Einrichten des Zugriffs auf einen Amazon-S3-Bucket - Amazon Aurora
Identifizieren des S3-BucketsGewähren des Zugriffs auf einen S3-Bucket mit einer IAM-RolleEinen kontoübergreifenden S3-Bucket verwenden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten des Zugriffs auf einen Amazon-S3-Bucket

Sie identifizieren den Amazon-S3-Bucket und gewähren der DB-Cluster-Exportaufgabe die Berechtigung, darauf zuzugreifen.

Identifizieren des Amazon-S3-Buckets, in den exportiert werden soll

Identifizieren Sie den Amazon-S3-Bucket, in den die DB-Cluster-Daten exportiert werden sollen. Verwenden Sie einen vorhandenen S3-Bucket oder erstellen Sie einen neuen S3-Bucket.

Anmerkung

Der S3-Bucket muss sich in derselben AWS Region wie der DB-Cluster befinden.

Weitere Informationen zur Arbeit mit Amazon S3-Buckets finden Sie im Amazon Simple Storage Service User Guide:

Bereitstellen des Zugriffs auf einen Amazon S3-Bucket mit einer IAM-Rolle

Bevor Sie DB-Cluster-Daten nach Amazon S3 exportieren, gewähren Sie den Exportaufgaben Schreibzugriff auf den Amazon-S3-Bucket.

Zum Gewähren dieser Berechtigung erstellen Sie eine IAM-Richtlinie, die Zugriff auf den Bucket ermöglicht. Erstellen Sie dann eine IAM-Rolle und fügen Sie der Rolle die Richtlinie an. Die IAM-Rolle können Sie später Ihrer DB-Cluster-Exportaufgabe zuweisen.

Wichtig

Wenn Sie planen, den für den Export Ihres DB-Clusters AWS-Managementkonsole zu verwenden, können Sie festlegen, dass die IAM-Richtlinie und die Rolle automatisch erstellt werden, wenn Sie den DB-Cluster exportieren. Detaillierte Anweisungen finden Sie unter Erstellen von DB-Cluster-Exportaufgaben.

So erteilen Sie Aufgaben Zugriff auf Amazon S3

  1. Erstellen Sie eine IAM-Richtlinie. Diese Richtlinie bietet dem Bucket und den Objekten Berechtigungen, die Ihrer DB-Cluster-Exportaufgabe Zugriff auf Amazon S3 erlauben.

    Die Richtlinie muss die folgenden erforderlichen Aktionen enthalten, um die Übertragung von Dateien aus Amazon Aurora in einen S3-Bucket zu erlauben:

    • s3:PutObject*

    • s3:GetObject*

    • s3:ListBucket

    • s3:DeleteObject*

    • s3:GetBucketLocation

    Fügen Sie in die Richtlinie die folgenden Ressourcen zur Identifizierung des S3-Buckets und der Objekte im Bucket ein. Die folgende Liste von Ressourcen zeigt das ARN-Format (Amazon-Ressourcenname) für den Amazon S3-Zugriff.

    • arn:aws:s3:::amzn-s3-demo-bucket

    • arn:aws:s3:::amzn-s3-demo-bucket/*

    Weitere Informationen zur Erstellung einer IAM-Richtlinie für Amazon Aurora finden Sie unter Erstellen und Verwenden einer IAM-Richtlinie für den IAM-Datenbankzugriff. Siehe auch Tutorial: Erstellen und Anfügen Ihrer ersten vom Kunden verwalteten Richtlinie im IAM-Benutzerhandbuch.

    Mit dem folgenden AWS CLI Befehl wird eine IAM-Richtlinie ExportPolicy mit diesen Optionen erstellt. Sie gewährt Zugriff auf einen Bucket namens amzn-s3-demo-bucket.

    Anmerkung

    Nachdem Sie die Richtlinie erstellt haben, notieren Sie den ARN der Richtlinie. Sie benötigen den ARN für einen nachfolgenden Schritt, in dem Sie die Richtlinie an eine IAM-Rolle anhängen.

    aws iam create-policy  --policy-name ExportPolicy --policy-document '{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ExportPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject*",
                "s3:ListBucket",
                "s3:GetObject*",
                "s3:DeleteObject*",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}'

  2. Erstellen Sie eine IAM-Rolle, damit Aurora diese IAM-Rolle in Ihrem Namen übernehmen kann, um auf Ihre Amazon-S3-Buckets zuzugreifen. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer im IAM-Benutzerhandbuch.

    Das folgende Beispiel zeigt, wie der AWS CLI Befehl verwendet wird, um eine Rolle mit dem Namen rds-s3-export-role zu erstellen.

    aws iam create-role  --role-name rds-s3-export-role  --assume-role-policy-document '{
     "Version": "2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "export.rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole"
       }
     ] 
   }'

  3. Fügen Sie die erstellte IAM-Richtlinie der IAM-Rolle an, die Sie erstellt haben.

    Mit dem folgenden AWS CLI Befehl wird die zuvor erstellte Richtlinie an die angegebene rds-s3-export-role Rolle angehängt. Ersetzen Sie your-policy-arn durch den Richtlinien-ARN, den Sie in einem früheren Schritt notiert haben.

    aws iam attach-role-policy  --policy-arn your-policy-arn  --role-name rds-s3-export-role

Einen kontoübergreifenden Amazon-S3-Bucket verwenden

Sie können S3-Buckets kontenübergreifend AWS verwenden. Weitere Informationen finden Sie unter Einen kontoübergreifenden Amazon-S3-Bucket verwenden.