本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# S3 存储 \$1 创建
创建用于云存储的 Amazon S3 存储桶。
**完整分类:**部署 \$1 高级堆栈组件 \$1 S3 存储 \$1 创建
## 更改类型详情
****
| | |
| --- |--- |
| 更改类型 ID | ct-1a68ck03fn98R |
| 当前版本 | 5.0 |
| 预期执行时长 | 60 分钟 |
| AWS 批准 | 必需 |
| 客户批准 | 可选 |
| 执行模式 | 自动 |
## 附加信息
### 创建 S3 存储
#### 使用控制台创建 S3 存储桶
AMS 控制台中此更改类型的屏幕截图:
![\[Console interface showing details for creating an Amazon S3 bucket, including ID and execution mode.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/ctref/images/guiS3CreateCT.png)
它是如何运作的:
1. 导航到 “**创建 RFC**” 页面:在 AMS 控制台的左侧导航窗格中,单击**RFCs**打开 RFCs 列表页面,然后单击 “**创建 R** FC”。
1. 在默认的 “**浏览更改类型” 视图中选择常用更改类型** (CT),或者在 “**按类别选择” 视图中选择** CT。
+ **按更改类型浏览**:您可以单击 “**快速创建**” 区域中的常用 CT,立即打开 “**运行 RFC**” 页面。请注意,您不能使用快速创建来选择较旧的 CT 版本。
要进行排序 CTs,请使用**卡片**视图或**表格**视图中的**所有更改类型**区域。在任一视图中,选择一个 CT,然后单击 “**创建 RFC**” 打开 “**运行 RFC**” 页面。如果适用,“**创建 RFC” 按钮旁边会出现 “使用旧版本****创建**” 选项。
+ **按类别选择:选择类别**、子类别、项目和操作,CT 详细信息框将打开,并显示 “使用**旧版本创建**” 选项(如果适用)。单击 “**创建 RFC**” 打开 “**运行 RFC**” 页面。
1. 在 “**运行 RFC**” 页面上,打开 CT 名称区域以查看 CT 详细信息框。必须填写**主题**(如果您在 “**浏览更改类型**” 视图中选择 CT,则会为您填写此主题)。打开 “**其他配置”** 区域以添加有关 RFC 的信息。
在**执行配置**区域中,使用可用的下拉列表或输入所需参数的值。要配置可选的执行参数,请打开**其他配置**区域。
1. 完成后,单击 “**运行**”。如果没有错误,则会显示**成功创建的 RFC** 页面,其中包含已提交的 RFC 详细信息和初始**运行**输出。
1. 打开**运行参数**区域以查看您提交的配置。刷新页面以更新 RFC 的执行状态。(可选)取消 RFC 或使用页面顶部的选项创建一个 RFC 的副本。
#### 使用 CLI 创建 S3 存储桶
它是如何运作的:
1. 使用 Inline Create(您发出包含所有 RFC 和执行参数的`create-rfc`命令)或模板创建(创建两个 JSON 文件,一个用于 RFC 参数,一个用于执行参数),然后以这两个文件作为输入发出`create-rfc`命令。这里描述了这两种方法。
1. 提交带有返回的 RFC ID 的 RFC: `aws amscm submit-rfc --rfc-id ID` 命令。
监控 RFC: `aws amscm get-rfc --rfc-id ID` 命令。
要检查更改类型版本,请使用以下命令:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
*内联创建*:
使用内联提供的执行参数发出 create RFC 命令(内联提供执行参数时请转义引号),然后提交返回的 RFC ID。例如,你可以用这样的东西替换内容:
**仅包含必需参数的示例,版本 5.0:**
```
aws amscm create-rfc --title "my-s3-bucket" --change-type-id "ct-1a68ck03fn98r" --change-type-version "5.0" --execution-parameters "{\"DocumentName\":\"AWSManagedServices-CreateBucket\",\"Region\":\"us-east-1\",\"Parameters\":{\"BucketName\":\"amzn-s3-demo-bucket\"}}"
```
**包含所有参数的示例,版本 5.0:**
```
aws amscm create-rfc --title "My S3 Bucket" --change-type-id "ct-1a68ck03fn98r" --change-type-version "5.0" --execution-parameters "{\"DocumentName\":\"AWSManagedServices-CreateBucket\",\"Region\":\"us-east-1\",\"Parameters\":{\"BucketName\":\"amzn-s3-demo-bucket\",\"ServerSideEncryption\":\"KmsManagedKeys\",\"KMSKeyId\":\"arn:aws:kms:ap-southeast-2:123456789012:key/9d5948f1-2082-4c07-a183-eb829b8d81c4\",\"Versioning\":\"Enabled\",\"IAMPrincipalsRequiringReadObjectAccess\":[\"arn:aws:iam::123456789012:user/myuser\",\"arn:aws:iam::123456789012:role/myrole\"],\"IAMPrincipalsRequiringWriteObjectAccess\":[\"arn:aws:iam::123456789012:user/myuser\",\"arn:aws:iam::123456789012:role/myrole\"],\"ServicesRequiringReadObjectAccess\":[\"rds.amazonaws.com\",\"ec2.amazonaws.com\",\"logs.ap-southeast-2.amazonaws.com\"],\"ServicesRequiringWriteObjectAccess\":[\"rds.amazonaws.com\",\"ec2.amazonaws.com\",\"logs.ap-southeast-2.amazonaws.com\"],\"EnforceSecureTransport\":true,\"AccessAllowedIpRanges\":[\"1.0.0.0/24\",\"2.0.0.0/24\"]}}"
```
*模板创建*:
1. 将此更改类型的执行参数 JSON 架构输出到文件中;此示例将其命名为 CreateBucketParams .json。
```
aws amscm get-change-type-version --change-type-id "ct-1a68ck03fn98r" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateBucketParams.json
```
1. 修改并保存 CreateBucketParams 文件。请注意,您无需在中使用您的账户 ID`BucketName`,但这样可以更轻松地找到存储桶(请记住,存储桶名称在所有地区的账户中必须是唯一的,并且不能有大写字母)。如果使用它来创建 tier-and-tie WordPress 网站,则可能需要在设置时指明其用途`BucketName`。
**具有读取权限的示例:**
```
{
"DocumentName": "AWSManagedServices-CreateBucket",
"Region": "us-east-1",
"Parameters": {
"BucketName": "amzn-s3-demo-bucket",
"IAMPrincipalsWithReadObjectAccess": [
"arn:aws:iam::123456789123:role/roleA",
"arn:aws:iam::987654321987:role/roleB"
]
}
}
```
**具有写入权限的示例:**
```
{
"DocumentName": "AWSManagedServices-CreateBucket",
"Region": "us-east-1",
"Parameters": {
"BucketName": "amzn-s3-demo-bucket",
"IAMPrincipalsRequiringWriteObjectAccess": [
"arn:aws:iam::123456789123:role/roleA",
"arn:aws:iam::987654321987:role/roleB"
]
}
}
```
有关生成的策略,请参阅[向 IAM 用户或角色授予读取权限](#s3-create-read-for-user-or-role)。
**服务读取权限的示例:**
```
{
"DocumentName": "AWSManagedServices-CreateBucket",
"Region": "us-east-1",
"Parameters": {
"BucketName": "amzn-s3-demo-bucket",
"ServicesRequiringWriteObjectAccess": [
"rds.amazonaws.com",
"logs.ap-southeast-2.amazonaws.com",
"ec2.amazonaws.com"
]
}
}
```
有关生成的策略,请参阅[向 IAM 用户或角色授予写入权限](#s3-create-write-for-user-or-role)。
**服务写入权限的示例:**
```
{
"DocumentName": "AWSManagedServices-CreateBucket",
"Region": "us-east-1",
"Parameters": {
"BucketName": "amzn-s3-demo-bucket",
"ServicesRequiringWriteObjectAccess": [
"rds.amazonaws.com",
"logs.ap-southeast-2.amazonaws.com",
"ec2.amazonaws.com"
]
}
}
```
**强制安全传输的示例:**
```
{
"DocumentName": "AWSManagedServices-CreateBucket",
"Region": "us-east-1",
"Parameters": {
"BucketName": "amzn-s3-demo-bucket",
"EnforceSecureTransport": "true"
}
}
```
有关生成的策略,请参阅[用途 EnforceSecureTransport](#s3-create-enforce-secure-transport)。
**示例,限制从一组 IP 范围访问存储桶:**
```
{
"DocumentName": "AWSManagedServices-CreateBucket",
"Region": "us-east-1",
"Parameters": {
"BucketName": "amzn-s3-demo-bucket",
"AccessAllowedIpRanges": [
"1.2.3.0/24",
"2.3.4.0/24"
]
}
}
```
有关生成的策略,请参阅[将访问权限限制在 IP 范围内](#s3-create-limits-access-to-ips)。
1. 将 RFC 模板 JSON 文件输出到名为 CreateBucketRfc .json 的文件中:
```
aws amscm create-rfc --generate-cli-skeleton > CreateBucketRfc.json
```
1. 修改并保存 CreateBucketRfc .json 文件。例如,你可以用这样的东西替换内容:
```
{
"ChangeTypeVersion": "5.0",
"ChangeTypeId": "ct-1a68ck03fn98r",
"Title": "S3-Bucket-Create-RFC",
"RequestedStartTime": "2016-12-05T14:20:00Z",
"RequestedEndTime": "2016-12-05T16:20:00Z"
}
```
1. 创建 RFC,指定 CreateBucketRfc 文件和 CreateBucketParams 文件:
```
aws amscm create-rfc --cli-input-json file://CreateBucketRfc.json --execution-parameters file://CreateBucketParams.json
```
您在响应中收到新 RFC 的 ID,并可以使用它来提交和监控 RFC。在您提交之前,RFC 仍处于编辑状态且无法启动。
1. 要查看 S3 存储桶或向其加载对象,请查看执行输出:使用在 Cloud Formation 控制台中查看存储桶,使用 S3 存储桶名称在 S3 控制台中查看存储桶。`stack_id`
**注意**
从非所有者账户上传对象时,必须指定 `bucket-owner-full-control` ACL,这样存储桶拥有者账户就可以完全控制存储桶中的所有对象。示例:
```
aws s3api put-object --acl bucket-owner-full-control --bucket amzn-s3-demo-bucket --key data.txt --body /tmp/data.txt
```
#### 提示
**注意**
本演练描述了使用 5.0 版本的更改类型 (ct-1a68ck03fn98r) 创建 Amazon S3 存储桶,并提供了用于创建 Amazon S3 存储桶的示例命令。此版本不允许您创建公有 S3 存储桶,只允许创建私有存储桶。要创建公有 S3 存储桶,请使用先前版本的更改类型,**PublicRead**并为**AccessControl**参数指定。
此外,本演练不授予删除受版本控制的对象所需的权限。
要了解有关 Amazon S3 的更多信息,请参阅[亚马逊简单存储服务文档](https://aws.amazon.com/documentation/s3/)。
#### S3 存储桶创建示例生成的策略
根据您创建 Amazon S3 存储桶的方式,您创建了策略。这些示例策略与中提供的各种 Amazon S3 创建场景相匹配[使用 CLI 创建 S3 存储桶](#s3-create-cli)。
##### 向 IAM 用户或角色授予读取权限
生成的示例策略授予 IAM 用户或角色对存储桶中对象的读取权限:
```
{
"Sid": "AllowBucketReadActionsForArns",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789123:role/roleA”,
"arn:aws:iam::987654321987:role/roleB”
]
},
"Action": [
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::ACCOUNT-ID.BUCKET_NAME"
},
{
"Sid": "AllowObjectReadActionsForArns",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789123:role/roleA”,
"arn:aws:iam::987654321987:role/roleB”
]
},
"Action": [
"s3:GetObject",
"s3:ListMultipartUploadParts"
],
"Resource": "arn:aws:s3:::ACCOUNT-ID.amzn-s3-demo-bucket/*"
}
```
有关使用 S3 存储桶创建此策略的执行参数创建更改类型,请参阅 [使用 CLI 创建 S3 存储桶](#s3-create-cli)
##### 向 IAM 用户或角色授予写入权限
以下生成的示例策略授予 IAM 用户或角色对存储桶中对象的 WRITE 访问权限。此策略不授予删除受版本控制的对象所需的权限。
```
{
"Sid": "AllowObjectWriteActionsForArns",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789123:role/roleA”,
"arn:aws:iam::987654321987:role/roleB”
]
},
"Action": [
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": "arn:aws:s3:::ACCOUNT-ID.amzn-s3-demo-bucket/*"
}
```
有关使用 S3 存储桶创建此策略的执行参数创建更改类型,请参阅 [使用 CLI 创建 S3 存储桶](#s3-create-cli)
##### 授予 AWS 服务的读取权限
生成的示例策略授予对 AWS 服务的存储桶中对象的读取权限:
```
{
"Sid": "AllowBucketReadActionsForServcices",
"Effect": "Allow",
"Principal": {
"Service": [
"rds.amazonaws.com",
"logs.ap-southeast-2.amazonaws.com",
"ec2.amazonaws.com"
]
},
"Action": [
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::ACCOUNT-ID.amzn-s3-demo-bucket/*"
},
{
"Sid": "AllowObjectReadActionsForServcices",
"Effect": "Allow",
"Principal": {
"Service": [
"rds.amazonaws.com",
"logs.ap-southeast-2.amazonaws.com",
"ec2.amazonaws.com"
]
},
"Action": [
"s3:GetObject",
"s3:ListMultipartUploadParts"
],
"Resource": "arn:aws:s3:::ACCOUNT-ID.amzn-s3-demo-bucket/*"
}
```
有关使用 S3 存储桶创建此策略的执行参数创建更改类型,请参阅 [使用 CLI 创建 S3 存储桶](#s3-create-cli)
##### 授予 AWS 服务的写入权限
以下生成的示例策略授予对 AWS 服务的存储桶中对象的 WRITE 访问权限。此策略不授予删除受版本控制的对象所需的权限。
```
{
"Sid": "AllowObjectWriteActionsForServcices",
"Effect": "Allow",
"Principal": {
"Service": [
"rds.amazonaws.com",
"logs.ap-southeast-2.amazonaws.com",
"ec2.amazonaws.com"
]
},
"Action": [
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": "arn:aws:s3:::ACCOUNT-ID.amzn-s3-demo-bucket/*"
}
```
有关使用 S3 存储桶创建此策略的执行参数创建更改类型,请参阅 [使用 CLI 创建 S3 存储桶](#s3-create-cli)
##### 用途 EnforceSecureTransport
由此产生的强制安全传输的策略示例:
```
{
"Sid": "EnforceSecureTransport",
"Effect": "Deny",
"Principal": "*",
"Action": "*",
"Resource": "arn:aws:s3:::ACCOUNT-ID.amzn-s3-demo-bucket/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
```
有关使用 S3 存储桶创建此策略的执行参数创建更改类型,请参阅 [使用 CLI 创建 S3 存储桶](#s3-create-cli)
##### 将访问权限限制在 IP 范围内
由此产生的策略示例限制从一组 IP 范围访问存储桶:
```
{
"Sid": "RestrictBasedOnIPRanges",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::ACCOUNT-ID.amzn-s3-demo-bucket/*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
“1.2.3.0/24",
“2.3.4.0/24"
]
}
}
}
```
有关使用 S3 存储桶创建此策略的执行参数创建更改类型,请参阅 [使用 CLI 创建 S3 存储桶](#s3-create-cli)
## 执行输入参数
有关执行输入参数的详细信息,请参见[变更架构类型 ct-1a68ck03fn98r](schemas.md#ct-1a68ck03fn98r-schema-section)。
## 示例:必填参数
```
{
"DocumentName" : "AWSManagedServices-CreateBucket",
"Region": "us-east-1",
"Parameters": {
"BucketName": "mybucket"
}
}
```
## 示例:所有参数
```
{
"DocumentName" : "AWSManagedServices-CreateBucket",
"Region": "us-east-1",
"Parameters": {
"BucketName": "mybucket",
"ServerSideEncryption": "KmsManagedKeys",
"KMSKeyId": "arn:aws:kms:ap-southeast-2:123456789012:key/9d5948f1-2082-4c07-a183-eb829b8d81c4",
"Versioning": "Enabled",
"IAMPrincipalsRequiringReadObjectAccess": [
"arn:aws:iam::123456789012:user/myuser",
"arn:aws:iam::123456789012:role/myrole"
],
"IAMPrincipalsRequiringWriteObjectAccess": [
"arn:aws:iam::123456789012:user/myuser",
"arn:aws:iam::123456789012:role/myrole"
],
"ServicesRequiringReadObjectAccess": [
"rds.amazonaws.com",
"ec2.amazonaws.com",
"logs.ap-southeast-2.amazonaws.com"
],
"ServicesRequiringWriteObjectAccess": [
"rds.amazonaws.com",
"ec2.amazonaws.com",
"logs.ap-southeast-2.amazonaws.com"
],
"EnforceSecureTransport": true,
"AccessAllowedIpRanges": [
"1.0.0.0/24",
"2.0.0.0/24"
],
"Tags": [
"{\"Key\": \"foo\", \"Value\": \"bar\"}",
"{ \"Key\": \"testkey\",\"Value\": \"testvalue\" }"
]
}
}
```