Configuration de l’accès à un compartiment Amazon S3 - Amazon Aurora
Identifier le compartiment S3Fournir l’accès à un compartiment S3 en utilisant un rôle IAMUtilisation d’un compartiment S3 entre comptes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de l’accès à un compartiment Amazon S3

Vous identifiez le compartiment Amazon S3, puis vous donnez à la tâche d’exportation du cluster de bases de données l’autorisation d’y accéder.

Identification du compartiment Amazon S3 pour l’exportation

Identifiez le compartiment Amazon S3 vers lequel exporter les données du cluster de bases de données. Utilisez un compartiment S3 existant ou créez un nouveau compartiment S3.

Note

Le compartiment S3 doit se trouver dans la même AWS région que le cluster de base de données.

Pour plus d’informations sur l’utilisation des Amazon S3 compartiments, consultez les points suivants dans le Guide de l’utilisateur Amazon Simple Storage Service :

Fournir l’accès à un compartiment Amazon S3 à l’aide d’un rôle IAM

Avant d’exporter les données du cluster de bases de données vers Amazon S3, donnez aux tâches d’exportation les autorisations d’accès en écriture au compartiment Amazon S3.

Pour accorder cette autorisation, créez une politique IAM qui donne accès au compartiment, puis créez un rôle IAM et attachez la politique au rôle. Plus tard, vous pourrez affecter le rôle IAM à la tâche d’exportation de votre cluster de bases de données.

Important

Si vous prévoyez d'utiliser le AWS Management Console pour exporter votre cluster de base de données, vous pouvez choisir de créer la politique IAM et le rôle automatiquement lorsque vous exportez le cluster de base de données. Pour obtenir des instructions, veuillez consulter Création de tâches d’exportation du cluster de bases de données.

Pour donner aux tâches l’accès à Amazon S3

  1. Créez une politique IAM. Cette politique fournit les autorisations relatives au compartiment et aux objets qui permettent à votre tâche d’exportation de cluster de données d’accéder à Amazon S3.

    Dans la politique, incluez les actions obligatoires suivantes pour permettre le transfert de fichiers depuis Amazon Aurora vers un compartiment S3 :

    • s3:PutObject*

    • s3:GetObject*

    • s3:ListBucket

    • s3:DeleteObject*

    • s3:GetBucketLocation

    Dans la politique, incluez les ressources suivantes pour identifier le compartiment S3 et les objets qu’il contient. La liste de ressources suivante indique le format Amazon Resource Name (ARN) pour l’accès à Amazon S3.

    • arn:aws:s3:::amzn-s3-demo-bucket

    • arn:aws:s3:::amzn-s3-demo-bucket/*

    Pour plus d’informations concernant la création d’une politique IAM pour Amazon Aurora, consultez Création et utilisation d'une politique IAM pour l'accès à une base de données IAM. Consultez également Didacticiel : création et attachement de votre première politique gérée par le client dans le Guide de l’utilisateur IAM.

    La AWS CLI commande suivante crée une politique IAM nommée ExportPolicy avec ces options. Elle accorde un accès à un compartiment nommé amzn-s3-demo-bucket.

    Note

    Après avoir créé la politique, notez son ARN. Vous en aurez besoin par la suite pour attacher la politique à un rôle IAM.

    aws iam create-policy  --policy-name ExportPolicy --policy-document '{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ExportPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject*",
                "s3:ListBucket",
                "s3:GetObject*",
                "s3:DeleteObject*",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}'

  2. Créez un rôle IAM, afin qu’Aurora puisse endosser ce rôle IAM en votre nom pour accéder à vos compartiments Amazon S3. Pour plus d’informations, consultez Création d’un rôle pour déléguer des autorisations à un utilisateur IAM dans le Guide de l’utilisateur IAM.

    L'exemple suivant montre comment utiliser la AWS CLI commande pour créer un rôle nommérds-s3-export-role.

    aws iam create-role  --role-name rds-s3-export-role  --assume-role-policy-document '{
     "Version": "2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "export.rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole"
       }
     ] 
   }'

  3. Attachez la politique IAM que vous avez créée au rôle IAM que vous venez de créer.

    La AWS CLI commande suivante associe la politique créée précédemment au rôle nommérds-s3-export-role. Remplacez your-policy-arn par l’ARN de stratégie que vous avez noté lors d’une étape précédente.

    aws iam attach-role-policy  --policy-arn your-policy-arn  --role-name rds-s3-export-role

Utilisation d’un compartiment Amazon S3 entre comptes

Vous pouvez utiliser des compartiments S3 sur plusieurs AWS comptes. Pour de plus amples informations, veuillez consulter Utilisation d’un compartiment Amazon S3 entre comptes.