View a markdown version of this page

Einrichten eines Amazon-S3-Buckets für Datenexporte - AWS Data Exports

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten eines Amazon-S3-Buckets für Datenexporte

Um Ihre Datenexporte empfangen und speichern zu können, müssen Sie einen Amazon S3 S3-Bucket in Ihrem AWS Konto oder in einem bestimmten AWS Zielkonto haben. Wenn Sie einen Export in der Konsole erstellen und den Export in Ihrem eigenen Bucket wünschen, können Sie einen vorhandenen S3-Bucket auswählen, der Ihnen gehört, oder Sie können einen neuen Bucket erstellen. In beiden Fällen müssen Sie die Anwendung der folgenden standardmäßigen S3-Bucket-Richtlinie überprüfen und bestätigen. Wenn Sie möchten, dass Ihr Export an einen Bucket gesendet wird, der einem anderen AWS Konto gehört, können Sie den Bucket-Besitzer und den Bucket-Namen während des Erstellungsprozesses für Datenexporte angeben. Wenn Sie die Bucket-Richtlinie bearbeiten oder den Besitzer des S3-Buckets ändern, nachdem Sie einen Export erstellt haben, kann Data Exports Ihre Exporte möglicherweise nicht bereitstellen. Das Speichern der Exportdaten in einem beliebigen S3-Bucket wird zu den Amazon S3 S3-Standardtarifen abgerechnet. Weitere Informationen finden Sie unter Kontingente und Einschränkungen.

Die folgende Richtlinie muss bei der Erstellung eines Datenexports auf jeden S3-Bucket angewendet werden, unabhängig davon, ob er Ihnen oder einem anderen AWS Konto gehört:

{
    "Version":"2012-10-17",
    "Statement": [
    {
      "Sid": "EnableAWSDataExportsToWriteToS3",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "bcm-data-exports.amazonaws.com"
        ]
      },
      "Action": [
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::{bucket-name}/*",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:bcm-data-exports:us-east-1:{source-account-id}:export/*"
        },
        "StringEquals": {
          "aws:SourceAccount": "{source-account-id}"
          }
      }
    }
  ]
   }

Diese S3-Bucket-Richtlinie stellt sicher, dass Data Exports Exporte nur im Namen des Kontos, das den Export erstellt hat, an den S3-Bucket liefern kann. Sie ermöglicht es Data Exports auch, zu überprüfen, ob der S3-Bucket immer noch dem Konto gehört, das bei der Exporterstellung angegeben wurde.

  • Um Exporte in Ihren S3-Bucket zu liefern, AWS sind Schreibberechtigungen für diesen S3-Bucket erforderlich. Zu diesem Zweck erteilt die S3-Bucket-Richtlinie dem Data Exports-Service (bcm-data-exports.amazonaws.com) die Erlaubnis, (s3:PutObject) Berichte an den S3-Bucket zu senden, den Sie besitzen (arn:aws:s3:::<EXAMPLE-BUCKET>/*).

  • Jedes Mal, wenn Data Exports die Anforderung stellt, in den S3-Bucket zu schreiben, muss die Konto-ID des Kontos angegeben werden, das den Export erstellt hat. Die Bedingungsschlüssel aws:SourceArn und aws:SourceAccount erzwingen dies.

  • Diese S3-Bucket-Richtlinie gewährt keine AWS Berechtigungen zum Lesen oder Löschen von Objekten in Ihrem S3-Bucket, einschließlich der Kosten- und Nutzungsberichte, nachdem diese zugestellt wurden.

Für einen Amazon S3 S3-Bucket, für den die Zugriffskontrollliste (ACL) aktiviert ist, wendet Data Exports bei der Übermittlung eine BucketOwnerFullControl ACL auf die Berichte an. Standardmäßig können Amazon S3 S3-Objekte, wie diese Berichte, nur von dem Benutzer oder Service Principal gelesen werden, der sie geschrieben hat. Um Ihnen oder dem Besitzer des S3-Buckets die Erlaubnis zum Lesen der Berichte zu erteilen, AWS muss die BucketOwnerFullControl ACL angewendet werden. Die ACL erteilt dem Besitzer des S3-Buckets Permission.FullControl Zugriff auf diese Berichte. Es wird jedoch empfohlen, ACL zu deaktivieren und eine S3-Bucket-Richtlinie zur Zugriffskontrolle zu verwenden.

Anmerkung

Bei neu erstellten S3-Buckets ACLs sind sie standardmäßig deaktiviert. Weitere Informationen finden Sie unter Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket.

Wenn auf der Konsolenseite für Datenexporte der Fehler „Ungültiger Bucket“ angezeigt wird, vergewissern Sie sich, dass sich die Richtlinie und der Besitz des S3-Buckets seit der Einrichtung des Berichts nicht geändert haben.