Prasyarat untuk membuat aturan replikasi - Amazon S3 on Outposts
Menghubungkan subnet Outpost sumber dan tujuanMembuat peran IAM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat untuk membuat aturan replikasi

Menghubungkan subnet Outpost sumber dan tujuan

Agar lalu lintas replikasi berjalan dari Outpost sumber ke Outpost tujuan melalui gateway lokal, Anda harus menambahkan rute baru untuk mengatur jaringan. Anda harus menghubungkan rentang jaringan Perutean Antar Domain Tanpa Kelas (CIDR) dari titik akses Anda secara bersamaan. Untuk setiap pasangan titik akses, Anda hanya perlu mengatur sambungan ini satu kali.

Beberapa langkah untuk menyiapkan koneksi akan berbeda-beda, tergantung pada jenis akses titik akhir Outpost yang terkait dengan titik akses Anda. Jenis akses untuk endpoint adalah Private (direct virtual private cloud [VPC] routing AWS Outposts for) atau IP milik Pelanggan (kumpulan alamat IP milik pelanggan [CoIP pool] dalam jaringan lokal Anda).

Langkah 1: Temukan rentang CIDR dari titik akhir Outposts sumber Anda

Untuk menemukan rentang CIDR dari titik akhir sumber yang terkait dengan titik akses sumber Anda

  1. Masuk ke AWS Management Console dan buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/

  2. Di panel navigasi kiri, pilih bucket Outposts.

  3. Di daftar bucket Outposts, pilih bucket sumber yang Anda inginkan untuk replikasi.

  4. Pilih tab Titik akses Outposts, dan pilih titik akses Outposts untuk bucket sumber untuk aturan replikasi Anda.

  5. Pilih titik akhir Outposts.

  6. Salin ID subnet yang akan digunakan pada Langkah 5.

  7. Metode yang Anda gunakan untuk menemukan rentang CIDR dari titik akhir Outposts sumber bergantung pada jenis akses titik akhir Anda.

    Di bagian gambaran umum titik akhir Outposts, lihat Jenis Akses.

Langkah 2: Temukan ID subnet dan rentang CIDR dari titik akhir Outposts tujuan Anda

Untuk menemukan ID subnet dan rentang CIDR dari titik akhir tujuan Anda yang terkait dengan titik akses tujuan, ikuti sublangkah yang sama di Langkah 1 dan ubah titik akhir Outposts sumber Anda ke titik akhir Outposts tujuan saat Anda menerapkan sublangkah tersebut. Salin nilai subnet ID dari titik akhir Outposts tujuan Anda yang akan digunakan pada Langkah 6. Salin nilai CIDR dari titik akhir Outposts tujuan Anda yang akan digunakan pada Langkah 5.

Langkah 3: Temukan ID gateway lokal dari Outpost sumber Anda

Untuk menemukan ID gateway lokal dari Outpost sumber Anda

  1. Buka AWS Outposts konsol di https://console.aws.amazon.com/outposts/.

  2. Di panel navigasi kiri, pilih Gateway lokal.

  3. Pada halaman gateway Lokal, temukan ID Outpost dari Outpost sumber Anda yang ingin Anda gunakan untuk replikasi.

  4. Salin nilai ID gateway lokal dari Outpost sumber Anda yang akan digunakan pada Langkah 5.

Untuk informasi selengkapnya tentang gateway lokal, lihat gateway Lokal di Panduan Pengguna AWS Outposts .

Langkah 4: Temukan ID gateway lokal dari Outpost tujuan Anda

Untuk menemukan ID gateway lokal Outpost tujuan Anda, ikuti sublangkah yang sama di Langkah 3, kecuali cari ID Outpost untuk Outpost tujuan Anda. Salin nilai ID gateway lokal dari Outpost tujuan Anda yang akan digunakan pada Langkah 6.

Langkah 5: Siapkan koneksi dari subnet Outpost sumber ke subnet Outpost tujuan Anda

Untuk menghubungkan dari subnet Outpost sumber ke subnet Outpost tujuan Anda

  1. Masuk ke AWS Management Console dan buka konsol VPC di. https://console.aws.amazon.com/vpc/

  2. Di panel navigasi kiri, pilih Subnets.

  3. Di kotak pencarian, masukkan ID subnet untuk titik akhir Outposts sumber yang Anda dapatkan di Langkah 1. Pilih subnet dengan subnet ID yang cocok.

  4. Untuk item subnet yang cocok, pilih Nilai Tabel rute dari subnet ini.

  5. Pada halaman dengan tabel rute yang dipilih, pilih Tindakan, lalu pilih Edit rute.

  6. Pada halaman Edit rute, pilih Tambahkan rute.

  7. Di bawah Tujuan, masukkan rentang CIDR dari titik akhir Outposts tujuan Anda yang Anda dapatkan di Langkah 2.

  8. Di bawah Target, pilih Gateway Lokal Outpost , dan masukkan ID gateway lokal dari Outpost sumber yang Anda dapatkan di Langkah 3.

  9. Pilih Simpan perubahan.

  10. Pastikan Status untuk rute tersebut Aktif.

Langkah 6: Siapkan koneksi dari subnet Outpost tujuan ke subnet Outpost sumber Anda

  1. Masuk ke AWS Management Console dan buka konsol VPC di. https://console.aws.amazon.com/vpc/

  2. Di panel navigasi kiri, pilih Subnets.

  3. Di kotak pencarian, masukkan ID subnet untuk titik akhir Outposts tujuan yang Anda dapatkan di Langkah 2. Pilih subnet dengan subnet ID yang cocok.

  4. Untuk item subnet yang cocok, pilih Nilai Tabel rute dari subnet ini.

  5. Pada halaman dengan tabel rute yang dipilih, pilih Tindakan, lalu pilih Edit rute.

  6. Pada halaman Edit rute, pilih Tambahkan rute.

  7. Di bawah Tujuan, masukkan rentang CIDR dari titik akhir Outposts sumber Anda yang Anda dapatkan di Langkah 1.

  8. Di bawah Target, pilih Gateway Lokal Outpost, dan masukkan ID gateway lokal dari Outpost tujuan yang Anda temukan di Langkah 4.

  9. Pilih Simpan perubahan.

  10. Pastikan Status untuk rute tersebut Aktif.

Setelah Anda menghubungkan rentang jaringan CIDR dari titik akses sumber dan tujuan Anda, Anda harus membuat peran AWS Identity and Access Management (IAM).

Membuat peran IAM

Secara default, semua sumber daya S3 di Outposts—bucket, objek, dan subsumber terkait—bersifat privat, dan hanya pemilik sumber daya yang bisa mengakses sumber daya. S3 di Outposts membutuhkan izin untuk membaca dan mereplikasi objek dari bucket Outposts. Anda memberikan izin ini dengan membuat peran layanan IAM dan menentukan peran tersebut dalam konfigurasi replikasi.

Bagian ini menjelaskan kebijakan kepercayaan dan kebijakan izin minimum yang diperlukan. Contoh penelusuran memberikan step-by-step instruksi untuk membuat peran IAM. Untuk informasi selengkapnya, lihat Membuat aturan replikasi di Outposts. Untuk informasi selengkapnya tentang peran IAM, lihat Peran IAM dalam Panduan Pengguna IAM.

  • Contoh berikut menunjukkan kebijakan kepercayaan, yaitu S3 di Outposts diidentifikasi sebagai pengguna utama layanan yang dapat menjalankan peran tersebut.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"s3-outposts.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

  • Contoh berikut menunjukkan kebijakan akses, yaitu ketika Anda memberikan izin peran untuk melakukan tugas replikasi atas nama Anda. Saat S3 di Outposts mengambil peran tersebut, S3 memiliki izin yang Anda tentukan dalam kebijakan ini. Untuk menggunakan kebijakan ini, ganti user input placeholders dengan informasi Anda sendiri. Pastikan untuk menggantinya dengan Pos Luar IDs Outposts sumber dan tujuan Anda serta nama bucket dan nama titik akses dari bucket Outposts sumber dan tujuan Anda.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3-outposts:GetObjectVersionForReplication",
            "s3-outposts:GetObjectVersionTagging"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET/object/*",
            "arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/accesspoint/SOURCE-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ]        
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3-outposts:ReplicateObject",
            "s3-outposts:ReplicateDelete"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*",
            "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ]  
      }
   ]
}

    Kebijakan akses memberikan izin untuk tindakan berikut:

    • s3-outposts:GetObjectVersionForReplication–Izin untuk tindakan ini diberikan pada semua objek sehingga memungkinkan S3 pada Outpost untuk mendapatkan versi objek tertentu yang terkait dengan setiap objek.

    • s3-outposts:GetObjectVersionTagging–Izin untuk tindakan ini pada objek di bucket SOURCE-OUTPOSTS-BUCKET (bucket sumber) memungkinkan S3 di Outposts membaca tanda objek untuk replikasi. Untuk informasi selengkapnya, lihat Menambahkan tag untuk bucket S3 pada Outposts. Jika S3 pada Outpost tidak memiliki izin ini, maka S3 akan mereplikasi objek, tetapi tidak mereplikasi tanda objek.

    • s3-outposts:ReplicateObject dan s3-outposts:ReplicateDelete–Izin untuk tindakan ini pada semua objek di bucket DESTINATION-OUTPOSTS-BUCKET (bucket tujuan) memungkinkan S3 di Outposts mereplikasi objek atau penanda hapus ke bucket Outposts tujuan. Untuk informasi tentang penanda hapus, lihat Bagaimana cara menghapus operasi yang memengaruhi replikasi.

      catatan

      • Izin untuk tindakan s3-outposts:ReplicateObject pada bucket DESTINATION-OUTPOSTS-BUCKET (bucket tujuan) juga memungkinkan replikasi tag objek. Oleh karena itu, Anda tidak perlu secara eksplisit memberikan izin untuk tindakan s3-outposts:ReplicateTags tersebut.

      • Untuk replikasi lintas akun, pemilik bucket Outposts tujuan harus memperbarui kebijakan bucket guna memberikan izin untuk tindakan s3-outposts:ReplicateObject pada DESTINATION-OUTPOSTS-BUCKET. s3-outposts:ReplicateObjectTindakan ini memungkinkan S3 di Outposts mereplikasi objek dan tag objek ke bucket Outposts tujuan.

    Untuk daftar tindakan S3 tentang Outposts, lihat Tindakan yang ditentukan oleh S3 di Outpost.

    penting

    Akun AWS Yang memiliki peran IAM harus memiliki izin untuk tindakan yang diberikannya ke peran IAM.

    Sebagai contoh, bucket Outposts sumber berisi objek yang dimiliki oleh Akun AWS lain. Pemilik objek harus secara eksplisit memberikan izin Akun AWS yang diperlukan kepada pemilik peran IAM melalui kebijakan bucket dan kebijakan jalur akses. Jika tidak, S3 di Outposts tidak dapat mengakses objek, dan replikasi objek gagal.

    Izin yang dijelaskan di sini terkait dengan konfigurasi replikasi minimum. Jika Anda memilih untuk menambahkan konfigurasi replikasi opsional, Anda harus memberikan izin tambahan ke S3 di Outposts.

Memberikan izin ketika bucket Outposts sumber dan tujuan dimiliki oleh yang berbeda Akun AWS

Ketika bucket Outposts sumber dan tujuan tidak dimiliki oleh akun yang sama, pemilik bucket Outposts tujuan harus memperbarui kebijakan bucket dan titik akses untuk bucket tujuan tersebut. Kebijakan ini harus mengizinkan pemilik bucket Outposts sumber dan peran layanan IAM untuk melakukan tindakan replikasi, seperti yang ditunjukkan pada contoh kebijakan berikut ini, jika tidak, replikasi akan gagal. Dalam contoh kebijakan ini, DESTINATION-OUTPOSTS-BUCKET adalah bucket tujuan. Untuk menggunakan contoh kebijakan ini, ganti user input placeholders dengan informasi Anda sendiri.

Jika Anda membuat peran layanan IAM secara manual, tetapkan jalur peran sebagai role/service-role/, seperti yang ditunjukkan dalam contoh kebijakan berikut. Untuk informasi selengkapnya, lihat IAM ARNs di Panduan Pengguna IAM. 

{
   "Version":"2012-10-17",
   "Id":"PolicyForDestinationBucket",
   "Statement":[
      {
         "Sid":"Permissions on objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::SourceBucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":[
            "s3-outposts:ReplicateDelete",
            "s3-outposts:ReplicateObject"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:DestinationBucket-account-ID:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*"
         ]  
      }

   ]
}
{
"Version":"2012-10-17",
   "Id":"PolicyForDestinationAccessPoint",
   "Statement":[
      {
         "Sid":"Permissions on objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::SourceBucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":[
            "s3-outposts:ReplicateDelete",
            "s3-outposts:ReplicateObject"
         ],
         "Resource" :[
            "arn:aws:s3-outposts:region:DestinationBucket-account-ID:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ]
      }
   ]              
}
catatan

Jika objek dalam bucket Outposts ditandai, perhatikan hal berikut:

Jika pemilik bucket Outposts memberikan izin S3 di Outposts untuk tindakan s3-outposts:GetObjectVersionTagging dan s3-outposts:ReplicateTags agar dapat mereplikasi tanda objek (melalui peran IAM), Amazon S3 mereplikasi tanda beserta objek tersebut. Untuk informasi tentang peran IAM, lihat Membuat peran IAM.