Verwenden eines CSV-Manifests, um Objekte über hinweg zu kopieren AWS-Konten - Amazon Simple Storage Service

Verwenden eines CSV-Manifests, um Objekte über hinweg zu kopieren AWS-Konten

Sie können Amazon S3 Batch Operations verwenden, um umfangreiche Batch-Vorgänge für Amazon-S3-Objekte durchzuführen. Sie können S3 Batch Operations verwenden, um einen Kopierauftrag (CopyObject) zu erstellen, um Objekte innerhalb desselben Kontos oder in ein anderes Zielkonto zu kopieren.

Sie können ein CSV-Manifest verwenden, das im Quellkonto gespeichert ist, um Objekte über AWS-Konten hinweg mithilfe von S3 Batch Operations zu kopieren. Informationen zur Verwendung eines S3-Bestandsberichts als Manifest finden Sie unter Verwenden eines Bestandsberichts, um Objekte über hinweg zu kopieren AWS-Konten.

Ein Beispiel für das CSV-Format für Manifestdateien finden Sie unter Erstellen einer Manifestdatei.

Das folgende Verfahren zeigt, wie Berechtigungen bei Verwendung eines S3-Batch-Operations-Auftrags zum Kopieren von Objekten aus einem Quellkonto in ein Zielkonto unter Verwendung der im Quellkonto gespeicherten CSV-Manifestdatei eingerichtet werden.

So verwenden Sie ein CSV-Manifest, um Objekte über AWS-Konten hinweg zu kopieren

  1. Erstellen Sie eine AWS Identity and Access Management (IAM)-Rolle im Zielkonto, die auf der Vertrauensrichtlinie von S3 Batch Operations basiert. In diesem Verfahren ist das Zielkonto das Konto, in das die Objekte kopiert werden.

    Weitere Informationen zur Vertrauensrichtlinie finden Sie unter Vertrauensrichtlinie.

    Weitere Informationen zum Erstellen einer Rolle finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service im IAM-Benutzerhandbuch.

    Wenn Sie die Rolle mit der Konsole erstellen, geben Sie einen Namen für die Rolle ein (der Name der folgenden Beispielrolle lautet BatchOperationsDestinationRoleCOPY). Wählen Sie den Service S3 und dann den Anwendungsfall S3 Batch Operations aus, mit dem die Vertrauensrichtlinie der Rolle zugewiesen wird.

    Wählen Sie dann Richtlinie erstellen aus, um der Rolle die folgende Richtlinie anzufügen. Wenn Sie diese Richtlinie verwenden möchten, ersetzen Sie user input placeholders durch eigene Informationen.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowBatchOperationsDestinationObjectCOPY",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:PutObjectVersionAcl",
        "s3:PutObjectAcl",
        "s3:PutObjectVersionTagging",
        "s3:PutObjectTagging",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetObjectAcl",
        "s3:GetObjectTagging",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectVersionTagging"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-destination-bucket/*",
        "arn:aws:s3:::amzn-s3-demo-source-bucket/*",
        "arn:aws:s3:::amzn-s3-demo-manifest-bucket/*"
      ]
    }
  ]
}

    Mit der Richtlinie gewährt die Rolle die Berechtigung batchoperations.s3.amazonaws.com zum Lesen des Manifests im Quell-Manifest-Bucket. Sie gewährt Berechtigungen für GET-Objekte, Zugriffskontrolllisten (ACLs), Tags und Versionen im Quell-Bucket der Objekte. Zudem gewährt sie Berechtigungen für PUT-Objekte, ACLs, Tags und Versionen im Ziel-Bucket der Objekte.

  2. Im Quellkonto erstellen Sie eine Bucket-Richtlinie für den Bucket, der das Manifest enthält, um der Rolle, die Sie im vorherigen Schritt erstellt haben, Berechtigungen für GET-Objekte und Versionen im Quellmanifest-Bucket zu erteilen.

    Dieser Schritt ermöglicht S3 Batch Operations das Lesen des Manifests unter Verwendung der vertrauenswürdigen Rolle. Weisen Sie die Bucket-Richtlinie dem Bucket zu, in dem sich das Manifest befindet.

    Das folgende Beispiel zeigt eine Bucket-Richtlinie, die dem Quell-Manifest-Bucket zugewiesen werden soll. Wenn Sie diese Richtlinie verwenden möchten, ersetzen Sie user input placeholders durch eigene Informationen.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowBatchOperationsSourceManifestRead",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::111122223333:user/ConsoleUserCreatingJob",
          "arn:aws:iam::111122223333:role/BatchOperationsDestinationRoleCOPY"
        ]
      },
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": "arn:aws:s3:::amzn-s3-demo-manifest-bucket/*"
    }
  ]
}

    Diese Richtlinie gewährt außerdem die erforderlichen Berechtigungen, damit ein Konsolenbenutzer, der einen Auftrag im Zielkonto erstellt, diese Berechtigungen über dieselbe Bucket-Richtlinie auch für den Ziel-Manifest-Bucket erhält.

  3. Im Quellkonto erstellen Sie eine Bucket-Richtlinie für den Quell-Bucket, die der Rolle, die Sie erstellt haben, Berechtigungen für GET-Objekte, ACLs, Tags und Versionen im Quellobjekt-Bucket gewährt. S3-Batch-Vorgänge kann dann Objekte über die vertrauenswürdige Rolle aus dem Quell-Bucket abrufen.

    Es folgt ein Beispiel für die Bucket-Richtlinie für den Bucket, der die Quellobjekte enthält. Wenn Sie diese Richtlinie verwenden möchten, ersetzen Sie user input placeholders durch eigene Informationen.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowBatchOperationsSourceObjectCOPY",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/BatchOperationsDestinationRoleCOPY"
      },
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetObjectAcl",
        "s3:GetObjectTagging",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectVersionTagging"
      ],
      "Resource": "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
    }
  ]
}

  4. Erstellen Sie einen S3-Batchoperations-Auftrag im Zielkonto. Sie benötigen den Amazon-Ressourcennamen (ARN) der im Zielkonto erstellten Rolle. Weitere Informationen zum Erstellen eines Auftrags finden Sie unter Erstellen eines S3-Batch-Vorgangsauftrags.