View a markdown version of this page

Menyiapkan bucket Amazon S3 untuk ekspor data - Ekspor Data AWS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan bucket Amazon S3 untuk ekspor data

Untuk menerima dan menyimpan ekspor data, Anda harus memiliki bucket Amazon S3 di akun AWS Anda atau di akun tujuan yang ditentukan AWS . Saat membuat ekspor di konsol, jika ingin ekspor di bucket Anda sendiri, Anda dapat memilih bucket S3 yang sudah ada yang Anda miliki, atau Anda dapat membuat bucket baru. Dalam kedua kasus tersebut, Anda perlu meninjau dan mengonfirmasi penerapan kebijakan bucket S3 default berikut. Jika ingin ekspor dikirim ke bucket yang dimiliki oleh AWS akun lain, Anda dapat menentukan pemilik bucket dan nama bucket selama proses pembuatan Ekspor Data. Mengedit kebijakan bucket atau mengubah pemilik bucket S3 setelah Anda membuat ekspor dapat mencegah Ekspor Data mengirimkan ekspor Anda. Menyimpan data ekspor dalam bucket S3 apa pun ditagih dengan tarif Amazon S3 standar. Untuk informasi selengkapnya, lihat Kuota dan pembatasan.

Kebijakan berikut harus diterapkan pada setiap bucket S3, baik yang dimiliki oleh Anda atau AWS akun lain, saat membuat ekspor data:

{
    "Version":"2012-10-17",
    "Statement": [
    {
      "Sid": "EnableAWSDataExportsToWriteToS3",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "bcm-data-exports.amazonaws.com"
        ]
      },
      "Action": [
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::{bucket-name}/*",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:bcm-data-exports:us-east-1:{source-account-id}:export/*"
        },
        "StringEquals": {
          "aws:SourceAccount": "{source-account-id}"
          }
      }
    }
  ]
   }

Kebijakan bucket S3 ini memastikan bahwa Ekspor Data hanya dapat mengirimkan ekspor ke bucket S3 atas nama akun yang membuat ekspor. Ini juga memungkinkan Ekspor Data untuk memverifikasi bahwa bucket S3 masih dimiliki oleh akun yang ditentukan selama pembuatan ekspor.

  • Untuk mengirimkan ekspor ke bucket S3 Anda, AWS perlu izin menulis untuk bucket S3 tersebut. Untuk melakukannya, kebijakan bucket S3 memberikan izin layanan Ekspor Data () untuk mengirimkan (bcm-data-exports.amazonaws.com.rproxy.govskope.cas3:PutObject) laporan ke bucket S3 yang Anda miliki (). arn:aws:s3:::<EXAMPLE-BUCKET>/*

  • Setiap kali Data Exports membuat permintaan untuk menulis ke bucket S3, ia harus memberikan ID akun akun yang membuat ekspor. Kunci kondisi aws:SourceArn dan aws:SourceAccount menegakkan ini.

  • Kebijakan bucket S3 ini tidak memberikan AWS izin untuk membaca atau menghapus objek apa pun di bucket S3 Anda, termasuk Laporan Biaya dan Penggunaan setelah dikirimkan.

Untuk bucket Amazon S3 yang mengaktifkan daftar kontrol akses (ACL), Ekspor Data menerapkan BucketOwnerFullControl ACL ke laporan saat mengirimkannya. Secara default, objek Amazon S3, seperti laporan ini, hanya dapat dibaca oleh pengguna atau kepala layanan yang menulisnya. Untuk memberi Anda atau pemilik bucket S3 izin untuk membaca laporan, AWS perlu menerapkan BucketOwnerFullControl ACL. ACL memberikan pemilik bucket S3 Permission.FullControl untuk laporan ini. Namun, disarankan untuk menonaktifkan ACL dan menggunakan kebijakan bucket S3 untuk mengontrol akses.

catatan

Untuk bucket S3 yang baru dibuat, dinonaktifkan ACLs secara default. Untuk informasi selengkapnya, lihat Mengontrol kepemilikan objek dan menonaktifkan bucket ACLs Anda.

Jika Anda melihat kesalahan bucket tidak valid di halaman konsol Ekspor Data, verifikasi bahwa kebijakan dan kepemilikan bucket S3 tidak berubah sejak penyiapan laporan.