Configurar o acesso a um bucket do Amazon S3

Para exportar dados ao Amazon S3, forneça à instância de banco de dados PostgreSQL permissão para acessar o bucket do Amazon S3 para o qual os arquivos serão enviados.

Para fazer isso, use o procedimento a seguir.

Como conceder acesso a uma instância de banco de dados PostgreSQL ao Amazon S3 por meio de um perfil do IAM

Crie uma política do IAM.

Essa política concede ao bucket e ao objeto as permissões para que a instância de banco de dados PostgreSQL acesse o Amazon S3.

Como parte da criação dessa política, execute as seguintes etapas:
1. Inclua na política as seguintes ações necessárias para permitir a transferência de arquivos da instância de banco de dados PostgreSQL para um bucket do Amazon S3:
  - s3:PutObject
  - s3:AbortMultipartUpload
2. Inclua o nome do recurso da Amazon (ARN) que identifica o bucket do Amazon S3 e os objetos no bucket. O formato do ARN para acessar o Amazon S3 é: arn:aws:s3:::amzn-s3-demo-bucket/*
Para obter mais informações sobre como criar uma política do IAM para o Amazon RDS para PostgreSQL, consulte Criar e usar uma política do IAM para acesso do banco de dados do IAM. Consulte também Tutorial: criar e anexar sua primeira política gerenciada pelo cliente no Guia do usuário do IAM.

O comando da AWS CLI a seguir cria uma política do IAM denominada rds-s3-export-policy com essas opções. Ele concede acesso a um bucket denominado amzn-s3-demo-bucket.

Atenção
Recomendamos configurar o banco de dados em uma VPC privada que tenha políticas de endpoint configuradas para acessar buckets específicos. Para obter mais informações, consulte Usar políticas de endpoint para o Amazon S3 no Guia do usuário da Amazon VPC.
É altamente recomendável não criar uma política com acesso a todos os recursos. Esse acesso pode representar uma ameaça à segurança dos dados. Se você criar uma política que forneça o acesso S3:PutObject a todos os recursos usando "Resource":"*", um usuário com privilégios de exportação poderá exportar dados para todos os buckets em sua conta. Além disso, o usuário poderá exportar dados para qualquer bucket gravável publicamente dentro de sua região daAWS.

Depois de criar a política, observe o nome do recurso da Amazon (ARN) da política. O ARN será necessário para uma etapa posterior, quando você anexar a política a um perfil do IAM.
```
aws iam create-policy  --policy-name rds-s3-export-policy  --policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "s3export",
         "Action": [
           "s3:PutObject*",
           "s3:ListBucket",
           "s3:GetObject*",
           "s3:DeleteObject*",
           "s3:GetBucketLocation",
           "s3:AbortMultipartUpload"
         ],
         "Effect": "Allow",
         "Resource": [
           "arn:aws:s3:::amzn-s3-demo-bucket/*"
         ] 
       }
     ] 
   }'
```
Crie uma função do IAM.

Faça isso para que o Amazon RDS do possa assumir esse perfil do IAM em seu nome para acessar os buckets do Amazon S3. Para ter mais informações, consulte Criar um perfil para delegar permissões a um usuário do IAM no Guia do usuário do IAM.

Convém usar as chaves de contexto de condição global aws:SourceArn e aws:SourceAccount em políticas baseadas em recursos para limitar as permissões do serviço a um recurso específico. Essa é a maneira mais eficiente de se proteger contra o problema "confused deputy".

Se você utilizar ambas as chaves de contexto de condição global, e o valor aws:SourceArn contiver o ID da conta, o valor aws:SourceAccount e a conta no valor aws:SourceArn deverão utilizar o mesmo ID de conta quando utilizados na mesma instrução de política.
- Use aws:SourceArn se quiser acesso entre serviços para um único recurso.
- Use aws:SourceAccount se você quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços.
Na política, certifique-se de usar a chave de contexto de condição global aws:SourceArn com o ARN completo do recurso. O exemplo a seguir mostra como fazer isso utilizando o comando da AWS CLI para criar uma função chamada rds-s3-export-role.

exemplo

Para Linux, macOS ou Unix:
```
aws iam create-role  \
    --role-name rds-s3-export-role  \
    --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole",
         "Condition": {
             "StringEquals": {
                "aws:SourceAccount": "111122223333",
                "aws:SourceArn": "arn:aws:rds:us-east-1:111122223333:db:dbname"
                }
             }
       }
     ] 
   }'
```
Para Windows:
```
aws iam create-role  ^
    --role-name rds-s3-export-role  ^
    --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole",
         "Condition": {
             "StringEquals": {
                "aws:SourceAccount": "111122223333",
                "aws:SourceArn": "arn:aws:rds:us-east-1:111122223333:db:dbname"
                }
             }
       }
     ] 
   }'
```
Anexe a política do IAM que você criou à função do IAM que você criou.

O comando da AWS CLI a seguir anexa a política criada anteriormente à função chamada rds-s3-export-role.. Substitua your-policy-arn pelo ARN da política que você anotou na etapa anterior.
```
aws iam attach-role-policy  --policy-arn your-policy-arn  --role-name rds-s3-export-role  
```
Adicione o perfil do IAM à instância de banco de dados. Faça isso usando o AWS Management Console ou a AWS CLI, conforme descrito a seguir.

Para adicionar um perfil do IAM a uma instância de banco de dados do PostgreSQL usando o console

Faça login no AWS Management Console e abra o console do Amazon RDS em https://console.aws.amazon.com/rds/.
Escolha o nome da instância de de banco de dados do PostgreSQL para exibir os detalhes.
Na guia Connectivity & security (Conectividade e segurança), na seção Manage IAM roles (Gerenciar perfis do IAM), escolha o perfil a ser adicionado em Add IAM roles to this instance (Adicionar perfis do IAM a essa instância).
Em Feature (Recurso), escolha s3Export.
Escolha Add role (adicionar função).

Para adicionar um perfil do IAM para uma instância de banco de dados do PostgreSQL usando a CLI

Use o comando a seguir para adicionar a função à instância de banco de dados do PostgreSQL chamada my-db-instance. Substituayour-role-arn pelo ARN da função que você anotou em uma etapa anterior. Use s3Export para o valor da opção --feature-name.

exemplo

Para Linux, macOS ou Unix:


aws rds add-role-to-db-instance \
   --db-instance-identifier my-db-instance \
   --feature-name s3Export \
   --role-arn your-role-arn   \
   --region your-region

Para Windows:


aws rds add-role-to-db-instance ^
   --db-instance-identifier my-db-instance ^
   --feature-name s3Export ^
   --role-arn your-role-arn ^
   --region your-region

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Exportação de dados do PostgreSQL para Amazon S3

Exportar dados de consulta usando a função aws_s3.query_export_to_s3