Configuración del acceso a un bucket de Amazon S3 - Amazon Aurora
Identificar el bucket de S3Proporcionar acceso a un bucket de S3 mediante un rol de IAMUso de un bucket de S3 en diversas cuentas

Configuración del acceso a un bucket de Amazon S3

Una vez identificado el bucket de Amazon S3, dé a la tarea de exportación del clúster de base de datos permiso para acceder a él.

Identificación del bucket de Amazon S3 para exportación

Identifique el bucket de Amazon S3 al que se exportará el clúster de base de datos. Utilice un bucket de S3 ya existente, o bien cree un bucket S3 nuevo.

nota

El bucket de S3; debe estar en la misma región de AWS que el clúster de base de datos.

Para obtener más información acerca de cómo trabajar con buckets de Amazon S3, consulte lo siguiente en Guía del usuario de Amazon Simple Storage Service:

Proporcionar acceso a un bucket de Amazon S3 mediante un rol de IAM

Antes de exportar datos de clústeres de bases de datos a Amazon S3, conceda a las tareas de exportación permiso de acceso de escritura al bucket de Amazon S3.

Para conceder este permiso, cree una política de IAM que proporcione acceso al bucket y cree un rol de IAM y adjunte la política al rol. Más adelante, puede asignar el rol de IAM a la tarea de exportación del clúster de base de datos.

importante

Si prevé utilizar la AWS Management Console para exportar el clúster de base de datos, puede elegir crear la política de IAM y el rol automáticamente al exportar el clúster de base de datos. Para obtener instrucciones, consulte Creación de tareas de exportación del clúster de base de datos.

Para dar a las tareas acceso a Amazon S3

  1. Cree una política de IAM. Esta política proporciona los permisos de bucket y objeto que permiten a la tarea de exportación de clústeres de base de datos obtener acceso a Amazon S3.

    En la política, incluya las siguientes acciones obligatorias para permitir transferir archivos desde Amazon Aurora a un bucket de S3:

    • s3:PutObject*

    • s3:GetObject*

    • s3:ListBucket

    • s3:DeleteObject*

    • s3:GetBucketLocation

    En la política, incluya los siguientes recursos para identificar el bucket de S3 y los objetos incluidos en él. En la siguiente lista de recursos se muestra el formato de nombre de recurso de Amazon (ARN) para obtener acceso a Amazon S3.

    • arn:aws:s3:::amzn-s3-demo-bucket

    • arn:aws:s3:::amzn-s3-demo-bucket/*

    Para obtener más información sobre cómo crear una política de IAM para Amazon Aurora, consulte Creación y uso de una política de IAM para el acceso a bases de datos de IAM. Consulte también el Tutorial: Crear y asociar su primera política administrada por el cliente en la Guía del usuario de IAM.

    El siguiente comando de la AWS CLI crea una política de IAM denominada ExportPolicy con estas opciones. Otorga acceso a un bucket denominado amzn-s3-demo-bucket.

    nota

    Después de crear la política, apunte el ARN de esta. Cuando asocia la política a un rol de IAM, necesita el ARN para realizar un paso posterior.

    aws iam create-policy  --policy-name ExportPolicy --policy-document '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExportPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject*",
                "s3:ListBucket",
                "s3:GetObject*",
                "s3:DeleteObject*",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}'

  2. Cree un rol de IAM que Aurora pueda asumir en su nombre para acceder a sus buckets de Amazon S3. Para obtener más información, vea Crear un rol para delegar permisos a un IAM usuario en Guía del usuario de IAM.

    En el siguiente ejemplo se muestra cómo se usa el comando de la AWS CLI para crear un rol denominado rds-s3-export-role.

    aws iam create-role  --role-name rds-s3-export-role  --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "export.rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole"
       }
     ] 
   }'

  3. Asocie la política de IAM que creó al rol de IAM creado.

    El siguiente comando de la AWS CLI asocia la política creada anteriormente al rol denominado rds-s3-export-role. Sustituya your-policy-arn por el ARN de la política que ha apuntado en el paso anterior.

    aws iam attach-role-policy  --policy-arn your-policy-arn  --role-name rds-s3-export-role

Uso de un bucket de Amazon S3 en diversas cuentas

Puede utilizar buckets de S3 en cuentas de AWS. Para obtener más información, consulte Uso de un bucket de Amazon S3 en diversas cuentas.