Configuration de l'accès à un compartiment Amazon S3 - Amazon Aurora
Identifier le compartiment S3Fournir l'accès à un compartiment S3 à l'aide d'un IAM rôleUtilisation d'un compartiment S3 entre comptes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de l'accès à un compartiment Amazon S3

Vous identifiez le compartiment Amazon S3, puis vous donnez à la tâche d'exportation du cluster de bases de données l'autorisation d'y accéder.

Identification du compartiment Amazon S3 pour l'exportation

Identifiez le compartiment Amazon S3 vers lequel exporter les données du cluster de bases de données. Utilisez un compartiment S3 existant ou créez un nouveau compartiment S3.

Note

Le compartiment S3 doit se trouver dans la même AWS région que le cluster de base de données.

Pour plus d'informations sur l'utilisation des Amazon S3 compartiments, veuillez consulter les points suivants dans le Guide de l'utilisateur Amazon Simple Storage Service :

Fournir un accès à un compartiment Amazon S3 à l'aide d'un IAM rôle

Avant d'exporter les données du cluster de bases de données vers Amazon S3, donnez aux tâches d'exportation les autorisations d'accès en écriture au compartiment Amazon S3.

Pour accorder cette autorisation, créez une IAM politique qui donne accès au compartiment, puis créez un IAM rôle et associez la politique au rôle. Plus tard, vous pourrez attribuer le IAM rôle à votre tâche d'exportation de cluster de base de données.

Important

Si vous prévoyez d'utiliser le AWS Management Console pour exporter votre cluster de base de données, vous pouvez choisir de créer la IAM politique et le rôle automatiquement lorsque vous exportez le cluster de base de données. Pour obtenir des instructions, consultez Création de tâches d'exportation de clusters de bases de données.

Pour donner aux tâches l'accès à Amazon S3

  1. Créez une IAM politique. Cette politique fournit les autorisations relatives au compartiment et aux objets qui permettent à votre tâche d'exportation de cluster de données d'accéder à Amazon S3.

    Dans la politique, incluez les actions obligatoires suivantes pour permettre le transfert de fichiers depuis Amazon Aurora vers un compartiment S3 :

    • s3:PutObject*

    • s3:GetObject*

    • s3:ListBucket

    • s3:DeleteObject*

    • s3:GetBucketLocation

    Dans la politique, incluez les ressources suivantes pour identifier le compartiment S3 et les objets qu'il contient. La liste de ressources suivante indique le format Amazon Resource Name (ARN) pour accéder à Amazon S3.

    • arn:aws:s3:::amzn-s3-demo-bucket

    • arn:aws:s3:::amzn-s3-demo-bucket/*

    Pour plus d'informations sur la création d'une IAM politique pour Amazon Aurora, consultezCréation et utilisation d'une politique IAM pour l'accès à une base de données IAM. Consultez également le didacticiel : créez et joignez votre première politique gérée par le client dans le guide de IAM l'utilisateur.

    La AWS CLI commande suivante crée une IAM politique nommée ExportPolicy avec ces options. Il donne accès à un bucket nommé amzn-s3-demo-bucket.

    Note

    Après avoir créé la stratégie, notez celle ARN de la stratégie. Vous en aurez besoin ARN pour une étape ultérieure lorsque vous associerez la politique à un IAM rôle.

    aws iam create-policy  --policy-name ExportPolicy --policy-document '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExportPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject*",
                "s3:ListBucket",
                "s3:GetObject*",
                "s3:DeleteObject*",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}'

  2. Créez un IAM rôle afin qu'Aurora puisse assumer ce IAM rôle en votre nom pour accéder à vos compartiments Amazon S3. Pour plus d'informations, consultez la section Création d'un rôle pour déléguer des autorisations à un IAM utilisateur dans le Guide de IAM l'utilisateur.

    L'exemple suivant montre comment utiliser la AWS CLI commande pour créer un rôle nommérds-s3-export-role.

    aws iam create-role  --role-name rds-s3-export-role  --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "export.rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole"
       }
     ] 
   }'

  3. Attachez la IAM politique que vous avez créée au IAM rôle que vous avez créé.

    La AWS CLI commande suivante associe la politique créée précédemment au rôle nommérds-s3-export-role. your-policy-arnRemplacez-la par la politique ARN que vous avez indiquée lors d'une étape précédente.

    aws iam attach-role-policy  --policy-arn your-policy-arn  --role-name rds-s3-export-role

Utilisation d'un compartiment Amazon S3 entre comptes

Vous pouvez utiliser des compartiments S3 sur plusieurs AWS comptes. Pour de plus amples informations, veuillez consulter Utilisation d'un compartiment Amazon S3 entre comptes.