Ringkasan Prasyarat dan batasan Arsitektur Alat Epik Sumber daya terkait

Izinkan EC2 instance menulis akses ke bucket S3 di akun AMS

Mansi Suratwala, Amazon Web Services

Ringkasan

AWS Managed Services (AMS) membantu Anda mengoperasikan AWS infrastruktur dengan lebih efisien dan aman. Akun AMS memiliki pagar keamanan untuk administrasi standar sumber daya Anda. AWS Salah satu pagar pembatas adalah bahwa profil instans Amazon Elastic Compute Cloud (Amazon EC2) default tidak mengizinkan akses tulis ke bucket Amazon Simple Storage Service (Amazon S3). Namun, organisasi Anda mungkin memiliki beberapa bucket S3 dan memerlukan kontrol lebih besar atas akses menurut EC2 instans. Misalnya, Anda mungkin ingin menyimpan cadangan database dari EC2 instance di bucket S3.

Pola ini menjelaskan cara menggunakan request for change (RFCs) agar EC2 instans Anda dapat menulis akses ke bucket S3 di akun AMS Anda. RFC adalah permintaan yang dibuat oleh Anda atau AMS untuk membuat perubahan di lingkungan terkelola Anda dan yang mencakup ID tipe perubahan (CT) untuk operasi tertentu.

Prasyarat dan batasan

Prasyarat

Akun AMS Advanced. Untuk informasi selengkapnya tentang hal ini, lihat rencana operasi AMS di dokumentasi AMS.
Akses ke customer-mc-user-role peran AWS Identity and Access Management (IAM) untuk RFCs dikirimkan.
AWS Command Line Interface (AWS CLI), diinstal dan dikonfigurasi dengan EC2 instance di akun AMS Anda.
Pemahaman tentang cara membuat dan mengirimkan RFCs di AMS. Untuk informasi selengkapnya tentang hal ini, lihat Apa itu jenis perubahan AMS? dalam dokumentasi AMS.
Pemahaman tentang jenis perubahan manual dan otomatis (CTs). Untuk informasi selengkapnya tentang ini, lihat Otomatis dan manual CTs dalam dokumentasi AMS.

Arsitektur

Tumpukan teknologi

AMS
AWS CLI
Amazon EC2
Amazon S3
IAM

Alat

AWS Command Line Interface (AWS CLI) adalah alat sumber terbuka yang membantu Anda berinteraksi Layanan AWS melalui perintah di shell baris perintah Anda.
AWS Identity and Access Management (IAM) membantu Anda mengelola akses ke AWS sumber daya dengan aman dengan mengontrol siapa yang diautentikasi dan diberi wewenang untuk menggunakannya.
AWS Managed Services (AMS) membantu Anda mengoperasikan infrastruktur AWS dengan lebih efisien dan aman.
Amazon Simple Storage Service (Amazon S3) adalah layanan penyimpanan objek berbasis cloud yang membantu Anda menyimpan, melindungi, dan mengambil sejumlah data.
Amazon Elastic Compute Cloud (Amazon EC2) menyediakan kapasitas komputasi yang dapat diskalakan di. AWS Cloud Anda dapat meluncurkan server virtual sebanyak yang Anda butuhkan dan dengan cepat meningkatkannya ke atas atau ke bawah.

Epik

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Buat bucket S3 dengan menggunakan RFC otomatis.	Masuk ke akun AMS Anda, pilih halaman Pilih ubah jenis, pilih RFCs, lalu pilih Buat RFC. Kirimkan RFC otomatis Create S3 Bucket. catatan Pastikan Anda merekam nama bucket S3.	Administrator sistem AWS, pengembang AWS

Tugas Deskripsi Keterampilan yang dibutuhkan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Kirim RFC manual untuk membuat peran IAM.	Saat akun AMS di-onboard, profil instans IAM default yang bernama `customer-mc-ec2-instance-profile` dibuat dan dikaitkan dengan setiap EC2 instance di akun AMS Anda. Namun, profil instance tidak memiliki izin menulis ke bucket S3 Anda. Untuk menambahkan izin tulis, kirimkan manual Create IAM Resource RFC untuk membuat peran IAM yang memiliki tiga kebijakan berikut:`customer_ec2_instance_`,, dan. `customer_deny_policy` `customer_ec2_s3_integration_policy` penting `customer_deny_policy`Kebijakan `customer_ec2_instance_` dan kebijakan sudah ada di akun AMS Anda. Namun, Anda perlu membuat `customer_ec2_s3_integration_policy` dengan menggunakan kebijakan sampel berikut: { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } Role Permissions: { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload" ], "Resource": "arn:aws:s3:::/*", "Effect": "Allow" } ] }	Administrator sistem AWS, pengembang AWS
Kirim RFC manual untuk mengganti profil instans IAM.	Kirimkan RFC manual untuk mengaitkan EC2 instance target dengan profil instans IAM yang baru.	Administrator sistem AWS, pengembang AWS
Uji operasi penyalinan ke bucket S3.	Uji operasi salin ke bucket S3 dengan menjalankan perintah berikut di AWS CLI: `aws s3 cp test.txt s3://<S3 bucket>/test2.txt`	Administrator sistem AWS, pengembang AWS

Kirim RFC manual untuk membuat peran IAM.

Saat akun AMS di-onboard, profil instans IAM default yang bernama customer-mc-ec2-instance-profile dibuat dan dikaitkan dengan setiap EC2 instance di akun AMS Anda. Namun, profil instance tidak memiliki izin menulis ke bucket S3 Anda.

Untuk menambahkan izin tulis, kirimkan manual Create IAM Resource RFC untuk membuat peran IAM yang memiliki tiga kebijakan berikut:customer_ec2_instance_,, dan. customer_deny_policy customer_ec2_s3_integration_policy

penting

customer_deny_policyKebijakan customer_ec2_instance_ dan kebijakan sudah ada di akun AMS Anda. Namun, Anda perlu membuat customer_ec2_s3_integration_policy dengan menggunakan kebijakan sampel berikut:


{
  "Version": "2012-10-17",		 	 	 
   "Statement": [
    {
      "Sid": "",
       "Effect": "Allow",
       "Principal": {
         "Service": "ec2.amazonaws.com"
      },
       "Action": "sts:AssumeRole"
    }
  ]
}
 
Role Permissions:
{
     "Version": "2012-10-17",		 	 	 
     "Statement": [
        {
             "Action": [
                 "s3:ListBucket",
                 "s3:GetBucketLocation"
            ],
             "Resource": "arn:aws:s3:::",
             "Effect": "Allow"
        },
        {
             "Action": [
                 "s3:GetObject",
                 "s3:PutObject",
                 "s3:ListMultipartUploadParts",
                 "s3:AbortMultipartUpload"
            ],
             "Resource": "arn:aws:s3:::/*",
             "Effect": "Allow"
        }
    ]
}

Administrator sistem AWS, pengembang AWS

Kirim RFC manual untuk mengganti profil instans IAM.

Kirimkan RFC manual untuk mengaitkan EC2 instance target dengan profil instans IAM yang baru.

Administrator sistem AWS, pengembang AWS

Uji operasi penyalinan ke bucket S3.

Uji operasi salin ke bucket S3 dengan menjalankan perintah berikut di AWS CLI:


aws s3 cp test.txt s3://<S3 bucket>/test2.txt

Administrator sistem AWS, pengembang AWS

Sumber daya terkait

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Penyimpanan & cadangan

Mengotomatiskan konsumsi aliran data ke dalam database Snowflake

Izinkan EC2 instance menulis akses ke bucket S3 di akun AMS

Ringkasan

Prasyarat dan batasan

Arsitektur

Alat

Epik

catatan

penting

Sumber daya terkait