Configurar o acesso a um bucket do Amazon S3 - Amazon Aurora
Identificar o bucket do S3Fornecer acesso a um bucket do S3 usando um perfil do IAMUtilizar um bucket do S3 entre contas

Configurar o acesso a um bucket do Amazon S3

Você identifica o bucket do Amazon S3, depois fornece à tarefa de exportação do cluster de banco de dados permissão para acessá-lo.

Identificar o bucket do Amazon S3 para exportar

Identifique o bucket do Amazon S3 para o qual exportar os dados de cluster de banco de dados. Use um bucket do S3 existente ou crie um novo bucket do S3.

nota

O bucket do S3 deve estar na mesma região da AWS que o cluster de banco de dados.

Para ter mais informações sobre como trabalhar com buckets do Amazon S3, consulte o seguinte no Guia do usuário do Amazon Simple Storage Service:

Fornecer acesso a um bucket do Amazon S3 usando um perfil do IAM

Antes de exportar dados de cluster de banco de dados para o Amazon S3, forneça a permissão de acesso de gravação ao bucket do Amazon S3 às tarefas de exportação.

Para conceder essa permissão, crie uma política do IAM que forneça acesso ao bucket e, depois, crie um perfil do IAM e anexe a política ao perfil. Posteriormente, você pode atribuir o perfil do IAM à tarefa de exportação do cluster de banco de dados.

Importante

Se você planeja usar o AWS Management Console para exportar seu cluster de banco de dados, poderá optar por criar a política do IAM e o perfil automaticamente ao exportar o cluster de banco de dados. Para obter instruções, consulte Criar tarefas de exportação do cluster de banco de dados.

Como fornecer às tarefas acesso ao Amazon S3

  1. Crie uma política do IAM. Essa política fornece as permissões de bucket e objeto que permitem que sua tarefa de exportação de cluster de banco de dados acesse o Amazon S3.

    Na política, inclua as ações necessárias a seguir para permitir a transferência de arquivos do Amazon Aurora para um bucket do S3:

    • s3:PutObject*

    • s3:GetObject*

    • s3:ListBucket

    • s3:DeleteObject*

    • s3:GetBucketLocation

    Na política, inclua os recursos a seguir para identificar o bucket do S3 e os objetos no bucket. A lista de recursos a seguir mostra o formato do nome de recurso da Amazon (ARN) para acessar o Amazon S3.

    • arn:aws:s3:::amzn-s3-demo-bucket

    • arn:aws:s3:::amzn-s3-demo-bucket/*

    Para ter mais informações sobre como criar uma política do IAM para o Amazon Aurora, consulte Criar e usar uma política do IAM para acesso do banco de dados do IAM. Consulte também Tutorial: Criar e anexar sua primeira política gerenciada pelo cliente no Guia do usuário do IAM.

    O comando da AWS CLI a seguir cria uma política do IAM denominada ExportPolicy com essas opções. Ele concede acesso a um bucket denominado amzn-s3-demo-bucket.

    nota

    Depois de criar a política, anote o ARN da política. O ARN será necessário para uma etapa posterior, quando você anexar a política a um perfil do IAM.

    aws iam create-policy  --policy-name ExportPolicy --policy-document '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExportPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject*",
                "s3:ListBucket",
                "s3:GetObject*",
                "s3:DeleteObject*",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}'

  2. Crie um perfil do IAM para que o Aurora possa assumir esse perfil do IAM em seu nome a fim de acessar os buckets do Amazon S3. Para ter mais informações, consulte Criar um perfil para delegar permissões a um usuário do IAM no Guia do usuário do IAM.

    O exemplo a seguir mostra como usar o comando da AWS CLI para criar uma função chamada rds-s3-export-role.

    aws iam create-role  --role-name rds-s3-export-role  --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "export.rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole"
       }
     ] 
   }'

  3. Anexe a política do IAM que você criou ao perfil do IAM que você criou.

    O seguinte comando da AWS CLI anexa a política criada anteriormente à função chamada rds-s3-export-role. Substitua your-policy-arn pelo ARN da política que você anotou em uma etapa anterior.

    aws iam attach-role-policy  --policy-arn your-policy-arn  --role-name rds-s3-export-role

Utilizar um bucket do Amazon S3 entre contas

É possível utilizar buckets do S3 entre contas da AWS. Para ter mais informações, consulte Utilizar um bucket do Amazon S3 entre contas.