Grundlegendes zu den in Amazon S3 gespeicherten Konfigurationen - AWS AppConfig
Konfiguration von Berechtigungen für eine als Amazon S3 S3-Objekt gespeicherte Konfiguration

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegendes zu den in Amazon S3 gespeicherten Konfigurationen

Sie können Konfigurationen in einem Amazon Simple Storage Service (Amazon S3) -Bucket speichern. Wenn Sie das Konfigurationsprofil erstellen, geben Sie das URI für ein einzelnes S3-Objekt in einem Bucket an. Sie geben auch den Amazon-Ressourcennamen (ARN) einer AWS Identity and Access Management (IAM) -Rolle an, die die AWS AppConfig Berechtigung zum Abrufen des Objekts erteilt. Bevor Sie ein Konfigurationsprofil für ein Amazon S3 S3-Objekt erstellen, sollten Sie die folgenden Einschränkungen beachten.

Einschränkung Details

Größe

Konfigurationen, die als S3-Objekte gespeichert werden, können maximal 1 MB groß sein.

Objekt-Verschlüsselung

Ein Konfigurationsprofil kann auf SSE -S3- und SSE KMS -verschlüsselte Objekte abzielen.

Speicherklassen

AWS AppConfig unterstützt die folgenden S3-Speicherklassen:STANDARD,INTELLIGENT_TIERING, REDUCED_REDUNDANCYSTANDARD_IA, undONEZONE_IA. Die folgenden Klassen werden nicht unterstützt: Alle S3-Glacier-Klassen (GLACIER und DEEP_ARCHIVE).

Versionsverwaltung

AWS AppConfig erfordert, dass das S3-Objekt Versionierung verwendet.

Konfiguration von Berechtigungen für eine als Amazon S3 S3-Objekt gespeicherte Konfiguration

Wenn Sie ein Konfigurationsprofil für eine als S3-Objekt gespeicherte Konfiguration erstellen, müssen Sie ARN für eine IAM Rolle eine Rolle angeben, die die AWS AppConfig Berechtigung zum Abrufen des Objekts erteilt. Die Rolle muss die folgenden Berechtigungen enthalten:

Berechtigungen für den Zugriff auf das S3-Objekt

  • s3: GetObject

  • s3: GetObjectVersion

Berechtigungen zum Auflisten von S3-Buckets

s3: ListAllMyBuckets

Berechtigungen für den Zugriff auf den S3-Bucket, in dem das Objekt gespeichert ist

  • s3: GetBucketLocation

  • s3: GetBucketVersioning

  • s3: ListBucket

  • s3: ListBucketVersions

Gehen Sie wie folgt vor, um eine Rolle zu erstellen, mit AWS AppConfig der eine in einem S3-Objekt gespeicherte Konfiguration abgerufen werden kann.

Erstellen der IAM Richtlinie für den Zugriff auf ein S3-Objekt

Gehen Sie wie folgt vor, um eine IAM Richtlinie zu erstellen, mit AWS AppConfig der eine in einem S3-Objekt gespeicherte Konfiguration abgerufen werden kann.

Um eine IAM Richtlinie für den Zugriff auf ein S3-Objekt zu erstellen

  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Policies (Richtlinien) und dann Create policy (Richtlinie erstellen).

  3. Wählen Sie auf der Seite „Richtlinie erstellen JSON“ die Registerkarte aus.

  4. Aktualisieren Sie die folgende Beispielrichtlinie mit Informationen zu Ihrem S3-Bucket und Konfigurationsobjekt. Fügen Sie dann die Richtlinie in das Textfeld auf der JSONRegisterkarte ein. Ersetzen Sie die placeholder values mit Ihren eigenen Informationen.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/my-configurations/my-configuration.json"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:GetBucketVersioning",
        "s3:ListBucketVersions",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "*"
    } 
  ]
}

  5. Wählen Sie Richtlinie prüfen.

  6. Geben Sie auf der Seite Review policy (Prüfungsrichtlinie) im Feld Name einen Namen und anschließend eine Beschreibung ein.

  7. Wählen Sie Create Policy (Richtlinie erstellen) aus. Das System leitet Sie zur Seite Roles (Rollen) zurück.

Die IAM Rolle für den Zugriff auf ein S3-Objekt erstellen

Gehen Sie wie folgt vor, um eine IAM Rolle zu erstellen, die es ermöglicht AWS AppConfig , eine in einem S3-Objekt gespeicherte Konfiguration abzurufen.

Um eine IAM Rolle für den Zugriff auf ein Amazon S3 S3-Objekt zu erstellen

  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Roles (Rollen) und dann Create role (Rolle erstellen).

  3. Wählen Sie im Abschnitt Typ der vertrauenswürdigen Entität auswählen die Option AWS Dienst aus.

  4. Wählen Sie im Abschnitt Einen Anwendungsfall auswählen unter Allgemeine Anwendungsfälle die Option EC2und anschließend Weiter: Berechtigungen aus.

  5. Geben Sie auf der Seite Attach permissions policy (Berechtigungsrichtlinie anfügen) im Suchfeld den Namen der Richtlinie ein, die Sie im vorherigen Verfahren erstellt haben.

  6. Wählen Sie diese Richtlinie aus und klicken Sie dann auf Next: Tags (Weiter: Tags).

  7. Geben Sie auf der Seite Tags hinzufügen (optional) einen Schlüssel und einen optionalen Wert ein und wählen Sie dann Weiter: Überprüfen aus.

  8. Geben Sie auf der Seite Review (Überprüfen) im Feld Role name (Rollenname) einen Namen und anschließend eine Beschreibung ein.

  9. Wählen Sie Create role (Rolle erstellen) aus. Das System leitet Sie zur Seite Roles (Rollen) zurück.

  10. Wählen Sie auf der Seite Roles (Rollen) die gerade erstellte Rolle aus, um die Seite Summary (Übersicht) zu öffnen. Notieren Sie sich den Rollennamen und die Rolle ARN. Sie werden die Rolle angebenARN, wenn Sie das Konfigurationsprofil später in diesem Thema erstellen.

Erstellen einer Vertrauensstellung

Gehen Sie wie folgt vor, um die Rolle, die Sie gerade erstellt haben, für AWS AppConfig als Vertrauensstellung zu konfigurieren.

So fügen Sie eine Vertrauensstellung hinzu:

  1. Wählen Sie auf der Seite Summary für die eben erstellte Rolle die Registerkarte Trust Relationships und wählen Sie dann Edit Trust Relationship.

  2. Löschen Sie "ec2.amazonaws.com" und fügen Sie "appconfig.amazonaws.com" hinzu, wie im folgenden Beispiel gezeigt.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "appconfig.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  3. Wählen Sie Update Trust Policy (Trust Policy aktualisieren).