Configurazione dell'accesso a un bucket Simple Storage Service (Amazon S3) - Amazon Aurora
Identificare il bucket Simple Storage Service (Amazon S3)Fornisci l'accesso a un bucket utilizzando un ruolo IAMUtilizzo di un bucket S3 multiaccountUtilizzo di una chiave per più account KMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dell'accesso a un bucket Simple Storage Service (Amazon S3)

Individua il bucket Amazon S3 e fornisci allo snapshot l'autorizzazione per accedervi.

Identificazione del bucket Simple Storage Service (Amazon S3) in cui esportare

Identificare il bucket Simple Storage Service (Amazon S3) in cui esportare lo snapshot DB. Utilizzare un bucket S3 esistente o crearne uno nuovo.

Nota

Il bucket S3 in cui esportare deve trovarsi nella stessa AWS regione dello snapshot.

Per ulteriori informazioni sull'utilizzo dei bucket Simple Storage Service (Amazon S3), vedere quanto segue in Guida per l'utente di Amazon Simple Storage Service:

Fornire l'accesso a un bucket Amazon S3 utilizzando un ruolo IAM

Prima di esportare i dati dello snapshot DB in Simple Storage Service (Amazon S3), fornire l'autorizzazione di accesso in scrittura alle attività di esportazione dello snapshot al bucket Simple Storage Service (Amazon S3).

Per concedere questa autorizzazione, crea una IAM policy che fornisca l'accesso al bucket, quindi crea un IAM ruolo e allega la policy al ruolo. Successivamente, puoi assegnare il IAM ruolo all'attività di esportazione delle istantanee.

Importante

Se si prevede di utilizzare il AWS Management Console per esportare l'istantanea, è possibile scegliere di creare automaticamente la IAM politica e il ruolo quando si esporta l'istantanea. Per istruzioni, consulta Creazione di attività di esportazione di istantanee.

Per fornire alle attività dello snapshot DB l'accesso a Amazon S3

  1. Crea una politica. IAM Questa policy fornisce le autorizzazioni al bucket e all'oggetto che consentono all'attività di esportazione snapshot l'accesso a Amazon S3.

    Includi nella policy le seguenti operazioni obbligatorie per consentire il trasferimento dei file da Amazon Aurora a un bucket S3:

    • s3:PutObject*

    • s3:GetObject*

    • s3:ListBucket

    • s3:DeleteObject*

    • s3:GetBucketLocation

    Includi nella policy le seguenti risorse per identificare il bucket S3 e gli oggetti nel bucket. Il seguente elenco di risorse mostra il formato Amazon Resource Name (ARN) per accedere ad Amazon S3.

    • arn:aws:s3:::amzn-s3-demo-bucket

    • arn:aws:s3:::amzn-s3-demo-bucket/*

    Per ulteriori informazioni sulla creazione di una IAM policy per Amazon Aurora, consulta. Creazione e utilizzo di una policy IAM per l'accesso al database IAM Vedi anche Tutorial: Crea e allega la tua prima politica gestita dai clienti nella Guida per l'IAMutente.

    Il AWS CLI comando seguente crea una IAM politica denominata ExportPolicy con queste opzioni. Garantisce l'accesso a un bucket denominato amzn-s3-demo-bucket.

    Nota

    Dopo aver creato la politica, annota ARN la politica. È necessario eseguire ARN un passaggio successivo quando si associa la politica a un IAM ruolo. 

    aws iam create-policy  --policy-name ExportPolicy --policy-document '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExportPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject*",
                "s3:ListBucket",
                "s3:GetObject*",
                "s3:DeleteObject*",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}'

  2. Crea un IAM ruolo, in modo che Aurora possa assumerlo IAM per tuo conto per accedere ai tuoi bucket Amazon S3. Per ulteriori informazioni, consulta Creare un ruolo per delegare le autorizzazioni a un IAM utente nella Guida per l'utente. IAM

    L'esempio seguente mostra l'utilizzo del AWS CLI comando per creare un ruolo denominato. rds-s3-export-role

    aws iam create-role  --role-name rds-s3-export-role  --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "export.rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole"
       }
     ] 
   }'

  3. Allega la IAM politica che hai creato al IAM ruolo che hai creato.

    Il AWS CLI comando seguente collega la politica creata in precedenza al ruolo denominatords-s3-export-role. Sostituiscilo your-policy-arn con la politica ARN che hai annotato in un passaggio precedente.

    aws iam attach-role-policy  --policy-arn your-policy-arn  --role-name rds-s3-export-role

Utilizzo di un bucket Simple Storage Service (Amazon S3) multiaccount

Puoi utilizzare i bucket Amazon S3 su più account. AWS Per utilizzare un bucket tra più account, aggiungi una policy sui bucket per consentire l'accesso al IAM ruolo che stai utilizzando per le esportazioni S3. Per informazioni, consulta Esempio 2: il proprietario del bucket concede autorizzazioni per il bucket multiaccount.

  • Allega una policy di bucket al bucket, come mostrato nell'esempio riportato di seguito.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/Admin"
            },
            "Action": [
                "s3:PutObject*",
                "s3:ListBucket",
                "s3:GetObject*",
                "s3:DeleteObject*",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-destination-bucket",
                "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
            ]
        }
    ]
}

Utilizzo di un account multiplo AWS KMS key

Puoi utilizzare un account multiplo AWS KMS key per crittografare le esportazioni Amazon S3. Innanzitutto, aggiungi una politica chiave all'account locale, quindi aggiungi IAM le politiche nell'account esterno. Per ulteriori informazioni, consulta Consentire agli utenti di altri account di utilizzare una KMS chiave.

Per utilizzare una chiave per più account KMS

  1. Aggiungi una policy di chiave all'account locale.

    Il seguente esempio fornisce ExampleRole e ExampleUser nell'account esterno 444455556666 autorizzazioni nell'account locale 123456789012.

    {
    "Sid": "Allow an external account to use this KMS key",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::444455556666:role/ExampleRole",
            "arn:aws:iam::444455556666:user/ExampleUser"
        ]
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:CreateGrant",
        "kms:DescribeKey",
        "kms:RetireGrant"
    ],
    "Resource": "*"
}

  2. Aggiungi IAM politiche all'account esterno.

    La seguente IAM politica di esempio consente al principale di utilizzare la KMS chiave nell'account 123456789012 per operazioni crittografiche. Per concedere questa autorizzazione a ExampleRole e ExampleUser nell'account 444455556666, collega la policy ad essi nell'account.

    {
    "Sid": "Allow use of KMS key in account 123456789012",
    "Effect": "Allow",
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:CreateGrant",
        "kms:DescribeKey",
        "kms:RetireGrant"
    ],
    "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}