Criar uma política do IAM para acessar recursos do Amazon S3 - Amazon Aurora

Criar uma política do IAM para acessar recursos do Amazon S3

O Aurora pode acessar recursos do Amazon S3 para carregar dados ou salvar dados em/de um cluster de banco de dados Aurora. No entanto, primeiro você deve criar uma política do IAM que forneça as permissões de bucket e objeto que permitem ao Aurora acessar o Amazon S3.

A seguinte tabela lista os recursos do Aurora que podem acessar um bucket do Amazon S3 em seu nome, bem com as permissões mínimas de bucket e objetos necessárias por cada recurso.

Recurso Permissões do bucket Permissões de objeto

LOAD DATA FROM S3

ListBucket

GetObject

GetObjectVersion

LOAD XML FROM S3

ListBucket

GetObject

GetObjectVersion

SELECT INTO OUTFILE S3

ListBucket

AbortMultipartUpload

DeleteObject

GetObject

ListMultipartUploadParts

PutObject

A política a seguir adiciona as permissões que podem ser exigidas pelo Aurora para acessar um bucket do Amazon S3 em seu nome.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAuroraToExampleBucket", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:AbortMultipartUpload", "s3:ListBucket", "s3:DeleteObject", "s3:GetObjectVersion", "s3:ListMultipartUploadParts" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*", "arn:aws:s3:::amzn-s3-demo-bucket" ] } ] }
nota

Certifique-se de incluir ambas as entradas para o valor Resource. O Aurora precisa das permissões no bucket em si e em todos os objetos dentro do bucket.

Com base no seu caso de uso, talvez você não precise adicionar todas as permissões na política de exemplo. Outras permissões também podem ser necessárias. Por exemplo, se o bucket do Amazon S3 estiver criptografado, você precisará adicionar permissões kms:Decrypt.

Você pode usar as seguintes etapas para criar uma política do IAM que fornece as permissões mínimas necessárias para o Aurora acessar um bucket do Amazon S3 em seu nome. Para permitir que o Aurora acesse todos os seus buckets do Amazon S3, você pode pular essas etapas e usar a política do IAM predefinida AmazonS3ReadOnlyAccess ou AmazonS3FullAccess, em vez de criar sua própria.

Para criar uma política do IAM para conceder acesso aos seus recursos do Amazon S3
  1. Abra o Console de Gerenciamento do IAM.

  2. No painel de navegação, escolha Policies.

  3. Escolha Create policy (Criar política).

  4. Na guia Editor visual, selecione Escolher um serviço e, em seguida, escolha S3.

  5. Em Actions (Ações), escolha Expand all (Expandir tudo) e escolha as permissões de bucket e de objeto necessárias para a política do IAM.

    Permissões de objeto são permissões para operações de objeto no Amazon S3 e precisam ser concedidas para objetos em um bucket, não no próprio bucket. Para obter mais informações sobre permissões para operações de objeto no Amazon S3, consulte Permissões para operações de objeto.

  6. Escolha Resources (Recursos) e Add ARN (Adicionar ARN) para bucket.

  7. Na caixa de diálogo Adicionar Nome(s) de recurso(s) da Amazon (ARN(s)), forneça os detalhes sobre seu recurso e escolha Selecionar.

    Especifique bucket do Amazon S3 ao qual permitir acesso. Por exemplo, para permitir que o Aurora acesse o bucket do Amazon S3 chamado amzn-s3-demo-bucket, defina o valor do nome do recurso da Amazon (ARN) como arn:aws:s3:::amzn-s3-demo-bucket.

  8. Se o recurso objeto estiver listado, escolha Adicionar Nome de recurso da Amazon (ARN) para objeto.

  9. Na caixa de diálogo Adicionar Nome(s) de recurso(s) da Amazon (ARN(s)), forneça os detalhes sobre seu recurso.

    Para o bucket do Amazon S3, especifique o bucket do Amazon S3 ao qual permitir acesso. Para o objeto, você poderá escolher Qualquer um para conceder permissões para qualquer objeto no bucket.

    nota

    Você pode definir o Amazon Resource Name (ARN) (Nome de recurso da Amazon – ARN) como um valor de ARN mais específico para permitir que o Aurora acesse apenas arquivos ou pastas específicos em um bucket do Amazon S3. Para obter mais informações sobre como definir uma política de acesso para o Amazon S3, consulte Gerenciar permissões de acesso aos recursos do Amazon S3.

  10. (Opcional) Escolha Add ARN (Adicionar ARN) em bucket para adicionar outro bucket do Amazon S3 à política e repita as etapas anteriores para esse bucket.

    nota

    Você pode repetir esta etapa para adicionar instruções de permissão de bucket correspondentes à sua política para cada bucket do Amazon S3 que o Aurora deve acessar. Opcionalmente, você também pode conceder acesso a todos os buckets e objetos no Amazon S3.

  11. Escolha Review policy (Revisar política).

  12. Em Name (Nome), insira um nome para a sua política do IAM, por exemplo AllowAuroraToExampleBucket. Você usa esse nome ao criar uma função do IAM a ser associada ao seu cluster de banco de dados Aurora. Você também pode adicionar um valor opcional para Description (Descrição).

  13. Escolha Create policy (Criar política).

  14. Siga as etapas em Criar uma função do IAM para permitir que o Amazon Aurora acesse produtos da AWS.