View a markdown version of this page

Prasyarat untuk File S3 - Amazon Simple Storage Service
AWS pengaturan akun dan komputasiKlien File S3Kebijakan dan peran IAMGrup keamanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat untuk File S3

Sebelum Anda mulai menggunakan File S3, pastikan Anda telah menyelesaikan prasyarat berikut.

AWS pengaturan akun dan komputasi

  • Anda memiliki AWS akun.

  • Anda memiliki sumber daya komputasi dan bucket tujuan umum S3 di AWS Wilayah yang Anda inginkan tempat Anda ingin membuat sistem file Anda. Untuk informasi selengkapnya, lihat Membuat bucket tujuan umum.

  • Bucket S3 Anda mengaktifkan versi. File S3 memerlukan S3 Versioning untuk menyinkronkan perubahan antara sistem file Anda dan bucket S3 Anda. Untuk informasi selengkapnya, lihat Mengaktifkan Penentuan Versi pada bucket.

  • Bucket S3 Anda harus menggunakan salah satu jenis enkripsi berikut: Enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) atau enkripsi sisi Server dengan kunci Key Management Service (KMS) (SSE-KMS). AWS AWS

Klien File S3

Untuk menggunakan File S3 dengan Amazon EC2, Anda harus menginstal amazon-efs-utils klien, kumpulan alat sumber terbuka bersama untuk Amazon EFS dan File Amazon S3. Untuk bekerja dengan File S3, Anda memerlukan amazon-efs-utils versi 3.0.0 atau lebih tinggi. Klien menyertakan program mount helper yang menyederhanakan pemasangan sistem file S3 dan mengaktifkan CloudWatch metrik Amazon untuk memantau status pemasangan sistem file Anda.

Langkah 1: Instal klien

  • Akses terminal untuk instans Amazon EC2 Anda melalui Secure Shell (SSH), dan masuk dengan nama pengguna yang sesuai. Untuk informasi selengkapnya, lihat Connect ke instans EC2 Anda di Panduan Pengguna Amazon Elastic Compute Cloud.

  • Bagi mereka yang menggunakan Amazon Linux, lakukan hal berikut untuk menginstal efs-utils dari repositori Amazon:

    sudo yum -y install amazon-efs-utils

  • Jika Anda menggunakan distribusi Linux lain yang didukung, Anda dapat melakukan hal berikut:

    curl https://amazon-efs-utils.aws.com/efs-utils-installer.sh | sudo sh -s -- --install

  • Untuk distribusi Linux lainnya, lihat Pada distribusi Linux lainnya di amazon-efs-utils README pada. GitHub

Langkah 2: Instal botocore

amazon-efs-utilsKlien menggunakan botocore untuk berinteraksi dengan layanan lain AWS . Misalnya, Anda perlu menginstal botocore untuk menggunakan Amazon CloudWatch untuk memantau sistem file Anda. Untuk petunjuk tentang cara menginstal dan meningkatkan botocore, lihat Menginstal botocore di README aktif. amazon-efs-utils GitHub

Mengaktifkan mode FIPS untuk File S3

Jika Anda harus mematuhi Standar Pemrosesan Informasi Federal (FIPS), maka Anda harus mengaktifkan mode FIPS di klien. Mengaktifkan mode FIPS melibatkan memodifikasi s3files-utils.conf file pada sistem operasi.

Ikuti langkah-langkah ini untuk mengaktifkan mode FIPS di klien untuk File S3:

  1. Menggunakan editor teks pilihan Anda, buka /etc/amazon/efs/s3files-utils.conf file.

  2. Temukan baris yang berisi teks berikut:

    fips_mode_enabled = false

  3. Ubah teks menjadi yang berikut:

    fips_mode_enabled = true

  4. Simpan perubahan Anda.

Kebijakan dan peran IAM

Untuk menggunakan File S3, Anda harus mengonfigurasi peran IAM dan kebijakan terlampir untuk dua tujuan:

  • Mengakses bucket Anda dari sistem file

  • Melampirkan sistem file Anda untuk AWS menghitung sumber daya

Peran IAM untuk mengakses bucket Anda dari sistem file

Saat Anda membuat sistem file S3, Anda harus menentukan peran IAM yang diasumsikan S3 File untuk dibaca dan ditulis ke bucket S3 Anda. Peran ini memungkinkan File S3 untuk menyinkronkan perubahan antara sistem file Anda dan bucket S3 Anda. Peran ini juga memberikan izin untuk mengelola EventBridge aturan Amazon yang digunakan File S3 untuk mendeteksi perubahan di bucket S3 dan memicu sinkronisasi. Anda juga harus memastikan bahwa kebijakan bucket bucket sumber Anda tidak menolak akses dari sumber daya komputasi Anda.

catatan

Saat Anda membuat sistem file menggunakan AWS Management Console, File S3 secara otomatis membuat peran IAM ini dengan izin yang diperlukan.

Peran IAM ini membutuhkan yang berikut:

  • Kebijakan inline sebagai berikut:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3BucketPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListBucketVersions"
            ],
            "Resource": "arn:aws:s3:::bucket",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "accountId"
                }
            }
        },
        {
            "Sid": "S3ObjectPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject*",
                "s3:GetObject*",
                "s3:List*",
                "s3:PutObject*"
            ],
            "Resource": "arn:aws:s3:::bucket/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "accountId"
                }
            }
        },
        {
            "Sid": "UseKmsKeyWithS3Files",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncryptFrom",
                "kms:ReEncryptTo"
            ],
            "Condition": {
                "StringLike": {
                    "kms:ViaService": "s3.region.amazonaws.com",
                    "kms:EncryptionContext:aws:s3:arn": [
                        "arn:aws:s3:::bucket",
                        "arn:aws:s3:::bucket/*"
                    ]
                }
            },
            "Resource": "arn:aws:kms:region:accountId:*"
        },
        {
            "Sid": "EventBridgeManage",
            "Effect": "Allow",
            "Action": [
                "events:DeleteRule",
                "events:DisableRule",
                "events:EnableRule",
                "events:PutRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Condition": {
                "StringEquals": {
                    "events:ManagedBy": "elasticfilesystem.amazonaws.com"
                }
            },
            "Resource": [
                "arn:aws:events:*:*:rule/DO-NOT-DELETE-S3-Files*"
            ]
        },
        {
            "Sid": "EventBridgeRead",
            "Effect": "Allow",
            "Action": [
                "events:DescribeRule",
                "events:ListRuleNamesByTarget",
                "events:ListRules",
                "events:ListTargetsByRule"
            ],
            "Resource": [
                "arn:aws:events:*:*:rule/*"
            ]
        }
    ]
}

    Ganti nilai placeholder dengan nilai Anda sendiri.

    #PlaceholderDeskripsiContoh
    1bucketNama bucket S3 Andaember saya
    2region AWS Wilayah ember Andaus-east-1
    3accountIdID AWS akun Anda123456789012

  • Kebijakan kepercayaan yang memungkinkan File S3 untuk mengambil peran IAM. Tambahkan kebijakan kepercayaan berikut ke peran IAM untuk memungkinkan layanan File S3 mengasumsikan itu. Ganti accountId dan region dengan nilai-nilai Anda.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowS3FilesAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "elasticfilesystem.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountId"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3files:region:accountId:file-system/*"
                }
            }
        }
    ]
}

Peran IAM untuk melampirkan sistem file Anda untuk menghitung sumber daya AWS

Sumber daya komputasi tempat Anda memasang sistem file S3 harus memiliki peran IAM yang dilampirkan (misalnya, profil instans EC2) dengan kebijakan yang memungkinkan sumber daya komputasi Anda berinteraksi dengan sistem file S3 dan bucket S3 sumber Anda. Anda juga harus memastikan bahwa kebijakan bucket bucket sumber Anda tidak menolak akses dari sumber daya komputasi Anda.

Tambahkan dua kebijakan berikut ke peran IAM yang dilampirkan ke sumber daya komputasi Anda:

  • Izin untuk sumber daya komputasi untuk terhubung dan berinteraksi dengan sistem file S3

    Peran IAM harus menyertakan izin untuk mount helper untuk terhubung dan berinteraksi dengan sistem file S3. Anda dapat melampirkan kebijakan AWS AmazonS3FilesClientFullAccess terkelola seperti kebijakan terkelola jika Anda ingin memberikan akses baca dan tulis penuh sumber daya komputasi ke sistem file S3 atau akses AmazonS3FilesClientReadOnlyAccess hanya-baca. Anda juga dapat melampirkan kebijakan AmazonElasticFileSystemUtils terkelola jika ingin mengaktifkan CloudWatch pemantauan Amazon. Untuk informasi selengkapnya dan daftar lengkap kebijakan terkelola yang tersedia untuk File S3, lihat kebijakan AWS terkelola untuk File Amazon S3. Anda juga dapat memberikan izin ini dengan menambahkan izin IAM individual seperti s3files:ClientMount atau s3files:ClientWrite (tidak diperlukan untuk koneksi hanya-baca) ke peran IAM sumber daya komputasi Anda.

  • Kebijakan inline yang memberikan akses baca sumber daya komputasi ke objek S3

    Tambahkan kebijakan inline berikut ke peran IAM. Kebijakan ini memberikan izin sumber daya komputasi untuk langsung membaca objek dari bucket S3 tertaut di akun yang sama untuk mengoptimalkan kinerja baca. Ganti bucket dengan nama bucket S3 atau nama bucket Anda dengan awalan.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3ObjectReadAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": "arn:aws:s3:::bucket/*"
        },
        {
            "Sid": "S3BucketListAccess",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::bucket"
        }
    ]
}

Grup keamanan

Setelah sistem file dan target mount Anda dibuat, Anda harus mengonfigurasi grup keamanan yang tepat untuk mulai menggunakan sistem file Anda. Grup keamanan pada sumber daya komputasi dan target pemasangan harus mengizinkan lalu lintas yang diperlukan seperti yang ditunjukkan pada tabel di bawah ini:

Grup keamanan Jenis aturan Protokol Port Sumber/tujuan
Instans EC2 Ke luar TCP 2049 Pasang kelompok keamanan target
Target Gunung Ke dalam TCP 2049 Grup keamanan instans EC2