Menyiapkan izin - Amazon Simple Storage Service
Membuat peran IAMMemberikan izin saat bucket sumber dan tujuan dimiliki oleh yang berbeda Akun AWSMemberikan izin untuk Operasi Batch S3Mengubah kepemilikan replikaMengaktifkan penerimaan objek yang direplikasi dari bucket sumber

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan izin

Saat menyiapkan replikasi, Anda harus memperoleh izin yang diperlukan sebagai berikut:

  • Amazon S3 membutuhkan izin untuk mereplikasi objek atas nama Anda. Anda memberikan izin ini dengan membuat peran IAM lalu menentukan peran tersebut dalam konfigurasi replikasi Anda.

  • Saat bucket sumber dan tujuan tidak dimiliki oleh akun yang sama, pemilik bucket tujuan harus memberi pemilik bucket sumber izin untuk menyimpan replika.

Membuat peran IAM

Secara default, semua sumber daya Amazon S3—bucket, objek, dan subsumber terkait—bersifat privat dan hanya pemilik sumber daya yang bisa mengakses sumber daya. Amazon S3 membutuhkan izin untuk membaca dan mereplikasi objek dari bucket sumber. Anda memberikan izin ini dengan membuat peran IAM dan menentukan peran tersebut dalam konfigurasi replikasi Anda.

Bagian ini menjelaskan kebijakan kepercayaan dan kebijakan izin minimum yang diperlukan. Contoh penelusuran memberikan step-by-step instruksi untuk membuat peran IAM. Untuk informasi selengkapnya, lihat Panduan: Contoh untuk mengonfigurasi replikasi.

  • Contoh berikut menunjukkan kebijakan kepercayaan, yaitu saat Anda mengidentifikasi Amazon S3 sebagai pengguna utama layanan yang dapat mengasumsikan peran tersebut.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"s3.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

  • Contoh berikut menunjukkan kebijakan kepercayaan, yaitu saat Anda mengidentifikasi Amazon S3 dan Operasi Batch S3 sebagai pengguna utama layanan. Ini berguna jika Anda membuat tugas Replikasi Batch. Untuk informasi selengkapnya, lihat Membuat tugas Replikasi Batch untuk aturan replikasi pertama atau tujuan baru.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service": [
              "s3.amazonaws.com",
              "batchoperations.s3.amazonaws.com"
           ]
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

    Untuk informasi selengkapnya tentang peran IAM, lihat Peran IAM dalam Panduan Pengguna IAM.

  • Contoh berikut menunjukkan kebijakan akses, yaitu ketika Anda memberikan izin peran untuk melakukan tugas replikasi atas nama Anda. Saat Amazon S3 memegang peran tersebut, Amazon S3 memiliki izin yang Anda tentukan dalam kebijakan ini. Dalam kebijakan ini, DOC-EXAMPLE-BUCKET1 adalah bucket sumber, dan DOC-EXAMPLE-BUCKET2 merupakan bucket tujuan.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetReplicationConfiguration",
            "s3:ListBucket"
         ],
         "Resource":[
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET1"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetObjectVersionForReplication",
            "s3:GetObjectVersionAcl",
            "s3:GetObjectVersionTagging"
         ],
         "Resource":[
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:ReplicateObject",
            "s3:ReplicateDelete",
            "s3:ReplicateTags"
         ],
         "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*"
      }
   ]
}

    Kebijakan akses memberikan izin untuk tindakan berikut:

    • s3:GetReplicationConfiguration dan s3:ListBucket–Izin untuk tindakan ini di bucket DOC-EXAMPLE-BUCKET1 (bucket sumber) memungkinkan Amazon S3 untuk mengambil konfigurasi replikasi dan mencantumkan konten bucket. (Model izin saat ini memerlukan izin s3:ListBucket untuk mengakses penanda hapus.)

    • s3:GetObjectVersionForReplication dan s3:GetObjectVersionAcl–Izin untuk tindakan ini diberikan pada semua objek untuk memungkinkan Amazon S3 mendapatkan versi objek tertentu dan daftar kontrol akses (ACL) yang terkait dengan objek.

    • s3:ReplicateObject dan s3:ReplicateDelete–Izin untuk tindakan ini pada semua objek di bucket DOC-EXAMPLE-BUCKET2 (bucket tujuan) memungkinkan Amazon S3 mereplikasi objek atau penanda hapus ke bucket tujuan. Untuk informasi tentang penanda hapus, lihat Bagaimana cara menghapus operasi yang memengaruhi replikasi.

      catatan

      Izin untuk tindakan s3:ReplicateObject pada bucket DOC-EXAMPLE-BUCKET2 (bucket tujuan) juga memungkinkan replikasi metadata seperti tag objek dan ACLS. Oleh karena itu Anda tidak perlu secara eksplisit memberikan izin untuk tindakan s3:ReplicateTags tersebut.

    • s3:GetObjectVersionTagging–Izin untuk tindakan ini pada objek di dalam bucket DOC-EXAMPLE-BUCKET1 (bucket sumber) memungkinkan Amazon S3 membaca tag objek untuk replikasi. Untuk informasi selengkapnya, lihat Mengategorikan penyimpanan Anda menggunakan tag. Jika Amazon S3 tidak memiliki izin ini, Amazon S3 akan mereplikasi objek, tetapi tidak dengan tag objek.

    Untuk daftar tindakan Amazon S3, lihat Tindakan, sumber daya, dan kunci kondisi untuk Amazon S3 di Referensi Otorisasi Layanan.

    penting

    Akun AWS Yang memiliki peran IAM harus memiliki izin untuk tindakan yang diberikannya ke peran IAM.

    Misalnya, anggaplah bucket sumber berisi objek yang dimiliki oleh Akun AWS lain. Pemilik objek harus secara eksplisit memberikan Akun AWS yang memiliki peran IAM izin yang diperlukan melalui objek ACL. Jika tidak, Amazon S3 tidak dapat mengakses objek, dan replikasi objek akan gagal. Untuk informasi tentang izin ACL, lihat Gambaran umum daftar kontrol akses (ACL).

    Izin yang dijelaskan di sini terkait dengan konfigurasi replikasi minimum. Jika Anda memilih untuk menambahkan konfigurasi replikasi opsional, Anda harus memberikan izin tambahan ke Amazon S3. Untuk informasi selengkapnya, lihat Konfigurasi replikasi tambahan.

Memberikan izin saat bucket sumber dan tujuan dimiliki oleh yang berbeda Akun AWS

Saat bucket sumber dan tujuan tidak dimiliki oleh akun yang sama, pemilik bucket tujuan juga harus menambahkan kebijakan bucket guna memberi pemilik bucket sumber izin untuk melakukan tindakan replikasi sebagai berikut. Dalam kebijakan ini, DOC-EXAMPLE-BUCKET2 adalah bucket tujuan.

catatan

Format ARN peran mungkin tampak berbeda. Jika peran dibuat dengan menggunakan konsol, format ARN adalah. arn:aws:iam::account-ID:role/service-role/role-name Jika peran dibuat dengan menggunakan AWS CLI, format ARN adalah. arn:aws:iam::account-ID:role/role-name Untuk informasi selengkapnya, lihat peran IAM dalam Panduan Pengguna IAM. 

{
   "Version":"2012-10-17",
   "Id":"PolicyForDestinationBucket",
   "Statement":[
      {
         "Sid":"Permissions on objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::SourceBucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":[
            "s3:ReplicateDelete",
            "s3:ReplicateObject"
         ],
         "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*"
      },
      {
         "Sid":"Permissions on bucket",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::SourceBucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action": [
            "s3:List*",
            "s3:GetBucketVersioning",
            "s3:PutBucketVersioning"
         ],
         "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET2"
      }
   ]
}

Sebagai contoh, lihat Mengonfigurasi replikasi ketika bucket sumber dan tujuan dimiliki oleh akun yang berbeda.

Jika objek dalam bucket sumber ditandai, perhatikan hal berikut:

  • Jika pemilik bucket sumber memberikan izin kepada Amazon S3 untuk tindakan s3:GetObjectVersionTagging dan s3:ReplicateTags guna mereplikasi tag objek (melalui peran IAM), Amazon S3 mereplikasi tag beserta objek. Untuk informasi tentang peran IAM, lihat Membuat peran IAM.

  • Jika pemilik bucket tujuan tidak ingin mereplikasi tag, mereka dapat menambahkan pernyataan berikut ke kebijakan bucket tujuan untuk secara eksplisit menolak izin bagi tindakan s3:ReplicateTags. Dalam kebijakan ini, DOC-EXAMPLE-BUCKET2 adalah bucket tujuan.

    ...
   "Statement":[
      {
         "Effect":"Deny",
         "Principal":{
            "AWS":"arn:aws:iam::SourceBucket-account-id:role/service-role/source-account-IAM-role"
         },
         "Action":"s3:ReplicateTags",
         "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*"
      }
   ]
...

Memberikan izin untuk Operasi Batch S3

Replikasi Batch S3 memberi Anda cara untuk mereplikasi objek yang ada sebelum konfigurasi replikasi ada, objek yang sebelumnya telah direplikasi, dan objek yang gagal direplikasi. Anda dapat membuat tugas Replikasi Batch satu kali saat membuat aturan pertama dalam konfigurasi replikasi baru atau saat menambahkan tujuan baru ke konfigurasi yang ada melalui AWS Management Console. Anda juga dapat memulai Replikasi Batch untuk konfigurasi replikasi yang ada dengan membuat tugas Operasi Batch.

Untuk contoh peran dan kebijakan IAM Replikasi Batch, lihat, Mengonfigurasi kebijakan IAM untuk Replikasi Batch.

Mengubah kepemilikan replika

Jika berbeda Akun AWS memiliki bucket sumber dan tujuan, Anda dapat memberi tahu Amazon S3 untuk mengubah kepemilikan replika ke bucket Akun AWS yang memiliki tujuan. Untuk informasi selengkapnya tentang penggantian pemilik, lihat Mengubah pemilik replika.

Mengaktifkan penerimaan objek yang direplikasi dari bucket sumber

Anda dapat dengan cepat membuat kebijakan yang diperlukan untuk mengaktifkan penerimaan objek yang direplikasi dari bucket sumber melalui AWS Management Console.

  1. Masuk ke AWS Management Console dan buka konsol Amazon S3 di https://console.aws.amazon.com/s3/.

  2. Di panel navigasi kiri, pilih Bucket.

  3. Di daftar Bucket, pilih bucket yang ingin Anda gunakan sebagai bucket tujuan.

  4. Pilih tab Manajemen, lalu gulir ke bawah ke Aturan replikasi.

  5. Untuk Tindakan, pilih Menerima objek yang direplikasi.

    Ikuti petunjuknya dan masukkan Akun AWS ID akun bucket sumber, lalu pilih Buat kebijakan. Ini akan menghasilkan kebijakan bucket Amazon S3 dan kebijakan kunci KMS.

  6. Untuk menambahkan kebijakan ini ke kebijakan bucket yang ada, pilih Terapkan pengaturan atau pilih Salin untuk menyalin perubahan secara manual.

  7. (Opsional) Salin AWS KMS kebijakan ke kebijakan kunci KMS yang Anda inginkan di AWS Key Management Service konsol.