建立存取 Amazon S3 資源的IAM政策 - Amazon Aurora

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立存取 Amazon S3 資源的IAM政策

Aurora 可以存取 Amazon S3 資源,以便從 Aurora 資料庫叢集載入資料或儲存資料。不過,您必須先建立IAM政策,以提供儲存貯體和物件許可,以允許 Aurora 存取 Amazon S3。

下表列出可代表您存取 Amazon S3 儲存貯體的 Aurora 功能,以及每一項功能所需的最低儲存貯體和物件許可。

功能 儲存貯體許可 物件許可

LOAD DATA FROM S3

ListBucket

GetObject

GetObjectVersion
LOAD XML FROM S3

ListBucket

GetObject

GetObjectVersion

SELECT INTO OUTFILE S3

ListBucket

AbortMultipartUpload

DeleteObject

GetObject

ListMultipartUploadParts

PutObject

下列政策會新增 Aurora 代您存取 Amazon S3 儲存貯體所需的許可。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAuroraToExampleBucket",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:AbortMultipartUpload",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}
注意

Resource 值務必包含這兩個項目。Aurora 需要儲存貯體本身和儲存貯體內所有對象的許可權限。

根據您的使用案例,可能不需要在範例政策中新增所有許可。此外,還可能需要其他許可。例如,若您的 Amazon S3 儲存貯體經過加密,您便需要新增 kms:Decrypt 許可。

您可以使用下列步驟建立IAM政策,以便 Aurora 代表您存取 Amazon S3 儲存貯體所需的最低許可。若要允許 Aurora 存取所有 Amazon S3 儲存貯體,您可以略過這些步驟,並使用AmazonS3ReadOnlyAccessAmazonS3FullAccess預先定義的IAM政策,而不必建立自己的政策。

若要建立IAM政策以授予對 Amazon S3 資源的存取權

  1. 開啟 IAM 管理主控台

  2. 在導覽窗格中,選擇政策

  3. 選擇 Create policy (建立政策)。

  4. Visual editor (視覺化編輯器) 標籤中,選擇 Choose a service (選擇服務),然後選擇 S3

  5. 針對 [動作],選擇 [全部展開],然後選擇IAM原則所需的值區權限和物件權限。

    物件許可是在 Amazon S3 中執行物件操作的許可,必須授予儲存貯體中的物件,而非儲存貯體本身。如需 Amazon S3 中執行物件操作所需許可的詳細資訊,請參閱物件操作的許可

  6. 選擇「資源」,然後ARN為值區選擇「新增」。

  7. 在 [新增 ARN] 對話方塊中,提供有關資源的詳細資訊,然後選擇 [新增]。

    指定允許存取的 Amazon S3 儲存貯體。例如,如果您想要允許 Aurora 存取名為的 Amazon S3 儲存貯體 amzn-s3-demo-bucket,然後將 Amazon 資源名稱 (ARN) 值設定為arn:aws:s3:::amzn-s3-demo-bucket

  8. 如果列出了物件資源,請ARN為物件選擇「新增」。

  9. 在 [新增 ARN] 對話方塊中,提供有關資源的詳細資料。

    對於 Amazon S3 儲存貯體,請指定允許存取的 Amazon S3 儲存貯體。對於物件,您可以選擇 Any (任何),以授權存取儲存貯體中的任何物件。

    注意

    您可以將 Amazon 資源名稱 (ARN) 設定為更具體的ARN值,以便 Aurora 只能存取 Amazon S3 儲存貯體中的特定檔案或資料夾。如需如何為 Amazon S3 定義存取原則的詳細資訊,請參閱管理 Amazon S3 資源的存取許可

  10. (選擇性) 選擇ARN為儲存體新增另一個 Amazon S3 儲存貯體至政策,然後針對儲存貯體重複上述步驟。

    注意

    對於您想讓 Aurora 存取的每個 Amazon S3 儲存貯體,您可以重複此程序,在政策中新增對應的儲存貯體許可陳述式。(選擇性) 您也可以授權存取 Amazon S3 中的所有儲存貯體和物件。

  11. 選擇 Review policy (檢閱政策)

  12. 例如,在 [名稱] 中輸入IAM原則的名稱AllowAuroraToExampleBucket當您建立與 Aurora DB 叢集建立關聯的IAM角色時,可以使用此名稱。您也可以新增選用的 Description (描述) 值。

  13. 選擇 Create policy (建立政策)。

  14. 完成「建立 IAM 角色以允許 Amazon Aurora 存取 AWS 服務」中的步驟。