Tutorial: Übertragung von Daten aus dem lokalen Speicher auf Amazon S3 in einer anderenAWS-Konto - AWS DataSync

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tutorial: Übertragung von Daten aus dem lokalen Speicher auf Amazon S3 in einer anderenAWS-Konto

Bei der VerwendungAWS DataSync mit lokalem Speicher kopieren Sie in der Regel Daten in einenAWS Speicherdienst, der zu demselben Dienst gehörtAWS-Konto wie IhrDataSync Agent. Es gibt jedoch Situationen, in denen Sie möglicherweise Daten in einen Amazon S3 S3-Bucket übertragen müssen, der mit einem anderen Konto verknüpft ist.

Wichtig

Das KopierenAWS-Konten von Daten mithilfe der Methoden in diesem Tutorial funktioniert nur, wenn Amazon S3 einer derDataSync Standorte ist.

Übersicht

In diesem Tutorial erfahren Sie, wieAWS Identity and Access Management (IAM) undAWS Command Line Interface (AWS CLI) Ihnen dabei helfen können,DataSync Aufgaben zu erstellen, die Daten aus einem lokalen Speicher in einen S3-Bucket in einem anderen Format übertragenAWS-Konto.

So kann ein solches Szenario aussehen:

  • Konto A: DasAWS-Konto, das Sie für die Verwaltung von Netzwerkressourcen verwenden. Der Endpunkt, mit dem Sie denDataSync Agenten aktivieren, gehört ebenfalls zu diesem Konto.

    Anmerkung

    Die Schritte in diesem Tutorial gelten für alle Arten von Endpunkten, mit denen Sie Ihren Agenten aktivieren.

  • Konto B: DerAWS-Konto für den S3-Bucket, in den Sie Daten kopieren.

Das folgende Diagramm veranschaulicht dieses Szenario.

EinDataSync Beispielszenario für die Übertragung von Daten aus einem lokalen Speichersystem über das Internet inAWS. Die Daten werden zuerst in einen BucketAWS-Konto (Konto A) übertragen, bevor sie schließlich in einen Amazon S3 S3-Bucket in einem anderenAWS-Konto (Konto B) übertragen werden.

Voraussetzungen

Bevor Sie mit den IAM-Arbeiten zur Erleichterung der kontoübergreifenden Übertragung beginnen, gehen Sie wie folgt vor, falls Sie dies noch nicht getan haben:

  1. Konfigurieren Sie Ihr Netzwerk so, dass Ihr lokales Speichersystem eine Verbindung herstellen kannAWS.

  2. Stellen Sie IhrenDataSync Agenten mit Konto A bereit und aktivieren Sie ihn.

  3. Erstellen Sie einenDataSync Quellspeicherort mit Konto A für das lokale Speichersystem, aus dem Sie Daten kopieren.

  4. Richten Sie denAWS CLI mit Konto A ein. Sie benötigen den,AWS CLI um denDataSync Zielort für den S3-Bucket in Konto B zu erstellen.

Schritt 1: ErstellenDataSync einer

Sie benötigen eine IAM-Rolle, dieDataSync Schreibberechtigungen für den S3-Bucket in Konto B erlauben.

Wenn Sie einen Standort für einen Bucket erstellen,DataSync kann er automatisch eine Rolle mit den richtigen Berechtigungen für den Zugriff auf diesen Bucket erstellen und übernehmen. Da Sie zwischen Konten wechseln, müssen Sie die Rolle manuell.

Weitere Informationen finden Sie unter Creating a role for anAWS-Service (console) im IAM-Benutzerhandbuch.

Erstellen der der IAM-Rolle

Erstellen Sie eine Rolle mitDataSync der vertrauenswürdigen Entität.

So erstellen Sie die IAM-Rolle
  1. Melden Sie sichAWS Management Console mit Konto A bei der an.

  2. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  3. Wählen Sie im linken Navigationsbereich unter Zugriffsverwaltung die Option Rollen und dann Rolle erstellen aus.

  4. Wählen Sie auf der Seite Vertrauenswürdige Entität auswählen für Vertrauenswürdige Entitätstyp die Option AWS-Service.

  5. Wählen Sie DataSyncin der Dropdown-Liste unter Anwendungsfall die Option aus und wählen Sie aus DataSync. Wählen Sie Next (Weiter).

  6. Wählen Sie auf der Seite Add permissions (Berechtigungen hinzufügen) die Option Next (Weiter) aus.

  7. Geben Sie Ihrer Rolle einen Namen und wählen Sie Rolle erstellen.

Fügen einer der IAM-Rolle

Die IAM-Rolle benötigt eine Richtlinie, die es ermöglichtDataSync, in Ihren S3-Bucket in Konto B zu schreiben.

So fügen Sie der IAM-Rolle eine benutzerdefinierte Richtlinie an
  1. Suchen Sie auf der Seite Rollen der IAM-Konsole nach der Rolle, die Sie gerade erstellt haben, und wählen Sie ihren Namen.

  2. Wählen Sie auf der Seite mit den Rollendetails die Registerkarte Berechtigungen aus. Wählen Sie „Berechtigungen hinzufügen“ und dann „Inline-Richtlinie erstellen“.

  3. Wählen Sie den JSON-Tab und gehen Sie wie folgt vor:

    1. Fügen Sie den folgenden JSON-Editor in den Richtlinien-Editor ein:

      { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetBucketLocation", "s3:ListBucket", "s3:ListBucketMultipartUploads" ], "Effect": "Allow", "Resource": "arn:aws:s3:::account-b-bucket" }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:GetObject", "s3:ListMultipartUploadParts", "s3:PutObject", "s3:GetObjectTagging", "s3:PutObjectTagging" ], "Effect": "Allow", "Resource": "arn:aws:s3:::account-b-bucket/*" } ] }
    2. Ersetzen Sieaccount-b-bucket durch den Namen des S3-Buckets in Konto B

  4. Wählen Sie Review policy (Richtlinie prüfen).

  5. Geben Sie Ihrer Richtlinie einen Namen und wählen Sie Richtlinie erstellen.

Schritt 2: Deaktivieren Sie ACLs für Ihren S3-Bucket in Konto B

Es ist wichtig, dass alle Daten, die Sie in den S3-Bucket kopieren, zu Konto B gehören. Um sicherzustellen, dass Konto B der Eigentümer der Daten ist, deaktivieren Sie die Zugriffskontrolllisten (ACLs) des Buckets. Weitere Informationen finden Sie unter Steuern des Eigentums an Objekten und Deaktivieren von ACLs für Ihren Bucket im Amazon-S3-Benutzerhandbuch.

So deaktivieren Sie ACLs für einen S3-Bucket
  1. Wechseln Sie in derAWS Management Console zu Konto B.

  2. Öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  3. Wählen Sie im linken Navigationsbereich die Option Buckets aus.

  4. Wählen Sie in der Bucket-Liste den S3-Bucket aus, in den Sie Daten übertragen.

  5. Wählen Sie auf der Detailseite des Buckets den Tab Berechtigungen aus.

  6. Wählen Sie unter Object Ownership die Option Edit (Bearbeiten).

  7. Wenn sie nicht bereits ausgewählt ist, wählen Sie die Option ACLs deaktiviert (empfohlen).

  8. Wählen Sie Änderungen speichern aus.

Schritt 3: Aktualisieren der S3-Bucket-Richtlinie in Konto B

Ändern Sie in Konto B die S3-Bucket-Richtlinie, um den Zugriff auf die IAM-Rolle zu erlauben, für die SieDataSync in Konto A

Die aktualisierte Richtlinie (die Ihnen in den folgenden Anweisungen zur Verfügung gestellt wird) umfasst zwei Prinzipien:

  • Der erste Principal gibt die IAM-Rolle in Konto A an, das Sie in Schritt 1 erstellt haben. Diese Rolle ermöglicht esDataSync, in den S3-Bucket in Konto B zu schreiben.

  • Der zweite Prinzipal gibt die IAM-Rolle in Konto A an, die Sie für den Zugriff auf die Konsole oder verwendenAWS CLI. In Schritt 4 verwenden Sie diese Rolle, wenn Sie den Zielort für den S3-Bucket erstellen.

So aktualisieren Sie die S3-Bucket-Richtlinie
  1. Wählen Sie, während Sie sich noch in der S3-Konsole befinden und Konto B verwenden, den S3-Bucket aus, in den Sie Daten kopieren.

  2. Wählen Sie auf der Detailseite des Buckets den Tab Berechtigungen aus.

  3. Wählen Sie unter Bucket-Richtlinie die Option Bearbeiten aus und gehen Sie wie folgt vor, um Ihre S3-Bucket-Richtlinie zu ändern:

    1. Aktualisieren Sie den Inhalt des Editors um die folgenden Richtlinienerklärungen:

      { "Version": "2008-10-17", "Statement": [ { "Sid": "DataSyncCreateS3LocationAndTaskAccess", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-a-id:role/name-of-datasync-role" }, "Action": [ "s3:GetBucketLocation", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:GetObject", "s3:ListMultipartUploadParts", "s3:PutObject", "s3:GetObjectTagging", "s3:PutObjectTagging" ], "Resource": [ "arn:aws:s3:::account-b-bucket", "arn:aws:s3:::account-b-bucket/*" ] }, { "Sid": "DataSyncCreateS3Location", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-a-id:role/name-of-your-role" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::account-b-bucket" } ] }
    2. Ersetzen Sieaccount-a-id durch dieAWS-Konto Nummer von Konto A.

    3. Ersetzen Sie esname-of-datasync-role durch die IAM-Rolle, für die SieDataSync in Konto A erstellt haben (zurück in Schritt 1).

    4. Ersetzen Sieaccount-b-bucket durch den Namen des S3-Buckets in Konto B

    5. Ersetzen Siename-of-your-role durch die IAM-Rolle, die Sie für den Zugriff auf die Konsole verwenden, oderAWS CLI durch Konto A.

  4. Wählen Sie Änderungen speichern aus.

Schritt 4: Erstellen Sie einenDataSync Zielort für den S3-Bucket

Nachdem Sie einen Speicherort für den S3-Bucket erstellt haben, können Sie IhreDataSync Aufgabe ausführen. DieDataSync Konsole unterstützt jedoch nicht das Erstellen von Speicherorten in verschiedenen Konten. Sie müssen den Standort mit dem erstellen,AWS CLI bevor Sie die Aufgabe ausführen können.

Um einenDataSync Standort mit der CLI zu erstellen
  1. Öffnen Sie ein -Terminalfenster.

  2. Stellen Sie sicher, dass Ihr CLI-Profil für die Verwendung von Konto A konfiguriert ist.

  3. Kopieren Sie den folgenden Befehl:

    aws datasync create-location-s3 \ --s3-bucket-arn arn:aws:s3:::account-b-bucket \ --s3-config '{"BucketAccessRoleArn":"arn:aws:iam::account-a-id:role/name-of-datasync-role"}'
  4. Ersetzen Sieaccount-b-bucket durch den Namen des S3-Buckets in Konto B

  5. Ersetzen Sieaccount-a-id durch dieAWS-Konto Nummer von Konto A.

  6. Ersetzen Sie esname-of-datasync-role durch die IAM-Rolle, für die SieDataSync in Konto A erstellt haben (zurück in Schritt 1).

  7. Führen Sie den Befehl aus.

    Wenn der Befehl einen ähnlichenDataSync Standort-ARN zurückgibt, haben Sie den Standort erfolgreich erstellt:

    { "LocationArn": "arn:aws:datasync:us-east-2:123456789012:location/loc-abcdef01234567890" }
  8. Wechseln Sie zurück zu Konto A in derAWS Management Console.

  9. Öffnen Sie dieDataSync Konsole unter https://console.aws.amazon.com/datasync/.

  10. Wählen Sie im linken Navigationsbereich die Option Standorte aus.

    Sie können den Standort des S3-Buckets in Konto B sehen, das Sie gerade mit der CLI erstellt haben.

Schritt 5: Erstellen einerDataSync Aufgabe

Bevor Sie Ihre Daten verschieben, lassen Sie uns noch einmal zusammenfassen, was Sie bisher getan haben:

  • IhrDataSync Agent wurde in Konto A bereitgestellt und aktiviert, sodass der Agent Informationen aus Ihrem selbstverwalteten Speichersystem lesen und mit ihm kommunizieren kannAWS.

  • In Konto A wurde eine IAM-Rolle erstellt, mit der Daten in den S3-Bucket in Konto B geschrieben werdenDataSync können.

  • Sie haben Ihren S3-Bucket in Konto B konfiguriert, um sicherzustellen, dass IhreDataSync Aufgabe funktioniert.

  • Sie haben IhreDataSync Quell- und Zielorte in Konto A erstellt.

Um dieDataSync Aufgabe zu erstellen und zu starten
  1. Während Sie weiterhin dieDataSync Konsole in Konto A verwenden, erweitern Sie im linken Navigationsbereich die Option Datentransfer und wählen Sie dann Aufgaben und Aufgabe erstellen aus.

    Anmerkung

    Sie müssen bei der Konsole mit derselben IAM-Rolle für Konto A angemeldet sein, die Sie in Schritt 3 in der S3-Bucket-Richtlinie angegeben haben.

  2. Wählen Sie auf der Seite Quellstandort konfigurieren die Option Vorhandenen Standort auswählen aus. Wählen Sie den Quellspeicherort, aus dem Sie Daten kopieren (Ihren lokalen Speicher), und klicken Sie dann auf Weiter.

  3. Wählen Sie auf der Seite Zielort konfigurieren die Option Bestehenden Standort auswählen aus. Wählen Sie den Zielort, an den Sie Daten kopieren (den S3-Bucket in Konto B) und dann Weiter.

  4. Geben Sie der Aufgabe auf der Seite „Einstellungen konfigurieren“ einen Namen. Konfigurieren Sie bei Bedarf zusätzliche Einstellungen, z. B. die Angabe einerCloudWatch Amazon-Protokollgruppe. Wählen Sie Weiter.

  5. Überprüfe auf der Überprüfungsseite deine Einstellungen und wähle Aufgabe erstellen.

  6. Wählen Sie auf der Seite mit den Details der Aufgabe die Option Start aus, und wählen Sie dann eine der folgenden Optionen aus:

    • Um die Aufgabe ohne Änderung auszuführen, wählen Sie Mit Standardwerten starten.

    • Um die Aufgabe vor der Ausführung zu ändern, wählen Sie Mit übergeordneten Optionen beginnen.

Wenn Ihre Aufgabe abgeschlossen ist, sehen Sie die Daten aus Ihrem lokalen Speicher im S3-Bucket. Sie können jetzt von Konto B aus auf die Bucket-Daten zugreifen.

Zugehörige Ressourcen

Weitere Informationen zu den Aktionen in diesem Tutorial finden Sie in den folgenden Themen: