Configurazione dell'accesso a un bucket Simple Storage Service (Amazon S3) - Amazon Aurora
Identificazione del bucket S3Autorizzazione di accesso a un bucket S3 utilizzando un ruolo IAMUtilizzo di un bucket S3 multiaccount

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dell'accesso a un bucket Simple Storage Service (Amazon S3)

Individua il bucket Amazon S3 e fornisci all'attività di esportazione del cluster database l'autorizzazione per accedervi.

Identificazione del bucket Simple Storage Service (Amazon S3) in cui esportare

Identifica il bucket Amazon S3 in cui esportare il cluster database. Utilizzare un bucket S3 esistente o crearne uno nuovo.

Nota

Il bucket S3 deve trovarsi nella stessa AWS regione del cluster DB.

Per ulteriori informazioni sull'utilizzo dei bucket Simple Storage Service (Amazon S3), vedere quanto segue in Guida per l'utente di Amazon Simple Storage Service:

Fornire l'accesso a un bucket Simple Storage Service (Amazon S3) utilizzando un ruolo IAM

Prima di esportare i dati del cluster database in Amazon S3, fornisci l'autorizzazione di accesso in scrittura alle attività di esportazione al bucket Amazon S3.

Per concedere l'autorizzazione, crea una policy IAM che fornisca accesso al bucket, crea un ruolo IAM e collega la policy al ruolo. Successivamente assegna il ruolo IAM all'attività di esportazione del cluster database.

Importante

Se prevedi di utilizzare il Console di gestione AWS per esportare il tuo cluster DB, puoi scegliere di creare automaticamente la policy IAM e il ruolo quando esporti il cluster DB. Per istruzioni, consulta Creazione di attività di esportazione del cluster di database.

Per fornire alle attività l'accesso ad Amazon S3

  1. Creare una policy IAM Questa policy fornisce le autorizzazioni per bucket e oggetti che consentono all'attività di esportazione del cluster database l'accesso ad Amazon S3.

    Includi nella policy le seguenti operazioni obbligatorie per consentire il trasferimento dei file da Amazon Aurora a un bucket S3:

    • s3:PutObject*

    • s3:GetObject*

    • s3:ListBucket

    • s3:DeleteObject*

    • s3:GetBucketLocation

    Includi nella policy le seguenti risorse per identificare il bucket S3 e gli oggetti nel bucket. Il seguente elenco di risorse mostra il formato Amazon Resource Name (ARN) per l'accesso a Amazon S3.

    • arn:aws:s3:::amzn-s3-demo-bucket

    • arn:aws:s3:::amzn-s3-demo-bucket/*

    Per ulteriori informazioni sulla creazione di una policy IAM per Amazon Aurora, consulta Creazione e utilizzo di una policy IAM per l'accesso al database IAM. Consulta anche il Tutorial: Creare e collegare la prima policy gestita dal cliente nella Guida per l'utente di IAM.

    Il AWS CLI comando seguente crea una policy IAM denominata ExportPolicy con queste opzioni. Concede l'accesso a un bucket denominato amzn-s3-demo-bucket.

    Nota

    Dopo aver creato la policy, prendere nota del relativo ARN. Per la fase successiva, in cui si associa la policy a un ruolo IAM, è necessario l'ARN.

    aws iam create-policy  --policy-name ExportPolicy --policy-document '{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ExportPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject*",
                "s3:ListBucket",
                "s3:GetObject*",
                "s3:DeleteObject*",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}'

  2. Crea un ruolo IAM in modo che Aurora possa assumere questo ruolo IAM per tuo conto per accedere ai bucket Amazon S3. Per ulteriori informazioni, consulta la pagina relativa alla creazione di un ruolo per delegare le autorizzazioni a un utente IAM nella Guida per l'utente IAM.

    L'esempio seguente mostra l'utilizzo del AWS CLI comando per creare un ruolo denominatords-s3-export-role.

    aws iam create-role  --role-name rds-s3-export-role  --assume-role-policy-document '{
     "Version": "2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "export.rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole"
       }
     ] 
   }'

  3. Collegare la policy IAM al ruolo IAM creato.

    Il AWS CLI comando seguente collega la politica creata in precedenza al ruolo denominatords-s3-export-role. Sostituire your-policy-arn con l'ARN della policy annotato nella fase precedente.

    aws iam attach-role-policy  --policy-arn your-policy-arn  --role-name rds-s3-export-role

Utilizzo di un bucket Simple Storage Service (Amazon S3) multiaccount

Puoi utilizzare i bucket S3 su più account. AWS Per ulteriori informazioni, consulta Utilizzo di un bucket Simple Storage Service (Amazon S3) multiaccount.