Kontoübergreifender Bucket-Zugriff

RES ist in der Lage, Buckets von anderen AWS Konten aus zu mounten, sofern diese Buckets über die richtigen Berechtigungen verfügen. Im folgenden Szenario möchte eine RES-Umgebung in Konto A einen S3-Bucket in Konto B bereitstellen.

Schritt 1: Erstellen Sie eine IAM-Rolle in dem Konto, in dem RES bereitgestellt wird (dies wird als Konto A bezeichnet):

Melden Sie sich bei der AWS Management Console für das RES-Konto an, das Zugriff auf den S3-Bucket benötigt (Konto A).
Öffnen Sie die IAM-Konsole:
1. Navigieren Sie zum IAM-Dashboard.
2. Wählen Sie im Navigationsbereich Richtlinien.

Erstellen Sie eine Richtlinie:

Wählen Sie Richtlinie erstellen aus.
Wählen Sie die Registerkarte JSON.

Fügen Sie die folgende JSON-Richtlinie ein (<BUCKET-NAME>ersetzen Sie sie durch den Namen des S3-Buckets in Konto B):

Wählen Sie Weiter aus.

Überprüfen und erstellen Sie die Richtlinie:
1. Geben Sie einen Namen für die Richtlinie ein (z. B. AccessPolicy „S3“).
2. Fügen Sie eine optionale Beschreibung hinzu, um den Zweck der Richtlinie zu erläutern.
3. Überprüfen Sie die Richtlinie und wählen Sie Richtlinie erstellen aus.
Öffnen Sie die IAM-Konsole:
1. Navigieren Sie zum IAM-Dashboard.
2. Wählen Sie im Navigationsbereich Rollen.
Eine Rolle erstellen:
1. Wählen Sie Rolle erstellen aus.
2. Wählen Sie Benutzerdefinierte Vertrauensrichtlinie als Typ der vertrauenswürdigen Entität.
3. Fügen Sie die folgende JSON-Richtlinie ein (<ACCOUNT_ID>ersetzen Sie sie durch die tatsächliche Konto-ID von Konto A, <ENVIRONMENT_NAME> durch den Umgebungsnamen der RES-Bereitstellung und <REGION> durch die AWS Region, in der RES bereitgestellt wird):
  JSON
  { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<ACCOUNT_ID>:role/<ENVIRONMENT_NAME>-custom-credential-broker-lambda-role-<REGION>" }, "Action": "sts:AssumeRole" } ] }
4. Wählen Sie Weiter aus.
Berechtigungsrichtlinien anhängen:
1. Suchen Sie nach der Richtlinie, die Sie zuvor erstellt haben, und wählen Sie sie aus.
2. Wählen Sie Weiter aus.
Markieren, überprüfen und erstellen Sie die Rolle:
1. Geben Sie einen Rollennamen ein (z. B. AccessRole „S3“).
2. Wählen Sie unter Schritt 3 die Option Tag hinzufügen aus und geben Sie dann den folgenden Schlüssel und Wert ein:
  - Schlüssel: res:Resource
  - Wert: s3-bucket-iam-role
3. Überprüfen Sie die Rolle und wählen Sie Rolle erstellen aus.
Verwenden Sie die IAM-Rolle in RES:
1. Kopieren Sie den von Ihnen erstellten IAM-Rollen-ARN.
2. Melden Sie sich bei der RES-Konsole an.
3. Wählen Sie im linken Navigationsbereich S3 Bucket aus.
4. Wählen Sie Bucket hinzufügen und füllen Sie das Formular mit dem kontoübergreifenden S3-Bucket-ARN aus.
5. Wählen Sie das Drop-down-Menü Erweiterte Einstellungen — optional aus.
6. Geben Sie den Rollen-ARN in das Feld IAM-Rollen-ARN ein.
7. Wählen Sie Bucket hinzufügen.

Schritt 2: Ändern Sie die Bucket-Richtlinie in Konto B

Melden Sie sich bei der AWS Management Console für Konto B an.
Öffnen Sie die S3-Konsole:
1. Navigieren Sie zum S3-Dashboard.
2. Wählen Sie den Bucket aus, für den Sie Zugriff gewähren möchten.

Bearbeiten Sie die Bucket-Richtlinie:

Wählen Sie den Tab „Berechtigungen“ und dann „Bucket-Richtlinie“.

Fügen Sie die folgende Richtlinie hinzu, um der IAM-Rolle von Konto A aus Zugriff auf den Bucket zu gewähren (<AccountA_ID>ersetzen Sie ihn durch die tatsächliche Konto-ID von Konto A und <BUCKET-NAME> durch den Namen des S3-Buckets):

Wählen Sie Speichern.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Isolierung von Daten

Verhinderung der Datenexfiltration in einer privaten VPC