Configurar um bucket do Amazon S3 para exportações de dados - Exportações de dados da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar um bucket do Amazon S3 para exportações de dados

Você deve ter um bucket do Amazon S3 em sua AWS conta para receber e armazenar suas exportações de dados. Ao criar uma exportação no console, é possível selecionar um bucket do S3 de sua propriedade ou criar outro. Nos dois casos, é necessário revisar e confirmar a aplicação da política de bucket do S3 padrão a seguir. Editar essa política no console do Amazon S3 ou alterar o proprietário do bucket do S3 depois de criar uma exportação impede que o Data Exports entregue as exportações. O armazenamento de dados das exportações no bucket do S3 é cobrado de acordo com as taxas padrão do Amazon S3. Para obter mais informações, consulte Cotas e restrições.

nota

A conta que cria a exportação também deve possuir o bucket do S3 para o qual as exportações são AWS enviadas. Evite configurar uma exportação com um bucket do S3 pertencente a outra conta.

A política a seguir é aplicada a cada bucket do S3 ao criar uma exportação de dados:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnableAWSDataExportsToWriteToS3AndCheckPolicy", "Effect": "Allow", "Principal": { "Service": [ "billingreports.amazonaws.com", "bcm-data-exports.amazonaws.com" ] }, "Action": [ "s3:PutObject", "s3:GetBucketPolicy" ], "Resource": [ "arn:aws:s3:::${bucket_name}/*", "arn:aws:s3:::${bucket_name}" ], "Condition": { "StringLike": { "aws:SourceAccount": "${accountId}", "aws:SourceArn": [ "arn:aws:cur:us-east-1:${accountId}:definition/*", "arn:aws:bcm-data-exports:us-east-1:${accountId}:export/*" ] } } } ] }

Essa política de bucket do S3 garante que o Data Exports só possa entregar exportações ao bucket do S3 em nome da conta que criou a exportação. Também permite que o Data Exports verifique se o bucket do S3 ainda pertence à conta que criou a exportação.

  • Para entregar exportações para seu bucket do S3, é AWS necessário ter permissões de gravação para esse bucket do S3. Para fazer isso, a política de bucket do S3 concede ao serviço Data Exports (bcm-data-exports.amazonaws.com) permissão para entregar relatórios (s3:PutObject) ao bucket do S3 de sua propriedade (arn:aws:s3:::<EXAMPLE-BUCKET>/*).

  • Sempre que o Data Exports faz a solicitação para gravar no bucket do S3, ele deve fornecer o ID da conta que criou a exportação. As chaves aws:SourceArn e aws:SourceAccount aplicam essa condição.

  • Essa política de bucket do S3 não dá AWS permissões para ler ou excluir nenhum objeto em seu bucket do S3, incluindo os relatórios de custo e uso após a entrega.

Para um bucket do Amazon S3 com lista de controle de acesso (ACL) habilitada, o Data Exports aplica ainda uma ACL BucketOwnerFullControl aos relatórios ao entregá-los. Por padrão, objetos do Amazon S3, como esses relatórios, só podem ser lidos pelo usuário ou entidade principal responsável pelo serviço que os escreveu. Para conceder a você ou ao proprietário do bucket do S3 permissão para ler os relatórios, a AWS precisa aplicar a ACL BucketOwnerFullControl. A ACL concede ao proprietário do bucket do S3 Permission.FullControl para esses relatórios. No entanto, é recomendável desabilitar a ACL e usar uma política de bucket do S3 para controlar o acesso.

nota

Para buckets do S3 recém-criados, as ACLs são desabilitadas por padrão. Para obter mais informações, consulte Controlar a propriedade de objetos e desabilitar ACLs para seu bucket.

Se for exibido um erro de Bucket inválido na página do console de Exportações de dados, verifique se a política e a propriedade do bucket do S3 não mudaram desde a configuração do relatório.