Configurar o acesso a um bucket do Amazon S3 - Amazon Aurora

Configurar o acesso a um bucket do Amazon S3

Para exportar dados ao Amazon S3, forneça ao cluster de banco de dados PostgreSQL permissão para acessar o bucket do Amazon S3 para o qual os arquivos serão enviados.

Para fazer isso, use o procedimento a seguir.

Como conceder acesso a um cluster de banco de dados PostgreSQL ao Amazon S3 por meio de um perfil do IAM
  1. Crie uma política do IAM.

    Essa política concede ao bucket e ao objeto as permissões para que o cluster de banco de dados PostgreSQL acesse o Amazon S3.

    Como parte da criação dessa política, execute as seguintes etapas:

    1. Inclua na política as seguintes ações necessárias para permitir a transferência de arquivos do cluster de banco de dados PostgreSQL para um bucket do Amazon S3:

      • s3:PutObject

      • s3:AbortMultipartUpload

    2. Inclua o nome do recurso da Amazon (ARN) que identifica o bucket do Amazon S3 e os objetos no bucket. O formato do ARN para acessar o Amazon S3 é: arn:aws:s3:::amzn-s3-demo-bucket/*

    Para obter mais informações sobre como criar uma política do IAM para o Aurora PostgreSQL, consulte Criar e usar uma política do IAM para acesso do banco de dados do IAM. Consulte também Tutorial: criar e anexar sua primeira política gerenciada pelo cliente no Guia do usuário do IAM.

    O comando da AWS CLI a seguir cria uma política do IAM denominada rds-s3-export-policy com essas opções. Ele concede acesso a um bucket denominado amzn-s3-demo-bucket.

    Atenção

    Recomendamos configurar o banco de dados em uma VPC privada que tenha políticas de endpoint configuradas para acessar buckets específicos. Para obter mais informações, consulte Usar políticas de endpoint para o Amazon S3 no Guia do usuário da Amazon VPC.

    É altamente recomendável não criar uma política com acesso a todos os recursos. Esse acesso pode representar uma ameaça à segurança dos dados. Se você criar uma política que forneça o acesso S3:PutObject a todos os recursos usando "Resource":"*", um usuário com privilégios de exportação poderá exportar dados para todos os buckets em sua conta. Além disso, o usuário poderá exportar dados para qualquer bucket gravável publicamente dentro de sua região daAWS.

    Depois de criar a política, observe o nome do recurso da Amazon (ARN) da política. O ARN será necessário para uma etapa posterior, quando você anexar a política a um perfil do IAM.

    aws iam create-policy --policy-name rds-s3-export-policy --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "s3export", "Action": [ "s3:PutObject*", "s3:ListBucket", "s3:GetObject*", "s3:DeleteObject*", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*" ] } ] }'
  2. Crie uma função do IAM.

    Faça isso para que o do Aurora PostgreSQL possa assumir esse perfil do IAM em seu nome para acessar os buckets do Amazon S3. Para ter mais informações, consulte Criar um perfil para delegar permissões a um usuário do IAM no Guia do usuário do IAM.

    Convém usar as chaves de contexto de condição global aws:SourceArn e aws:SourceAccount em políticas baseadas em recursos para limitar as permissões do serviço a um recurso específico. Essa é a maneira mais eficiente de se proteger contra o problema "confused deputy".

    Se você utilizar ambas as chaves de contexto de condição global, e o valor aws:SourceArn contiver o ID da conta, o valor aws:SourceAccount e a conta no valor aws:SourceArn deverão utilizar o mesmo ID de conta quando utilizados na mesma instrução de política.

    • Use aws:SourceArn se quiser acesso entre serviços para um único recurso.

    • Use aws:SourceAccount se você quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços.

    Na política, certifique-se de usar a chave de contexto de condição global aws:SourceArn com o ARN completo do recurso. O exemplo a seguir mostra como fazer isso utilizando o comando da AWS CLI para criar uma função chamada rds-s3-export-role.

    exemplo

    Para Linux, macOS ou Unix:

    aws iam create-role \ --role-name rds-s3-export-role \ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "rds.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333", "aws:SourceArn": "arn:aws:rds:us-east-1:111122223333:db:dbname" } } } ] }'

    Para Windows:

    aws iam create-role ^ --role-name rds-s3-export-role ^ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "rds.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333", "aws:SourceArn": "arn:aws:rds:us-east-1:111122223333:db:dbname" } } } ] }'
  3. Anexe a política do IAM que você criou à função do IAM que você criou.

    O comando da AWS CLI a seguir anexa a política criada anteriormente à função chamada rds-s3-export-role.. Substitua your-policy-arn pelo ARN da política que você anotou na etapa anterior.

    aws iam attach-role-policy --policy-arn your-policy-arn --role-name rds-s3-export-role
  4. Adicione o perfil do IAM ao cluster de banco de dados. Faça isso usando o AWS Management Console ou a AWS CLI, conforme descrito a seguir.

Para adicionar um perfil do IAM a um cluster de banco de dados do PostgreSQL usando o console
  1. Faça login no AWS Management Console e abra o console do Amazon RDS em https://console.aws.amazon.com/rds/.

  2. Escolha o nome da de cluster de banco de dados do PostgreSQL para exibir os detalhes.

  3. Na guia Connectivity & security (Conectividade e segurança), na seção Manage IAM roles (Gerenciar perfis do IAM), escolha o perfil a ser adicionado em Add IAM roles to this instance (Adicionar perfis do IAM a essa instância).

  4. Em Feature (Recurso), escolha s3Export.

  5. Escolha Add role (adicionar função).

Para adicionar um perfil do IAM a um cluster de banco de dados do PostgreSQL usando a CLI
  • Use o comando a seguir para adicionar a função ao cluster de banco de dados do PostgreSQL chamado my-db-cluster. Substituayour-role-arn pelo ARN da função que você anotou em uma etapa anterior. Use s3Export para o valor da opção --feature-name.

    exemplo

    Para Linux, macOS ou Unix:

    aws rds add-role-to-db-cluster \ --db-cluster-identifier my-db-cluster \ --feature-name s3Export \ --role-arn your-role-arn \ --region your-region

    Para Windows:

    aws rds add-role-to-db-cluster ^ --db-cluster-identifier my-db-cluster ^ --feature-name s3Export ^ --role-arn your-role-arn ^ --region your-region