Amazon S3 S3-Bucket-Richtlinie für AWS Compute Optimizer - AWS Compute Optimizer
Geben Sie einen vorhandenen Bucket für den Export Ihrer Empfehlungen anVerwenden Sie verschlüsselte S3-Buckets für den Export Ihrer EmpfehlungenWeitere Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon S3 S3-Bucket-Richtlinie für AWS Compute Optimizer

Sie können Ihre Compute Optimizer Optimizer-Empfehlungen in einen Amazon Simple Storage Service (Amazon S3) -Bucket exportieren. Ihre Empfehlungen werden als CSV Datei exportiert und die Metadaten werden als JSON Datei exportiert. Weitere Informationen finden Sie unter Empfehlungen exportieren.

Bevor Sie den Exportjob erstellen, müssen Sie zunächst den Ziel-S3-Bucket für den Export Ihrer Empfehlungen erstellen. Compute Optimizer erstellt den S3-Bucket nicht für Sie. Der S3-Bucket, den Sie für die Exportdateien Ihrer Empfehlungen angeben, darf nicht öffentlich zugänglich sein und kann auch nicht als Bucket für Anforderer konfiguriert werden. Als bewährte Sicherheitsmethode sollten Sie einen speziellen S3-Bucket für Compute Optimizer Optimizer-Exportdateien erstellen. Weitere Informationen finden Sie unter Wie erstelle ich einen S3-Bucket? im Amazon S3 S3-Konsolen-Benutzerhandbuch.

Geben Sie einen vorhandenen Bucket für den Export Ihrer Empfehlungen an

Nachdem Sie Ihren S3-Bucket erstellt haben, gehen Sie wie folgt vor, um dem S3-Bucket eine Richtlinie hinzuzufügen, die es Compute Optimizer ermöglicht, Exportdateien mit Empfehlungen in Ihren Bucket zu schreiben.

  1. Öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie den Bucket aus, in den Compute Optimizer Ihre Exportdateien liefern soll.

  3. Wählen Sie Permissions (Berechtigungen).

  4. Wählen Sie Bucket Policy aus.

  5. Kopieren Sie eine der folgenden Richtlinien und fügen Sie sie in das Textfeld Bucket Policy Editor ein.

  6. Ersetzen Sie den folgenden Platzhaltertext in der Richtlinie:

    • Ersetzen amzn-s3-demo-bucket mit dem Namen Ihres Buckets.

    • Ersetzen optionalPrefix mit dem optionalen Objektpräfix.

    • Ersetzen myRegion mit der Quelle AWS-Region.

    • Ersetzen myAccountID mit der Kontonummer des Anforderers des Exportauftrags.

  7. Nehmen Sie alle drei der folgenden Aussagen in die Richtlinie auf:

    1. Die erste Anweisung (für die GetBucketAcl Aktion) ermöglicht Compute Optimizer, die Zugriffskontrollliste (ACL) Ihres Buckets abzurufen.

    2. Die zweite Anweisung (für die GetBucketPolicyStatus Aktion) ermöglicht Compute Optimizer, den Richtlinienstatus Ihres Buckets abzurufen und anzugeben, ob der Bucket öffentlich ist.

    3. Die dritte Anweisung (für die PutObject Aktion) gibt Compute Optimizer die volle Kontrolle, um die Exportdatei in Ihren Bucket zu legen.

    Ihre Exportanforderung schlägt fehl, wenn eine dieser Anweisungen fehlt oder wenn der Bucket-Name und das optionale Objektpräfix in der Richtlinie nicht mit den Angaben in Ihrer Exportanfrage übereinstimmen. Ihr Export schlägt auch fehl, wenn die Kontonummer in der Richtlinie nicht mit der Kontonummer des Anforderers des Exportauftrags übereinstimmt.

    Anmerkung

    Wenn dem vorhandenen Bucket bereits eine oder mehrere Richtlinien angehängt sind, fügen Sie die Anweisungen für den Compute Optimizer Optimizer-Zugriff zu dieser Richtlinie oder diesen Richtlinien hinzu. Evaluieren Sie die resultierenden Berechtigungen, um sicherzustellen, dass sie für die Benutzer geeignet sind, die auf den Bucket zugreifen.

Richtlinienoption 1: Verwendung eines optionalen Präfixes

Das Objektpräfix ist eine optionale Ergänzung zum S3-Objektschlüssel, der Ihre Exportdateien in Ihrem S3-Bucket organisiert. Wenn Sie bei der Erstellung Ihres Empfehlungsexports ein Objektpräfix angeben möchten, verwenden Sie die folgende Richtlinie.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"Service": "compute-optimizer.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
        },
        {
            "Effect": "Allow",
            "Principal": {"Service": "compute-optimizer.amazonaws.com"},
            "Action": "s3:GetBucketPolicyStatus",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
        },
        {
            "Effect": "Allow",
            "Principal": {"Service": "compute-optimizer.amazonaws.com"},
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/optionalPrefix/compute-optimizer/myAccountID/*",
            "Condition": {"StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": "myAccountID"
                },
                "StringLike": {
                      "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*"
                 }
            }
         }
    ]
}
Anmerkung

Das Tool compute-optimizer/myAccountID/ Die Komponente ist nicht Teil des optionalen Präfixes. Compute Optimizer erstellt den optimizer/myAccountID/ Teil des Bucket-Pfads für Sie, der dem von Ihnen angegebenen Präfix hinzugefügt wird.

Richtlinienoption 2: Kein Objektpräfix

Wenn Sie kein Objektpräfix angeben möchten, verwenden Sie die folgende Richtlinie.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"Service": "compute-optimizer.amazonaws.com"},
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
        },
        {
            "Effect": "Allow",
            "Principal": {"Service": "compute-optimizer.amazonaws.com"},
            "Action": "s3:GetBucketPolicyStatus",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
        },
        {
            "Effect": "Allow",
            "Principal": {"Service": "compute-optimizer.amazonaws.com"},
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/compute-optimizer/myAccountID/*",
            "Condition": {"StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": "myAccountID"
                },
                "StringLike": {
                     "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*"
                 }
             }
         }
    ]
}

Verwenden Sie verschlüsselte S3-Buckets für den Export Ihrer Empfehlungen

Für das Ziel Ihrer Compute Optimizer Optimizer-Empfehlungsexporte können Sie S3-Buckets angeben, die entweder mit vom Kunden verwalteten Amazon S3 S3-Schlüsseln oder AWS Key Management Service (KMS) -Schlüsseln verschlüsselt sind.

Um einen S3-Bucket mit aktivierter AWS KMS Verschlüsselung zu verwenden, müssen Sie einen symmetrischen KMS Schlüssel erstellen. Symmetrische KMS Schlüssel sind die einzigen KMS Schlüssel, die Amazon S3 unterstützt. Anweisungen finden Sie unter Schlüssel erstellen im AWS KMS Entwicklerhandbuch. Nachdem Sie den KMS Schlüssel erstellt haben, wenden Sie ihn auf den S3-Bucket an, den Sie für den Export Ihrer Empfehlungen verwenden möchten. Weitere Informationen finden Sie unter Aktivieren der standardmäßigen Amazon S3 S3-Bucket-Verschlüsselung im Amazon Simple Storage Service-Benutzerhandbuch.

Gehen Sie wie folgt vor, um Compute Optimizer die erforderliche Berechtigung zur Verwendung Ihres KMS Schlüssels zu erteilen. Diese Berechtigung ist spezifisch für die Verschlüsselung der Exportdatei Ihrer Empfehlungen beim Speichern in Ihrem verschlüsselten S3-Bucket.

  1. Öffnen Sie die AWS KMS Konsole unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Wählen Sie im linken Navigationsmenü die Option Vom Kunden verwaltete Schlüssel aus.

    Anmerkung

    Empfehlungsexporte von Compute Optimizer sind für S3-Buckets, die mit AWS verwalteten Schlüsseln verschlüsselt sind, nicht zulässig.

  4. Wählen Sie den Namen des KMS Schlüssels, mit dem Sie den Export-S3-Bucket verschlüsselt haben.

  5. Wählen Sie die Registerkarte Schlüsselrichtlinie und dann Zur Richtlinienansicht wechseln aus.

  6. Wählen Sie Bearbeiten, um die wichtige Richtlinie zu bearbeiten.

  7. Kopieren Sie eine der folgenden Richtlinien und fügen Sie sie in den Abschnitt „Anweisungen“ der wichtigsten Richtlinie ein.

  8. Ersetzen Sie den folgenden Platzhaltertext in der Richtlinie:

    • Ersetzen myRegion mit der Quelle AWS-Region.

    • Ersetzen myAccountID mit der Kontonummer des Exportanforderers.

    Die GenerateDataKey Anweisung ermöglicht Compute Optimizer, den aufzurufen AWS KMS API, um den Datenschlüssel für die Verschlüsselung der Empfehlungsdateien abzurufen. Auf diese Weise kann das hochgeladene Datenformat die Bucket-Verschlüsselungseinstellung berücksichtigen. Andernfalls lehnt Amazon S3 die Exportanfrage ab.

    Anmerkung

    Wenn an den vorhandenen KMS Schlüssel bereits eine oder mehrere Richtlinien angehängt sind, fügen Sie die Anweisungen für den Compute Optimizer Optimizer-Zugriff zu diesen Richtlinien hinzu. Evaluieren Sie die resultierenden Berechtigungen, um sicherzustellen, dass sie für die Benutzer geeignet sind, die auf den KMS Schlüssel zugreifen.

Verwenden Sie die folgende Richtlinie, wenn Sie Amazon S3 S3-Bucket-Keys nicht aktiviert haben.

{
            "Sid": "Allow use of the key to Compute Optimizer",
            "Effect": "Allow",
            "Principal": {
                "Service": "compute-optimizer.amazonaws.com"
            },
            "Action": "kms:GenerateDataKey",
            "Resource": "*",
            "Condition": {"StringEquals": {
                    "aws:SourceAccount": "myAccountID"
                },
                "StringLike": {
                     "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*"
                 }
             }
        }

Verwenden Sie die folgende Richtlinie, wenn Sie Amazon S3 S3-Bucket-Keys aktiviert haben. Weitere Informationen finden Sie unter Senkung der Kosten von SSE — KMS mit Amazon S3 S3-Bucket Keys im Amazon Simple Storage Service-Benutzerhandbuch.

{
            "Sid": "Allow use of the key to Compute Optimizer",
            "Effect": "Allow",
            "Principal": {
                "Service": "compute-optimizer.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {"StringEquals": {
                    "aws:SourceAccount": "myAccountID"
                },
                "StringLike": {
                     "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*"
                 }
            }
        }

Weitere Ressourcen

Weitere Informationen zu S3-Buckets und -Richtlinien finden Sie im Benutzerhandbuch für Amazon Simple Storage Service.