Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Tutorial: trasferimento di dati tra bucket Amazon S3 su Account AWS
Con AWS DataSync, puoi trasferire dati tra bucket Amazon S3 che appartengono a diversi. Account AWS
**Importante**
Il trasferimento di dati Account AWS tramite i metodi descritti in questo tutorial funziona solo con Amazon S3. Inoltre, questo tutorial può aiutarti a trasferire dati tra bucket S3, anch'essi in diversi formati. Regioni AWS
## Panoramica di
Non è raro trasferire dati da un paese all'altro Account AWS, soprattutto se avete team separati che gestiscono le risorse dell'organizzazione. Ecco come DataSync può essere eseguito un trasferimento tra account diversi:
+ **Account di origine**: Account AWS per la gestione del bucket S3 da cui devi trasferire i dati.
+ **Account di destinazione**: Account AWS per la gestione del bucket S3 a cui devi trasferire i dati.
------
#### [ Transfers across accounts ]
Il diagramma seguente illustra uno scenario in cui si trasferiscono dati da un bucket S3 a un altro bucket S3 che si trova in un altro bucket S3. Account AWS
![\[DataSync Uno scenario di esempio di trasferimento dei dati da un bucket S3 in uno Account AWS (l'account di origine) prima di trasferirli in un bucket S3 in un altro (l'account di destinazione). Account AWS\]](http://docs.aws.amazon.com/it_it/datasync/latest/userguide/images/s3-s3-cross-account-same-region-diagram.png)
------
#### [ Transfers across accounts and Regions ]
Il diagramma seguente illustra uno scenario in cui si trasferiscono dati da un bucket S3 a un altro bucket S3 che si trova in una regione e diversa. Account AWS
![\[DataSync Uno scenario di esempio di trasferimento dei dati da un bucket S3 in una regione Account AWS (l'account di origine) e in una regione prima di trasferirli in un bucket S3 in un'altra (l'account di destinazione) e in una regione diverse. Account AWS\]](http://docs.aws.amazon.com/it_it/datasync/latest/userguide/images/s3-s3-cross-account-diff-region-diagram.png)
------
## Prerequisito: autorizzazioni richieste per l'account di origine
Per quanto riguarda la fonte Account AWS, ci sono due tipi di autorizzazioni da prendere in considerazione per questo tipo di trasferimento tra account:
+ *Autorizzazioni utente* che consentono a un utente di lavorare con DataSync (potrebbe trattarsi dell'utente o dell'amministratore dello storage). Queste autorizzazioni consentono di creare DataSync posizioni e attività.
+ *DataSync autorizzazioni di servizio* che consentono di DataSync trasferire dati nel bucket dell'account di destinazione.
### Autorizzazioni utente per il tuo account di origine
Nel tuo account di origine, aggiungi almeno le seguenti autorizzazioni a un ruolo IAM per la creazione di DataSync sedi e attività. Per informazioni su come aggiungere autorizzazioni a un ruolo, consulta la sezione [Creazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html) o [modifica](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) di un ruolo IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SourceUserRolePermissions",
"Effect": "Allow",
"Action": [
"datasync:CreateLocationS3",
"datasync:CreateTask",
"datasync:DescribeLocation*",
"datasync:DescribeTaskExecution",
"datasync:ListLocations",
"datasync:ListTaskExecutions",
"datasync:DescribeTask",
"datasync:CancelTaskExecution",
"datasync:ListTasks",
"datasync:StartTaskExecution",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "IAMPermissions",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:ListRoles",
"iam:CreatePolicy"
],
"Resource": "arn:aws:iam::111122223333:role/DataSync-*"
},
{
"Sid": "IAMAttachRolePermissions",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:iam::111122223333:role/DataSync-*",
"Condition": {
"ArnLike": {
"iam:PolicyARN": [
"arn:aws:iam::111122223333:policy/DataSync-*",
"arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess",
"arn:aws:iam::aws:policy/service-role/AWSDataSyncFullAccess"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"datasync.amazonaws.com"
]
}
}
}
]
}
```
------
**Suggerimento**
Per configurare le *autorizzazioni utente*, valuta la possibilità di utilizzare. [AWSDataSyncFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdatasyncfullaccess) Si tratta di una politica AWS gestita che fornisce all'utente l'accesso completo DataSync e un accesso minimo alle sue dipendenze.
### DataSync autorizzazioni di servizio per l'account di origine
Il DataSync servizio richiede le seguenti autorizzazioni nell'account di origine per trasferire i dati nel bucket dell'account di destinazione.
Più avanti in questo tutorial, aggiungerai queste autorizzazioni durante la [creazione di un ruolo IAM](#s3-s3-cross-account-create-iam-role-source-account) per. DataSync Specificate questo ruolo (`source-datasync-role`) anche nella vostra [policy sul bucket di destinazione](#s3-s3-cross-account-update-s3-policy-destination-account) e durante [la creazione della posizione di DataSync destinazione](#s3-s3-cross-account-create-locations).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:GetObjectTagging",
"s3:PutObjectTagging"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
}
]
}
```
------
## Prerequisito: autorizzazioni richieste per l'account di destinazione
Nel tuo account di destinazione, *le autorizzazioni utente* devono consentirti di aggiornare la politica del bucket di destinazione e disabilitarne gli elenchi di controllo degli accessi (). ACLs Per ulteriori informazioni su queste autorizzazioni specifiche, consulta la [https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)[https://docs.aws.amazon.com/AmazonS3/latest/userguide/](https://docs.aws.amazon.com/AmazonS3/latest/userguide/) User Guide.
## Passaggio 1: nel tuo account di origine, crea un ruolo DataSync IAM per l'accesso al bucket di destinazione
Nella tua fonte Account AWS, hai bisogno di un ruolo IAM che fornisca DataSync le autorizzazioni per trasferire i dati nel bucket di account di destinazione.
Poiché stai effettuando il trasferimento tra account, devi creare il ruolo manualmente. (DataSyncpuò creare questo ruolo per te nella console quando effettui il trasferimento nello stesso account.)
### Crea il ruolo DataSync IAM
Crea un ruolo IAM con DataSync come entità affidabile.
1. Accedi al Console di gestione AWS con il tuo account di origine.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione a sinistra, in **Gestione degli accessi****, scegli Ruoli**, quindi scegli **Crea ruolo**.
1. Nella pagina **Seleziona entità attendibile**, per **Tipo di entità affidabile**, scegli **Servizio AWS**.
1. Per **Caso d'uso**, scegli **DataSync**nell'elenco a discesa e seleziona **DataSync**. Scegli **Next (Successivo)**.
1. Nella pagina **Add permissions** (Aggiungi autorizzazioni), scegli **Next** (Successivo).
1. Dai un nome al tuo ruolo e scegli **Crea ruolo**.
Per ulteriori informazioni, consulta [Creating a role for an Servizio AWS (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console) nella *IAM User Guide*.
### Aggiungi le autorizzazioni al ruolo DataSync IAM
Il ruolo IAM che hai appena creato necessita delle autorizzazioni che consentono di trasferire i dati DataSync al bucket S3 nel tuo account di destinazione.
1. Nella pagina **Ruoli** della console IAM, cerca il ruolo che hai appena creato e scegline il nome.
1. Nella pagina dei dettagli del ruolo, scegli la scheda **Autorizzazioni**. Scegli **Aggiungi autorizzazioni**, quindi **Crea politica in linea**.
1. Scegli la scheda **JSON** ed esegui le seguenti operazioni:
1. Incolla il seguente codice JSON nell'editor delle politiche:
**Nota**
Il valore per `aws:ResourceAccount` deve essere l'ID dell'account proprietario del bucket Amazon S3 specificato nella policy.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectTagging"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
------
1. Sostituisci ogni istanza di `amzn-s3-demo-destination-bucket` con il nome del bucket S3 nel tuo account di destinazione.
1. Scegli **Next (Successivo)**. Dai un nome alla tua politica e scegli **Crea** politica.
## Passaggio 2: nell'account di destinazione, aggiorna la policy sui bucket S3
Nel tuo account di destinazione, modifica la policy del bucket S3 di destinazione per includere il [ruolo DataSync IAM](#s3-s3-cross-account-create-iam-role-source-account) che hai creato nell'account di origine.
**Prima di iniziare**: assicurati di disporre delle [autorizzazioni necessarie per l'account di destinazione](#s3-s3-cross-account-required-permissions-dest-account).
### Aggiorna la policy sui bucket S3 di destinazione
1. Nel Console di gestione AWS, passa all'account di destinazione.
1. Apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Nel pannello di navigazione a sinistra, scegli **Buckets** (Bucket).
1. Nell'elenco dei **bucket**, scegli il bucket S3 a cui stai trasferendo i dati.
1. **Nella pagina dei dettagli del bucket, scegli la scheda Autorizzazioni.**
1. In **Bucket policy**, scegli **Modifica** e procedi come segue per modificare la tua policy sui bucket S3:
1. Aggiorna il contenuto dell'editor per includere le seguenti dichiarazioni politiche:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DataSyncCreateS3LocationAndTaskAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/source-datasync-role"
},
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:GetObjectTagging",
"s3:PutObjectTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket",
"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
]
}
]
}
```
------
1. Sostituisci ogni istanza di `source-account` con l' Account AWS ID del tuo account di origine.
1. Sostituiscilo `source-datasync-role` con il [ruolo IAM per cui hai creato DataSync nel tuo account di origine](#s3-s3-cross-account-create-iam-role-source-account).
1. Sostituisci ogni istanza di `amzn-s3-demo-destination-bucket` con il nome del bucket S3 nel tuo account di destinazione.
1. Scegli **Save changes** (Salva modifiche).
## Passaggio 3: nell'account di destinazione, disattivalo ACLs per il tuo bucket S3
È importante che tutti i dati che trasferisci nel bucket S3 appartengano al tuo account di destinazione. Per garantire che questo account sia proprietario dei dati, disabilita gli elenchi di controllo degli accessi del bucket (). ACLs Per ulteriori informazioni, consulta la sezione [Controllo della proprietà degli oggetti e disattivazione ACLs del bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) nella *Amazon S3* User Guide.
**Prima di iniziare**: assicurati di disporre delle [autorizzazioni necessarie per](#s3-s3-cross-account-required-permissions-dest-account) l'account di destinazione.
### Disattiva il bucket S3 di destinazione ACLs
1. Mentre sei ancora connesso alla console S3 con il tuo account di destinazione, scegli il bucket S3 su cui stai trasferendo i dati.
1. **Nella pagina dei dettagli del bucket, scegli la scheda Autorizzazioni.**
1. Alla voce **Proprietà Oggetto** scegli **Modifica**.
1. Se non è già selezionata, scegli l'opzione **ACLs disabilitata (consigliata).**
1. Scegli **Save changes** (Salva modifiche).
## Passaggio 4: Nel tuo account di origine, crea le tue DataSync sedi
Nel tuo account di origine, crea le DataSync posizioni per i bucket S3 di origine e di destinazione.
**Prima di iniziare**: assicurati di disporre delle [autorizzazioni necessarie per il tuo](#s3-s3-cross-account-required-permissions-source-account) account di origine.
### Crea la tua posizione DataSync di origine
+ Nel tuo account di origine, crea una [posizione](create-s3-location.md#create-s3-location-how-to) per il bucket S3 da cui stai trasferendo i dati.
### Crea la tua località di destinazione DataSync
Mentre sei ancora nel tuo account di origine, crea una posizione per il bucket S3 su cui stai trasferendo i dati.
Poiché non puoi creare posizioni tra più account utilizzando l'interfaccia della DataSync console, queste istruzioni richiedono l'esecuzione di un `create-location-s3` comando per creare la posizione di destinazione. Ti consigliamo di eseguire il comando utilizzando AWS CloudShell una shell preautenticata basata su browser che puoi avviare direttamente dalla console. CloudShellconsente di eseguire AWS CLI comandi `create-location-s3` senza scaricare o installare strumenti da riga di comando.
**Nota**
Per completare i seguenti passaggi utilizzando uno strumento da riga di comando diverso da CloudShell, assicurati che il tuo [AWS CLI profilo](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html) utilizzi lo stesso ruolo IAM che include le [autorizzazioni utente richieste](#s3-s3-cross-account-required-permissions-source-account) da utilizzare DataSync nel tuo account di origine.
**Per creare una posizione di DataSync destinazione utilizzando CloudShell**
1. Mentre sei ancora nel tuo account di origine, esegui una delle seguenti operazioni per eseguire l'avvio CloudShell dalla console:
+ Scegli l' CloudShell icona nella barra di navigazione della console. Si trova alla destra della casella di ricerca.
+ Utilizza la casella di ricerca sulla barra di navigazione della console per **CloudShell**cercare, quindi scegli l'**CloudShell**opzione.
1. Copia il seguente `create-location-s3` comando:
```
aws datasync create-location-s3 \
--s3-bucket-arn arn:aws:s3:::amzn-s3-demo-destination-bucket \
--region amzn-s3-demo-destination-bucket-region \
--s3-config '{
"BucketAccessRoleArn":"arn:aws:iam::source-account-id:role/source-datasync-role"
}'
```
1. Sostituiscilo `amzn-s3-demo-destination-bucket` con il nome del bucket S3 nell'account di destinazione.
1. Se il bucket di destinazione si trova in una regione diversa da quella del bucket di origine, sostituiscilo `amzn-s3-demo-destination-bucket-region` con la regione in cui risiede il bucket di destinazione (ad esempio,). `us-east-2` Rimuovi questa opzione se i tuoi bucket si trovano nella stessa regione.
1. Sostituisci `source-account-id` con l' Account AWS ID di origine.
1. Sostituiscilo `source-datasync-role` con il [ruolo DataSync IAM](#s3-s3-cross-account-create-iam-role-source-account) che hai creato nel tuo account di origine.
1. Esegui il comando in CloudShell.
Se il comando restituisce un ARN di DataSync posizione simile a questo, la posizione è stata creata con successo:
```
{
"LocationArn": "arn:aws:datasync:us-east-2:123456789012:location/loc-abcdef01234567890"
}
```
1. Nel riquadro di navigazione a sinistra, espandi **Trasferimento dati**, quindi scegli **Posizioni**.
1. Se hai creato la posizione in una regione diversa, scegli quella regione nel riquadro di navigazione.
Dal tuo account di origine, puoi vedere la posizione S3 che hai appena creato per il bucket dell'account di destinazione.
## Passaggio 5: Nel tuo account di origine, crea e avvia l'attività DataSync
Prima di iniziare un' DataSync attività di trasferimento dei dati, ricapitoliamo ciò che hai fatto finora:
+ Nel tuo account di origine, hai creato un ruolo IAM che consente di DataSync trasferire i dati nel bucket S3 dell'account di destinazione.
+ Nel tuo account di destinazione, hai configurato il bucket S3 in modo che DataSync possa trasferirvi i dati.
+ Nel tuo account di origine, hai creato le posizioni di DataSync origine e di destinazione per il trasferimento.
### Crea e avvia la tua DataSync attività
1. Mentre usi ancora la DataSync console nel tuo account di origine, espandi **Trasferimento dati** nel riquadro di navigazione a sinistra, quindi scegli **Attività** e **Crea attività**.
1. Se il bucket nel tuo account di destinazione si trova in una regione diversa da quella del tuo account di origine, scegli la regione del bucket di destinazione nel pannello di navigazione in alto.
**Importante**
Per evitare un errore di connessione di rete, devi creare l' DataSyncattività nella stessa regione della posizione di destinazione.
1. Nella pagina **Configura la posizione di origine**, procedi come segue:
1. Seleziona **Scegli una posizione esistente**.
1. (Per i trasferimenti tra regioni) Nel menu a discesa **Regione**, scegli la regione in cui risiede il bucket di origine.
1. **Per **le sedi esistenti**, scegli la posizione di origine per il bucket S3 da cui stai trasferendo i dati, quindi scegli Avanti.**
1. Nella pagina **Configura la posizione di destinazione**, procedi come segue:
1. Seleziona **Scegli una posizione esistente**.
1. **Per **Posizioni esistenti**, scegli la posizione di destinazione per il bucket S3 in cui stai trasferendo i dati, quindi scegli Avanti.**
1. **Nella pagina **Configura impostazioni**, scegli una modalità Attività.**
**Suggerimento**
Ti consigliamo di utilizzare la modalità **Avanzata**. Per ulteriori informazioni, consulta [Scelta di una modalità di operazione per il trasferimento dei dati](choosing-task-mode.md).
1. Assegna un nome all'attività e configura impostazioni aggiuntive, come specificare un gruppo di CloudWatch log Amazon. Scegli **Next (Successivo)**.
1. Nella pagina **Revisione**, rivedi le impostazioni e scegli **Crea attività**.
1. Nella pagina dei dettagli dell'attività, scegli **Avvia**, quindi scegli una delle seguenti opzioni:
+ Per eseguire l'attività senza modifiche, scegli **Inizia con i valori predefiniti**.
+ Per modificare l'attività prima di eseguirla, scegli **Inizia con opzioni di sovrascrittura**.
Al termine dell'attività, controlla il bucket S3 nel tuo account di destinazione. Dovresti vedere i dati che sono stati spostati dal bucket dell'account di origine.
## Risoluzione dei problemi
Fai riferimento alle seguenti informazioni se riscontri problemi nel tentativo di completare il trasferimento tra account.
**Errori di connessione**
Quando effettui il trasferimento tra bucket S3 in diverse Account AWS aree geografiche con attività in modalità Base, potresti ricevere un errore di connessione di rete all'avvio dell'operazione. DataSync Per risolvere questo problema, utilizza un'attività in modalità avanzata. In alternativa, crea un'attività in modalità Base nella stessa regione della posizione di destinazione e prova a eseguirla.
## Correlata: Trasferimenti tra account con bucket S3 utilizzando la crittografia lato server
[Se stai cercando di eseguire questo trasferimento con bucket S3 utilizzando la crittografia lato server, consulta lo Storage Blog per istruzioni.AWS](https://aws.amazon.com/blogs/storage/transfer-customer-managed-sse-kms-encrypted-objects-across-aws-accounts-and-regions-using-aws-datasync/)