設定對 Amazon S3 儲存貯體的存取權 - Amazon Aurora
識別 S3 儲存貯體使用 IAM 角色提供 S3 儲存貯體的存取權使用跨帳戶 S3 儲存貯體

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定對 Amazon S3 儲存貯體的存取權

您識別 Amazon S3 儲存貯體,然後許可資料庫叢集匯出任務存取該儲存貯體。

識別要匯出的 Amazon S3 儲存貯體

識別要將資料庫叢集資料匯出至其中的目標 Amazon S3 儲存貯體。使用現有的 S3 儲存貯體或建立新的 S3 儲存貯體。

注意

S3 儲存貯體必須與資料庫叢集位於相同的 AWS 區域。

如需使用 Amazon S3 儲存貯體的詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的下列內容:

使用 IAM 角色提供對 Amazon S3 儲存貯體的存取權

在您將資料庫叢集資料匯出至 Amazon S3 前,請給與匯出任務對 Amazon S3 儲存貯體的寫入存取許可。

若要授予此許可,請建立 IAM 政策,提供儲存貯體的存取權,然後建立 IAM 角色並將該政策附加至其中。稍後,您可以將 IAM 角色指派給資料庫叢集匯出任務。

重要

如果您打算使用 AWS 管理主控台 匯出資料庫叢集,您可以選擇在匯出資料庫叢集時自動建立 IAM 政策和角色。如需說明,請參閱建立資料庫叢集匯出任務

給與任務 Amazon S3 的存取權

  1. 建立 IAM 政策。此政策會提供儲存貯體和物件許可,允許您的資料庫叢集匯出任務存取 Amazon S3。

    在政策中,包含下列必要動作,以允許將檔案從 Amazon Aurora 傳輸至 S3 儲存貯體:

    • s3:PutObject*

    • s3:GetObject*

    • s3:ListBucket

    • s3:DeleteObject*

    • s3:GetBucketLocation

    在政策中,包含下列資源,以識別 S3 儲存貯體和該儲存貯體中的物件。以下資源清單會顯示用於存取 Amazon S3 的 Amazon Resource Name (ARN) 格式。

    • arn:aws:s3:::amzn-s3-demo-bucket

    • arn:aws:s3:::amzn-s3-demo-bucket/*

    如需為 Amazon Aurora 建立 IAM 政策的詳細資訊,請參閱 建立並使用 IAM 政策進行 IAM 資料庫存取。另請參閱《IAM 使用者指南》中的教學:建立和連接您的第一個客戶受管原則

    下列 AWS CLI 命令會使用這些選項建立名為 ExportPolicy的 IAM 政策。其將存取權授予名為 amzn-s3-demo-bucket 的儲存貯體。

    注意

    在您建立政策後,請記下政策的 ARN。在後續步驟中將政策附加至 IAM 角色時,您會需要此 ARN。

    aws iam create-policy  --policy-name ExportPolicy --policy-document '{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ExportPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject*",
                "s3:ListBucket",
                "s3:GetObject*",
                "s3:DeleteObject*",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}'

  2. 建立 IAM 角色,讓 Aurora 可以代表您擔任此 IAM 角色,以存取您的 Amazon S3 儲存貯體。如需詳細資訊,請參閱《IAM 使用者指南》中的建立角色以將許可委派給 IAM 使用者

    下列範例顯示使用 AWS CLI 命令來建立名為 的角色rds-s3-export-role

    aws iam create-role  --role-name rds-s3-export-role  --assume-role-policy-document '{
     "Version": "2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "export.rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole"
       }
     ] 
   }'

  3. 將您建立的 IAM 政策附加至您建立的 IAM 角色。

    下列 AWS CLI 命令會將先前建立的政策連接至名為 的角色rds-s3-export-role。將 your-policy-arn 取代成您在稍早步驟中記下的政策 ARN。

    aws iam attach-role-policy  --policy-arn your-policy-arn  --role-name rds-s3-export-role

使用跨帳戶 Amazon S3 儲存貯體

您可以跨 AWS 帳戶使用 S3 儲存貯體。如需詳細資訊,請參閱使用跨帳戶 Amazon S3 儲存貯體