Configuración de AWS DataSync transferencias con Amazon S3 - AWS DataSync
Acceder a los buckets de S3Consideraciones sobre las clases de almacenamiento en las transferencias de Amazon S3Evaluación de los costos de las solicitudes de S3 al usar DataSyncOtras consideraciones acerca de las transferencias de Amazon S3Creación de su ubicación de transferencia de Amazon S3Uso de políticas de IAM para acceder a su bucket de S3Transferencia hacia o desde buckets de S3 en diferentes Cuentas de AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de AWS DataSync transferencias con Amazon S3

Para transferir datos hacia o desde tu bucket de S3, debes crear una ubicación AWS DataSync de transferencia. DataSyncpuede utilizar esta ubicación como origen o destino para transferir datos.

importante

Antes de crear la ubicación, asegúrese de leer las siguientes secciones:

Acceder a los buckets de S3

DataSyncrequiere acceso a su bucket de Amazon S3. Para ello, DataSync asume una función de AWS Identity and Access Management (IAM) con una política de IAM y una relación de AWS Security Token Service (AWS STS) confianza. La política determina qué acciones puede llevar a cabo el rol.

DataSyncpuede crear este rol por usted, pero hay situaciones en las que puede que necesite crear un rol manualmente. Para obtener más información, consulte Uso de políticas de IAM para acceder a su bucket de S3.

Consideraciones sobre las clases de almacenamiento en las transferencias de Amazon S3

DataSyncpuede transferir objetos directamente a la clase de almacenamiento de Amazon S3 que especifique al crear su ubicación de Amazon S3. Algunas clases de almacenamiento tienen comportamientos que pueden afectar a los costos de almacenamiento de Amazon S3. Para obtener más información, consulte Precios de Amazon S3.

importante

Los objetos nuevos copiados a un bucket de S3 se almacenan mediante la clase de almacenamiento que especifique al crear su ubicación de Amazon S3. DataSyncno cambiará la clase de almacenamiento de los objetos existentes en el depósito (incluso si ese objeto se modificó en la ubicación de origen).

Clase de almacenamiento de Amazon S3 Consideraciones
S3 Standard Elija S3 Standard para almacenar los archivos a los que se accede con frecuencia de forma redundante en varias zonas de disponibilidad separadas geográficamente. Este es el valor predeterminado si no especifica ninguna clase de almacenamiento.
S3 Intelligent-Tiering

Elija S3 Intelligent-Tiering para optimizar los costos de almacenamiento moviendo automáticamente los datos a la capa de acceso de almacenamiento más rentable.

Usted paga una tarifa mensual por cada objeto almacenado en la clase de almacenamiento S3 Intelligent-Tiering. Este cargo de Amazon S3 incluye la supervisión de los patrones de acceso a los datos y el movimiento de objetos entre niveles.
S3 Standard-IA

Elija S3 Standard-IA para almacenar los objetos a los que se accede con poca frecuencia de forma redundante en varias zonas de disponibilidad separadas geográficamente.

Los objetos almacenados en la clase de almacenamiento S3 Estándar - Acceso poco frecuente por sobrescribirlos, eliminarlos o recuperarlos. Considere la frecuencia con la que estos objetos cambian, el tiempo que tiene previsto conservar estos objetos y la frecuencia con la que necesita obtener acceso a ellos. Los cambios en los datos o metadatos del objeto equivalen a eliminar un objeto y crear uno nuevo para reemplazarlo. Esto se traduce en cargos adicionales por los objetos almacenados en la clase de almacenamiento S3 Estándar - Acceso poco frecuente.

Los objetos de menos de 128 KB son más pequeños que el costo de capacidad mínimo por objeto en la clase de almacenamiento S3 Estándar - Acceso poco frecuente en la clase de almacenamiento S3 Estándar - Acceso poco frecuente. Estos objetos se almacenan en la clase de almacenamiento S3 Standard.
S3 One Zone-IA

Elija S3 One Zone-IA para almacenar los objetos a los que se obtiene acceso con poca frecuencia en una única zona de disponibilidad.

Los objetos almacenados en la clase de almacenamiento S3 One Zone-IA pueden incurrir en cargos adicionales por sobrescribirlos, eliminarlos o recuperarlos. Considere la frecuencia con la que estos objetos cambian, el tiempo que tiene previsto conservar estos objetos y la frecuencia con la que necesita obtener acceso a ellos. Los cambios en los datos o metadatos del objeto equivalen a eliminar un objeto y crear uno nuevo para reemplazarlo. Esto se traduce en cargos adicionales por los objetos almacenados en la clase de almacenamiento S3 One Zone-IA.

Los objetos de menos de 128 KB son inferiores al costo de capacidad mínimo por objeto en la clase de almacenamiento S3 One Zone-IA. Estos objetos se almacenan en la clase de almacenamiento S3 Standard.
S3 Glacier Instant Retrieval

Elija S3 Glacier Instant Retrieval para archivar objetos a los que se accede con poca frecuencia pero que requieren recuperación en milisegundos.

Los datos almacenados en la clase de almacenamiento S3 Glacier Instant Retrieval ofrecen ahorros de costos en comparación con la clase de almacenamiento S3 Standard-IA, con el mismo rendimiento de latencia y rendimiento. Sin embargo, S3 Glacier Instant Retrieval tiene costos de acceso a datos más altos que S3 Standard-IA.

Los objetos almacenados en S3 Glacier Instant Retrieval pueden incurrir en cargos adicionales por sobrescribirlos, eliminarlos o recuperarlos. Considere la frecuencia con la que estos objetos cambian, el tiempo que tiene previsto conservar estos objetos y la frecuencia con la que necesita obtener acceso a ellos. Los cambios en los datos o metadatos del objeto equivalen a eliminar un objeto y crear uno nuevo para reemplazarlo. Esto se traduce en cargos adicionales por los objetos almacenados en la clase de almacenamiento S3 Glacier Instant Retrieval.

Los objetos más pequeños de 128 KB son más pequeños que el cargo de capacidad mínimo por objeto en la clase de almacenamiento S3 Glacier Instant Retrieval. Estos objetos se almacenan en la clase de almacenamiento S3 Standard.
S3 Glacier Flexible Retrieval

Elija S3 Glacier Flexible Retrieval para obtener archivos más activos.

Los objetos almacenados en S3 Glacier Flexible Retrieval pueden incurrir en cargos adicionales por sobrescribirlos, eliminarlos o recuperarlos. Considere la frecuencia con la que estos objetos cambian, el tiempo que tiene previsto conservar estos objetos y la frecuencia con la que necesita obtener acceso a ellos. Los cambios en los datos o metadatos del objeto equivalen a eliminar un objeto y crear uno nuevo para reemplazarlo. Esto se traduce en cargos adicionales por los objetos almacenados en la clase de almacenamiento S3 Glacier Flexible Retrieval.

Los objetos más pequeños de 40 KB son más pequeños que el cargo de capacidad mínimo por objeto en la clase de almacenamiento S3 Glacier Flexible Retrieval. Estos objetos se almacenan en la clase de almacenamiento S3 Standard.

Debe restaurar los objetos archivados en esta clase de almacenamiento para DataSync poder leerlos. Para obtener más información, consulte Trabajar con objetos archivados en la Guía del usuario de Amazon S3.

Cuando utilice S3 Glacier Flexible Retrieval, elija la opción Verificar solo la tarea transferida de datos para comparar las sumas de verificación de datos y metadatos al final de la transferencia. No puede utilizar la opción Verificar todos los datos del destino para esta clase de almacenamiento porque requiere recuperar todos los objetos existentes del destino.
S3 Glacier Deep Archive

Elija S3 Glacier Deep Archive para archivar sus objetos a fin de conservar los datos a largo plazo y preservarlos digitalmente, accediendo a ellos una o dos veces al año.

Los objetos almacenados en S3 Glacier Deep Archive pueden incurrir en cargos adicionales por sobrescribirlos, eliminarlos o recuperarlos. Considere la frecuencia con la que estos objetos cambian, el tiempo que tiene previsto conservar estos objetos y la frecuencia con la que necesita obtener acceso a ellos. Los cambios en los datos o metadatos del objeto equivalen a eliminar un objeto y crear uno nuevo para reemplazarlo. Esto se traduce en cargos adicionales por los objetos almacenados en la clase de almacenamiento S3 Glacier Deep Archive.

Los objetos más pequeños de 40 KB son más pequeños que el cargo de capacidad mínimo por objeto en la clase de almacenamiento S3 Glacier Deep Archive. Estos objetos se almacenan en la clase de almacenamiento S3 Standard.

Debe restaurar los objetos archivados en esta clase de almacenamiento para DataSync poder leerlos. Para obtener más información, consulte Trabajar con objetos archivados en la Guía del usuario de Amazon S3.

Cuando utilice S3 Glacier Deep Archive, elija la opción Verificar solo los datos transferidos para comparar las sumas de verificación de datos y metadatos al final de la transferencia. No puede utilizar la opción Verificar todos los datos del destino para esta clase de almacenamiento porque requiere recuperar todos los objetos existentes del destino.

S3 Outposts

La clase de almacenamiento de Amazon S3 en Outposts.

Evaluación de los costos de las solicitudes de S3 al usar DataSync

Con las ubicaciones de Amazon S3, usted incurre en costos relacionados con las solicitudes de API de S3 realizadas porDataSync. Esta sección puede ayudarle a entender cómo se DataSync utilizan estas solicitudes y cómo pueden afectar a sus costes de Amazon S3.

Solicitudes S3 realizadas por DataSync

La siguiente tabla describe las solicitudes de S3 que se DataSync pueden realizar al copiar datos a o desde una ubicación de Amazon S3.

solicitud S3 Cómo lo DataSync usa

ListObjectV2

DataSynchace al menos una LIST solicitud por cada objeto que termine en una barra diagonal (/) para enumerar los objetos que comienzan con ese prefijo. Esta solicitud se llama durante la fase de preparación de una tarea.

HeadObject

DataSyncrealiza HEAD solicitudes para recuperar los metadatos del objeto durante las fases de preparación y verificación de una tarea. Puede haber varias HEAD solicitudes por objeto, según cómo desee DataSync verificar la integridad de los datos que transfiere.

GetObject

DataSynchace GET solicitudes para leer datos de un objeto durante la fase de transferencia de una tarea. Puede haber varias GET solicitudes de objetos grandes.

PutObject

DataSyncrealiza PUT solicitudes para crear objetos en un bucket de S3 de destino durante la fase de transferencia de una tarea. Dado que DataSync utiliza la función de carga multiparte de Amazon S3, puede haber varias PUT solicitudes de objetos grandes.

CopyObject

DataSynchace una COPY solicitud para crear una copia de un objeto solo si los metadatos de ese objeto cambian. Esto puede ocurrir si copiaste originalmente los datos al bucket de S3 con otro servicio o herramienta que no transfirió sus metadatos.

Consideraciones sobre costos

DataSyncrealiza solicitudes de S3 en buckets de S3 cada vez que ejecuta la tarea. Esto puede provocar que los cargos se acumulen en determinadas situaciones. Por ejemplo:

  • Con frecuencia transfieres objetos hacia o desde un bucket de S3.

  • Puede que no estés transfiriendo muchos datos, pero tu bucket de S3 contiene muchos objetos. Aún puedes ver cargos altos en este escenario porque DataSync realiza solicitudes de S3 en cada uno de los objetos del bucket.

  • Estás transfiriendo entre buckets de S3, al igual DataSync que haces solicitudes de S3 en el origen y el destino.

Para ayudar a minimizar los costos de las solicitudes de S3 relacionados conDataSync, tenga en cuenta lo siguiente:

¿Qué clases de almacenamiento de S3 utilizo?

Los cargos por solicitud de S3 pueden variar en función de la clase de almacenamiento de Amazon S3 que utilizan los objetos, en particular en el caso de las clases que archivan objetos (como S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval y S3 Glacier Deep Archive).

A continuación, se muestran algunos escenarios en los que las clases de almacenamiento pueden afectar a los cargos por solicitud de S3 al utilizarlosDataSync:

  • Cada vez que ejecuta una tarea, DataSync realiza HEAD solicitudes para recuperar los metadatos del objeto. Estas solicitudes conllevan cargos incluso si no mueves ningún objeto. La medida en que estas solicitudes afecten a su factura depende de la clase de almacenamiento que utilicen sus objetos y de la cantidad de objetos que se DataSync escaneen.

  • Si ha movido objetos a la clase de almacenamiento S3 Glacier Instant Retrieval (ya sea directamente o mediante una configuración del ciclo de vida de un bucket), las solicitudes a los objetos de esta clase son más caras que a los objetos de otras clases de almacenamiento.

  • Si configura la DataSync tarea para comprobar que las ubicaciones de origen y destino estén completamente sincronizadas, habrá GET solicitudes para cada objeto en todas las clases de almacenamiento (excepto S3 Glacier Flexible Retrieval y S3 Glacier Deep Archive).

  • Además de GET las solicitudes, se paga por recuperar datos de los objetos de la clase de almacenamiento S3 Standard-IA, S3 One Zone-IA o S3 Glacier Instant Retrieval.

Para obtener más información, consulte Precios de Amazon S3.

¿Con qué frecuencia debo transferir mis datos?

Si necesitas mover datos de forma periódica, piensa en un cronograma que no ejecute más tareas de las que necesitas.

También puede considerar limitar el alcance de sus transferencias. Por ejemplo, puede configurarlo DataSync para centrarse en los objetos de ciertos prefijos o filtrar los datos que se transfieren. Estas opciones pueden ayudar a reducir la cantidad de solicitudes de S3 que se realizan cada vez que ejecuta la DataSync tarea.

Otras consideraciones acerca de las transferencias de Amazon S3

Cuando utilice Amazon S3 conDataSync, recuerde lo siguiente:

  • Los cambios en los datos o metadatos del objeto equivalen a eliminar y reemplazar un objeto. Estos cambios se traducen en cargos adicionales en los siguientes escenarios:

    • Cuando se utiliza el control de versiones de objetos: los cambios en los datos o metadatos del objeto crean una nueva versión del objeto.

    • Cuando se utilizan clases de almacenamiento que pueden incurrir en cargos adicionales por sobrescribir, eliminar o recuperar objetos, los cambios en los datos o metadatos de los objetos conllevan dichos cargos. Para obtener más información, consulte Consideraciones sobre las clases de almacenamiento en las transferencias de Amazon S3.

  • Cuando se utiliza el control de versiones de objetos en Amazon S3, ejecutar una DataSync tarea una vez puede crear más de una versión de un objeto de Amazon S3.

  • DataSyncpuede que no transfiera un objeto si tiene caracteres no estándar en su nombre. Para obtener más información, consulte las pautas de nomenclatura de claves de objetos en la Guía del usuario de Amazon S3.

  • Para ayudar a minimizar los costes de almacenamiento de Amazon S3, le recomendamos que utilice una configuración de ciclo de vida para detener las cargas incompletas de varias partes. Para obtener más información, consulte la Guía del usuario de Amazon S3.

  • Tras transferir inicialmente los datos de un bucket de S3 a un sistema de archivos (por ejemplo, NFS o Amazon FSx), las ejecuciones posteriores de la misma DataSync tarea no incluirán los objetos que se hayan modificado pero que tengan el mismo tamaño que tenían durante la primera transferencia.

Creación de su ubicación de transferencia de Amazon S3

Para crear la ubicación, necesita un bucket de S3 existente. Si no tiene uno, consulte Introducción a Amazon S3 en la Guía del usuario de Amazon S3.

sugerencia

Si tu bucket de S3 tiene objetos con diferentes clases de almacenamiento, descubre cómo DataSyncfunciona con estas clases de almacenamiento y cómo esto puede afectar a tu AWS factura.

Para crear una ubicación de Amazon S3

  1. Abra la AWS DataSync consola en https://console.aws.amazon.com/datasync/.

  2. En el panel de navegación de la izquierda, expande Transferencia de datos y, a continuación, selecciona Ubicaciones y Crear ubicación.

  3. Para el tipo de ubicación, elija Amazon S3.

  4. En el bucket de S3, elija el bucket que desea usar como ubicación. (Al crear la DataSync tarea más adelante, especifique si esta ubicación es una ubicación de origen o de destino).

    Si su bucket de S3 se encuentra en un AWS Outposts recurso, debe especificar un punto de acceso de Amazon S3. Para obtener más información, consulte Administrar el acceso a datos con puntos de acceso de Amazon S3 en la Guía del usuario de Amazon S3.

  5. Para la clase de almacenamiento S3, elija la clase de almacenamiento que desee que usen los objetos.

    Para obtener más información, consulte Consideraciones sobre las clases de almacenamiento en las transferencias de Amazon S3. DataSyncutiliza de forma predeterminada la clase de almacenamiento S3 Outposts para Amazon S3 en Outposts.

  6. (Solo en Amazon S3 en Outposts) En el caso de los agentes, especifique el nombre de recurso de Amazon (ARN) del DataSync agente en su Outpost.

    Para obtener más información, consulte Despliega a tu agente en AWS Outposts.

  7. En Carpeta, introduzca un prefijo en el bucket de S3 que DataSync lea desde o en el que se escriba (en función de si el bucket es una ubicación de origen o de destino).

    nota

    El prefijo no puede empezar por una barra (por ejemplo/photos) ni incluir barras diagonales consecutivas, por ejemplo. photos//2006/January

  8. En IAM role (Rol de IAM), realice una de las operaciones siguientes:

    • Elija Generar automáticamente DataSync para crear automáticamente un rol de IAM con los permisos necesarios para acceder al bucket de S3.

      Si DataSync anteriormente se creó una función de IAM para este bucket de S3, esa función se elige de forma predeterminada.

    • Elija un rol de IAM personalizado que haya creado. Para obtener más información, consulte Creación manual de un rol de IAM para acceder a un bucket de Amazon S3.

  9. (Opcional) Elige Añadir etiqueta para etiquetar tu ubicación de Amazon S3.

    Una etiqueta es un par clave-valor que le ayuda a administrar, filtrar y buscar sus ubicaciones.

  10. Elige Crear ubicación.

Uso de políticas de IAM para acceder a su bucket de S3

Según la configuración de seguridad del bucket de S3, es posible que tengas que crear una política de IAM personalizada que permita acceder DataSync al bucket.

Creación manual de un rol de IAM para acceder a un bucket de Amazon S3

Si bien DataSync puede crearle un rol de IAM con los permisos de bucket de S3 requeridos, también puede configurar un rol usted mismo.

Para crear manualmente un rol de IAM para acceder a un bucket de Amazon S3

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación izquierdo, en Administración de acceso, elija Funciones y, a continuación, elija Crear rol.

  3. En la página Seleccionar entidad de confianza, en Tipo de entidad de confianza, elija Servicio de AWS.

  4. En Caso de uso, elija DataSyncen la lista desplegable y seleccione DataSync- Ubicación S3. Elija Siguiente.

  5. En la página Agregar permisos, selecciona AmazonS3 FullAccess para S3 en buckets. Regiones de AWS Elija Siguiente.

    Puedes crear manualmente una política más restrictiva que la de AmazonS3 FullAccess. A continuación se muestra un ejemplo:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads"
            ],
            "Effect": "Allow",
            "Resource": "YourS3BucketArn"
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:ListMultipartUploadParts",
                "s3:GetObjectTagging",
                "s3:PutObjectTagging",
                "s3:PutObject"
              ],
            "Effect": "Allow",
            "Resource": "YourS3BucketArn/*"
        }
    ]
}

    Para Amazon S3 en Outposts, utilice la siguiente política:

    
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3-outposts:ListBucket",
                "s3-outposts:ListBucketMultipartUploads"
            ],
            "Effect": "Allow",
            "Resource": [
                "s3OutpostsBucketArn",
                "s3OutpostsAccessPointArn"
            ],
            "Condition": {
                "StringLike": {
                    "s3-outposts:DataAccessPointArn": "s3OutpostsAccessPointArn"
                }
            }
        },
        {
            "Action": [
                "s3-outposts:AbortMultipartUpload",
                "s3-outposts:DeleteObject",
                "s3-outposts:GetObject",
                "s3-outposts:ListMultipartUploadParts",
                "s3-outposts:GetObjectTagging",
                "s3-outposts:PutObjectTagging"
            ],
            "Effect": "Allow",
            "Resource": [
                "s3OutpostsBucketArn/*",
                "s3OutpostsAccessPointArn"
            ],
            "Condition": {
                "StringLike": {
                    "s3-outposts:DataAccessPointArn": "s3OutpostsAccessPointArn"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3-outposts:GetAccessPoint"
            ],
            "Resource": "s3OutpostsAccessPointArn"
        }
    ]
}

  6. Asigne un nombre a su rol y elija Crear rol.

  7. Abra la AWS DataSync consola en https://console.aws.amazon.com/datasync/.

  8. Seleccione el botón de actualización situado junto a la configuración del rol de IAM y, a continuación, elija el rol que acaba de crear.

Prevención del problema del suplente confuso entre servicios

Para evitar el confuso problema de los adjuntos entre servicios, recomendamos utilizar las claves contextuales aws:SourceArn y las condiciones aws:SourceAccount globales en la política de confianza de su rol de IAM.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "datasync.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*"
                }
            }
        }
    ]
}

Acceso a los bucket de S3 mediante cifrado del lado del servidor

DataSyncpuede copiar datos hacia o desde buckets de S3 que utilizan el cifrado del lado del servidor. El tipo de clave de cifrado que utiliza un bucket puede determinar si necesita una política personalizada que permita acceder DataSync al bucket.

Cuando se utilice DataSync con buckets de S3 que utilizan cifrado del lado del servidor, recuerde lo siguiente:

  • Si tu bucket de S3 está cifrado con una clave AWS gestionada, DataSync puedes acceder a los objetos del bucket de forma predeterminada si todos tus recursos están en el mismo contenedorCuenta de AWS.

  • Si su bucket de S3 está cifrado con una clave administrada por el cliente AWS Key Management Service (AWS KMS) (SSE-KMS), la política de la clave debe incluir la función de IAM que se DataSync utiliza para acceder al bucket.

  • Si su bucket de S3 está cifrado con una clave SSE-KMS administrada por el cliente y en otra diferente Cuenta de AWS, DataSync necesita permiso para acceder al bucket del otro. Cuenta de AWS Puede configurarlo de la siguiente manera:

  • Si el bucket de S3 está cifrado con una clave de cifrado proporcionada por el cliente (SSE-C), no DataSync se puede acceder a este bucket.

El siguiente ejemplo es una política de claves para una clave SSE-KMS administrada por el cliente. La política está asociada a un bucket de S3 que utiliza el cifrado del lado del servidor. Los siguientes valores son específicos de su configuración:

  • su-cuenta — Su. Cuenta de AWS

  • your-admin-role— El rol de IAM que puede administrar la clave.

  • your-datasync-role— El rol de IAM que permite DataSync usar la clave al acceder al bucket.

{
    "Id": "key-consolepolicy-3",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable IAM Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::your-account:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow access for Key Administrators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::your-account:role/your-admin-role"
            },
            "Action": [
                "kms:Create*",
                "kms:Describe*",
                "kms:Enable*",
                "kms:List*",
                "kms:Put*",
                "kms:Update*",
                "kms:Revoke*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Delete*",
                "kms:TagResource",
                "kms:UntagResource",
                "kms:ScheduleKeyDeletion",
                "kms:CancelKeyDeletion"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::your-account:role/your-datasync-role"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow attachment of persistent resources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::your-account:role/your-datasync-role"
            },
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        }
    ]
}

Transferencia hacia o desde buckets de S3 en diferentes Cuentas de AWS

ConDataSync, puede mover datos hacia o desde cubos de S3 de diferentes maneras. Cuentas de AWS Para obtener más información, consulte los siguientes tutoriales: