Prerequisiti per la creazione delle regole di replica - Amazon Simple Storage Service
Connessione delle sottoreti Outpost di origine e destinazioneCreazione di un ruolo IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti per la creazione delle regole di replica

Connessione delle sottoreti Outpost di origine e destinazione

Affinché il traffico di replica passi dall'Outpost di origine all'Outpost di destinazione tramite il gateway locale, è necessario aggiungere un nuovo percorso per configurare la rete. È necessario connettere gli intervalli di rete dell'instradamento interdominio senza classi (CIDR) dei punti di accesso. Per ogni coppia di punti di accesso, devi configurare questa connessione una sola volta.

Alcuni passaggi per configurare la connessione variano a seconda del tipo di accesso degli endpoint Outposts associati ai punti di accesso. Il tipo di accesso per gli endpoint è Privato (instradamento diretto del cloud privato virtuale [VPC] per AWS Outposts) o IP di proprietà del cliente (un pool di indirizzi IP di proprietà del cliente [pool CoIP] all'interno della rete on-premise).

Passaggio 1: Trovare l'intervallo CIDR dell'endpoint Outposts di origine

Per trovare l'intervallo CIDR dell'endpoint di origine associato al punto di accesso di origine

  1. Accedi alla AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

  2. Nel riquadro di navigazione a sinistra, seleziona Outposts buckets (Bucket Outposts).

  3. Nell'elenco Bucket di Outposts scegli il bucket di origine che desideri per la replica.

  4. Scegli la scheda Punti di accesso di Outposts e scegli il punto di accesso di Outposts per il bucket di origine della tua regola di replica.

  5. Scegli l'endpoint di Outposts.

  6. Copia l'ID della sottorete da utilizzare nel passaggio 5.

  7. Il metodo utilizzato per trovare l'intervallo CIDR dell'endpoint di Outposts di origine dipende dal tipo di accesso dell'endpoint.

    Nella sezione Panoramica dell'endpoint Outposts, esamina il tipo di accesso.

    • Se il tipo di accesso è Privato, copia il valore Instradamento interdominio senza classi (CIDR) da utilizzare nel passaggio 6.

    • Se il tipo di accesso è IP di proprietà del cliente, procedi come segue:

      1. Copia il valore del pool IPv4 di proprietà del cliente da utilizzare in seguito come ID del pool di indirizzi.

      2. Apri la console AWS Outposts all'indirizzo https://console.aws.amazon.com/outposts/.

      3. Nel riquadro di navigazione, seleziona Tabelle di routing del gateway locale.

      4. Scegli il valore ID tabella di routing del gateway locale dell'Outpost di origine.

      5. Nel riquadro dei dettagli, scegli la scheda Pool CoIP. Incolla il valore dell'ID del pool CoIP che hai copiato in precedenza nella casella di ricerca.

      6. Per il pool CoIP corrispondente, copia il valore CIDR corrispondente dell'endpoint Outposts di origine per utilizzarlo nel passaggio 6.

Passaggio 2: trovare l'ID della sottorete e l'intervallo CIDR dell'endpoint Outposts di destinazione

Per trovare l'ID della sottorete e l'intervallo CIDR dell'endpoint di destinazione associato al punto di accesso di destinazione, segui gli stessi passaggi del passaggio 1 e modifica l'endpoint Outposts di origine con l'endpoint Outposts di destinazione quando esegui i passaggi. Copia il valore dell'ID della sottorete dell'endpoint Outposts di destinazione per utilizzarlo nel passaggio 6. Copia il valore CIDR dell'endpoint Outposts di destinazione per utilizzarlo nel passaggio 5.

Passaggio 3: trovare l'ID del gateway locale dell'Outpost di origine

Per trovare l'ID del gateway locale dell'Outpost di origine

  1. Apri la console AWS Outposts all'indirizzo https://console.aws.amazon.com/outposts/.

  2. Nel riquadro di navigazione a sinistra scegli Gateway locali.

  3. Nella pagina Gateway locali trova l'ID dell'Outpost di origine che desideri utilizzare per la replica.

  4. Copia il valore dell'ID del gateway locale dell'Outpost di origine per utilizzarlo nel passaggio 5.

Per informazioni sui gateway locali, consulta Gateway locale nella Guida per l'utente di AWS Outposts.

Passaggio 4: trovare l'ID del gateway locale dell'Outpost di destinazione

Per trovare l'ID del gateway locale dell'Outpost di destinazione, segui gli stessi passaggi del passaggio 3, esclusa la ricerca dell'ID dell'Outpost di destinazione. Copia il valore dell'ID del gateway locale dell'Outpost di destinazione per utilizzarlo nel passaggio 6.

Passaggio 5: configurare la connessione dalla sottorete Outpost di origine alla sottorete Outpost di destinazione

Per configurare la connessione dalla sottorete Outpost di origine alla sottorete Outpost di destinazione

  1. Accedi alla AWS Management Console e apri la console VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione a sinistra, seleziona Sottoreti.

  3. Nella casella di ricerca, inserisci l'ID della sottorete per l'endpoint Outposts di origine che hai individuato nel passaggio 1. Scegli la sottorete con l'ID corrispondente.

  4. Per l'elemento della sottorete corrispondente, scegli il valore della Tabella di instradamento di questa sottorete.

  5. Nella pagina con una tabella di instradamento selezionata, scegli Operazioni e quindi Modifica instradamenti.

  6. Nella scheda Modifica instradamenti scegli Aggiungi routing.

  7. In Destinazione, inserisci l'intervallo CIDR dell'endpoint Outposts di destinazione che hai individuato nel passaggio 2.

  8. In Destinazione, scegli Gateway locale outpost e inserisci l'ID del gateway locale dell'Outpost di origine che hai individuato nel passaggio 3.

  9. Seleziona Salva modifiche.

  10. Assicurati che lo Stato dell'instradamento sia Attivo.

Passaggio 6: configurare la connessione dalla sottorete Outpost di destinazione alla sottorete Outpost di origine

  1. Accedi alla AWS Management Console e apri la console VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione a sinistra, seleziona Sottoreti.

  3. Nella casella di ricerca, inserisci l'ID della sottorete per l'endpoint Outposts di destinazione che hai individuato nel passaggio 2. Scegli la sottorete con l'ID corrispondente.

  4. Per l'elemento della sottorete corrispondente, scegli il valore della Tabella di instradamento di questa sottorete.

  5. Nella pagina con una tabella di instradamento selezionata, scegli Operazioni e quindi Modifica instradamenti.

  6. Nella scheda Modifica instradamenti scegli Aggiungi routing.

  7. In Destinazione, inserisci l'intervallo CIDR dell'endpoint Outposts di origine che hai individuato nel passaggio 1.

  8. In Destinazione, scegli Gateway locale outpost e inserisci l'ID del gateway locale dell'Outpost di destinazione che hai individuato nel passaggio 4.

  9. Seleziona Salva modifiche.

  10. Assicurati che lo Stato dell'instradamento sia Attivo.

Dopo aver collegato gli intervalli di rete CIDR dei punti di accesso di origine e di destinazione, è necessario creare un ruolo AWS Identity and Access Management (IAM).

Creazione di un ruolo IAM

Per impostazione predefinita, tutte le risorse S3 su Outposts, ossia bucket, oggetti e risorse secondarie correlate, sono private e solo il proprietario vi può accedere. S3 su Outposts ha bisogno delle autorizzazioni per leggere e replicare gli oggetti dal bucket Outposts di origine. Queste autorizzazioni vengono concesse creando un ruolo del servizio IAM e specificandolo nella configurazione della replica.

In questa sezione vengono illustrate la policy di trust e la policy di autorizzazione minima richiesta. Le procedure dettagliate di esempio forniscono istruzioni dettagliate per la creazione di un ruolo IAM. Per ulteriori informazioni, consulta Creazione delle regole di replica su Outposts. Per ulteriori informazioni sui ruoli IAM, consulta Ruoli IAM nella Guida per l'utente di IAM.

  • Di seguito viene mostrata una policy di attendibilità in cui identifichi S3 su Outposts come principale del servizio che può assumere il ruolo.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"s3-outposts.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

  • Di seguito viene mostrata una policy di accesso in cui concedi al ruolo le autorizzazioni per eseguire attività di replica per tuo conto. Quando S3 su Outposts assume il ruolo, dispone delle autorizzazioni che sono state specificate in questa policy. Per utilizzare questa policy, sostituisci user input placeholders con le tue specifiche informazioni. Assicurati di sostituirle con gli ID degli Outpost di origine e di destinazione, i nomi dei bucket e i nomi dei punti di accesso dei bucket Outposts di origine e di destinazione.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3-outposts:GetObjectVersionForReplication",
            "s3-outposts:GetObjectVersionTagging"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET/object/*",
            "arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/accesspoint/SOURCE-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ]        
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3-outposts:ReplicateObject",
            "s3-outposts:ReplicateDelete"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*",
            "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ]  
      }
   ]
}

    La policy di accesso concede le autorizzazioni per le seguenti operazioni:

    • s3-outposts:GetObjectVersionForReplication: l'autorizzazione per questa operazione viene concessa a tutti gli oggetti per consentire a S3 su Outposts di ottenere una versione specifica dell'oggetto associata a ciascun oggetto.

    • s3-outposts:GetObjectVersionTagging: l'autorizzazione per questa operazione sugli oggetti nel bucket SOURCE-OUTPOSTS-BUCKET (bucket di origine) permettono a S3 su Outposts di leggere i tag degli oggetti per la replica. Per ulteriori informazioni, consulta Aggiunta di tag per bucket S3 su Outposts. Se S3 su Outposts non dispone di questa autorizzazione, replica gli oggetti ma non i relativi tag.

    • s3-outposts:ReplicateObject e s3-outposts:ReplicateDelete: le autorizzazioni per queste operazioni sugli oggetti nel bucket DESTINATION-OUTPOSTS-BUCKET (il bucket di destinazione) permettono a S3 su Outposts di replicare gli oggetti o eliminare i contrassegni nel bucket Outposts di destinazione. Per informazioni sui contrassegni di eliminazione, consulta la sezione Effetto delle operazioni di eliminazione sulla replica.

      Nota

      • Le autorizzazioni per l'operazione s3-outposts:ReplicateObject nel bucket DESTINATION-OUTPOSTS-BUCKET (il bucket di destinazione) consentono anche la replica dei tag degli oggetti. Pertanto non è necessario concedere esplicitamente l'autorizzazione per l'operazione s3-outposts:ReplicateTags.

      • Per la replica tra account, il proprietario del bucket Outposts di destinazione deve aggiornare la policy dei bucket per concedere l'autorizzazione per l'operazione s3-outposts:ReplicateObject nel DESTINATION-OUTPOSTS-BUCKET. L'operazione s3-outposts:ReplicateObject consente a S3 su Outposts di replicare oggetti e tag nel bucket Outposts di destinazione.

    Per un elenco delle operazioni di S3 on Outposts, consulta Operazioni definite da Amazon S3 su Outposts.

    Importante

    L'Account AWS che possiede il ruolo IAM deve disporre delle autorizzazioni per le operazioni che concede al ruolo.

    Supponi ad esempio che il bucket Outposts di origine contenga oggetti di proprietà di un altro Account AWS. Occorre che il proprietario degli oggetti conceda esplicitamente le autorizzazione richieste all'Account AWS proprietario del ruolo IAM tramite la policy dei bucket e la policy dei punti di accesso. In caso contrario, S3 su Outposts non può accedere agli oggetti e la replica degli oggetti ha esito negativo.

    Le autorizzazioni descritte si riferiscono alla configurazione di replica minima. Se scegli di aggiungere configurazioni di replica facoltative, devi concedere ulteriori autorizzazioni a S3 su Outposts.

Concessione di autorizzazioni quando i bucket Outposts di origine e di destinazione sono di proprietà di Account AWS diversi

Quando i bucket Outposts di origine e di destinazione non sono di proprietà degli stessi account, il proprietario del bucket Outposts di destinazione deve aggiornare le policy dei bucket e dei punti di accesso per il bucket di destinazione. Queste policy devono concedere al proprietario del bucket Outposts di origine e al ruolo del servizio IAM le autorizzazioni per eseguire le operazioni di replica, come mostrato nei seguenti esempi di policy. In caso contrario la replica avrà esito negativo. In questi esempi di policy, DESTINATION-OUTPOSTS-BUCKET è il bucket di destinazione. Per usare questi esempi di policy, sostituisci user input placeholders con le tue informazioni.

Se stai creando il ruolo di servizio IAM manualmente, imposta il percorso del ruolo come role/service-role/, nel modo mostrato nei seguenti esempi di policy. Per ulteriori informazioni, consulta ARN IAM nella Guida per l'utente di IAM. 

{
   "Version":"2012-10-17",
   "Id":"PolicyForDestinationBucket",
   "Statement":[
      {
         "Sid":"Permissions on objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::SourceBucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":[
            "s3-outposts:ReplicateDelete",
            "s3-outposts:ReplicateObject"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:DestinationBucket-account-ID:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*"
         ]  
      }

   ]
}
{
"Version":"2012-10-17",
   "Id":"PolicyForDestinationAccessPoint",
   "Statement":[
      {
         "Sid":"Permissions on objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::SourceBucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":[
            "s3-outposts:ReplicateDelete",
            "s3-outposts:ReplicateObject"
         ],
         "Resource" :[
            "arn:aws:s3-outposts:region:DestinationBucket-account-ID:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ]
      }
   ]              
}
Nota

In presenza di oggetti con tag nel bucket Outposts di origine, tenere in considerazione quanto segue:

Se il proprietario del bucket Outposts di origine concede a S3 su Outposts l'autorizzazione per le operazioni s3-outposts:GetObjectVersionTagging e s3-outposts:ReplicateTags per replicare i tag degli oggetti (tramite il ruolo IAM), Amazon S3 replica i tag insieme agli oggetti. Per informazioni sul ruolo IAM, consulta Creazione di un ruolo IAM.