Configurazione dell'accesso a un bucket Simple Storage Service (Amazon S3) - Amazon Aurora
Identificazione del bucket S3Fornisci l'accesso a un bucket S3 utilizzando un ruolo IAMUtilizzo di un bucket S3 multiaccount

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dell'accesso a un bucket Simple Storage Service (Amazon S3)

Individua il bucket Amazon S3 e fornisci all'attività di esportazione del cluster database l'autorizzazione per accedervi.

Identificazione del bucket Simple Storage Service (Amazon S3) in cui esportare

Identifica il bucket Amazon S3 in cui esportare il cluster database. Utilizzare un bucket S3 esistente o crearne uno nuovo.

Nota

Il bucket S3 deve trovarsi nella stessa AWS regione del cluster DB.

Per ulteriori informazioni sull'utilizzo dei bucket Simple Storage Service (Amazon S3), vedere quanto segue in Guida per l'utente di Amazon Simple Storage Service:

Fornire l'accesso a un bucket Amazon S3 utilizzando un ruolo IAM

Prima di esportare i dati del cluster database in Amazon S3, fornisci l'autorizzazione di accesso in scrittura alle attività di esportazione al bucket Amazon S3.

Per concedere questa autorizzazione, crea una IAM policy che fornisca l'accesso al bucket, quindi crea un IAM ruolo e allega la policy al ruolo. Successivamente, puoi assegnare il IAM ruolo all'attività di esportazione del cluster DB.

Importante

Se prevedi di utilizzare il AWS Management Console per esportare il tuo cluster DB, puoi scegliere di creare automaticamente la IAM policy e il ruolo quando esporti il cluster DB. Per istruzioni, consulta Creazione di attività di esportazione di cluster DB.

Per fornire alle attività l'accesso ad Amazon S3

  1. Crea una IAM policy. Questa policy fornisce le autorizzazioni per bucket e oggetti che consentono all'attività di esportazione del cluster database l'accesso ad Amazon S3.

    Includi nella policy le seguenti operazioni obbligatorie per consentire il trasferimento dei file da Amazon Aurora a un bucket S3:

    • s3:PutObject*

    • s3:GetObject*

    • s3:ListBucket

    • s3:DeleteObject*

    • s3:GetBucketLocation

    Includi nella policy le seguenti risorse per identificare il bucket S3 e gli oggetti nel bucket. Il seguente elenco di risorse mostra il formato Amazon Resource Name (ARN) per accedere ad Amazon S3.

    • arn:aws:s3:::amzn-s3-demo-bucket

    • arn:aws:s3:::amzn-s3-demo-bucket/*

    Per ulteriori informazioni sulla creazione di una IAM policy per Amazon Aurora, consulta. Creazione e utilizzo di una policy IAM per l'accesso al database IAM Vedi anche Tutorial: Crea e allega la tua prima politica gestita dai clienti nella Guida per l'IAMutente.

    Il AWS CLI comando seguente crea una IAM politica denominata ExportPolicy con queste opzioni. Garantisce l'accesso a un bucket denominato amzn-s3-demo-bucket.

    Nota

    Dopo aver creato la politica, annota ARN la politica. È necessario eseguire ARN un passaggio successivo quando si associa la politica a un IAM ruolo.

    aws iam create-policy  --policy-name ExportPolicy --policy-document '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExportPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject*",
                "s3:ListBucket",
                "s3:GetObject*",
                "s3:DeleteObject*",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}'

  2. Crea un IAM ruolo, in modo che Aurora possa assumerlo IAM per tuo conto per accedere ai tuoi bucket Amazon S3. Per ulteriori informazioni, consulta Creare un ruolo per delegare le autorizzazioni a un IAM utente nella Guida per l'utente. IAM

    L'esempio seguente mostra l'utilizzo del AWS CLI comando per creare un ruolo denominato. rds-s3-export-role

    aws iam create-role  --role-name rds-s3-export-role  --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "export.rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole"
       }
     ] 
   }'

  3. Allega la IAM politica che hai creato al IAM ruolo che hai creato.

    Il AWS CLI comando seguente collega la politica creata in precedenza al ruolo denominatords-s3-export-role. Sostituiscilo your-policy-arn con la politica ARN che hai annotato in un passaggio precedente.

    aws iam attach-role-policy  --policy-arn your-policy-arn  --role-name rds-s3-export-role

Utilizzo di un bucket Simple Storage Service (Amazon S3) multiaccount

Puoi utilizzare i bucket S3 su AWS più account. Per ulteriori informazioni, consulta Utilizzo di un bucket Simple Storage Service (Amazon S3) multiaccount.