Einrichten des Zugriffs auf einen Amazon S3-Bucket - Amazon Aurora
Identifizieren des S3-BucketsStellen Sie mithilfe einer IAM Rolle Zugriff auf einen S3-Bucket bereitEinen kontoübergreifenden S3-Bucket verwenden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten des Zugriffs auf einen Amazon S3-Bucket

Sie identifizieren den Amazon-S3-Bucket und gewähren der DB-Cluster-Exportaufgabe die Berechtigung, darauf zuzugreifen.

Identifizieren des Amazon S3-Buckets, in den exportiert werden soll

Identifizieren Sie den Amazon-S3-Bucket, in den die DB-Cluster-Daten exportiert werden sollen. Verwenden Sie einen vorhandenen S3-Bucket oder erstellen Sie einen neuen S3-Bucket.

Anmerkung

Der S3-Bucket muss sich in derselben AWS Region wie der DB-Cluster befinden.

Weitere Informationen zur Arbeit mit Amazon S3-Buckets finden Sie im Amazon Simple Storage Service User Guide:

Bereitstellen des Zugriffs auf einen Amazon S3 S3-Bucket mithilfe einer IAM Rolle

Bevor Sie DB-Cluster-Daten nach Amazon S3 exportieren, gewähren Sie den Exportaufgaben Schreibzugriff auf den Amazon-S3-Bucket.

Um diese Berechtigung zu gewähren, erstellen Sie eine IAM Richtlinie, die Zugriff auf den Bucket gewährt, erstellen Sie dann eine IAM Rolle und hängen Sie die Richtlinie an die Rolle an. Später können Sie die IAM Rolle Ihrer DB-Cluster-Exportaufgabe zuweisen.

Wichtig

Wenn Sie planen, den AWS Management Console zum Exportieren Ihres DB-Clusters zu verwenden, können Sie festlegen, dass die IAM Richtlinie und die Rolle beim Exportieren des DB-Clusters automatisch erstellt werden. Detaillierte Anweisungen finden Sie unter Exportaufgaben für DB-Cluster erstellen.

So erteilen Sie Aufgaben Zugriff auf Amazon S3

  1. Erstellen Sie eine IAM Richtlinie. Diese Richtlinie bietet dem Bucket und den Objekten Berechtigungen, die Ihrer DB-Cluster-Exportaufgabe Zugriff auf Amazon S3 erlauben.

    Die Richtlinie muss die folgenden erforderlichen Aktionen enthalten, um die Übertragung von Dateien aus Amazon Aurora in einen S3-Bucket zu erlauben:

    • s3:PutObject*

    • s3:GetObject*

    • s3:ListBucket

    • s3:DeleteObject*

    • s3:GetBucketLocation

    Fügen Sie in die Richtlinie die folgenden Ressourcen zur Identifizierung des S3-Buckets und der Objekte im Bucket ein. Die folgende Ressourcenliste zeigt das Format Amazon Resource Name (ARN) für den Zugriff auf Amazon S3.

    • arn:aws:s3:::amzn-s3-demo-bucket

    • arn:aws:s3:::amzn-s3-demo-bucket/*

    Weitere Informationen zum Erstellen einer IAM Richtlinie für Amazon Aurora finden Sie unterErstellen und Verwenden einer IAM-Richtlinie für den IAM-Datenbankzugriff. Siehe auch Tutorial: Erstellen Sie Ihre erste vom Kunden verwaltete Richtlinie und fügen Sie sie als Anlage hinzu im IAMBenutzerhandbuch.

    Mit dem folgenden AWS CLI Befehl wird eine IAM Richtlinie ExportPolicy mit diesen Optionen erstellt. Er gewährt Zugriff auf einen Bucket mit dem Namen amzn-s3-demo-bucket.

    Anmerkung

    Nachdem Sie die Richtlinie erstellt haben, notieren Sie sich die Beschreibung ARN der Richtlinie. Sie benötigen die ARN für einen nachfolgenden Schritt, wenn Sie die Richtlinie einer IAM Rolle zuordnen.

    aws iam create-policy  --policy-name ExportPolicy --policy-document '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExportPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject*",
                "s3:ListBucket",
                "s3:GetObject*",
                "s3:DeleteObject*",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}'

  2. Erstellen Sie eine IAM Rolle, damit Aurora diese IAM Rolle in Ihrem Namen übernehmen kann, um auf Ihre Amazon S3 S3-Buckets zuzugreifen. Weitere Informationen finden Sie im Benutzerhandbuch unter Erstellen einer Rolle zur Delegierung von Berechtigungen an einen IAM IAMBenutzer.

    Das folgende Beispiel zeigt, wie der AWS CLI Befehl verwendet wird, um eine Rolle mit dem Namen rds-s3-export-role zu erstellen.

    aws iam create-role  --role-name rds-s3-export-role  --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "export.rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole"
       }
     ] 
   }'

  3. Ordnen Sie die von Ihnen erstellte IAM Richtlinie der von Ihnen erstellten IAM Rolle zu.

    Mit dem folgenden AWS CLI Befehl wird die zuvor erstellte Richtlinie an die angegebene rds-s3-export-role Rolle angehängt. your-policy-arnErsetzen Sie sie durch die RichtlinieARN, die Sie in einem früheren Schritt notiert haben.

    aws iam attach-role-policy  --policy-arn your-policy-arn  --role-name rds-s3-export-role

Einen kontoübergreifenden Amazon-S3-Bucket verwenden

Sie können S3-Buckets AWS kontenübergreifend verwenden. Weitere Informationen finden Sie unter Einen kontoübergreifenden Amazon-S3-Bucket verwenden.