder mehreren Objekt-Markierungen oder beidem zu replizieren. Ein Ziel-Bucket kann sich im selben AWS-Konto wie der Quell-Bucket oder in einem anderen Konto befinden.

Wenn Sie angeben, dass eine Objektversions-ID gelöscht werden soll, löscht Amazon S3 diese Objektversion im Quell-Bucket. Es repliziert die Löschung aber nicht im Ziel-Bucket. Anders ausgedrückt: Dieselbe Objektversion wird im Ziel-Bucket nicht gelöscht. Dies schützt Daten vor missbräuchlichen Löschungen.

Wenn Sie einem Bucket eine Replikationsregel hinzufügen, ist diese standardmäßig aktiviert, sodass sie ausgeführt wird, sobald Sie sie speichern.

Das Einrichten der Live-Replikation, wenn Quell- und Ziel-Buckets unterschiedlichen Besitzern gehören, AWS-Konten ähnelt dem Einrichten der Replikation, wenn beide Buckets demselben Konto gehören. Es gibt jedoch mehrere Unterschiede, wenn Sie die Replikation in einem kontoübergreifenden Szenario konfigurieren:

  • Der Besitzer des Ziel-Buckets muss dem Besitzer des Quell-Buckets die Erlaubnis erteilen, Objekte in der Ziel-Bucket-Richtlinie zu replizieren.

  • Wenn Sie Objekte replizieren, die mit serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) verschlüsselt sind, muss der Besitzer des Schlüssels dem Besitzer des Quell-Buckets die Erlaubnis zur Verwendung des KMS Schlüssels erteilen. KMS Weitere Informationen finden Sie unter Erteilen von zusätzlichen Berechtigungen für kontenübergreifende Szenarien.

  • Standardmäßig gehören replizierte Objekte dem Besitzer des Quell-Buckets. In einem kontoübergreifenden Szenario möchten Sie die Replikation möglicherweise so konfigurieren, dass der Eigentümer der replizierten Objekte dem Besitzer des Ziel-Buckets zugewiesen wird. Weitere Informationen finden Sie unter Ändern des Replikat-Eigentümers.

Um die Replikation zu konfigurieren, wenn die Quell- und Ziel-Buckets unterschiedlichen Besitzern gehören AWS-Konten

  1. In diesem Beispiel erstellen Sie Quell- und Ziel-Buckets in zwei verschiedenen Buckets. AWS-Konten Sie müssen zwei Anmeldeinformationsprofile für eingerichtet haben. AWS CLI In diesem Beispiel werden acctA und acctB für diese Profilnamen verwendet. Informationen zum Einrichten von Anmeldeinformationsprofilen und zur Verwendung benannter Profile finden Sie im AWS Command Line Interface Benutzerhandbuch unter Konfiguration und Einstellungen für Anmeldeinformationsdateien.

  2. Folgen Sie den step-by-step Anweisungen unter Konfiguration der Replikation für Buckets im selben Konto mit den folgenden Änderungen:

    • Verwenden Sie für alle AWS CLI Befehle, die sich auf Aktivitäten im Quell-Bucket beziehen (z. B. das Erstellen des Quell-Buckets, das Aktivieren der Versionierung und das Erstellen der IAM Rolle), das acctA Profil. Verwenden Sie das acctB Profil, um den Ziel-Bucket zu erstellen.

    • Stellen Sie sicher, dass die Berechtigungsrichtlinie für die IAM Rolle die Quell- und Ziel-Buckets angibt, die Sie für dieses Beispiel erstellt haben.

  3. Fügen Sie in der Konsole die folgende Bucket-Richtlinie für den Ziel-Bucket hinzu, um dem Eigentümer des Quell-Buckets die Berechtigung zum Replizieren von Objekten zu erteilen. Detaillierte Anweisungen finden Sie unter Hinzufügen einer Bucket-Richtlinie mit der Amazon-S3-Konsole. Achten Sie darauf, die Richtlinie zu bearbeiten, indem Sie die AWS-Konto ID des Besitzers des Quell-Buckets, den IAM Rollennamen und den Ziel-Bucket-Namen angeben.

    Anmerkung

    Wenn Sie das folgende Beispiel verwenden möchten, ersetzen Sie die user input placeholders durch Ihre eigenen Informationen. Ersetzen Sie es amzn-s3-demo-destination-bucket durch den Namen Ihres Ziel-Buckets. Ersetzen Sie source-bucket-account-ID:role/service-role/source-account-IAM-role den IAM Amazon-Ressourcennamen (ARN) durch die IAM Rolle, die Sie für diese Replikationskonfiguration verwenden.

    Wenn Sie die IAM Servicerolle manuell erstellt haben, legen Sie den Rollenpfad im IAM ARN as festrole/service-role/, wie im folgenden Richtlinienbeispiel gezeigt. Weitere Informationen finden Sie IAMARNsim IAMBenutzerhandbuch. 

    {
   "Version":"2012-10-17",
   "Id":"",
   "Statement":[
      {
         "Sid":"Set-permissions-for-objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::source-bucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":["s3:ReplicateObject", "s3:ReplicateDelete"],
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
      },
      {
         "Sid":"Set permissions on bucket",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::source-bucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":["s3:GetBucketVersioning", "s3:PutBucketVersioning"],
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket"
      }
   ]
}

  4. (Optional) Wenn Sie Objekte replizieren, die mit SSE - verschlüsselt sindKMS, muss der Besitzer des KMS Schlüssels dem Besitzer des Quell-Buckets die Erlaubnis zur Verwendung des KMS Schlüssels erteilen. Weitere Informationen finden Sie unter Erteilen von zusätzlichen Berechtigungen für kontenübergreifende Szenarien.

  5. (Optional) Bei der Replikation ist der Besitzer des Quellobjekts standardmäßig Eigentümer des Replikats. Wenn Quell- und Ziel-Bucket unterschiedlichen Besitzern gehören AWS-Konten, können Sie optionale Konfigurationseinstellungen hinzufügen, um den Besitz des Replikats auf das zu übertragen AWS-Konto , dem die Ziel-Buckets gehören. Dazu gehört auch die Gewährung der ObjectOwnerOverrideToBucketOwner-Berechtigung. Weitere Informationen finden Sie unter Ändern des Replikat-Eigentümers.