Creazione di una IAM policy per l'accesso alle risorse di Amazon S3 - Amazon Aurora

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di una IAM policy per l'accesso alle risorse di Amazon S3

Aurora può accedere alle risorse di Amazon S3 per caricare i dati o per salvare i dati da un cluster DB Aurora. Tuttavia, devi prima creare una IAM policy che fornisca le autorizzazioni per i bucket e gli oggetti che consentono ad Aurora di accedere ad Amazon S3.

La tabella seguente indica le funzionalità di Aurora che possono accedere a un bucket Amazon S3 per tuo conto e le autorizzazioni minime del bucket e dell'oggetto richieste da ciascuna funzionalità.

Caratteristica Autorizzazioni del bucket Autorizzazioni dell'oggetto

LOAD DATA FROM S3

ListBucket

GetObject

GetObjectVersion
LOAD XML FROM S3

ListBucket

GetObject

GetObjectVersion

SELECT INTO OUTFILE S3

ListBucket

AbortMultipartUpload

DeleteObject

GetObject

ListMultipartUploadParts

PutObject

La seguente policy aggiunge le autorizzazioni che Amazon S3 potrebbe richiedere da Aurora per accedere al bucket per tuo conto. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAuroraToExampleBucket",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:AbortMultipartUpload",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}
Nota

Assicurati di includere entrambe le voci per il valore Resource. Aurora ha bisogno delle autorizzazioni sia sul bucket stesso che su tutti gli oggetti all'interno del bucket.

In base al caso d'uso, potrebbe non essere necessario aggiungere tutte le autorizzazioni presenti nella policy di esempio. Potrebbero inoltre essere richieste altre autorizzazioni. Ad esempio, se il bucket Amazon S3 è crittografato, occorre aggiungere autorizzazioni kms:Decrypt.

Puoi utilizzare i seguenti passaggi per creare una IAM policy che fornisca le autorizzazioni minime richieste ad Aurora per accedere a un bucket Amazon S3 per tuo conto. Per consentire ad Aurora di accedere a tutti i tuoi bucket Amazon S3, puoi saltare questi passaggi e utilizzare AmazonS3ReadOnlyAccess la policy IAM predefinita invece di AmazonS3FullAccess crearne una tua.

Per creare una IAM politica per concedere l'accesso alle tue risorse Amazon S3

  1. Aprire la console di gestione IAM.

  2. Nel pannello di navigazione, selezionare Policies (Policy).

  3. Scegli Create Policy (Crea policy).

  4. Nella scheda Visual editor (Editor visivo) selezionare Choose a service (Scegli un servizio) e quindi S3.

  5. Per Azioni, scegli Espandi tutto, quindi scegli le autorizzazioni del bucket e le autorizzazioni degli oggetti necessarie per la policy. IAM

    Le autorizzazioni dell'oggetto si riferiscono alle operazioni sugli oggetti in Amazon S3 e devono essere concesse per gli oggetti presenti nel bucket e non per il bucket stesso. Per ulteriori informazioni sulle autorizzazioni per le operazioni degli oggetti in Amazon S3, consulta Autorizzazioni per operazioni relative agli oggetti.

  6. Scegli Risorse e scegli Aggiungi ARN per bucket.

  7. Nella finestra di dialogo ARNAggiungi/i, fornisci i dettagli sulla tua risorsa e scegli Aggiungi.

    Specificare il bucket Amazon S3 a cui consentire l'accesso. Ad esempio, se desideri consentire ad Aurora di accedere al bucket Amazon S3 denominato amzn-s3-demo-bucket, quindi imposta il valore Amazon Resource Name (ARN) suarn:aws:s3:::amzn-s3-demo-bucket.

  8. Se la risorsa oggetto è elencata, scegli Aggiungi ARN per oggetto.

  9. Nella finestra di dialogo ARNAggiungi/i, fornite i dettagli sulla risorsa.

    Per il bucket Amazon S3 specificare il bucket Amazon S3 a cui consentire l'accesso. Per l'oggetto, è anche possibile scegliere Any (Qualsiasi) per concedere le autorizzazioni per qualsiasi oggetto nel bucket.

    Nota

    Puoi impostare Amazon Resource Name (ARN) su un ARN valore più specifico per consentire ad Aurora di accedere solo a file o cartelle specifici in un bucket Amazon S3. Per ulteriori informazioni su come definire una policy di accesso per Amazon S3, consulta Gestione delle autorizzazioni di accesso alle risorse Amazon S3.

  10. (Facoltativo) Scegli Aggiungi ARN per bucket per aggiungere un altro bucket Amazon S3 alla policy e ripeti i passaggi precedenti per il bucket.

    Nota

    È possibile ripetere questa operazione per aggiungere le istruzioni di autorizzazione del bucket corrispondenti alla policy per ciascun bucket Amazon S3 a cui Aurora deve accedere. Facoltativamente, è anche possibile concedere l'accesso a tutti i bucket e gli oggetti in Amazon S3.

  11. Scegliere Review policy (Esamina policy).

  12. Per Nome, inserisci un nome per la tua IAM politica, ad esempio. AllowAuroraToExampleBucket Questo nome viene utilizzato quando si crea un IAM ruolo da associare al cluster Aurora DB. È anche possibile aggiungere un valore Description (Descrizione) facoltativo.

  13. Seleziona Create Policy (Crea policy).

  14. Completa le fasi descritte in Creazione di un ruolo IAM per consentire ad Amazon Aurora di accedere ai servizi AWS.