Mengkonfigurasi replikasi untuk bucket di akun yang berbeda - Amazon Simple Storage Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi replikasi untuk bucket di akun yang berbeda

Replikasi langsung adalah penyalinan objek otomatis dan asinkron di seluruh ember dalam hal yang sama atau berbeda. Wilayah AWS Replikasi langsung menyalin objek dan pembaruan objek yang baru dibuat dari bucket sumber ke bucket atau bucket tujuan. Untuk informasi selengkapnya, lihat Mereplikasi objek di dalam dan di seluruh Wilayah.

Saat mengonfigurasi replikasi, Anda menambahkan aturan replikasi ke bucket sumber. Aturan replikasi menentukan objek bucket sumber mana yang akan direplikasi dan bucket tujuan atau bucket tempat objek yang direplikasi disimpan. Anda dapat membuat aturan untuk mereplikasi semua objek dalam bucket atau subset objek dengan awalan nama kunci tertentu, satu atau beberapa tag objek, atau keduanya. Bucket tujuan bisa Akun AWS sama dengan bucket sumber, atau bisa juga di akun yang berbeda.

Jika Anda menentukan ID versi objek yang akan dihapus, Amazon S3 menghapus versi objek tersebut dalam bucket sumber. Tetapi ini tidak mereplikasi penghapusan di bucket tujuan. Dengan kata lain, itu tidak menghapus versi objek yang sama dari bucket tujuan. Ini melindungi data dari penghapusan berbahaya.

Ketika Anda menambahkan aturan replikasi ke bucket, aturan diaktifkan secara default, sehingga aturan mulai bekerja segera setelah Anda menyimpannya.

Menyiapkan replikasi langsung ketika bucket sumber dan tujuan dimiliki oleh berbeda Akun AWS mirip dengan menyiapkan replikasi ketika kedua bucket dimiliki oleh akun yang sama. Namun, ada beberapa perbedaan saat Anda mengonfigurasi replikasi dalam skenario lintas akun:

  • Pemilik bucket tujuan harus memberikan izin kepada pemilik bucket sumber untuk mereplikasi objek dalam kebijakan bucket tujuan.

  • Jika Anda mereplikasi objek yang dienkripsi dengan enkripsi sisi server dengan AWS Key Management Service (AWS KMS) keys (SSE-KMS) dalam skenario lintas akun, pemilik KMS kunci harus memberikan izin kepada pemilik bucket sumber untuk menggunakan kunci tersebut. KMS Untuk informasi selengkapnya, lihat Memberikan izin tambahan untuk skenario lintas akun.

  • Secara default, objek yang direplikasi dimiliki oleh pemilik bucket sumber. Dalam skenario lintas akun, Anda mungkin ingin mengonfigurasi replikasi untuk mengubah kepemilikan objek yang direplikasi menjadi pemilik bucket tujuan. Untuk informasi selengkapnya, lihat Mengubah pemilik replika.

Untuk mengonfigurasi replikasi saat bucket sumber dan tujuan dimiliki oleh yang berbeda Akun AWS

  1. Dalam contoh ini, Anda membuat bucket sumber dan tujuan dalam dua yang berbeda Akun AWS. Anda harus memiliki dua profil kredensi yang ditetapkan untuk. AWS CLI Contoh ini menggunakan acctA dan acctB untuk nama-nama profil tersebut. Untuk informasi tentang menyetel profil kredensi dan menggunakan profil bernama, lihat Pengaturan konfigurasi dan file kredensi di AWS Command Line Interface Panduan Pengguna.

  2. Ikuti step-by-step instruksi Mengkonfigurasi replikasi untuk bucket di akun yang sama dengan perubahan berikut:

    • Untuk semua AWS CLI perintah yang terkait dengan aktivitas bucket sumber (seperti membuat bucket sumber, mengaktifkan pembuatan versi, dan membuat IAM peran), gunakan profil. acctA Gunakan acctB profil untuk membuat bucket tujuan.

    • Pastikan kebijakan izin untuk IAM peran menentukan bucket sumber dan tujuan yang Anda buat untuk contoh ini.

  3. Di konsol, tambahkan kebijakan bucket berikut pada bucket tujuan agar pemilik bucket sumber dapat mereplikasi objek. Untuk petunjuk, silakan lihat Menambahkan kebijakan bucket dengan menggunakan konsol Amazon S3. Pastikan untuk mengedit kebijakan dengan memberikan Akun AWS ID pemilik bucket sumber, nama IAM peran, dan nama bucket tujuan.

    catatan

    Untuk menggunakan contoh berikut, ganti user input placeholders dengan informasi Anda sendiri. Ganti amzn-s3-demo-destination-bucket dengan nama bucket tujuan Anda. Ganti source-bucket-account-ID:role/service-role/source-account-IAM-role di IAM Amazon Resource Name (ARN) dengan IAM peran yang Anda gunakan untuk konfigurasi replikasi ini.

    Jika Anda membuat peran IAM layanan secara manual, setel jalur peran di IAM ARN asrole/service-role/, seperti yang ditunjukkan pada contoh kebijakan berikut. Untuk informasi selengkapnya, lihat IAMARNsdi Panduan IAM Pengguna. 

    {
   "Version":"2012-10-17",
   "Id":"",
   "Statement":[
      {
         "Sid":"Set-permissions-for-objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::source-bucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":["s3:ReplicateObject", "s3:ReplicateDelete"],
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
      },
      {
         "Sid":"Set permissions on bucket",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::source-bucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":["s3:GetBucketVersioning", "s3:PutBucketVersioning"],
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket"
      }
   ]
}

  4. (Opsional) Jika Anda mereplikasi objek yang dienkripsi dengan SSE -KMS, pemilik KMS kunci harus memberikan izin pemilik bucket sumber untuk menggunakan kunci. KMS Untuk informasi selengkapnya, lihat Memberikan izin tambahan untuk skenario lintas akun.

  5. (Opsional) Dalam replikasi, pemilik objek sumber memiliki replika secara default. Jika bucket sumber dan tujuan dimiliki oleh yang berbeda Akun AWS, Anda dapat menambahkan pengaturan konfigurasi opsional untuk mengubah kepemilikan replika ke bucket Akun AWS yang memiliki tujuan. Ini termasuk pemberian izin ObjectOwnerOverrideToBucketOwner. Untuk informasi selengkapnya, lihat Mengubah pemilik replika.