針對容量管理器資料匯出設定 Amazon S3 儲存貯體 - Amazon Elastic Compute Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

針對容量管理器資料匯出設定 Amazon S3 儲存貯體

若要接收容量管理員資料匯出,您必須在 中擁有 Amazon S3 儲存貯體 AWS 帳戶 ,才能接收和儲存匯出檔案。在容量管理器主控台建立資料匯出時,您可選擇一個擁有的現有 Amazon S3 儲存貯體,或者建立一個新的儲存貯體。

在任一情況中,都必須套用所需的儲存貯體政策,以便允許容量管理器交付匯出檔案。在 Amazon S3 主控台編輯此政策,或者在您建立資料匯出之後變更儲存貯體擁有者,皆會阻止容量管理器交付匯出。

如需建立 Amazon S3 儲存貯體,請參閱 Amazon Simple Storage Service 使用者指南中的建立 S3 儲存貯體

必須將下面的政策套用至 S3 儲存貯體,以便允許容量管理器交付資料匯出:

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.capacitymanager.amazonaws.com"
            },
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:ec2:us-east-1:111122223333:capacity-manager-data-export/*"
                }
            }
        }
    ]
}

藉助此儲存貯體政策,可確保安全地交付容量管理器資料匯出檔案至儲存貯體。具體而言:

  • 每次傳送容量管理員資料匯出時, AWS 首先確認儲存貯體是否仍由設定匯出的帳戶所擁有。若儲存貯體擁有權已變更,則不會交付匯出。這樣可協助確保容量管理器資料的安全性。此儲存貯體政策允許 AWS ("Effect": "Allow") 檢查擁有儲存貯體的帳戶 ("Action": ["s3:ListBucket"])。

  • 政策授予容量管理器服務 ("Service": "ec2.capacitymanager.amazonaws.com") 許可,以便寫入匯出檔案 ("Action": "s3:PutObject") 及讀取物件 ("Action": "s3:GetObject"),進而複製資料到您的儲存貯體。