Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Per la configurazione della replica in tempo reale in Amazon S3, occorre acquisire le autorizzazioni necessarie, come indicato di seguito:
-
Amazon S3 necessita delle autorizzazioni per replicare gli oggetti per tuo conto. Concedi queste autorizzazioni creando un ruolo AWS Identity and Access Management (IAM) e quindi specificando quel ruolo nella configurazione di replica.
-
Quando i bucket di origine e di destinazione non sono di proprietà degli stessi account, il proprietario del bucket di destinazione deve concedere al proprietario del bucket di origine anche le autorizzazioni per archiviare le repliche.
Impostazione delle autorizzazioni per creare regole di replica
L'utente o il ruolo IAM che utilizzerai per creare le regole di replica necessita delle autorizzazioni per creare regole di replica per repliche unidirezionali o bidirezionali. Se l'utente o il ruolo non dispone di queste autorizzazioni, non sarai in grado di creare regole di replica. Per ulteriori informazioni, consulta IAM Identities nella IAM User Guide.
L'utente o il ruolo necessitano delle seguenti azioni:
iam:AttachRolePolicyiam:CreatePolicyiam:CreateServiceLinkedRoleiam:PassRoleiam:PutRolePolicys3:GetBucketVersionings3:GetObjectVersionAcls3:GetObjectVersionForReplications3:GetReplicationConfigurations3:PutReplicationConfiguration
Di seguito è riportato un esempio di policy IAM che include queste azioni.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetAccessPoint",
"s3:GetAccountPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:ListAccessPoints",
"s3:ListAllMyBuckets",
"s3:PutReplicationConfiguration",
"s3:GetReplicationConfiguration",
"s3:GetBucketVersioning",
"s3:GetObjectVersionForReplication",
"s3:GetObjectVersionAcl",
"s3:GetObject",
"s3:ListBucket",
"s3:GetObjectVersion",
"s3:GetBucketOwnershipControls",
"s3:PutBucketOwnershipControls",
"s3:GetObjectLegalHold",
"s3:GetObjectRetention",
"s3:GetBucketObjectLockConfiguration"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1-*",
"arn:aws:s3:::amzn-s3-demo-bucket2-*/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:List*AccessPoint*",
"s3:GetMultiRegion*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:Get*",
"iam:CreateServiceLinkedRole",
"iam:CreateRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/service-role/s3*"
},
{
"Effect": "Allow",
"Action": [
"iam:List*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"iam:CreatePolicy"
],
"Resource": [
"arn:aws:iam::*:policy/service-role/s3*",
"arn:aws:iam::*:role/service-role/s3*"
]
}
]
}
Creazione di un ruolo IAM
Di default, tutte le risorse di Amazon S3, ossia bucket, oggetti e risorse secondarie correlate, sono private e solo il proprietario vi può accedere. Amazon S3 ha bisogno di autorizzazioni per leggere e replicare gli oggetti dal bucket di origine. Queste autorizzazioni vengono concesse creando un ruolo IAM e specificandolo nella configurazione della replica.
In questa sezione vengono illustrate la policy di attendibilità e la policy di autorizzazione minima richiesta associate a questo ruolo IAM. Le procedure dettagliate di esempio forniscono step-by-step istruzioni per creare un ruolo IAM. Per ulteriori informazioni, consulta Esempi di configurazione della replica in tempo reale.
La policy di attendibilità identifica le identità principali che possono assumere il ruolo IAM. La policy di autorizzazione specifica le azioni che il ruolo IAM può eseguire, su quali risorse e in quali condizioni.
-
L'esempio seguente mostra una politica di fiducia in cui si identifica Amazon S3 come Servizio AWS principale che può assumere il ruolo:
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"s3.amazonaws.com" }, "Action":"sts:AssumeRole" } ] } -
Di seguito viene mostrata una policy di attendibilità esemplificativa in cui si identifica Amazon S3 e Operazioni in batch S3 come principali del servizio che può assumere il ruolo. Usare questo approccio quando si crea un processo Replica in batch. Per ulteriori informazioni, consulta Creazione di un processo Replica in batch per nuove destinazioni o regole di replica.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service": [ "s3.amazonaws.com", "batchoperations.s3.amazonaws.com" ] }, "Action":"sts:AssumeRole" } ] }Per ulteriori informazioni sui ruoli IAM, consulta Ruoli IAM nella Guida per l'utente di IAM.
-
Di seguito viene mostrata una policy di autorizzazioni esemplificativa in cui si concedono al ruolo IAM le autorizzazioni per eseguire attività di replica per proprio conto. Quando Amazon S3 assume il ruolo, dispone delle autorizzazioni che sono state specificate in questa policy. In questa politica,
amzn-s3-demo-source-bucketamzn-s3-demo-destination-bucket{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:GetReplicationConfiguration", "s3:ListBucket" ], "Resource":[ "arn:aws:s3:::amzn-s3-demo-source-bucket" ] }, { "Effect":"Allow", "Action":[ "s3:GetObjectVersionForReplication", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTagging" ], "Resource":[ "arn:aws:s3:::amzn-s3-demo-source-bucket/*" ] }, { "Effect":"Allow", "Action":[ "s3:ReplicateObject", "s3:ReplicateDelete", "s3:ReplicateTags" ], "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*" } ] }La policy di autorizzazioni concede le autorizzazioni per le seguenti azioni:
-
s3:GetReplicationConfigurationes3:ListBucket: le autorizzazioni per queste azioni sul bucketamzn-s3-demo-source-buckets3:ListBucketper l'accesso ai contrassegni di eliminazione.) -
s3:GetObjectVersionForReplicationes3:GetObjectVersionAcl: le autorizzazioni per queste operazioni concesse su tutti gli oggetti permettono ad Amazon S3 di ottenere una versione dell'oggetto specifica e la lista di controllo degli accessi (ACL) associata agli oggetti. -
s3:ReplicateObjectes3:ReplicateDelete: le autorizzazioni per queste operazioni sugli oggetti nel bucket diamzn-s3-demo-destination-bucketNota
Le autorizzazioni per l'
s3:ReplicateObjectazione sulamzn-s3-demo-destination-buckets3:ReplicateTags. -
s3:GetObjectVersionTagging: le autorizzazioni per questa azione sugli oggetti nel bucketamzn-s3-demo-source-buckets3:GetObjectVersionTagging, Amazon S3 replica gli oggetti ma non i relativi tag.
Per visualizzare un elenco di operazioni Amazon S3, consulta Operazioni, risorse e chiavi di condizione per Amazon S3 nella Guida di riferimento per l'autorizzazione al servizio.
Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta Autorizzazioni necessarie per le operazioni API di Amazon S3.
Importante
Il Account AWS proprietario del ruolo IAM deve disporre delle autorizzazioni per le azioni che concede al ruolo IAM.
Supponiamo ad esempio che il bucket di origine contenga oggetti di proprietà di un altro Account AWS. Il proprietario degli oggetti deve concedere esplicitamente al proprietario del Account AWS ruolo IAM le autorizzazioni richieste tramite gli elenchi di controllo degli accessi degli oggetti (). ACLs In caso contrario, Amazon S3 non può accedere agli oggetti e la replica degli oggetti ha esito negativo. Per informazioni sulle autorizzazioni ACL, consulta la sezione Panoramica delle liste di controllo accessi (ACL).
Le autorizzazioni descritte si riferiscono alla configurazione di replica minima. Se scegli di aggiungere configurazioni di replica opzionali, devi concedere autorizzazioni aggiuntive ad Amazon S3:
-
Per replicare oggetti crittografati, devi anche concedere le autorizzazioni necessarie AWS Key Management Service () relative alla chiave.AWS KMS Per ulteriori informazioni, consulta Replica di oggetti crittografati (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C).
-
Per utilizzare Object Lock con la replica, è necessario concedere due autorizzazioni aggiuntive sul bucket S3 di origine nel ruolo AWS Identity and Access Management (IAM) utilizzato per configurare la replica. Le due nuove autorizzazioni aggiuntive sono
s3:GetObjectRetentiones3:GetObjectLegalHold. Se il ruolo dispone di un'istruzione di autorizzaziones3:Get*, tale istruzione soddisfa il requisito. Per ulteriori informazioni, consulta Utilizzo di Object Lock con la replica S3.
-
Concessione delle autorizzazioni quando i bucket di origine e di destinazione sono di proprietà di diversi Account AWS
Quando i bucket di origine e di destinazione non sono di proprietà degli stessi account, il proprietario del bucket di destinazione deve aggiungere anche una policy di bucket per concedere al proprietario del bucket di origine le autorizzazioni per eseguire le operazioni di replica, come mostrato nel seguente esempio. In questa policy di esempio, amzn-s3-demo-destination-bucket
È possibile utilizzare la console Amazon S3 anche per generare automaticamente questa policy di bucket. Per ulteriori informazioni, consulta Abilita la ricezione di oggetti replicati da un bucket di origine.
Nota
Il formato ARN del ruolo può apparire diverso. Se il ruolo è stato creato utilizzando la console, il formato ARN è arn:aws:iam::. Se il ruolo è stato creato utilizzando il AWS CLI, il formato ARN è. account-ID:role/service-role/role-namearn:aws:iam:: Per ulteriori informazioni, consulta Ruoli IAM nella Guida per l'utente IAM. account-ID:role/role-name
{
"Version":"2012-10-17",
"Id":"PolicyForDestinationBucket",
"Statement":[
{
"Sid":"Permissions on objects",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::source-bucket-account-ID:role/service-role/source-account-IAM-role"
},
"Action":[
"s3:ReplicateDelete",
"s3:ReplicateObject"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucketsource-bucket-account-ID:role/service-role/source-account-IAM-role"
},
"Action": [
"s3:List*",
"s3:GetBucketVersioning",
"s3:PutBucketVersioning"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket"
}
]
}Per vedere un esempio, consulta Configurazione della replica per i bucket in account diversi.
In presenza di oggetti con tag nel bucket di origine, tenere in considerazione quanto segue:
-
Se il proprietario del bucket di origine concede ad Amazon S3 l'autorizzazione per le operazioni
s3:GetObjectVersionTagginges3:ReplicateTagsper replicare i tag degli oggetti (tramite il ruolo IAM), Amazon S3 replica i tag insieme agli oggetti. Per informazioni sul ruolo IAM, consulta Creazione di un ruolo IAM. -
Se il proprietario del bucket di destinazione non desidera replicare i tag, può aggiungere l'istruzione seguente alla policy del bucket di destinazione per rifiutare esplicitamente l'autorizzazione per l'operazione
s3:ReplicateTags. In questa politica,amzn-s3-demo-destination-bucket... "Statement":[ { "Effect":"Deny", "Principal":{ "AWS":"arn:aws:iam::source-bucket-account-id:role/service-role/source-account-IAM-role" }, "Action":"s3:ReplicateTags", "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*" } ] ...
Nota
-
Se si desidera replicare oggetti crittografati, è opportuno anche concedere le autorizzazioni chiave AWS Key Management Service (AWS KMS) necessarie. Per ulteriori informazioni, consulta Replica di oggetti crittografati (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C).
-
Per utilizzare Object Lock con la replica, è necessario concedere due autorizzazioni aggiuntive sul bucket S3 di origine nel ruolo AWS Identity and Access Management (IAM) utilizzato per configurare la replica. Le due nuove autorizzazioni aggiuntive sono
s3:GetObjectRetentiones3:GetObjectLegalHold. Se il ruolo dispone di un'istruzione di autorizzaziones3:Get*, tale istruzione soddisfa il requisito. Per ulteriori informazioni, consulta Utilizzo di Object Lock con la replica S3.
Abilitare la ricezione di oggetti replicati da un bucket di origine
Anziché aggiungere manualmente la policy precedente al bucket di destinazione, è possibile generare rapidamente le policy necessarie per abilitare la ricezione di oggetti replicati da un bucket di origine tramite la console Amazon S3.
Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/
-
Nel pannello di navigazione a sinistra, scegli Buckets (Bucket).
-
Nell'elenco Buckete, scegliere il bucket da utilizzare come bucket di destinazione.
-
Seleziona la scheda Gestione, quindi scorri verso il basso fino a Regole di replica.
-
Per Operazioni, scegliere Ricevi oggetti replicati.
Segui le istruzioni e inserisci l' Account AWS ID dell'account bucket di origine, quindi scegli Genera politiche. La console genera una policy del bucket Amazon S3 e una policy della chiave KMS.
-
Per aggiungere questa policy alla policy del bucket esistente, scegli Applica le impostazioni oppure scegli Copia per copiare manualmente le modifiche.
-
(Facoltativo) Copia la AWS KMS politica nella policy chiave KMS desiderata nella console. AWS Key Management Service
Modifica del proprietario della replica
Se Account AWS il bucket di origine e quello di destinazione sono diversi, puoi chiedere ad Amazon S3 di cambiare la proprietà della replica con quella proprietaria del bucket di Account AWS destinazione. Per ulteriori informazioni sulla sovrascrittura del proprietario, consulta Modifica del proprietario della replica.
Concessione di autorizzazioni per le operazioni in batch S3
Replica in batch S3 offre un metodo per replicare i seguenti oggetti:
-
Oggetti esistenti prima dell'applicazione di una configurazione della replica
-
Oggetti che sono stati replicati in precedenza
-
Oggetti la cui replica non è riuscita
Quando si crea la prima regola in una nuova configurazione della replica o quando si aggiunge una nuova destinazione a una configurazione esistente tramite la console Amazon S3, è possibile creare un processo Replica in batch una tantum. Inoltre, è possibile avviare Replica in batch per una configurazione della replica esistente creando un processo Operazioni in batch.
Per esempi di policy e ruoli IAM di Replica in batch, consulta Configurazione di un ruolo IAM per Replica in batch S3.
