Creación de una política de IAM para acceder a los recursos de Amazon S3 - Amazon Aurora

Creación de una política de IAM para acceder a los recursos de Amazon S3

Aurora puede tener acceso a recursos de Amazon S3 para cargar datos o para guardar datos desde un clúster de base de datos Aurora. Sin embargo, primero debe crear una política de IAM que asigne los permisos de bucket y objeto que hacen posible el acceso de Aurora a Amazon S3.

La tabla siguiente indica las características de Aurora con acceso a un bucket de Amazon S3 en su nombre y los permisos de bucket y objeto mínimos requeridos por cada una.

Característica Permisos de bucket Permisos de objeto

LOAD DATA FROM S3

ListBucket

GetObject

GetObjectVersion
LOAD XML FROM S3

ListBucket

GetObject

GetObjectVersion

SELECT INTO OUTFILE S3

ListBucket

AbortMultipartUpload

DeleteObject

GetObject

ListMultipartUploadParts

PutObject

La siguiente política agrega los permisos que podría requerir Aurora para acceder a un bucket de Amazon S3 en su nombre. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAuroraToExampleBucket",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:AbortMultipartUpload",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}
nota

Asegúrese de incluir las dos entradas para el valor Resource. Aurora necesita los permisos tanto en el propio bucket como en todos los objetos dentro del bucket.

Según su caso de uso, es posible que no necesite agregar todos los permisos en la política de ejemplo. Es posible que se requieran otros permisos. Por ejemplo, si su bucket de Amazon S3 está cifrado, debe añadir permisos kms:Decrypt.

Puede seguir los pasos indicados a continuación para crear una política de IAM que otorgue los permisos mínimos necesarios para que Aurora tenga acceso a un bucket de Amazon S3 en su nombre. Para permitir el acceso de Aurora a todos los buckets de Amazon S3 puede omitir estos pasos y usar la política de IAM predefinida AmazonS3ReadOnlyAccess o AmazonS3FullAccess en lugar de crear la suya propia.

Para crear una política de IAM para dar acceso a los recursos de Amazon S3

  1. Abra la consola de administración de IAM.

  2. En el panel de navegación, seleccione Policies (Políticas).

  3. Elija Create Policy.

  4. En la pestaña Visual editor (Editor visual), seleccione Choose a service (Elegir un servicio) y, a continuación, S3.

  5. Elija Expand all (Ampliar todo) en Actions (Acciones) y, a continuación, elija los permisos de bucket y permisos de objeto necesarios para la política de IAM.

    Los permisos de objeto se refieren a las operaciones de objeto en Amazon S3 y deben concederse para los objetos de un bucket, y no para el bucket en sí. Para obtener más información acerca de los permisos para operaciones de objeto en Amazon S3, consulte Permisos para operaciones de objetos.

  6. Elija Resources (Recursos) y Add ARN (Añadir ARN) para bucket.

  7. En el cuadro de diálogo Add ARN(s) (Añadir ARN), proporcione los detalles acerca de su recurso y elija Add (Añadir).

    Especifique el bucket de Amazon S3 al que se permitirá obtener acceso. Por ejemplo, si desea conceder a Aurora acceso al bucket de Amazon S3 llamado amzn-s3-demo-bucket, establezca el valor de Nombre de recurso de Amazon (ARN) en arn:aws:s3:::amzn-s3-demo-bucket.

  8. Si se lista el recurso object (objeto), elija Add ARN (Añadir ARN) para object (objeto).

  9. En el cuadro de diálogo Add ARN(s) (Añadir ARN), proporcione los detalles acerca de su recurso.

    Para el bucket de Amazon S3, especifique el bucket de Amazon S3 al que se permitirá obtener acceso. Para el objeto, puede elegir Any (Cualquiera) para conceder permisos a cualquier objeto del bucket.

    nota

    Puede establecer en Nombre de recurso de Amazon (ARN) un valor de ARN más específico y que así Aurora solo tenga acceso a archivos o carpetas determinados de un bucket de Amazon S3. Para obtener más información acerca del modo de definir una política de acceso en Amazon S3, consulte Administración de permisos de acceso para los recursos de Amazon S3.

  10. (Opcional) Elija Add ARN (Agregar ARN) para el bucket para agregar otro bucket de Amazon S3 a la política y repita los pasos anteriores para el bucket.

    nota

    Puede repetir esto para añadir las instrucciones de permisos de bucket correspondientes a la política para cada bucket de Amazon S3 al que deba obtener acceso Aurora. Opcionalmente, también puede conceder acceso a todos los buckets y objetos de Amazon S3.

  11. Elija Revisar política.

  12. En Name (Nombre), escriba un nombre para la política de IAM, por ejemplo, AllowAuroraToExampleBucket. Utilizará este nombre al crear un rol de IAM y asociarlo al clúster de base de datos Aurora. También puede añadir una descripción opcional en Description (Descripción).

  13. Elija Create Policy.

  14. Realice los pasos que se indican en Creación de un rol de IAM que permita a Amazon Aurora acceder a los servicios de AWS.