Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Modifica del proprietario della replica

PDF
RSS
Modalità Focus
Modifica del proprietario della replica - Amazon Simple Storage Service
Considerazioni sull'opzione di sostituzione della proprietàAggiunta dell'opzione di sostituzione del proprietario alla configurazione della replicaConcessione ad Amazon S3 dell'autorizzazione per modificare la proprietà della replicaAggiunta dell'autorizzazione alla policy del bucket di destinazione per consentire la modifica della proprietà della replicaCome modificare il proprietario della replica

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Nella replica, il proprietario dell'oggetto di origine possiede anche la replica per impostazione predefinita. Tuttavia, quando i bucket di origine e di destinazione sono di proprietà di diversi Account AWS, potresti voler modificare la proprietà della replica. Ad esempio, è preferibile modificare la proprietà per limitare l'accesso alle repliche degli oggetti. Nella configurazione di replica, è possibile aggiungere impostazioni di configurazione opzionali per modificare la proprietà della replica a Account AWS quella proprietaria dei bucket di destinazione.

Per modificare il proprietario della replica, procedere come segue:

  • Aggiungere l'opzione di sostituzione del proprietario alla configurazione della replica per indicare ad Amazon S3 di modificare la proprietà della replica.

  • Concedere ad Amazon S3 l'autorizzazione s3:ObjectOwnerOverrideToBucketOwner per modificare la proprietà della replica.

  • Aggiungere l'autorizzazione s3:ObjectOwnerOverrideToBucketOwner alla policy del bucket di destinazione per consentire la modifica della proprietà della replica. L'autorizzazione s3:ObjectOwnerOverrideToBucketOwner consente al proprietario dei bucket di destinazione di accettare la proprietà delle repliche degli oggetti.

Per ulteriori informazioni, consulta Considerazioni sull'opzione di sostituzione della proprietà e Aggiunta dell'opzione di sostituzione del proprietario alla configurazione della replica. Per un esempio pratico con step-by-step istruzioni, vedere. Come modificare il proprietario della replica

Importante

Anziché utilizzare l'opzione di sostituzione del proprietario, è possibile utilizzare l'impostazione Proprietario del bucket applicato per Proprietà dell'oggetto. Quando si utilizza la replica e i bucket di origine e di destinazione sono di proprietà di diversi Account AWS, il proprietario del bucket di destinazione può utilizzare l'impostazione imposta dal proprietario del bucket per Object Ownership per modificare la proprietà della replica con quella proprietaria del bucket di destinazione. Account AWS Questa impostazione disabilita gli elenchi di controllo dell'accesso agli oggetti (). ACLs

L'impostazione Proprietario del bucket applicato imita il comportamento di sovrascrittura del proprietario esistente senza la necessità dell'autorizzazione s3:ObjectOwnerOverrideToBucketOwner. Tutti gli oggetti replicati nel bucket di destinazione con l'impostazione proprietario del bucket applicato sono di proprietà del proprietario del bucket di destinazione. Per ulteriori informazioni su Object Ownership, consulta Controllo della proprietà degli oggetti e disattivazione ACLs del bucket.

Considerazioni sull'opzione di sostituzione della proprietà

Quando configuri l'opzione di sostituzione del proprietario, si applicano le seguenti considerazioni:

  • Per impostazione predefinita, il proprietario dell'oggetto di origine possiede anche la replica. Amazon S3 replica la versione dell'oggetto e l'ACL associata.

    Se si aggiunge l'opzione di sostituzione del proprietario alla configurazione della replica, Amazon S3 replica solo la versione dell'oggetto, non l'ACL. Inoltre, Amazon S3 non replica le modifiche successive all'ACL dell'oggetto di origine. Amazon S3 imposta l'ACL sulla replica che concede il controllo completo al proprietario del bucket di destinazione.

  • Quando si aggiorna una configurazione della replica per abilitare o disabilitare la sostituzione del proprietario, si verifica quanto segue:

    • Se aggiungi l'opzione di sostituzione del proprietario alla configurazione della replica:

      Quando replica una versione dell'oggetto, Amazon S3 elimina l'ACL associata all'oggetto di origine e imposta l'ACL sulla replica concedendo il controllo completo al proprietario del bucket di destinazione. Amazon S3 non replica le modifiche successive all'ACL dell'oggetto di origine. Tuttavia, questa modifica dell'ACL non si applica alle versioni dell'oggetto che sono state replicate prima di impostare l'opzione di sostituzione proprietario. Gli aggiornamenti all'ACL negli oggetti di origine che sono stati replicati prima che fosse impostata la sostituzione del proprietario continuano a essere replicati in quanto l'oggetto e le relative repliche continuano ad avere lo stesso proprietario.

    • Se rimuovi l'opzione di sostituzione del proprietario dalla configurazione della replica:

      Amazon S3 replica i nuovi oggetti che appaiono nel bucket di origine e quelli associati ACLs ai bucket di destinazione. Per gli oggetti che sono stati replicati prima della rimozione dell'override del proprietario, Amazon S3 non esegue la replica perché ACLs la modifica della proprietà dell'oggetto apportata da Amazon S3 rimane in vigore. In altre ACLs parole, la versione dell'oggetto che è stata replicata quando è stata impostata l'override del proprietario continua a non essere replicata.

Aggiunta dell'opzione di sostituzione del proprietario alla configurazione della replica

avvertimento

Aggiungi l'opzione owner override solo quando i bucket di origine e di destinazione sono di proprietà di diversi. Account AWS Amazon S3 non controlla se i bucket sono di proprietà dello stesso account o di account diversi. Se aggiungi l'override del proprietario quando entrambi i bucket sono di proprietà dello stesso Account AWS, Amazon S3 applica l'override del proprietario. Questa opzione concede le autorizzazioni complete al proprietario del bucket di destinazione e non replica gli aggiornamenti successivi alle liste di controllo degli accessi degli oggetti di origine (). ACLs Il proprietario della replica può modificare direttamente l'ACL associata a una replica con una richiesta PutObjectAcl, ma non tramite replica.

Per specificare l'opzione di sostituzione del proprietario, aggiungi quanto segue all'elemento Destination:

  • L'elemento AccessControlTranslation, che indica ad Amazon S3 di modificare la proprietà della replica

  • L'Accountelemento, che specifica il proprietario del bucket di destinazione Account AWS 

<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
    ...
    <Destination>
      ...
      <AccessControlTranslation>
           <Owner>Destination</Owner>
       </AccessControlTranslation>
      <Account>destination-bucket-owner-account-id</Account>
    </Destination>
  </Rule>
</ReplicationConfiguration>

La seguente configurazione della replica di esempio indica ad Amazon S3 di replicare gli oggetti con il prefisso della chiave Tax nel bucket di destinazione amzn-s3-demo-destination-bucket e di modificare la proprietà delle repliche. Per utilizzare questo comando, sostituisci user input placeholders con le tue informazioni.

<?xml version="1.0" encoding="UTF-8"?>
<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
   <Role>arn:aws:iam::account-id:role/role-name</Role>
   <Rule>
      <ID>Rule-1</ID>
      <Priority>1</Priority>
      <Status>Enabled</Status>
      <DeleteMarkerReplication>
         <Status>Disabled</Status>
      </DeleteMarkerReplication>
      <Filter>
         <Prefix>Tax</Prefix>
      </Filter>
      <Destination>
         <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
         <Account>destination-bucket-owner-account-id</Account>
         <AccessControlTranslation>
            <Owner>Destination</Owner>
         </AccessControlTranslation>
      </Destination>
   </Rule>
</ReplicationConfiguration>

Concessione ad Amazon S3 dell'autorizzazione per modificare la proprietà della replica

Concedi ad Amazon S3 le autorizzazioni per modificare la proprietà della replica aggiungendo l'autorizzazione per l's3:ObjectOwnerOverrideToBucketOwnerazione nella politica delle autorizzazioni associata al ruolo (IAM). AWS Identity and Access Management Questo è il ruolo IAM specificato nella configurazione della replica che consente ad Amazon S3 di acquisire e replicare gli oggetti per conto dell'utente. Per utilizzare il seguente esempio, sostituire amzn-s3-demo-destination-bucket con il nome del bucket di destinazione.

...
{
    "Effect":"Allow",
         "Action":[
       "s3:ObjectOwnerOverrideToBucketOwner"
    ],
    "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
}
...

Aggiunta dell'autorizzazione alla policy del bucket di destinazione per consentire la modifica della proprietà della replica

Il proprietario del bucket di destinazione deve concedere al proprietario del bucket di origine l'autorizzazione necessaria per modificare la proprietà della replica. Il proprietario del bucket di destinazione concede al proprietario del bucket di origine l'autorizzazione per l'operazione s3:ObjectOwnerOverrideToBucketOwner. Questa autorizzazione consente al proprietario del bucket di destinazione di accettare la proprietà delle repliche degli oggetti. La seguente istruzione della policy del bucket di esempio mostra come fare: Per utilizzare questo comando, sostituisci user input placeholders con le tue informazioni.

...
{
    "Sid":"1",
    "Effect":"Allow",
    "Principal":{"AWS":"source-bucket-account-id"},
    "Action":["s3:ObjectOwnerOverrideToBucketOwner"],
    "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
}
...

Come modificare il proprietario della replica

Quando i bucket di origine e di destinazione in una configurazione di replica sono di proprietà di diversi Account AWS, puoi dire ad Amazon S3 di cambiare la proprietà della replica con quella proprietaria Account AWS del bucket di destinazione. Gli esempi seguenti mostrano come utilizzare la console Amazon S3, il AWS Command Line Interface (AWS CLI) e il AWS SDKs per modificare la proprietà della replica.

Per step-by-step istruzioni, consulta. Configurazione della replica per i bucket nello stesso account Questo argomento fornisce istruzioni per impostare una configurazione di replica quando i bucket di origine e di destinazione sono di proprietà uguale e diversa. Account AWS

Per step-by-step istruzioni, consulta. Configurazione della replica per i bucket nello stesso account Questo argomento fornisce istruzioni per impostare una configurazione di replica quando i bucket di origine e di destinazione sono di proprietà uguale e diversa. Account AWS

Nella seguente procedura viene mostrato come modificare la proprietà della replica utilizzando AWS CLI. In questa procedura, esegui le seguenti operazioni:

  • Creazione dei bucket di origine e di destinazione.

  • Abilitare il controllo delle versioni sui bucket.

  • Crea un ruolo AWS Identity and Access Management (IAM) che dia ad Amazon S3 l'autorizzazione a replicare oggetti.

  • Aggiungere la configurazione della replica al bucket di origine.

  • Nella configurazione della replica si indica ad Amazon S3 di modificare la proprietà della replica.

  • Verificare la configurazione della replica.

Per modificare la proprietà della replica quando i bucket di origine e di destinazione sono di proprietà di diversi () Account AWSAWS CLI

Per utilizzare i AWS CLI comandi di esempio in questa procedura, sostituiscili user input placeholders con le tue informazioni.

  1. In questo esempio, si creano i bucket di origine e di destinazione in due diversi Account AWS. Per utilizzare questi due account, occorre configurare AWS CLI con due profili denominati. Questo esempio utilizza i profili denominati rispettivamente acctA e acctB. Per informazioni sull'impostazione di profili con credenziali e sull'uso di profili denominati, consulta Impostazioni del file di configurazione e delle credenziali nella Guida per l'utente di AWS Command Line Interface .

    Importante

    I profili utilizzati per questa procedura devono disporre delle autorizzazioni necessarie. Ad esempio, nella configurazione di replica dovrai specificare il ruolo IAM che Amazon S3 può assumere. È possibile effettuare questa operazione solo se il profilo utilizzato dispone dell'autorizzazione iam:PassRole. Se si utilizzano le credenziali dell'utente amministratore per creare un profilo denominato, è possibile eseguire tutte le attività in questa procedura. Per ulteriori informazioni, consulta Concessione di autorizzazioni utente per il passaggio di un ruolo a un Servizio AWS nella Guida per l'utente di IAM.

  2. Creare il bucket di origine e abilitare la funzione Controllo delle versioni. Questo esempio crea un bucket denominato amzn-s3-demo-source-bucket nella Regione Stati Uniti orientali (Virginia settentrionale) (us-east-1). 

    aws s3api create-bucket \
--bucket amzn-s3-demo-source-bucket \
--region us-east-1 \
--profile acctA
    aws s3api put-bucket-versioning \
--bucket amzn-s3-demo-source-bucket \
--versioning-configuration Status=Enabled \
--profile acctA

  3. Creare un bucket di destinazione e abilitare la funzione Controllo delle versioni. Questo esempio crea un bucket di destinazione denominato amzn-s3-demo-destination-bucket nella Regione Stati Uniti occidentali (Oregon) (us-west-2). Utilizzare un profilo Account AWS diverso da quello utilizzato per il bucket di origine.

    aws s3api create-bucket \
--bucket amzn-s3-demo-destination-bucket \
--region us-west-2 \
--create-bucket-configuration LocationConstraint=us-west-2 \
--profile acctB
    aws s3api put-bucket-versioning \
--bucket amzn-s3-demo-destination-bucket \
--versioning-configuration Status=Enabled \
--profile acctB

  4. Devi aggiungere l'autorizzazione alla policy del bucket di destinazione per consentire la modifica della proprietà della replica.

    1. Salvare la seguente policy in un file denominato destination-bucket-policy.json. Assicurarsi di sostituire user input placeholders con le proprie informazioni.

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "destination_bucket_policy_sid",
      "Principal": {
        "AWS": "source-bucket-owner-account-id"
      },
      "Action": [
        "s3:ReplicateObject",
        "s3:ReplicateDelete",
        "s3:ObjectOwnerOverrideToBucketOwner",
        "s3:ReplicateTags",
        "s3:GetObjectVersionTagging"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
      ]
    }
  ]
}

    2. Aggiungere la policy precedente al bucket di destinazione utilizzando il seguente comando put-bucket-policy:

      aws s3api put-bucket-policy --region $ {destination-region} --bucket $ {amzn-s3-demo-destination-bucket} --policy file://destination_bucket_policy.json

  5. Creare un ruolo IAM. Specifica questo ruolo nella configurazione di replica che aggiungi al bucket source in un secondo momento. Amazon S3 assume questo ruolo per replicare gli oggetti per tuo conto. Il ruolo IAM si crea in due fasi:

    • Crea il ruolo.

    • Collegare una policy di autorizzazione al ruolo.

    1. Crea il ruolo IAM.

      1. Copiare la seguente policy di attendibilità e salvarla in un file denominato s3-role-trust-policy.json nella directory corrente sul computer locale. Questa policy concede ad Amazon S3 le autorizzazioni per assumere il ruolo.

        {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"s3.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

      2. Esegui il AWS CLI create-role comando seguente per creare il ruolo IAM:

        $ aws iam create-role \
--role-name replicationRole \
--assume-role-policy-document file://s3-role-trust-policy.json  \
--profile acctA

        Prendere nota del nome della risorsa Amazon (ARN) del ruolo IAM creato. Tale nome sarà necessario in un passaggio successivo.

    2. Collegare una policy di autorizzazione al ruolo.

      1. Copiare la seguente policy di autorizzazioni e salvarla in un file denominato s3-role-perm-pol-changeowner.json nella directory corrente sul computer locale. Questa policy di accesso concede le autorizzazioni per varie operazioni su oggetti e bucket Amazon S3. Nelle fasi che seguono si associa questa policy al ruolo IAM creato in precedenza. 

        {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetObjectVersionForReplication",
            "s3:GetObjectVersionAcl"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:ListBucket",
            "s3:GetReplicationConfiguration"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:ReplicateObject",
            "s3:ReplicateDelete",
            "s3:ObjectOwnerOverrideToBucketOwner",
            "s3:ReplicateTags",
            "s3:GetObjectVersionTagging"
         ],
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
      }
   ]
}

      2. Per associare la policy delle autorizzazioni precedente al ruolo, eseguire il seguente comando put-role-policy:

        $ aws iam put-role-policy \
--role-name replicationRole \
--policy-document file://s3-role-perm-pol-changeowner.json \
--policy-name replicationRolechangeownerPolicy \
--profile acctA

  6. Aggiungere una configurazione di replica al bucket di origine.

    1. È AWS CLI necessario specificare la configurazione di replica come JSON. Salvare il seguente JSON in un file denominato replication.json nella directory corrente sul computer locale. Nella configurazione, AccessControlTranslation specifica la modifica della proprietà della replica dal proprietario del bucket di origine al proprietario del bucket di destinazione. 

      {
   "Role":"IAM-role-ARN",
   "Rules":[
      {
         "Status":"Enabled",
         "Priority":1,
         "DeleteMarkerReplication":{
            "Status":"Disabled"
         },
         "Filter":{
         },
         "Status":"Enabled",
         "Destination":{
            "Bucket":"arn:aws:s3:::amzn-s3-demo-destination-bucket",
            "Account":"destination-bucket-owner-account-id",
            "AccessControlTranslation":{
               "Owner":"Destination"
            }
         }
      }
   ]
}

    2. Modificare il JSON fornendo i valori per il nome del bucket di destinazione, l'ID account del proprietario del bucket di destinazione e IAM-role-ARN. Sostituisci IAM-role-ARN con l'ARN del ruolo IAM creato in precedenza. Salvare le modifiche.

    3. Per aggiungere la configurazione della replica al bucket di origine, eseguire il seguente comando:

      $ aws s3api put-bucket-replication \
--replication-configuration file://replication.json \
--bucket amzn-s3-demo-source-bucket \
--profile acctA

  7. Verificare la configurazione della replica controllando la proprietà della replica nella console Amazon S3.

    1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

    2. Aggiungere oggetti al bucket di origine . Verifica che il bucket di destinazione contenga le repliche degli oggetti e che la proprietà delle repliche sia passata a Account AWS quella proprietaria del bucket di destinazione.

Nella seguente procedura viene mostrato come modificare la proprietà della replica utilizzando AWS CLI. In questa procedura, esegui le seguenti operazioni:

  • Creazione dei bucket di origine e di destinazione.

  • Abilitare il controllo delle versioni sui bucket.

  • Crea un ruolo AWS Identity and Access Management (IAM) che dia ad Amazon S3 l'autorizzazione a replicare oggetti.

  • Aggiungere la configurazione della replica al bucket di origine.

  • Nella configurazione della replica si indica ad Amazon S3 di modificare la proprietà della replica.

  • Verificare la configurazione della replica.

Per modificare la proprietà della replica quando i bucket di origine e di destinazione sono di proprietà di diversi () Account AWSAWS CLI

Per utilizzare i AWS CLI comandi di esempio in questa procedura, sostituiscili user input placeholders con le tue informazioni.

  1. In questo esempio, si creano i bucket di origine e di destinazione in due diversi Account AWS. Per utilizzare questi due account, occorre configurare AWS CLI con due profili denominati. Questo esempio utilizza i profili denominati rispettivamente acctA e acctB. Per informazioni sull'impostazione di profili con credenziali e sull'uso di profili denominati, consulta Impostazioni del file di configurazione e delle credenziali nella Guida per l'utente di AWS Command Line Interface .

    Importante

    I profili utilizzati per questa procedura devono disporre delle autorizzazioni necessarie. Ad esempio, nella configurazione di replica dovrai specificare il ruolo IAM che Amazon S3 può assumere. È possibile effettuare questa operazione solo se il profilo utilizzato dispone dell'autorizzazione iam:PassRole. Se si utilizzano le credenziali dell'utente amministratore per creare un profilo denominato, è possibile eseguire tutte le attività in questa procedura. Per ulteriori informazioni, consulta Concessione di autorizzazioni utente per il passaggio di un ruolo a un Servizio AWS nella Guida per l'utente di IAM.

  2. Creare il bucket di origine e abilitare la funzione Controllo delle versioni. Questo esempio crea un bucket denominato amzn-s3-demo-source-bucket nella Regione Stati Uniti orientali (Virginia settentrionale) (us-east-1). 

    aws s3api create-bucket \
--bucket amzn-s3-demo-source-bucket \
--region us-east-1 \
--profile acctA
    aws s3api put-bucket-versioning \
--bucket amzn-s3-demo-source-bucket \
--versioning-configuration Status=Enabled \
--profile acctA

  3. Creare un bucket di destinazione e abilitare la funzione Controllo delle versioni. Questo esempio crea un bucket di destinazione denominato amzn-s3-demo-destination-bucket nella Regione Stati Uniti occidentali (Oregon) (us-west-2). Utilizzare un profilo Account AWS diverso da quello utilizzato per il bucket di origine.

    aws s3api create-bucket \
--bucket amzn-s3-demo-destination-bucket \
--region us-west-2 \
--create-bucket-configuration LocationConstraint=us-west-2 \
--profile acctB
    aws s3api put-bucket-versioning \
--bucket amzn-s3-demo-destination-bucket \
--versioning-configuration Status=Enabled \
--profile acctB

  4. Devi aggiungere l'autorizzazione alla policy del bucket di destinazione per consentire la modifica della proprietà della replica.

    1. Salvare la seguente policy in un file denominato destination-bucket-policy.json. Assicurarsi di sostituire user input placeholders con le proprie informazioni.

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "destination_bucket_policy_sid",
      "Principal": {
        "AWS": "source-bucket-owner-account-id"
      },
      "Action": [
        "s3:ReplicateObject",
        "s3:ReplicateDelete",
        "s3:ObjectOwnerOverrideToBucketOwner",
        "s3:ReplicateTags",
        "s3:GetObjectVersionTagging"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
      ]
    }
  ]
}

    2. Aggiungere la policy precedente al bucket di destinazione utilizzando il seguente comando put-bucket-policy:

      aws s3api put-bucket-policy --region $ {destination-region} --bucket $ {amzn-s3-demo-destination-bucket} --policy file://destination_bucket_policy.json

  5. Creare un ruolo IAM. Specifica questo ruolo nella configurazione di replica che aggiungi al bucket source in un secondo momento. Amazon S3 assume questo ruolo per replicare gli oggetti per tuo conto. Il ruolo IAM si crea in due fasi:

    • Crea il ruolo.

    • Collegare una policy di autorizzazione al ruolo.

    1. Crea il ruolo IAM.

      1. Copiare la seguente policy di attendibilità e salvarla in un file denominato s3-role-trust-policy.json nella directory corrente sul computer locale. Questa policy concede ad Amazon S3 le autorizzazioni per assumere il ruolo.

        {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"s3.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

      2. Esegui il AWS CLI create-role comando seguente per creare il ruolo IAM:

        $ aws iam create-role \
--role-name replicationRole \
--assume-role-policy-document file://s3-role-trust-policy.json  \
--profile acctA

        Prendere nota del nome della risorsa Amazon (ARN) del ruolo IAM creato. Tale nome sarà necessario in un passaggio successivo.

    2. Collegare una policy di autorizzazione al ruolo.

      1. Copiare la seguente policy di autorizzazioni e salvarla in un file denominato s3-role-perm-pol-changeowner.json nella directory corrente sul computer locale. Questa policy di accesso concede le autorizzazioni per varie operazioni su oggetti e bucket Amazon S3. Nelle fasi che seguono si associa questa policy al ruolo IAM creato in precedenza. 

        {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetObjectVersionForReplication",
            "s3:GetObjectVersionAcl"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:ListBucket",
            "s3:GetReplicationConfiguration"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:ReplicateObject",
            "s3:ReplicateDelete",
            "s3:ObjectOwnerOverrideToBucketOwner",
            "s3:ReplicateTags",
            "s3:GetObjectVersionTagging"
         ],
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
      }
   ]
}

      2. Per associare la policy delle autorizzazioni precedente al ruolo, eseguire il seguente comando put-role-policy:

        $ aws iam put-role-policy \
--role-name replicationRole \
--policy-document file://s3-role-perm-pol-changeowner.json \
--policy-name replicationRolechangeownerPolicy \
--profile acctA

  6. Aggiungere una configurazione di replica al bucket di origine.

    1. È AWS CLI necessario specificare la configurazione di replica come JSON. Salvare il seguente JSON in un file denominato replication.json nella directory corrente sul computer locale. Nella configurazione, AccessControlTranslation specifica la modifica della proprietà della replica dal proprietario del bucket di origine al proprietario del bucket di destinazione. 

      {
   "Role":"IAM-role-ARN",
   "Rules":[
      {
         "Status":"Enabled",
         "Priority":1,
         "DeleteMarkerReplication":{
            "Status":"Disabled"
         },
         "Filter":{
         },
         "Status":"Enabled",
         "Destination":{
            "Bucket":"arn:aws:s3:::amzn-s3-demo-destination-bucket",
            "Account":"destination-bucket-owner-account-id",
            "AccessControlTranslation":{
               "Owner":"Destination"
            }
         }
      }
   ]
}

    2. Modificare il JSON fornendo i valori per il nome del bucket di destinazione, l'ID account del proprietario del bucket di destinazione e IAM-role-ARN. Sostituisci IAM-role-ARN con l'ARN del ruolo IAM creato in precedenza. Salvare le modifiche.

    3. Per aggiungere la configurazione della replica al bucket di origine, eseguire il seguente comando:

      $ aws s3api put-bucket-replication \
--replication-configuration file://replication.json \
--bucket amzn-s3-demo-source-bucket \
--profile acctA

  7. Verificare la configurazione della replica controllando la proprietà della replica nella console Amazon S3.

    1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

    2. Aggiungere oggetti al bucket di origine . Verifica che il bucket di destinazione contenga le repliche degli oggetti e che la proprietà delle repliche sia passata a Account AWS quella proprietaria del bucket di destinazione.

Per un esempio di codice per l'aggiunta di una configurazione della replica, consulta Utilizzando il AWS SDKs. La configurazione della replica deve essere modificata di conseguenza. Per informazioni concettuali, consulta Modifica del proprietario della replica.

Per un esempio di codice per l'aggiunta di una configurazione della replica, consulta Utilizzando il AWS SDKs. La configurazione della replica deve essere modificata di conseguenza. Per informazioni concettuali, consulta Modifica del proprietario della replica.

In questa pagina

Related resources

Amazon S3 Riferimento API
AWS CLI comandi per Amazon S3
SDKs & Strumenti 

Related resources

Amazon S3 Riferimento API
AWS CLI comandi per Amazon S3
SDKs & Strumenti 
PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.