View a markdown version of this page

Mengkonfigurasi akses File Amazon S3 - AWS Lambda
Prasyarat dan pengaturanPeran eksekusi dan izin penggunaMenyambung ke sistem file (konsol)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi akses File Amazon S3

File Amazon S3 menghadirkan sistem file bersama yang menghubungkan sumber daya AWS komputasi apa pun secara langsung dengan data Anda di Amazon S3. File Amazon S3 menyediakan akses ke objek Amazon S3 Anda sebagai file menggunakan operasi sistem file standar seperti baca dan tulis di jalur pemasangan lokal. Pelajari selengkapnya tentang File Amazon S3.

Prasyarat dan pengaturan

Sebelum Anda mengatur File Amazon S3 dengan fungsi Lambda Anda, pastikan Anda memiliki yang berikut:

  • Sistem file Amazon S3 dan memasang target dalam status yang tersedia di akun yang sama dan Wilayah AWS sebagai fungsi Lambda Anda.

  • Fungsi Lambda dalam VPC yang sama dengan target pemasangan. Anda harus memiliki target mount di setiap subnet tempat fungsi Anda diterapkan.

  • Grup keamanan yang memungkinkan lalu lintas NFS (port 2049) antara fungsi Lambda Anda dan target pemasangan. Pelajari lebih lanjut tentang mengonfigurasi grup keamanan.

Untuk informasi selengkapnya, lihat topik berikut di Panduan Pengguna Amazon S3:

Peran eksekusi dan izin pengguna

Peran eksekusi fungsi Anda harus memiliki izin berikut untuk mengakses sistem file File Amazon S3:

Izin peran eksekusi

  • s3files: ClientMount - Diperlukan untuk me-mount sistem file.

  • s3files: ClientWrite - Diperlukan untuk akses baca-tulis. Tidak diperlukan untuk koneksi read-only.

Izin ini disertakan dalam kebijakan terkelola AmazonS3 FilesClientReadWriteAccess. Selain itu, peran eksekusi Anda harus memiliki izin yang diperlukan untuk terhubung ke VPC sistem file.

catatan

File Amazon S3 mengoptimalkan throughput dengan membaca langsung dari Amazon S3. Pembacaan langsung dari Amazon S3 hanya didukung untuk fungsi yang dikonfigurasi dengan memori 512 MB atau lebih.

Fungsi Anda juga memerlukan izin berikut untuk membaca langsung dari Amazon S3:

  • s3: GetObject

  • s3: GetObjectVersion

Untuk informasi selengkapnya tentang izin yang diperlukan, lihat izin IAM untuk File Amazon S3 di Panduan Pengguna Amazon S3.

Saat Anda mengonfigurasi sistem file di konsol, Lambda menggunakan izin Anda untuk memverifikasi target pemasangan dan titik akses. Untuk mengonfigurasi fungsi untuk terhubung ke sistem file, pengguna Anda memerlukan izin berikut:

Izin pengguna

  • s3file: ListFileSystems

  • s3file: ListAccessPoints

  • s3file: GetFileSystem

  • s3file: GetAccessPoint

  • s3files: CreateAccessPoint — Diperlukan jika melampirkan sistem file ke fungsi dari konsol.

Contoh kebijakan berikut memberikan izin peran eksekusi fungsi Anda untuk memasang sistem file Amazon S3 dengan akses baca-tulis dan baca langsung dari Amazon S3.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "S3FilesLambdaAccess",
            "Effect": "Allow",
            "Action": [
                "s3files:ClientMount",
                "s3files:ClientWrite"
            ],
            "Resource": "*"
        },
        {
            "Sid": "S3DirectRead",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": "arn:aws:s3:::bucket-name/*"
        },
        {
            "Sid": "S3FilesConsoleSetup",
            "Effect": "Allow",
            "Action": [
                "s3files:ListFileSystems",
                "s3files:ListAccessPoints",
                "s3files:GetFileSystem",
                "s3files:GetAccessPoint",
                "s3files:CreateAccessPoint"
            ],
            "Resource": "*"
        }
    ]
}

Menyambung ke sistem file (konsol)

Fungsi terhubung ke sistem file melalui jaringan lokal di VPC. Subnet yang terhubung ke fungsi Anda dapat berupa subnet yang sama yang berisi titik pemasangan untuk sistem file Anda, atau subnet di Availability Zone yang sama yang dapat mengarahkan lalu lintas NFS (port 2049) ke sistem file.

catatan

Jika fungsi Anda belum terhubung ke VPC, lihat Memberikan fungsi Lambda akses ke sumber daya di VPC Amazon.

Untuk mengkonfigurasi akses File S3

  1. Buka halaman Fungsi di konsol Lambda.

  2. Pilih fungsi.

  3. Pilih Konfigurasi, lalu pilih Sistem file.

  4. Pilih Tambahkan sistem file (atau Edit untuk mengubah konfigurasi yang ada).

  5. Pilih File S3.

  6. Konfigurasikan properti berikut:

    • Sistem file S3 - Pilih sistem file dari dropdown.

    • Titik akses (opsional) - Pilih titik akses. Jika sistem file tidak memiliki titik akses, Lambda secara otomatis membuat satu ketika Anda menyimpan (UID/GID 1000:1000, direktori root, izin 755). /lambda Jika titik akses ada, Anda harus memilih satu.

    • Jalur pemasangan lokal – Lokasi tempat sistem file dipasang pada fungsi Lambda, memulai dengan /mnt/.

  7. Pilih Simpan.

Sistem file Anda akan dilampirkan saat berikutnya Anda menjalankan fungsi Lambda Anda.