設定對 Amazon S3 儲存貯體的存取權 - Amazon Aurora
識別 S3 儲存貯體使用IAM角色提供對 S3 儲存貯體的存取使用跨帳戶 S3 儲存貯體

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定對 Amazon S3 儲存貯體的存取權

您識別 Amazon S3 儲存貯體,然後許可資料庫叢集匯出任務存取該儲存貯體。

識別要匯出的 Amazon S3 儲存貯體

識別要將資料庫叢集資料匯出至其中的目標 Amazon S3 儲存貯體。使用現有的 S3 儲存貯體或建立新的 S3 儲存貯體。

注意

S3 儲存貯體必須與資料庫叢集位於相同的 AWS 區域。

如需使用 Amazon S3 儲存貯體的詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的下列內容:

使用IAM角色提供對 Amazon S3 儲存貯體的存取

在您將資料庫叢集資料匯出至 Amazon S3 前,請給與匯出任務對 Amazon S3 儲存貯體的寫入存取許可。

若要授與此權限,請建立可提供值區存取權的IAM原則,然後建立IAM角色並將原則附加至該角色。稍後,您可以將IAM角色指派給資料庫叢集匯出工作。

重要

如果您計劃使用匯 AWS Management Console 出資料庫叢集,您可以選擇在匯出資料庫叢集時自動建立IAM原則和角色。如需說明,請參閱 建立資料庫叢集匯出工作

給與任務 Amazon S3 的存取權

  1. 建立IAM策略。此政策會提供儲存貯體和物件許可,允許您的資料庫叢集匯出任務存取 Amazon S3。

    在政策中,包含下列必要動作,以允許將檔案從 Amazon Aurora 傳輸至 S3 儲存貯體:

    • s3:PutObject*

    • s3:GetObject*

    • s3:ListBucket

    • s3:DeleteObject*

    • s3:GetBucketLocation

    在政策中,包含下列資源,以識別 S3 儲存貯體和該儲存貯體中的物件。以下資源清單顯示了用於訪問 Amazon S3 的亞馬遜資源名稱(ARN)格式。

    • arn:aws:s3:::amzn-s3-demo-bucket

    • arn:aws:s3:::amzn-s3-demo-bucket/*

    如需為 Amazon Aurora 建立IAM政策的詳細資訊,請參閱建立並使用 IAM 政策進行 IAM 資料庫存取。另請參閱《IAM使用指南》中的教學課程:建立並附加您的第一個客戶管理政策

    下列 AWS CLI 命令會建立以這些選項命名ExportPolicy的IAM策略。它授予對名為的存儲桶的訪問權限 amzn-s3-demo-bucket.

    注意

    建立原則之後,請記下原則ARN的內容。將原則附加至IAM角色時,您需要執行後續步驟。ARN

    aws iam create-policy  --policy-name ExportPolicy --policy-document '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExportPolicy",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject*",
                "s3:ListBucket",
                "s3:GetObject*",
                "s3:DeleteObject*",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}'

  2. 建立IAM角色,以便 Aurora 可以代表您擔任此IAM角色,以存取您的 Amazon S3 儲存貯體。如需詳細資訊,請參閱《IAM使用指南》中的建立角色以將權限委派給IAM使用者

    下列範例示範如何使用 AWS CLI 命令建立名為的角色rds-s3-export-role

    aws iam create-role  --role-name rds-s3-export-role  --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "export.rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole"
       }
     ] 
   }'

  3. 將您建立的IAM策略附加到您建立的IAM角色。

    下列 AWS CLI 命令會將先前建立的原則附加至名為的角色rds-s3-export-role。取代your-policy-arn為您在先前步驟中記下的原則ARN。

    aws iam attach-role-policy  --policy-arn your-policy-arn  --role-name rds-s3-export-role

使用跨帳戶 Amazon S3 儲存貯體

您可以跨 AWS 帳戶使用 S3 儲存貯體。如需詳細資訊,請參閱使用跨帳戶 Amazon S3 儲存貯體