View a markdown version of this page

Konfiguration von S3-Zielen für geplante Abfragen - CloudWatch Amazon-Protokolle
Ergebnisse an einen Amazon S3 S3-Bucket im selben Konto sendenErgebnisse an einen Amazon S3 S3-Bucket in einem anderen Konto sendenVerschlüsseln von Ergebnissen mit einem vom Kunden verwalteten Schlüssel AWS KMS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration von S3-Zielen für geplante Abfragen

Konfigurieren Sie Amazon S3 als Ziel, um Ihre geplanten Abfrageergebnisse als JSON-Dateien zur langfristigen Aufbewahrung und Analyse zu speichern.

Wenn Sie Amazon S3 als Ziel verwenden, werden Abfrageergebnisse als JSON-Dateien im angegebenen Bucket und Präfix gespeichert. Diese Option ist ideal für die Archivierung von Ergebnissen, die Durchführung von Batch-Analysen oder die Integration mit anderen AWS Diensten, die S3-Daten verarbeiten.

Sie können Abfrageergebnisse an einen Amazon S3 S3-Bucket in demselben AWS Konto wie die geplante Abfrage oder an einen Bucket in einem anderen AWS Konto senden. Optional können Sie Abfrageergebnisse auch mit einem vom Kunden verwalteten AWS KMS Schlüssel (SSE-KMS) verschlüsseln.

Ergebnisse an einen Amazon S3 S3-Bucket im selben Konto senden

Wenn sich der Amazon S3 S3-Ziel-Bucket in demselben AWS Konto wie die geplante Abfrage befindet, können Sie den Bucket direkt von der Konsole aus suchen und auswählen.

So konfigurieren Sie ein Amazon S3 S3-Ziel mit demselben Konto (Konsole)

  1. Wählen Sie im Abschnitt Abfrageergebnisse an S3 senden für S3-Bucket die Option Dieses Konto aus.

  2. Geben Sie für Amazon S3-URI den Amazon S3 S3-Bucket und das Präfix ein, in dem die Ergebnisse gespeichert werden (z. B.s3://my-bucket/query-results/), oder wählen Sie Amazon S3 durchsuchen, um zu navigieren und einen vorhandenen Amazon S3 S3-Standort auszuwählen.

  3. (Optional) Um Ergebnisse mit einem vom Kunden verwalteten AWS KMS Schlüssel zu verschlüsseln, geben Sie den ARN des AWS KMS Schlüssels in das Feld KMS-Schlüssel-ARN ein. Der Schlüssel muss sich in derselben AWS Region wie der Amazon S3-Ziel-Bucket befinden. Wenn Sie keinen AWS KMS Schlüssel angeben, gelten die Standard-Verschlüsselungseinstellungen des Buckets.

  4. Wählen Sie im Abschnitt IAM-Rolle für die Veröffentlichung von Abfrageergebnissen in Amazon S3 die Option Neue Rolle mit Standardberechtigungen automatisch erstellen aus, um die erforderlichen Berechtigungen automatisch einzurichten, oder wählen Sie Bestehende Rolle verwenden, um eine bestehende IAM-Rolle mit den erforderlichen Richtlinien auszuwählen.

Die IAM-Rolle für die Zielzustellung erfordert die folgenden Berechtigungen:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::my-bucket/prefix/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "111122223333"
                }
            }
        }
    ]
}

Ergebnisse an einen Amazon S3 S3-Bucket in einem anderen Konto senden

Sie können geplante Abfrageergebnisse an einen Amazon S3 S3-Bucket in einem anderen AWS Konto senden. Wenn Sie einen kontoübergreifenden Bucket verwenden, müssen Sie den Amazon S3 S3-URI und die Konto-ID des Kontos angeben, das den Bucket besitzt.

So konfigurieren Sie ein kontoübergreifendes Amazon S3 S3-Ziel (Konsole)

  1. Wählen Sie im Abschnitt Abfrageergebnisse an S3 senden für S3-Bucket die Option Anderes Konto aus und geben Sie die Konto-ID des Kontos, das den Bucket besitzt, als Eingabe ein.

  2. Geben Sie für Amazon S3 S3-URI die vollständige Amazon S3 S3-URI des Ziel-Buckets und das Präfix im anderen Konto ein (z. B.s3://cross-account-bucket/query-results/).

  3. (Optional) Um Ergebnisse mit einem vom Kunden verwalteten AWS KMS Schlüssel zu verschlüsseln, geben Sie den ARN des AWS KMS Schlüssels in das Feld KMS-Schlüssel-ARN ein. Der Schlüssel muss sich in derselben AWS Region wie der Amazon S3-Ziel-Bucket befinden.

  4. Wählen Sie im Abschnitt IAM-Rolle für die Veröffentlichung von Abfrageergebnissen in Amazon S3 die Option Neue Rolle mit Standardberechtigungen automatisch erstellen aus, um die erforderlichen Berechtigungen automatisch einzurichten, oder wählen Sie Bestehende Rolle verwenden, um eine bestehende IAM-Rolle mit den erforderlichen Richtlinien auszuwählen.

Für die kontoübergreifende Lieferung sind Genehmigungen auf beiden Seiten erforderlich. Die IAM-Rolle für die Zielzustellung im Quellkonto erfordert die folgenden Berechtigungen:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::cross-account-bucket/prefix/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                }
            }
        }
    ]
}

Die Amazon S3 S3-Bucket-Richtlinie im Zielkonto muss der IAM-Rollenberechtigung des Quellkontos die Berechtigung zum Schreiben von Objekten gewähren:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowScheduledQueryRolePutObject",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/my-s3-delivery-role"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::cross-account-bucket/prefix/*"
        }
    ]
}

Verschlüsseln von Ergebnissen mit einem vom Kunden verwalteten Schlüssel AWS KMS

Sie können optional einen vom Kunden verwalteten AWS KMS Schlüssel angeben, um Abfrageergebnisse zu verschlüsseln, die mit SSE-KMS an Amazon S3 übermittelt werden. Der AWS KMS Schlüssel kann sich in demselben Konto wie die geplante Abfrage oder in einem anderen Konto befinden.

Wenn Sie einen AWS KMS Schlüssel angeben, verwendet die geplante Abfrage diesen Schlüssel, um Ergebnisse über SSE-KMS zu verschlüsseln. Wenn Sie keinen AWS KMS Schlüssel angeben, gelten die Standardverschlüsselungseinstellungen des Buckets. Wenn der Bucket mit der standardmäßigen SSE-KMS-Verschlüsselung unter Verwendung eines vom Kunden verwalteten Schlüssels konfiguriert ist, muss die IAM-Rolle für die Zielzustellung dennoch über kms:GenerateDataKey Berechtigungen für diesen Schlüssel verfügen.

Für die IAM-Rolle für die Zielzustellung ist eine kms:GenerateDataKey Genehmigung für den Schlüssel erforderlich. AWS KMS Das folgende Beispiel zeigt die erforderlichen Berechtigungen für ein Amazon S3 S3-Ziel mit einem vom Kunden verwalteten AWS KMS Schlüssel:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::my-bucket/prefix/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "111122223333"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "kms:GenerateDataKey",
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "s3.us-east-1.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::my-bucket*"
                }
            }
        }
    ]
}

Wenn sich der AWS KMS Schlüssel in einem anderen Konto als der IAM-Rolle für die Zielzustellung befindet, muss die AWS KMS Schlüsselrichtlinie im Konto, das den Schlüssel besitzt, der Rolle explizit Zugriff gewähren:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowScheduledQueryRoleToEncrypt",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/my-s3-delivery-role"
            },
            "Action": "kms:GenerateDataKey",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "s3.us-east-1.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::my-bucket*"
                }
            }
        }
    ]
}
Anmerkung

Wenn sich der AWS KMS Schlüssel und die IAM-Rolle für die Zielzustellung in demselben Konto befinden, reicht die IAM-Identitätsrichtlinie allein aus, wenn die AWS KMS Schlüsselrichtlinie die Standardanweisung „IAM-Richtlinien aktivieren“ enthält. Eine ausdrückliche Erteilung der AWS KMS Schlüsselrichtlinie ist nur erforderlich, wenn die Schlüsselrichtlinie nicht an IAM delegiert wird.

Die IAM-Rolle für die Veröffentlichung von Abfrageergebnissen in Amazon S3 muss getrennt von der IAM-Rolle für die geplante Abfrageausführung konfiguriert werden. Diese Trennung ermöglicht eine differenzierte Zugriffskontrolle, bei der die Ausführungsrolle Abfragen ausführen kann, während die Amazon S3 S3-Rolle speziell die Ergebnislieferung übernimmt. Beide Rollen müssen eine Vertrauensrichtlinie enthalten, die es dem CloudWatch Logs-Service (logs.amazonaws.com) ermöglicht, die Rolle zu übernehmen.