Voraussetzungen für das Erstellen von Konfigurationsregeln - Amazon S3 on Outposts
Verbinden Ihrer Quell- und Ziel-Outpost-SubnetzeErstellen einer IAM-Rolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen für das Erstellen von Konfigurationsregeln

Verbinden Ihrer Quell- und Ziel-Outpost-Subnetze

Damit Ihr Replikationsdatenverkehr über Ihr lokales Gateway von Ihrem Quell-Outpost zu Ihrem Ziel-Outpost geleitet wird, müssen Sie eine neue Route hinzufügen, um das Netzwerk einzurichten. Sie müssen die Classless Inter-Domain Routing (CIDR)-Netzwerkbereiche Ihrer Zugriffspunkte miteinander verbinden. Für jedes Zugriffspunktpaar müssen Sie diese Verbindung nur einmal einrichten.

Einige Schritte zum Einrichten der Verbindung unterscheiden sich je nach Zugriffstyp Ihrer Outposts-Endpunkte, die Ihren Zugriffspunkten zugeordnet sind. Der Zugriffstyp für Endgeräte ist entweder Privat (direktes Virtual Private Cloud [VPC] -Routing für AWS Outposts) oder Kundeneigene IP (ein kundeneigener IP-Adresspool [CoIP-Pool] innerhalb Ihres lokalen Netzwerks).

Schritt 1: Ermitteln des CIDR-Bereichs Ihres Quell-Outposts-Endpunkts

So ermitteln Sie den CIDR-Bereich Ihres Quellendpunkts, der Ihrem Quellzugriffspunkt zugeordnet ist

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im Navigationsbereich Outposts buckets (Outposts-Buckets) aus.

  3. Wählen Sie in der Liste Outposts-Buckets den gewünschten Quell-Bucket für die Replikation aus.

  4. Wählen Sie die Registerkarte Outposts-Zugriffspunkte und anschließend den Outposts-Zugriffspunkt für den Quell-Bucket für Ihre Replikationsregel aus.

  5. Wählen Sie den Outposts-Endpunkt aus.

  6. Kopieren Sie die Subnetz-ID, die in Schritt 5 verwendet werden soll.

  7. Die Methode, mit der Sie den CIDR-Bereich des Quell-Outposts-Endpunkts ermitteln, hängt vom Zugriffstyp Ihres Endpunkts ab.

    Prüfen Sie im Abschnitt Outposts-Endpunkt – Übersicht den Zugriffstyp.

    • Wenn der Zugriffstyp Privat lautet, kopieren Sie den Wert für Classless inter-domain routing (CIDR), der in Schritt 6 verwendet werden soll.

    • Wenn der Zugriffstyp Kundeneigene IP-Adresse lautet, gehen Sie wie folgt vor:

      1. Kopieren Sie den Wert für den IPv4 Pool, der dem Kunden gehört, um ihn später als ID für den Adresspool zu verwenden.

      2. Öffnen Sie die AWS Outposts Konsole unter https://console.aws.amazon.com/outposts/.

      3. Wählen Sie im Navigationsbereich Lokale Gateway-Routing-Tabellen aus.

      4. Wählen Sie den Wert für Lokale Gateway-Routing-Tabellen-ID Ihres Quell-Outposts aus.

      5. Wählen Sie im Detailbereich die Registerkarte CoIP-Pools aus. Fügen Sie den Wert Ihrer CoIP-Pool-ID, den Sie zuvor kopiert haben, in das Suchfeld ein.

      6. Kopieren Sie für den passenden CoIP-Pool den entsprechenden CIDRsWert Ihres Quell-Outposts-Endpunkts zur Verwendung in Schritt 6.

Schritt 2: Ermitteln der Subnetz-ID und des CIDR-Bereichs Ihres Ziel-Outposts-Endpunkts

Um die Subnetz-ID und den CIDR-Bereich Ihres Zielendpunkts zu ermitteln, der Ihrem Zielzugriffspunkt zugeordnet ist, führen Sie dieselben Unterschritte in Schritt 1 aus und ändern Sie dabei Ihren Quell-Outposts-Endpunkt in Ihren Ziel-Outposts-Endpunkt. Kopieren Sie den Subnetz-ID-Wert Ihres Ziel-Outposts-Endpunkts, um ihn in Schritt 6 zu verwenden. Kopieren Sie den CIDR-Wert Ihres Ziel-Outposts-Endpunkts, um ihn in Schritt 5 zu verwenden.

Schritt 3: Ermitteln der lokalen Gateway-ID Ihres Quell-Outposts

So ermitteln Sie die lokale Gateway-ID Ihres Quell-Outposts

  1. Öffnen Sie die AWS Outposts Konsole unter. https://console.aws.amazon.com/outposts/

  2. Wählen Sie im linken Navigationsbereich Lokale Gateways aus.

  3. Suchen Sie auf der Seite Lokale Gateways nach der Outpost-ID Ihres Quell-Outposts, den Sie für die Replikation verwenden möchten.

  4. Kopieren Sie den Wert der lokalen Gateway-ID Ihres Quell-Outposts, um ihn in Schritt 5 zu verwenden.

Weitere Informationen zu lokalen Gateways finden Sie unter Lokales Gateway im AWS Outposts -Benutzerhandbuch.

Schritt 4: Ermitteln der lokalen Gateway-ID Ihres Ziel-Outposts

Um die lokale Gateway-ID Ihres Ziel-Outposts zu ermitteln, führen Sie dieselben Unterschritte in Schritt 3 aus, wobei Sie allerdings nach der Outpost-ID für Ihren Ziel-Outpost suchen. Kopieren Sie den Wert der lokalen Gateway-ID Ihres Ziel-Outposts, um ihn in Schritt 6 zu verwenden.

Schritt 5: Einrichten der Verbindung von Ihrem Quell-Outpost-Subnetz zu Ihrem Ziel-Outpost-Subnetz

So richten Sie eine Verbindung von Ihrem Quell-Outpost-Subnetz zu Ihrem Ziel-Outpost-Subnetz ein

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im linken Navigationsbereich die Option Subnets aus.

  3. Geben Sie im Suchfeld die Subnetz-ID für Ihren Quell-Outposts-Endpunkt ein, den Sie in Schritt 1 ermittelt haben. Wählen Sie das Subnetz mit der übereinstimmenden Subnetz-ID aus.

  4. Wählen Sie für das übereinstimmende Subnetzelement den Wert für Routing-Tabelle dieses Subnetzes aus.

  5. Wählen Sie auf der Seite mit ausgewählter Routing-Tabelle Aktionen und dann Routen bearbeiten aus.

  6. Wählen Sie auf der Seite Routen bearbeiten die Option Route hinzufügen aus.

  7. Geben Sie unter Ziel den CIDR-Bereich Ihres Ziel-Outposts-Endpunkts ein, den Sie in Schritt 2 ermittelt haben.

  8. Wählen Sie unter Ziel Outpost lokales Gateway aus und geben Sie die lokale Gateway-ID Ihres Quell-Outposts ein, die Sie in Schritt 3 ermittelt haben.

  9. Wählen Sie Änderungen speichern.

  10. Vergewissern Sie sich, dass der Status für die Route Aktiv lautet.

Schritt 6: Einrichten der Verbindung von Ihrem Ziel-Outpost-Subnetz zu Ihrem Quell-Outpost-Subnetz

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im linken Navigationsbereich die Option Subnets aus.

  3. Geben Sie im Suchfeld die Subnetz-ID für Ihren Ziel-Outposts-Endpunkt ein, den Sie in Schritt 2 ermittelt haben. Wählen Sie das Subnetz mit der übereinstimmenden Subnetz-ID aus.

  4. Wählen Sie für das übereinstimmende Subnetzelement den Wert für Routing-Tabelle dieses Subnetzes aus.

  5. Wählen Sie auf der Seite mit ausgewählter Routing-Tabelle Aktionen und dann Routen bearbeiten aus.

  6. Wählen Sie auf der Seite Routen bearbeiten die Option Route hinzufügen aus.

  7. Geben Sie unter Ziel den CIDR-Bereich Ihres Ziel-Outposts-Endpunkts ein, den Sie in Schritt 1 ermittelt haben.

  8. Wählen Sie unter Ziel Outpost lokales Gateway aus und geben Sie die lokale Gateway-ID Ihres Ziel-Outposts ein, die Sie in Schritt 4 ermittelt haben.

  9. Wählen Sie Änderungen speichern aus.

  10. Vergewissern Sie sich, dass der Status für die Route Aktiv lautet.

Nachdem Sie die CIDR-Netzwerkbereiche Ihrer Quell- und Zielzugriffspunkte verbunden haben, müssen Sie eine AWS Identity and Access Management (IAM-) Rolle erstellen.

Erstellen einer IAM-Rolle

Standardmäßig sind alle S3–in-Outputs-Ressourcen – Buckets, Objekte und zugehörige Unterressourcen – privat, sodass nur der Ressourcenbesitzer auf die Ressource zugreifen kann. S3 in Outputs benötigt Berechtigungen zum Lesen und Replizieren von Objekten aus dem Quell-Outposts-Bucket. Sie erteilen diese Berechtigungen, indem Sie eine IAM-Servicerolle erstellen und die Rolle in der Replikationskonfiguration festlegen.

In diesem Abschnitt werden die Vertrauensrichtlinie und die mindestens erforderliche Berechtigungsrichtlinie erläutert. Die exemplarischen Vorgehensweisen enthalten step-by-step Anweisungen zum Erstellen einer IAM-Rolle. Weitere Informationen finden Sie unter Erstellen von Replikationsregeln in Outposts. Weitere Informationen zu IAM-Rollen finden Sie unter IAM-Rollen im IAM-Benutzerhandbuch.

  • Im folgenden Beispiel ist eine Vertrauensrichtlinie zu sehen, bei der Sie S3 in Outposts als Service-Prinzipal identifizieren, der die Rolle übernehmen kann.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"s3-outposts.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

  • Im folgenden Beispiel wird eine Zugriffsrichtlinie gezeigt, bei der Sie der Rolle die Berechtigungen erteilen, Replikationsaufgaben in Ihrem Namen durchzuführen. Wenn S3 in Outposts die Rolle annimmt, verfügt es über die Berechtigungen, die Sie in dieser Richtlinie angeben. Wenn Sie diese Richtlinie verwenden möchten, ersetzen Sie user input placeholders durch eigene Informationen. Stellen Sie sicher, dass Sie sie durch den Outpost IDs Ihrer Quell- und Ziel-Outposts sowie die Bucket-Namen und Access Point-Namen Ihrer Quell- und Ziel-Outposts-Buckets ersetzen.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3-outposts:GetObjectVersionForReplication",
            "s3-outposts:GetObjectVersionTagging"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET/object/*",
            "arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/accesspoint/SOURCE-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ]        
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3-outposts:ReplicateObject",
            "s3-outposts:ReplicateDelete"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*",
            "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ]  
      }
   ]
}

    Die Zugriffsrichtlinie erteilt Berechtigungen für folgenden Aktionen:

    • s3-outposts:GetObjectVersionForReplication – Die Berechtigung für diese Aktion wird für alle Objekte erteilt, damit S3 in Outposts eine bestimmte Objektversion abrufen kann, die jedem Objekt zugeordnet ist.

    • s3-outposts:GetObjectVersionTagging – Die Berechtigung für diese Aktion für Objekte im SOURCE-OUTPOSTS-BUCKET-Bucket (Quell-Bucket) gestattet es S3 in Outposts, Objekt-Tags für die Replikation zu lesen. Weitere Informationen finden Sie unter Hinzufügen von Tags für S3-on-Outposts-Buckets. Wenn S3 in Outposts nicht über diese Berechtigung verfügt, repliziert es die Objekte, nicht jedoch die Objekt-Tags.

    • s3-outposts:ReplicateObject und s3-outposts:ReplicateDelete – Die Berechtigungen für diese Aktionen für alle Objekte im DESTINATION-OUTPOSTS-BUCKET-Bucket (Ziel-Bucket) erlauben es S3 in Outposts, Objekte oder Löschmarkierungen in den Ziel-Outposts-Bucket zu replizieren. Informationen zu Löschmarkierungen finden Sie unter Auswirkungen von Löschvorgängen auf die Replikation.

      Anmerkung

      • Die Berechtigung für die s3-outposts:ReplicateObject-Aktion im DESTINATION-OUTPOSTS-BUCKET-Bucket (Ziel-Bucket) erlaubt auch die Replikation von Objekt-Tags. Daher müssen Sie für die s3-outposts:ReplicateTags-Aktion keine explizite Berechtigung erteilen.

      • Für die kontoübergreifende Replikation muss der Besitzer des Ziel-Outposts-Buckets seine Bucket-Richtlinie aktualisieren, um die Berechtigung für die s3-outposts:ReplicateObject-Aktion in dem DESTINATION-OUTPOSTS-BUCKET zu erteilen. Die s3-outposts:ReplicateObject-Aktion ermöglicht es S3 in Outposts, Objekte und Objekt-Tags in den Ziel-Outposts-Bucket zu replizieren.

    Eine Liste der Aktionen von S3 in Outposts finden Sie unter Aktionen, die von Amazon S3 in Outposts definiert werden.

    Wichtig

    Derjenige AWS-Konto , dem die IAM-Rolle gehört, muss über Berechtigungen für die Aktionen verfügen, die er der IAM-Rolle gewährt.

    Angenommen, der Quell-Outposts-Bucket enthält Objekte, die im Besitz eines anderen AWS-Konto s sind. Der Eigentümer der Objekte muss demjenigen, dem die IAM-Rolle gehört AWS-Konto , über die Bucket-Richtlinie und die Zugriffspunktrichtlinie ausdrücklich die erforderlichen Berechtigungen gewähren. Andernfalls kann S3 in Outposts nicht auf die Objekte zugreifen und die Replikation der Objekte schlägt fehl.

    Die hier beschriebenen Berechtigungen gehören zur Mindest-Replikationskonfiguration. Wenn Sie optionale Replikationskonfigurationen hinzufügen möchten, müssen Sie S3 in Outposts zusätzliche Berechtigungen erteilen.

Erteilen von Berechtigungen, wenn die Quell- und Ziel-Outposts-Buckets unterschiedlichen Besitzern gehören AWS-Konten

Wenn sich die Quell- und Ziel-Outposts-Buckets nicht im Besitz desselben Kontos befinden, muss der Eigentümer des Ziel-Outposts-Buckets die Bucket- und Zugriffspunkt-Richtlinien für den Ziel-Bucket aktualisieren. Diese Richtlinien müssen dem Besitzer des Quell-Outposts-Buckets und der IAM-Servicerolle Berechtigungen zum Ausführen von Replikationsaktionen gewähren, wie in den folgenden Richtlinienbeispielen dargestellt. Andernfalls schlägt die Replikation fehl. In diesen Richtlinienbeispielen ist DESTINATION-OUTPOSTS-BUCKET der Ziel-Bucket. Wenn Sie diese Richtlinienbeispiele verwenden möchten, ersetzen Sie die user input placeholders durch Ihre Informationen.

Wenn Sie die IAM-Servicerolle manuell erstellen, legen Sie den Rollenpfad als role/service-role/ fest. wie in den folgenden Richtlinienbeispielen dargestellt. Weitere Informationen finden Sie unter IAM ARNs im IAM-Benutzerhandbuch. 

{
   "Version":"2012-10-17",
   "Id":"PolicyForDestinationBucket",
   "Statement":[
      {
         "Sid":"Permissions on objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::SourceBucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":[
            "s3-outposts:ReplicateDelete",
            "s3-outposts:ReplicateObject"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:DestinationBucket-account-ID:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*"
         ]  
      }

   ]
}
{
"Version":"2012-10-17",
   "Id":"PolicyForDestinationAccessPoint",
   "Statement":[
      {
         "Sid":"Permissions on objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::SourceBucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":[
            "s3-outposts:ReplicateDelete",
            "s3-outposts:ReplicateObject"
         ],
         "Resource" :[
            "arn:aws:s3-outposts:region:DestinationBucket-account-ID:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ]
      }
   ]              
}
Anmerkung

Wenn Objekte im Quell-Outposts-Bucket mit einem Tag versehen sind, beachten Sie Folgendes:

Wenn der Eigentümer des Quell-Outposts-Buckets S3 in Outposts die Berechtigung für die Aktionen s3-outposts:GetObjectVersionTagging und s3-outposts:ReplicateTags zum Replizieren von Objekt-Tags (über die IAM-Rolle) erteilt, repliziert Amazon S3 die Tags zusammen mit den Objekten. Weitere Information zur IAM-Rolle finden Sie unter Erstellen einer IAM-Rolle.