View a markdown version of this page

Konfigurieren einer Replikation bei Buckets in verschiedenen Konten - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren einer Replikation bei Buckets in verschiedenen Konten

Live-Replikation ist das automatische, asynchrone Kopieren von Objekten zwischen Buckets, die sich in denselben oder unterschiedlichen Buckets befinden. AWS-Regionen Eine Live-Replikation kopiert neu erstellte Objekte und Objektaktualisierungen aus einem Quell-Bucket in einen Ziel-Bucket oder mehrere Buckets. Weitere Informationen finden Sie unter Replizieren von Objekten innerhalb und zwischen Regionen.

Wenn Sie die Replikation konfigurieren, fügen Sie dem Quell-Bucket Replikationsregeln hinzu. Replikationsregeln definieren, welche Quell-Bucket-Objekte repliziert werden sollen, und den Ziel-Bucket/die Ziel-Buckets, in dem/denen die replizierten Objekte gespeichert werden sollen. Sie können eine Regel erstellen, um alle Objekte in einem Bucket oder eine Untermenge von Objekten mit einem spezifischen Schlüsselnamenpräfixen, einem oder mehreren Objekt-Markierungen oder beidem zu replizieren. Ein Ziel-Bucket kann sich im selben AWS-Konto wie der Quell-Bucket oder in einem anderen Konto befinden.

Wenn Sie angeben, dass eine Objektversions-ID gelöscht werden soll, löscht Amazon S3 diese Objektversion im Quell-Bucket. Es repliziert die Löschung aber nicht im Ziel-Bucket. Anders ausgedrückt: Dieselbe Objektversion wird im Ziel-Bucket nicht gelöscht. Dies schützt Daten vor missbräuchlichen Löschungen.

Wenn Sie einem Bucket eine Replikationsregel hinzufügen, ist diese standardmäßig aktiviert, sodass sie ausgeführt wird, sobald Sie sie speichern.

Die Einrichtung einer Live-Replikation, wenn sich Quell- und Ziel-Bucket im Besitz verschiedener AWS-Konten befinden, ähnelt der Einrichtung der Replikation, wenn sich beide Buckets im Besitz des gleichen Kontos befinden. Es gibt jedoch mehrere Unterschiede, wenn Sie die Replikation in einem kontoübergreifenden Szenario konfigurieren:

  • Der Eigentümer des Ziel-Buckets muss dem Eigentümer des Quell-Buckets in der Ziel-Bucket-Richtlinie die Berechtigungen zum Replizieren von Objekten erteilen.

  • Wenn Sie Objekte replizieren, die mit serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) verschlüsselt sind, muss der Besitzer des KMS-Schlüssels dem Besitzer des Quell-Buckets die Erlaubnis zur Verwendung des KMS-Schlüssels erteilen. Weitere Informationen finden Sie unter Erteilen von zusätzlichen Berechtigungen für kontenübergreifende Szenarien.

  • Standardmäßig befinden sich replizierte Objekte im Besitz des Eigentümers des Quell-Buckets. In einem kontoübergreifenden Szenario möchten Sie die Replikation vielleicht so konfigurieren, dass die Eigentümerschaft der replizierten Objekte auf den Eigentümer des Ziel-Buckets übergeht. Weitere Informationen finden Sie unter Ändern des Replikat-Eigentümers.

Um die Replikation zu konfigurieren, wenn die Quell- und Ziel-Buckets unterschiedlichen Besitzern gehören AWS-Konten

  1. In diesem Beispiel erstellen Sie Quell- und Ziel-Buckets in zwei unterschiedlichen AWS-Konten. Sie müssen zwei Anmeldeinformationsprofile für die AWS CLI eingerichtet haben. In diesem Beispiel werden für diese Profilnamen die Werte acctA und acctB verwendet. Informationen zum Einrichten der Anmeldeinformations-Profile und der Verwendung benannter Profile finden Sie unter Einstellungen der Konfigurations- und Anmeldeinformationsdatei im Benutzerhandbuch zur AWS Command Line Interface .

  2. Befolgen Sie die Schritt-für-Schritt-Anleitung in Konfigurieren einer Replikation für Buckets im selben Konto mit den folgenden Änderungen:

    • Verwenden Sie für alle AWS CLI Befehle, die sich auf Aktivitäten im Quell-Bucket beziehen (z. B. das Erstellen des Quell-Buckets, das Aktivieren der Versionierung und das Erstellen der IAM-Rolle), das Profil. acctA Verwenden Sie das Profil acctB, um den Ziel-Bucket zu erstellen.

    • Stellen Sie sicher, dass die Berechtigungsrichtlinie für die IAM-Rolle den Quell- und den Ziel-Bucket angibt, die Sie für dieses Beispiel erstellt haben.

  3. Fügen Sie in der Konsole die folgende Bucket-Richtlinie für den Ziel-Bucket hinzu, um dem Eigentümer des Quell-Buckets die Berechtigung zum Replizieren von Objekten zu erteilen. Detaillierte Anweisungen finden Sie unter Hinzufügen einer Bucket-Richtlinie mit der Amazon-S3-Konsole. Achten Sie darauf, die Richtlinie zu bearbeiten, indem Sie die AWS-Konto ID des Quell-Bucket-Besitzers, den IAM-Rollennamen und den Ziel-Bucket-Namen angeben.

    Anmerkung

    Wenn Sie das folgende Beispiel verwenden möchten, ersetzen Sie die user input placeholders (Platzhalter für Benutzereingaben) durch Ihre eigenen Informationen. Ersetzen Sie amzn-s3-demo-destination-bucket durch den Namen Ihres Ziel-Buckets. Ersetzen Sie source-bucket-account-ID:role/source-account-IAM-role im Amazon-Ressourcennamen (ARN) von IAM durch die IAM-Rolle, die Sie für diese Replikationskonfiguration verwenden.

    Der Rollenpfad im IAM-ARN hängt davon ab, wie Sie die Rolle erstellt haben. Wenn Sie die Rolle mit AWS CLI (wie unter gezeigtKonfigurieren einer Replikation für Buckets im selben Konto) erstellt haben, lautet role/role-name der Pfad. Wenn Sie die Rolle mit der IAM-Konsole als Servicerolle erstellt haben, enthält der Pfad service-role/ (d. h.role/service-role/role-name). Weitere Informationen finden Sie unter IAM ARNs im IAM-Benutzerhandbuch.

    {
    "Version":"2012-10-17",
    "Id": "",
    "Statement": [
        {
            "Sid": "Set-permissions-for-objects",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::source-bucket-account-ID:role/source-account-IAM-role"
            },
            "Action": [
                "s3:ReplicateObject",
                "s3:ReplicateDelete"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
        },
        {
            "Sid": "Set-permissions-on-bucket",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::source-bucket-account-ID:role/source-account-IAM-role"
            },
            "Action": [
                "s3:GetBucketVersioning",
                "s3:PutBucketVersioning"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
        }
    ]
}

  4. (Optional) Wenn Sie Objekte replizieren, die mit verschlüsselt sind SSE-KMS, muss der Besitzer des KMS-Schlüssels dem Besitzer des Quell-Buckets die Erlaubnis zur Verwendung des KMS-Schlüssels erteilen. Weitere Informationen finden Sie unter Erteilen von zusätzlichen Berechtigungen für kontenübergreifende Szenarien.

  5. (Optional) Bei der Replikation besitzt der Eigentümer des Quellobjekts standardmäßig das Replikat. Wenn Quell- und Ziel-Bucket unterschiedlichen Besitzern gehören AWS-Konten, können Sie optionale Konfigurationseinstellungen hinzufügen, um den Besitz des Replikats auf den Eigentümer der AWS-Konto Ziel-Buckets zu übertragen. Dazu gehört auch die Gewährung der ObjectOwnerOverrideToBucketOwner-Berechtigung. Weitere Informationen finden Sie unter Ändern des Replikat-Eigentümers.