Configurazione della replica per i bucket in account diversi - Amazon Simple Storage Service

Configurazione della replica per i bucket in account diversi

La replica in tempo reale è la copia asincrona e automatica degli oggetti di vari bucket nelle stesse Regioni AWS o in Regioni AWS diverse. La replica in tempo reale copia gli oggetti appena creati e gli aggiornamenti degli oggetti da un bucket di origine in uno o più bucket di destinazione. Per ulteriori informazioni, consulta Replica di oggetti all'interno e tra le Regioni.

Quando si configura la replica, vengono aggiunte le regole di replica al bucket di origine. Le regole di replica definiscono gli oggetti del bucket di origine da replicare e i bucket di destinazione in cui vengono archiviati gli oggetti replicati. È possibile creare una regola per replicare tutti gli oggetti in un bucket o un sottoinsieme di oggetti con un prefisso di nome di chiave specifico, uno o più tag di oggetto o entrambi gli elementi. Un bucket di destinazione può trovarsi nello stesso Account AWS del bucket di origine o in un account diverso.

Se specifichi l'ID della versione dell'oggetto da eliminare, Amazon S3 elimina la versione dell'oggetto nel bucket di origine. Ma non replica l'eliminazione nel bucket di destinazione. In altre parole, non elimina la stessa versione dell'oggetto dal bucket di destinazione. Ciò permette di proteggere i dati da eliminazioni da parte di utenti malintenzionati.

Quando si aggiunge una regola di replica a un bucket, la regola viene abilitata per impostazione predefinita e pertanto inizia a funzionare non appena viene salvata.

La configurazione della replica in tempo reale quando i bucket di origine e di destinazione sono di proprietà di Account AWS diversi prevede una procedura simile a quella della configurazione della replica quando entrambi i bucket sono di proprietà dello stesso account. Tuttavia, esistono varie differenze quando si configura la replica in uno scenario comprendente più account:

  • Il proprietario del bucket di destinazione deve concedere al proprietario del bucket di origine l'autorizzazione necessaria per replicare gli oggetti nella policy del bucket di destinazione.

  • Quando si replicano oggetti crittografati mediante crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS) in uno scenario multi-account, il proprietario della chiave KMS deve concedere al proprietario del bucket di origine l'autorizzazione per utilizzare la chiave KMS. Per ulteriori informazioni, consulta Concessione di autorizzazioni aggiuntive per scenari multi-account.

  • Per impostazione predefinita, gli oggetti replicati appartengono al proprietario del bucket di origine. In uno scenario multi-account, è possibile configurare la replica per trasferire la proprietà degli oggetti replicati al proprietario del bucket di destinazione. Per ulteriori informazioni, consulta Modifica del proprietario della replica.

Come configurare la replica quando i bucket di origine e di destinazione sono di proprietà di diversi Account AWS

  1. In questo esempio i bucket di origine e di destinazione vengono creati in due Account AWS diversi. È necessario disporre di due profili di credenziali impostati per AWS CLI. Questo esempio utilizza acctA e acctB per i nomi di tali profili. Per informazioni sull'impostazione di profili con credenziali e sull'uso di profili denominati, consulta Impostazioni del file di configurazione e delle credenziali nella Guida per l'utente di AWS Command Line Interface.

  2. Segui le istruzioni dettagliate in Configurazione della replica per i bucket nello stesso account apportando le seguenti modifiche:

    • Per tutti i comandi AWS CLI relativi alle attività del bucket di origine (come la creazione del bucket di origine, l'abilitazione del controllo delle versioni e la creazione del ruolo IAM), utilizzare il profilo acctA. Utilizzare il profilo acctB per creare il bucket di destinazione.

    • Assicurarsi che la policy di autorizzazione per il ruolo IAM specifichi i bucket di origine e di destinazione creati per questo esempio.

  3. Nella console, aggiungere la seguente policy di bucket al bucket di destinazione per consentire al proprietario del bucket di origine di replicare gli oggetti. Per istruzioni, consulta Aggiunta di una policy di bucket utilizzando la console di Amazon S3. Assicurarsi di modificare la policy fornendo l'ID Account AWS del proprietario del bucket di origine, il nome del ruolo IAM e il nome del bucket di destinazione.

    Nota

    Per utilizzare l'esempio seguente, sostituisci user input placeholders con le tue informazioni. Sostituire amzn-s3-demo-destination-bucket con il nome del bucket di destinazione. Sostituire source-bucket-account-ID:role/service-role/source-account-IAM-role nel nome della risorsa Amazon (ARN) IAM con il ruolo IAM utilizzato per questa configurazione della replica.

    Se il ruolo del servizio IAM è stato creato manualmente, impostare il percorso del ruolo nell'ARN IAM come role/service-role/, come mostrato nel seguente esempio di policy. Per ulteriori informazioni, consulta ARN IAM nella Guida per l'utente di IAM.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Id": "",
    "Statement": [
        {
            "Sid": "Set-permissions-for-objects",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
            },
            "Action": [
                "s3:ReplicateObject",
                "s3:ReplicateDelete"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
        },
        {
            "Sid": "Set-permissions-on-bucket",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
            },
            "Action": [
                "s3:GetBucketVersioning",
                "s3:PutBucketVersioning"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
        }
    ]
}

  4. (Facoltativo) Quando si replicano oggetti crittografati mediante SSE-KMS, il proprietario della chiave KMS deve concedere al proprietario del bucket di origine l'autorizzazione per utilizzare la chiave KMS. Per ulteriori informazioni, consulta Concessione di autorizzazioni aggiuntive per scenari multi-account.

  5. (Facoltativo) Nella replica il proprietario dell'oggetto di origine possiede la replica stessa per impostazione predefinita. Quando i bucket di origine e di destinazione sono di proprietà di Account AWS diversi, è possibile aggiungere impostazioni di configurazione opzionali per modificare la proprietà di una replica all'Account AWS proprietario dei bucket di destinazione. Ciò include la concessione dell'autorizzazione ObjectOwnerOverrideToBucketOwner. Per ulteriori informazioni, consulta Modifica del proprietario della replica.