Descripción de las configuraciones almacenadas en Amazon S3 - AWS AppConfig
Configuración de permisos para una configuración almacenada como un objeto de Amazon S3

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Descripción de las configuraciones almacenadas en Amazon S3

Puede almacenar configuraciones en un bucket de Amazon Simple Storage Service (Amazon S3). Al crear el perfil de configuración, debe especificarlo URI para un único objeto de S3 en un bucket. También especificas el nombre de recurso de Amazon (ARN) de un rol AWS Identity and Access Management (IAM) que da AWS AppConfig permiso para obtener el objeto. Antes de crear un perfil de configuración para un objeto de Amazon S3, tenga en cuenta las siguientes restricciones.

Restricción Detalles

Tamaño

Las configuraciones almacenadas como objetos de S3 pueden tener un tamaño máximo de 1 MB.

Cifrado del objeto

Un perfil de configuración puede dirigirse a objetos SSE KMS cifrados -S3 y SSE -.

Clases de almacenamiento

AWS AppConfig admite las siguientes clases de almacenamiento de S3: STANDARDINTELLIGENT_TIERING, REDUCED_REDUNDANCYSTANDARD_IA, yONEZONE_IA. No se admiten las siguientes clases: todas las clases Glacier de S3 (DEEP_ARCHIVE y GLACIER).

Control de versiones

AWS AppConfig requiere que el objeto S3 utilice el control de versiones.

Configuración de permisos para una configuración almacenada como un objeto de Amazon S3

Al crear un perfil de configuración para una configuración almacenada como un objeto de S3, debe especificar un perfil ARN para un IAM rol que dé AWS AppConfig permiso para obtener el objeto. El rol debe incluir los permisos siguientes:

Permisos para acceder al objeto de S3

  • s3: GetObject

  • s3: GetObjectVersion

Permisos para mostrar los buckets de S3

s3: ListAllMyBuckets

Permisos para acceder al bucket de S3 donde se almacena el objeto

  • s3: GetBucketLocation

  • s3: GetBucketVersioning

  • s3: ListBucket

  • s3: ListBucketVersions

Complete el siguiente procedimiento para crear un rol que AWS AppConfig permita almacenar una configuración en un objeto S3.

Creación de la IAM política de acceso a un objeto de S3

Utilice el siguiente procedimiento para crear una IAM política que AWS AppConfig permita almacenar una configuración en un objeto de S3.

Para crear una IAM política de acceso a un objeto de S3

  1. Abra la IAM consola en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Políticas y, a continuación, Crear política.

  3. En la página Crear política, seleccione la JSONpestaña.

  4. Actualice la siguiente política de ejemplo con información sobre el bucket de S3 y el objeto de configuración. A continuación, pegue la política en el campo de texto de la JSONpestaña. Sustituya el placeholder values con su propia información.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/my-configurations/my-configuration.json"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:GetBucketVersioning",
        "s3:ListBucketVersions",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "*"
    } 
  ]
}

  5. Elija Revisar política.

  6. En la página Review policy (Revisar política), escriba un nombre en el cuadro Name (Nombre) y, a continuación, escriba una descripción.

  7. Elija Crear política. El sistema le devuelve a la página Roles.

Creación del IAM rol para acceder a un objeto de S3

Utilice el siguiente procedimiento para crear un IAM rol que AWS AppConfig permita almacenar una configuración en un objeto de S3.

Para crear un IAM rol para acceder a un objeto de Amazon S3

  1. Abra la IAM consola en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Roles y luego seleccione Crear rol.

  3. En la sección Seleccionar tipo de entidad de confianza, elija servicio de AWS .

  4. En la sección Elija un caso de uso, en Casos de uso comunes, elija y EC2, a continuación, elija Siguiente: permisos.

  5. En la página Attach permissions policy (Asociar política de permisos) en el cuadro de búsqueda, escriba el nombre de la política que creó en el procedimiento anterior.

  6. Elija la política y, a continuación, elija Siguiente: Etiquetas.

  7. En la página Agregar etiquetas (opcional) escriba una clave y un valor opcional y, a continuación, elija Siguiente: Revisar.

  8. En la página Review (Revisar), escriba un nombre en el campo Role name (Nombre de rol) y, a continuación, escriba una descripción.

  9. Elija Create role. El sistema le devuelve a la página Roles.

  10. En la página Roles, elija el rol que acaba de crear para abrir la página Summary (Resumen). Anote el nombre y el rol del rol ARN. Especificará el rol ARN cuando cree el perfil de configuración más adelante en este tema.

Creación de una relación de confianza

Utilice el siguiente procedimiento para configurar el rol de que acaba de crear para confiar en AWS AppConfig.

Para añadir una relación de confianza

  1. En la página Summary del rol que acaba de crear, elija la pestaña Trust Relationships y, después, seleccione Edit Trust Relationship.

  2. Elimine "ec2.amazonaws.com" y agregue "appconfig.amazonaws.com", como se muestra en el ejemplo siguiente.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "appconfig.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  3. Elija Actualizar política de confianza.