Membuat IAM kebijakan untuk mengakses sumber daya Amazon S3

Aurora dapat mengakses sumber daya Amazon S3 untuk memuat data ke atau menyimpan data dari klaster DB Aurora. Namun, Anda harus terlebih dahulu membuat IAM kebijakan yang menyediakan izin bucket dan objek yang memungkinkan Aurora mengakses Amazon S3.

Tabel berikut mencantumkan fitur Aurora yang dapat mengakses bucket Amazon S3 atas nama Anda, serta izin bucket dan objek minimum yang diperlukan setiap fitur.

Fitur Izin bucket Izin objek

Fitur	Izin bucket	Izin objek
`LOAD DATA FROM S3`	`ListBucket`	`GetObject` `GetObjectVersion`
`LOAD XML FROM S3`	`ListBucket`	`GetObject` `GetObjectVersion`
`SELECT INTO OUTFILE S3`	`ListBucket`	`AbortMultipartUpload` `DeleteObject` `GetObject` `ListMultipartUploadParts` `PutObject`

LOAD DATA FROM S3

ListBucket

GetObject

GetObjectVersion

LOAD XML FROM S3

ListBucket

GetObject

GetObjectVersion

SELECT INTO OUTFILE S3

ListBucket

AbortMultipartUpload

DeleteObject

GetObject

ListMultipartUploadParts

PutObject

Kebijakan berikut menambahkan izin yang mungkin diperlukan Aurora untuk mengakses bucket Amazon S3 atas nama Anda.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAuroraToExampleBucket",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:AbortMultipartUpload",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}

catatan

Pastikan untuk menyertakan kedua entri tersebut untuk nilai Resource. Aurora memerlukan izin pada bucket itu sendiri dan semua objek di dalam bucket.

Berdasarkan kasus penggunaan Anda, Anda mungkin tidak perlu menambahkan semua izin dalam contoh kebijakan. Selain itu, izin lain mungkin diperlukan. Misalnya, jika bucket Amazon S3 Anda dienkripsi, Anda perlu menambahkan izin kms:Decrypt.

Anda dapat menggunakan langkah-langkah berikut untuk membuat IAM kebijakan yang memberikan izin minimum yang diperlukan bagi Aurora untuk mengakses bucket Amazon S3 atas nama Anda. Untuk mengizinkan Aurora mengakses semua bucket Amazon S3 Anda, Anda dapat melewati langkah-langkah ini dan menggunakan kebijakan AmazonS3FullAccess atau kebijakan yang IAM telah ditentukan sebelumnya alih-alih membuat sendiri. AmazonS3ReadOnlyAccess

Untuk membuat IAM kebijakan untuk memberikan akses ke sumber daya Amazon S3

Buka Konsol IAM Manajemen.
Di panel navigasi, pilih Kebijakan.
Pilih Buat kebijakan.
Pada tab Editor visual, pilih Pilih layanan, lalu pilih S3.
Untuk Tindakan, pilih Perluas semua, lalu pilih izin bucket dan izin objek yang diperlukan untuk kebijakan tersebutIAM.

Izin objek adalah izin untuk operasi objek di Amazon S3, dan perlu diberikan untuk objek dalam bucket, bukan bucket itu sendiri. Untuk informasi selengkapnya tentang izin untuk operasi objek di Amazon S3, lihat Izin untuk operasi objek.
Pilih Resources, lalu pilih Add ARN for bucket.
Dalam kotak dialog Add ARN (s), berikan detail tentang sumber daya Anda, dan pilih Tambah.

Tentukan ke bucket Amazon S3 mana akses akan diizinkan. Misalnya, jika Anda ingin mengizinkan Aurora mengakses bucket Amazon S3 bernama amzn-s3-demo-bucket, lalu atur nilai Amazon Resource Name (ARN) kearn:aws:s3:::amzn-s3-demo-bucket.
Jika sumber daya objek terdaftar, pilih Tambah ARN untuk objek.
Dalam kotak dialog Add ARN (s), berikan detail tentang sumber daya Anda.

Untuk bucket Amazon S3, tentukan ke bucket Amazon S3 mana akses akan diizinkan. Untuk objeknya, Anda dapat memilih Apa pun untuk memberikan izin ke objek apa pun di bucket.

catatan
Anda dapat menyetel Amazon Resource Name (ARN) ke ARN nilai yang lebih spesifik agar Aurora hanya dapat mengakses file atau folder tertentu di bucket Amazon S3. Untuk informasi selengkapnya tentang cara penentuan kebijakan akses untuk Amazon S3, lihat Mengelola izin akses ke sumber daya Amazon S3 Anda.
(Opsional) Pilih Tambah ARN untuk bucket untuk menambahkan bucket Amazon S3 lain ke kebijakan, dan ulangi langkah sebelumnya untuk bucket.

catatan
Anda dapat mengulanginya untuk menambahkan pernyataan izin bucket yang sesuai ke kebijakan Anda untuk setiap bucket Amazon S3 yang Anda ingin agar diakses Aurora. Secara opsional, Anda juga dapat memberikan akses ke semua bucket dan objek di Amazon S3.
Pilih Tinjau kebijakan.
Untuk Nama, masukkan nama untuk IAM kebijakan Anda, misalnyaAllowAuroraToExampleBucket. Anda menggunakan nama ini saat membuat IAM peran untuk dikaitkan dengan cluster Aurora DB Anda. Anda juga dapat menambahkan nilai Deskripsi opsional.
Pilih Buat kebijakan.
Selesaikan langkah-langkah dalam Membuat peran IAM untuk mengizinkan Amazon Aurora mengakses layanan AWS.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menyiapkan peran IAM untuk mengakses layanan AWS

Membuat kebijakan IAM untuk mengakses Lambda