本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立複寫規則的先決條件
**Topics**
+ [連線您的來源和目的地 Outpost 子網路](#outposts-rep-preone)
+ [建立 IAM 角色](#outposts-rep-pretwo)
## 連線您的來源和目的地 Outpost 子網路
若要讓您的複寫流量透過本機閘道從來源 Outpost 傳送到目的地 Outpost,您必須新增新路由來設定網路。您必須將存取點的無類別域間路由 (CIDR) 網路範圍連接在一起。對於每對存取點,您只需要設定一次此連線。
根據與存取點相關聯 Outposts 端點的存取類型,設定連線的某些步驟會有所不同。端點的存取類型為**私有** (直接虛擬私有雲端 【VPC】 路由 AWS Outposts) 或**客戶擁有的 IP** (內部部署網路中的客戶擁有 IP 地址集區 【CoIP 集區】)。
### 步驟 1:尋找來源 Outposts 端點的 CIDR 範圍
**尋找與來源存取點相關聯來源端點的 CIDR 範圍**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/):// 開啟 Amazon S3 主控台。
1. 在左側導覽窗格中,選擇 **Outposts buckets** (Outposts 儲存貯體)。
1. 在 **Outposts 儲存貯體**清單中,選擇您要進行複寫的來源儲存貯體。
1. 選擇 **Outposts 存取點**索引標籤,然後針對複寫規則選擇來源儲存貯體的 Outposts 存取點。
1. 選擇 Outposts 端點。
1. 複製要在[步驟 5](#outposts-pre-step5) 中使用的子網路 ID。
1. 您用來尋找來源 Outposts 端點 CIDR 範圍的方法取決於端點的存取類型。
在 **Outposts 端點概觀**區段中,請參閱**存取類型**。
+ 如果存取類型為**私有**,請複製要在[步驟 6](#outposts-pre-step6) 中使用的**無類別域間路由 (CIDR)** 值。
+ 如果存取類型為**客戶擁有的 IP**,請執行下列動作:
1. 複製**客戶擁有的 IPv4 集區**值,以便稍後使用做為地址集區的 ID。
1. 在 https://[https://console.aws.amazon.com/outposts/](https://console.aws.amazon.com/outposts/home) 開啟 AWS Outposts 主控台。
1. 在導覽窗格中,選擇**本機閘道路由表**。
1. 選擇來源 Outpost 的**本機閘道路由表 ID** 值。
1. 在詳細資訊窗格中,選擇 **CoIP 集區**索引標籤。將先前所複製 CoIP 集區 ID 的值貼到搜尋方塊中。
1. 對於相符的 CoIP 集區,複製來源 Outposts 端點的對應 **CIDR** 值,以便在[步驟 6](#outposts-pre-step6) 中使用。
### 步驟 2:尋找目的地 Outposts 端點的子網路 ID 和 CIDR 範圍
若要尋找與目的地存取點相關聯目的地端點的子網路 ID 和 CIDR 範圍,請遵循[步驟 1](#outposts-pre-step1) 中的相同子步驟,並在套用這些子步驟時,將來源 Outposts 端點變更為目的地 Outposts 端點。複製目的地 Outposts 端點的子網路 ID 值,以便在[步驟 6](#outposts-pre-step6) 中使用。複製目的地 Outposts 端點的 CIDR 值,以便在[步驟 5](#outposts-pre-step5) 中使用。
### 步驟 3:尋找來源 Outpost 的本機閘道 ID
**尋找來源 Outpost 的本機閘道 ID**
1. 在 https://[https://console.aws.amazon.com/outposts/](https://console.aws.amazon.com/outposts/home) 開啟 AWS Outposts 主控台。
1. 在左側導覽窗格中,選擇**本機閘道**。
1. 在**本機閘道**頁面上,尋找您要用於複寫來源 Outpost 的 Outpost ID。
1. 複製來源 Outpost 的本機閘道 ID 值,以便在[步驟 5](#outposts-pre-step5) 中使用。
如需本機閘道的詳細資訊,請參閱《AWS Outposts 使用者指南》**中的[本機閘道](https://docs.aws.amazon.com/outposts/latest/userguide/outposts-local-gateways.html)。
### 步驟 4:尋找目的地 Outpost 的本機閘道 ID
若要尋找目的地 Outpost 的本機閘道 ID,請遵循[步驟 3](#outposts-pre-step3) 中的相同子步驟,但尋找目的地 Outpost 的 Outpost ID 步驟除外。複製目的地 Outpost 的本機閘道 ID 值,以便在[步驟 6](#outposts-pre-step6) 中使用。
### 步驟 5:設定從來源 Outpost 子網路到目的地 Outpost 子網路的連線
**從來源 Outpost 子網路連線至目的地 Outpost 子網路**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 VPC 主控台。
1. 在左側導覽窗格中,選擇 **Subnets** (子網路)。
1. 在搜尋方塊中,輸入您在[步驟 1](#outposts-pre-step1) 中所找到來源 Outposts 端點的子網路 ID。選擇具有相符子網路 ID 的子網路。
1. 對於相符的子網路項目,請選擇此子網路的**路由表**值。
1. 在具有所選路由表的頁面上,選擇**動作**,然後選擇**編輯路由**。
1. 在**路由**標籤中,選擇**編輯路由**。
1. 在**目的地**下,輸入您在[步驟 2](#outposts-pre-step2) 中所找到目的地 Outposts 端點的 CIDR 範圍。
1. 在**目標**下,選擇 **Outpost 本機閘道**,然後輸入您在[步驟 3](#outposts-pre-step3) 中所找到來源 Outpost 的本機閘道 ID。
1. 選擇**儲存變更**。
1. 確定路由的**狀態**為**作用中**。
### 步驟 6:設定從目的地 Outpost 子網路到來源 Outpost 子網路的連線
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 VPC 主控台。
1. 在左側導覽窗格中,選擇 **Subnets** (子網路)。
1. 在搜尋方塊中,輸入您在[步驟 2](#outposts-pre-step2) 中所找到目的地 Outposts 端點的子網路 ID。選擇具有相符子網路 ID 的子網路。
1. 對於相符的子網路項目,請選擇此子網路的**路由表**值。
1. 在具有所選路由表的頁面上,選擇**動作**,然後選擇**編輯路由**。
1. 在**路由**標籤中,選擇**編輯路由**。
1. 在**目的地**下,輸入您在[步驟 1](#outposts-pre-step1) 中所找到來源 Outposts 端點的 CIDR 範圍。
1. 在**目標**下,選擇 **Outpost 本機閘道**,然後輸入您在[步驟 4](#outposts-pre-step4) 中所找到目的地 Outpost 的本機閘道 ID。
1. 選擇**儲存變更**。
1. 確定路由的**狀態**為**作用中**。
連接來源和目的地存取點的 CIDR 網路範圍之後,您必須建立 AWS Identity and Access Management (IAM) 角色。
## 建立 IAM 角色
根據預設,所有 S3 on Outposts 資源 (儲存貯體、物件與相關子資源) 皆為私有,且只有資源擁有者才可存取該資源。S3 on Outposts 需要從來源 Outposts 儲存貯體讀取和複寫物件的許可。您可建立 IAM *服務角色*並在您的複寫組態中指定此角色以授予這些許可。
本節說明信任政策與最低必要許可政策。這些範例演練提供建立 IAM 角色的逐步說明。如需詳細資訊,請參閱[建立 Outposts 上的複寫規則](replication-between-outposts.md)。如需 IAM 角色的詳細資訊,請參閱 *IAM 使用者指南*中的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。
+ 以下範例顯示*信任政策*,您可以在其中將 S3 on Outposts 識別為可擔任該角色的服務主體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"s3-outposts.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
+ 以下範例顯示*存取政策*,您可以在其中授予角色許可來代您執行複寫作業。當 S3 on Outposts 擔任該角色時,即具備您在此政策中指定的許可。若要使用此政策,請以您自己的資訊取代 `user input placeholders`。請務必將其取代為來源和目的地 Outposts 的 Outpost ID,以及來源和目的地 Outposts 儲存貯體的儲存貯體名稱和存取點名稱。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3-outposts:GetObjectVersionForReplication",
"s3-outposts:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET/object/*",
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/SOURCE-OUTPOST-ID/accesspoint/SOURCE-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3-outposts:ReplicateObject",
"s3-outposts:ReplicateDelete"
],
"Resource": [
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*",
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
]
}
]
}
```
------
存取政策會授予下列動作的許可:
+ `s3-outposts:GetObjectVersionForReplication` — 對所有物件授予此動作的許可,以允許 S3 on Outposts 取得與每個物件相關聯的特定物件版本。
+ `s3-outposts:GetObjectVersionTagging` – *`SOURCE-OUTPOSTS-BUCKET`* 儲存貯體 (來源儲存貯體) 中物件上這個動作的許可,其允許 S3 on Outposts 讀取要複寫的物件標籤。如需詳細資訊,請參閱[新增 S3 on Outposts 儲存貯體的標籤](S3OutpostsBucketTags.md)。如果 S3 on Outposts 不具備這些許可,則會複寫物件,但不會複寫物件標籤。
+ `s3-outposts:ReplicateObject` 與 `s3-outposts:ReplicateDelete` – *`DESTINATION-OUTPOSTS-BUCKET`* 儲存貯體 (目的地儲存貯體) 中所有物件上這些動作的許可,其允許 S3 on Outposts 將物件或刪除標記複寫至目的地 Outposts 儲存貯體。如需刪除標記的資訊,請參閱 [刪除操作對複寫的影響](S3OutpostsReplication.md#outposts-replication-delete-op)。
**注意**
*`DESTINATION-OUTPOSTS-BUCKET`* 儲存貯體 (目的地儲存貯體) 上 `s3-outposts:ReplicateObject` 動作的許可也允許複寫物件標籤。因此,您不需要明確授予 `s3-outposts:ReplicateTags` 動作的許可。
對於跨帳戶複寫,目的地 Outposts 儲存貯體的擁有者必須更新其儲存貯體政策,以授予對 *`DESTINATION-OUTPOSTS-BUCKET`* 的 `s3-outposts:ReplicateObject` 動作許可。`s3-outposts:ReplicateObject` 動作可讓 S3 on Outposts 將物件和物件標籤複寫到目的地 Outposts 儲存貯體。
如需 S3 on Outposts 動作的清單,請參閱 [S3 on Outposts 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3onoutposts.html#amazons3onoutposts-actions-as-permissions)。
**重要**
AWS 帳戶 擁有 IAM 角色的 必須具有授予 IAM 角色之動作的許可。
例如,假設來源 Outposts 儲存貯體包含另一個 AWS 帳戶所擁有的物件。物件的擁有者必須透過儲存貯體政策和存取點政策,明確授予 AWS 帳戶 擁有 IAM 角色的必要許可。否則,S3 on Outposts 就無法存取這些物件,而導致物件的複寫失敗。
此處描述的許可與基本複寫組態相關。如果您選擇新增額外的複寫組態,則必須將額外許可授予給 S3 on Outposts。
### 當來源和目的地 Outposts 儲存貯體由不同 擁有時授予許可 AWS 帳戶
當來源和目的地 Outposts 儲存貯體不屬於相同帳戶時,目的地 Outposts 儲存貯體的擁有者必須更新目的地儲存貯體的儲存貯體和存取點政策。這些政策必須對來源 Outposts 儲存貯體和 IAM 服務角色的擁有者授予執行複寫動作的許可,如同下列政策範例所示,若未授予,複寫則會失敗。在這些政策範例中,*`DESTINATION-OUTPOSTS-BUCKET`* 是目的地儲存貯體。若要使用這些政策範例,請以您自己的資訊取代 `user input placeholders`。
如果您要手動建立 IAM 服務角色,請將角色路徑設定為 `role/service-role/`,如下列政策範例所示。如需詳細資訊,請參閱《IAM 使用者指南》中的 [IAM ARN](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PolicyForDestinationBucket",
"Statement": [
{
"Sid": "Permissions on objects",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
},
"Action": [
"s3-outposts:ReplicateDelete",
"s3-outposts:ReplicateObject"
],
"Resource": [
"arn:aws:s3-outposts:us-east-1:444455556666:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*"
]
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PolicyForDestinationAccessPoint",
"Statement": [
{
"Sid": "Permissions on objects",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
},
"Action": [
"s3-outposts:ReplicateDelete",
"s3-outposts:ReplicateObject"
],
"Resource": [
"arn:aws:s3-outposts:us-east-1:111122223333:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
]
}
]
}
```
------
**注意**
如果來源 Outposts 儲存貯體中的物件已標記,請注意下列情況:
如果來源 Outposts 儲存貯體擁有者將 `s3-outposts:GetObjectVersionTagging` 與 `s3-outposts:ReplicateTags` 動作的許可授予 S3 on Outposts 來複寫物件標籤 (透過 IAM 角色),Amazon S3 會連同物件一起複寫標籤。如需 IAM 角色的資訊,請參閱 [建立 IAM 角色](#outposts-rep-pretwo)。