Einen Amazon S3 S3-Bucket für Datenexporte einrichten - AWS Data Exports

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einen Amazon S3 S3-Bucket für Datenexporte einrichten

Sie müssen einen Amazon S3 S3-Bucket in Ihrem AWS Konto haben, um Ihre Datenexporte empfangen und speichern zu können. Wenn Sie einen Export in der Konsole erstellen, können Sie einen vorhandenen S3-Bucket auswählen, der Ihnen gehört, oder Sie können einen neuen Bucket erstellen. In beiden Fällen müssen Sie die Anwendung der folgenden standardmäßigen S3-Bucket-Richtlinie überprüfen und bestätigen. Wenn Sie diese Richtlinie in der Amazon S3 S3-Konsole bearbeiten oder den Besitzer des S3-Buckets ändern, nachdem Sie einen Export erstellt haben, wird verhindert, dass Data Exports Ihre Exporte bereitstellt. Das Speichern der Exportdaten in Ihrem S3-Bucket wird zu den Amazon S3 S3-Standardtarifen abgerechnet. Weitere Informationen finden Sie unter Kontingente und Einschränkungen.

Anmerkung

Das Konto, das den Export erstellt, muss auch Eigentümer des S3-Buckets sein, AWS an den die Exporte gesendet werden. Vermeiden Sie es, einen Export mit einem S3-Bucket zu konfigurieren, der einem anderen Konto gehört.

Die folgende Richtlinie wird bei der Erstellung eines Datenexports auf jeden S3-Bucket angewendet:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableAWSDataExportsToWriteToS3AndCheckPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "billingreports.amazonaws.com",
                    "bcm-data-exports.amazonaws.com"
                ]
            },
            "Action": [
                "s3:PutObject",
                "s3:GetBucketPolicy"
            ],
            "Resource": [
                "arn:aws:s3:::${bucket_name}/*",
                "arn:aws:s3:::${bucket_name}"
            ],
            "Condition": {
                "StringLike": {
                    "aws:SourceAccount": "${accountId}",
                    "aws:SourceArn": [
                        "arn:aws:cur:us-east-1:${accountId}:definition/*",
                        "arn:aws:bcm-data-exports:us-east-1:${accountId}:export/*"
                    ]
                }
            }
        }
    ]
}

Diese S3-Bucket-Richtlinie stellt sicher, dass Data Exports Exporte nur im Namen des Kontos, das den Export erstellt hat, an den S3-Bucket liefern kann. Außerdem kann Data Exports damit überprüfen, ob der S3-Bucket immer noch dem Konto gehört, das den Export erstellt hat.

  • Um Exporte in Ihren S3-Bucket zu liefern, AWS sind Schreibberechtigungen für diesen S3-Bucket erforderlich. Zu diesem Zweck erteilt die S3-Bucket-Richtlinie dem Data Exports-Service (bcm-data-exports.amazonaws.com) die Erlaubnis, (s3:PutObject) Berichte an den S3-Bucket zu senden, den Sie besitzen (arn:aws:s3:::<EXAMPLE-BUCKET>/*).

  • Jedes Mal, wenn Data Exports die Anforderung stellt, in den S3-Bucket zu schreiben, muss die Konto-ID des Kontos angegeben werden, das den Export erstellt hat. Die Bedingungsschlüssel aws:SourceArn und aws:SourceAccount erzwingen dies.

  • Diese S3-Bucket-Richtlinie gewährt keine AWS Berechtigungen zum Lesen oder Löschen von Objekten in Ihrem S3-Bucket, einschließlich der Kosten- und Nutzungsberichte, nachdem diese zugestellt wurden.

Für einen Amazon S3 S3-Bucket, für den die Zugriffskontrollliste (ACL) aktiviert ist, wendet Data Exports bei der Übermittlung eine BucketOwnerFullControl ACL auf die Berichte an. Standardmäßig können Amazon S3 S3-Objekte, wie diese Berichte, nur von dem Benutzer oder Service Principal gelesen werden, der sie geschrieben hat. Um Ihnen oder dem Besitzer des S3-Buckets die Erlaubnis zum Lesen der Berichte zu erteilen, AWS muss die BucketOwnerFullControl ACL angewendet werden. Die ACL erteilt dem Besitzer des S3-Buckets Permission.FullControl Zugriff auf diese Berichte. Es wird jedoch empfohlen, ACL zu deaktivieren und eine S3-Bucket-Richtlinie zur Zugriffskontrolle zu verwenden.

Anmerkung

Für neu erstellte S3-Buckets sind ACLs standardmäßig deaktiviert. Weitere Informationen finden Sie unter Steuern des Eigentums an Objekten und Deaktivieren von ACLs für Ihren Bucket.

Wenn auf der Konsolenseite für Datenexporte der Fehler Ungültiger Bucket angezeigt wird, vergewissern Sie sich, dass sich die Richtlinie und der Besitz des S3-Buckets seit der Einrichtung des Berichts nicht geändert haben.