Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWSSupport-ConfigureS3ReplicationSameAndCrossAccount
Beschreibung
Das AWSSupport-ConfigureS3ReplicationSameAndCrossAccount Automation-Runbook konfiguriert die Amazon Simple Storage Service (Amazon S3) -Bucket-Replikation zwischen einem Quell- und Ziel-Bucket für dieselben oder kontenübergreifende Konten. Diese Automatisierung unterstützt die Replikation von Buckets, die mit serverseitiger Verschlüsselung mit Amazon S3-Managed Keys (SSE-S3) und serverseitiger Verschlüsselung mit (SSE-KMS) verschlüsselt wurden. AWS Key Management Service Es unterstützt auch präfix- und tagbasierte selektive Replikationsfilterung, Amazon S3 Replication Time Control (Amazon S3 RTC) mit 15-Minuten-SLA und die Replikation von Löschmarkern. Die Automatisierung führt die folgenden Aktionen aus:
Überprüft Eingabeparameter und Bucket-Konfigurationen auf Kompatibilität.
Überprüft die Verschlüsselungseinstellungen sowohl für Quell- als auch für Ziel-Buckets.
Erstellt eine neue AWS Identity and Access Management (IAM-) Rolle mit den entsprechenden Berechtigungen für die Replikation, sofern diese nicht als Eingabe bereitgestellt wird.
Konfiguriert Replikationsregeln auf der Grundlage bestimmter Parameter (Präfix, Tags oder ganzer Bucket).
Aktiviert die Bucket-Versionierung, sofern sie nicht bereits aktiviert ist.
Richtet die Replikationskonfiguration mit optionalen Funktionen wie Replication Time Control (RTC) und der Replikation von Löschmarkern ein.
Wichtig
-
Diese Automatisierung unterstützt keine Buckets mit vorhandenen Replikationsregeln. Der Quell-Bucket darf keine bestehende Replikationskonfiguration haben.
-
Diese Automatisierung erstellt eine neue IAM-Rolle mit entsprechenden Berechtigungen für die Replikation, falls keine ReplicationRole S3-Eingabe bereitgestellt wird.
-
Diese Automatisierung repliziert keine vorhandenen Objekte. Die Amazon S3 S3-Replikation gilt nur für Objekte, uploaded/created nachdem die Replikationskonfiguration aktiviert wurde.
-
Für die kontoübergreifende Replikation müssen Sie eine IAM-Rolle im Zielkonto mit entsprechenden Berechtigungen für Amazon S3 S3-Operationen und AWS KMS -Operationen bereitstellen (falls der Bucket AWS KMS Verschlüsselung verwendet).
-
Diese Automatisierung verwendet die
aws:approveAktion, die die Ausführung vorübergehend unterbricht, bis die designierten Principals die Konfigurationsänderungen genehmigen. Weitere Informationen finden Sie unter Automatisierung mit Genehmigern ausführen.
Wie funktioniert das?
Das Runbook führt die folgenden Schritte aus:
ValidateInputParameters: Überprüft alle Eingabeparameter auf Richtigkeit und Kompatibilität, um eine korrekte Replikationskonfiguration sicherzustellen.
PrepareApprovalMessage: Bereitet eine Genehmigungsnachricht mit allen Parametern der Replikationskonfiguration zur Überprüfung durch den Benutzer vor.
RequestApproval: Fordert die Genehmigung autorisierter Benutzer an, bevor die Amazon S3 S3-Replikationskonfiguration zum Quell-Bucket hinzugefügt wird.
CheckBucketEncryption: Überprüft die Verschlüsselungskonfiguration für Amazon S3 S3-Quell- und Ziel-Buckets, um die kompatiblen Replikationseinstellungen zu ermitteln.
BranchOnEncryptionType: Verzweigt die Ausführung auf der Grundlage des Amazon S3 S3-Bucket-Verschlüsselungstyps, um die entsprechende Replikationskonfiguration für SSE-S3- oder SSE-KMS-verschlüsselte Buckets anzuwenden.
SSES3Replikation konfigurieren: Konfiguriert die Amazon S3 S3-Replikation für Buckets, die mit serverseitiger Verschlüsselung mit Amazon S3-Managed Keys (SSE-S3) verschlüsselt wurden, einschließlich IAM-Rollen und Replikationsregeln.
KonfigurierenSSEKMSReplication: Konfiguriert die Amazon S3 S3-Replikation für Buckets, die mit serverseitiger Verschlüsselung mit AWS KMS (SSE-KMS) verschlüsselt wurden, einschließlich IAM-Rollen, KMS-Schlüsselberechtigungen und Replikationsregeln.
CleanupResources: Bereinigt die IAM-Rolle, die während einer fehlgeschlagenen Replikationskonfiguration erstellt wurde, wenn S3 nicht als Eingabe bereitgestellt wurde. ReplicationRole
Führen Sie diese Automatisierung aus (Konsole)
Erforderliche IAM-Berechtigungen
Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.
s3: ListBucket
s3: GetBucketVersioning
s3: GetEncryptionConfiguration
s3: GetBucketLocation
s3: GetReplicationConfiguration
s3: PutBucketVersioning
s3: PutReplicationConfiguration
ich bin: ListRoles
ich bin: GetRole
ich bin: GetRolePolicy
ich bin: ListRoleTags
ich bin: ListAttachedRolePolicies
ich bin: ListRolePolicies
ich bin: SimulatePrincipalPolicy
ich bin: CreateRole
ich bin: TagRole
ich bin: PassRole
ich bin: DeleteRole
ich bin: DeleteRolePolicy
ich bin: DetachRolePolicy
ich bin: PutRolePolicy
Sätze: GetCallerIdentity
sns:Publish
kms: GetKeyPolicy (wenn Buckets SSE-KMS verwenden, Replikation für dasselbe Konto)
kms: DescribeKey (wenn Buckets SSE-KMS verwenden, Replikation für dasselbe Konto)
kms: PutKeyPolicy (wenn Buckets SSE-KMS verwenden, Replikation für dasselbe Konto)
sts: AssumeRole (für kontoübergreifende Replikation)
CrossAccountReplicationRole (für kontenübergreifende Szenarien):
Für die kontoübergreifende Replikation müssen Sie CrossAccountReplicationRole im Zielkonto ein Konto mit den folgenden Berechtigungen angeben:
s3: ListBucket
s3: GetBucketVersioning
s3: GetBucketLocation
s3: GetBucketPolicy
s3: GetEncryptionConfiguration
s3: PutBucketVersioning
s3: PutBucketPolicy
kms: GetKeyPolicy (wenn der kontoübergreifende Ziel-Bucket SSE-KMS verwendet)
kms: DescribeKey (wenn kontoübergreifender Ziel-Bucket SSE-KMS verwendet)
kms: PutKeyPolicy (wenn kontoübergreifender Ziel-Bucket SSE-KMS verwendet)
S3 ReplicationRole (vom Kunden bereitgestellte Rolle):
Wenn Sie ein vorhandenes S3 bereitstellenReplicationRole, muss es über die folgenden Berechtigungen verfügen:
s3: ListBucket
s3: GetBucketLocation
s3: GetReplicationConfiguration
s3: GetObjectVersionAcl
s3: GetObjectVersionTagging
s3: GetObjectVersionForReplication
s3: GetObjectTagging
s3: ReplicateObject
s3: ReplicateDelete
s3: ReplicateTags
s3: ObjectOwnerOverrideToBucketOwner
kms:Decrypt (für SSE-KMS-Szenarien, KMS-Quellschlüssel)
kms:Encrypt (für SSE-KMS-Szenarien, KMS-Zielschlüssel)
kms: GenerateDataKey (für SSE-KMS-Szenarien, Ziel-KMS-Schlüssel)
kms: ReEncrypt * (für SSE-KMS-Szenarien, Ziel-KMS-Schlüssel)
AutomationAssumeRoleBeispielrichtlinie für die Replikation desselben Kontos:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Permissions", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetEncryptionConfiguration", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutReplicationConfiguration" ], "Resource": [ "arn:aws:s3:::SOURCE_BUCKET", "arn:aws:s3:::DESTINATION_BUCKET" ] }, { "Sid": "IAMReadOperations", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetRolePolicy", "iam:ListRoleTags", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:SimulatePrincipalPolicy" ], "Resource": "*" }, { "Sid": "IAMListRolesForCleanup", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMCreateAndTagRole", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:TagRole" ], "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:RequestTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "IAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringEquals": { "iam:PassedToService": "s3.amazonaws.com" } } }, { "Sid": "TaggedIAMRoleModifyAndDeleteOperations", "Effect": "Allow", "Action": [ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:ResourceTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "STSGetCallerIdentity", "Effect": "Allow", "Action": "sts:GetCallerIdentity", "Resource": "*" }, { "Sid": "SNSPublish", "Effect": "Allow", "Action": "sns:Publish", "Resource": "SNS_TOPIC_ARN" }, { "Sid": "KMSKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:REGION:ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "arn:aws:kms:REGION:ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" ] }, { "Sid": "KMSKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": [ "arn:aws:kms:REGION:ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "arn:aws:kms:REGION:ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" ], "Condition": { "StringEquals": { "kms:CallerAccount": "ACCOUNT_ID" } } } ] }
Anmerkung
Die Policy-Anweisungen (KMSKeyReadOperations und KMSKeyMutatingOperations) sind nur erforderlich, wenn Buckets die SSE-KMS-Verschlüsselung verwenden.
AutomationAssumeRoleBeispielrichtlinie für kontenübergreifende Replikation:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3SourceBucketOperations", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetEncryptionConfiguration", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutReplicationConfiguration" ], "Resource": "arn:aws:s3:::SOURCE_BUCKET" }, { "Sid": "IAMReadOperations", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetRolePolicy", "iam:ListRoleTags", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:SimulatePrincipalPolicy" ], "Resource": "*" }, { "Sid": "IAMListRolesForCleanup", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMCreateAndTagRole", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:TagRole" ], "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:RequestTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "IAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringEquals": { "iam:PassedToService": "s3.amazonaws.com" } } }, { "Sid": "TaggedIAMRoleModifyAndDeleteOperations", "Effect": "Allow", "Action": [ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:ResourceTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "CrossAccountRoleAssumption", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "CROSS_ACCOUNT_REPLICATION_ROLE_ARN" }, { "Sid": "STSGetCallerIdentity", "Effect": "Allow", "Action": "sts:GetCallerIdentity", "Resource": "*" }, { "Sid": "SNSPublish", "Effect": "Allow", "Action": "sns:Publish", "Resource": "SNS_TOPIC_ARN" }, { "Sid": "KMSSourceKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID" }, { "Sid": "KMSSourceKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "Condition": { "StringEquals": { "kms:CallerAccount": "SOURCE_ACCOUNT_ID" } } } ] }
Anmerkung
Die Policy-Anweisungen (KMSSourceKeyReadOperations und KMSSourceKeyMutatingOperations) sind nur erforderlich, wenn der Quell-Bucket die SSE-KMS-Verschlüsselung verwendet.
Ersetzen Sie CROSS_ACCOUNT_REPLICATION_ROLE_ARN durch den tatsächlichen Parameterwert, den Sie der Automatisierung zur Verfügung stellen. CrossAccountReplicationRole
CrossAccountReplicationRoleBeispiel für eine Richtlinie:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3DestinationBucketReadOperations", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:GetEncryptionConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutBucketPolicy" ], "Resource": "arn:aws:s3:::DESTINATION_BUCKET" }, { "Sid": "KMSDestinationKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" }, { "Sid": "KMSDestinationKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID", "Condition": { "StringEquals": { "kms:CallerAccount": "DESTINATION_ACCOUNT_ID" } } } ] }
Anmerkung
Die KMS-Anweisungen (KMSDestinationKeyReadOperations und KMSDestinationKeyMutatingOperations) sind nur erforderlich, wenn der Ziel-Bucket die SSE-KMS-Verschlüsselung verwendet. Entfernen Sie diese Anweisungen für SSE-S3-Szenarien.
Beispiel für eine CrossAccountReplicationRole Vertrauensrichtlinie:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "AUTOMATION_ASSUME_ROLE_ARN" }, "Action": "sts:AssumeRole" } ] }
Anmerkung
Ersetzen Sie AUTOMATION_ASSUME_ROLE_ARN durch den tatsächlichen Parameterwert, den Sie der Automatisierung zur Verfügung stellen. AutomationAssumeRole
Beispiel für eine ReplicationRole S3-Richtlinie:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3SourceBucketPermissions", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTagging", "s3:GetObjectVersionForReplication", "s3:GetObjectTagging" ], "Resource": [ "arn:aws:s3:::SOURCE_BUCKET", "arn:aws:s3:::SOURCE_BUCKET/*" ] }, { "Sid": "S3DestinationBucketPermissions", "Effect": "Allow", "Action": [ "s3:ReplicateObject", "s3:ReplicateDelete", "s3:ReplicateTags" ], "Resource": "arn:aws:s3:::DESTINATION_BUCKET/*" }, { "Sid": "S3CrossAccountPermissions", "Effect": "Allow", "Action": "s3:ObjectOwnerOverrideToBucketOwner", "Resource": "arn:aws:s3:::DESTINATION_BUCKET/*" }, { "Sid": "KMSSourceKeyPermissions", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID" }, { "Sid": "KMSDestinationKeyPermissions", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey", "kms:ReEncrypt*" ], "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" } ] }
Anmerkung
Die KMS-Anweisungen (KMSSourceKeyPermissions und KMSDestinationKeyPermissions) sind nur erforderlich, wenn Buckets die SSE-KMS-Verschlüsselung verwenden.
Die CrossAccountPermissions S3-Anweisung ist nur für die kontoübergreifende Bucket-Replikation erforderlich.
Beispiel für eine ReplicationRole S3-Vertrauensrichtlinie:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Anweisungen
Gehen Sie wie folgt vor, um die Automatisierung zu konfigurieren:
-
Navigieren Sie
AWSSupport-ConfigureS3ReplicationSameAndCrossAccountim Systems Manager unter Dokumente zu. -
Wählen Sie Execute automation (Automatisierung ausführen).
-
Geben Sie für die Eingabeparameter Folgendes ein:
-
AutomationAssumeRole (Erforderlich):
-
Beschreibung: (Erforderlich) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.
-
Typ:
AWS::IAM::Role::Arn
-
-
SourceBucket (Erforderlich):
-
Beschreibung: (Erforderlich) Der Name des Amazon S3-Quell-Buckets, in dem die Replikationsregeln erstellt oder aktualisiert werden.
-
Typ:
AWS::S3::Bucket::Name
-
-
DestinationBucket (Erforderlich):
-
Beschreibung: (Erforderlich) Der Name des Amazon S3 S3-Ziel-Buckets, in den Objekte repliziert werden.
-
Typ:
String -
Zulässiges Muster:
^[0-9a-z][a-z0-9\\-\\.]{3,63}$
-
-
SourceAccountId (Erforderlich):
-
Beschreibung: (Erforderlich) Die AWS Konto-ID, unter der sich der Quell-Bucket befindet.
-
Typ:
String -
Zulässiges Muster:
^[0-9]{12,13}$
-
-
DestinationAccountId (Erforderlich):
-
Beschreibung: (Erforderlich) Die AWS Konto-ID, unter der sich der Ziel-Bucket befindet.
-
Typ:
String -
Zulässiges Muster:
^[0-9]{12,13}$
-
-
SnsNotificationArn (Erforderlich):
-
Beschreibung: (Erforderlich) Der ARN eines Amazon Simple Notification Service (Amazon SNS) -Themas für Automatisierungsgenehmigungen.
-
Typ:
String -
Zulässiges Muster:
^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):sns:[a-z]{2}(-gov)?(-iso[a-z]?)?-[a-z]{2,10}-[0-9]{1,2}:\\d{12}:[0-9a-zA-Z-_]{1,256}(.fifo)?$
-
-
Genehmigende Personen (erforderlich):
-
Beschreibung: (Erforderlich) Die Liste der IAM-Benutzer, die user/role ARNs berechtigt sind, die Ausführung der Automatisierung zu genehmigen.
-
Typ:
StringList -
Zulässiges Muster:
^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:(user|role)/[\\w+=,.@\\-/]+$
-
-
S3 ReplicationRole (optional):
-
Beschreibung: (Optional) Der ARN einer vorhandenen IAM-Rolle, die für Amazon S3 S3-Replikationsvorgänge verwendet werden soll. Diese Rolle muss berechtigt sein, aus dem Quell-Bucket zu lesen und in den Ziel-Bucket zu schreiben, einschließlich KMS-Berechtigungen, wenn Buckets SSE-KMS-Verschlüsselung verwenden. Falls nicht angegeben, erstellt die Automatisierung eine neue Rolle mit den entsprechenden Berechtigungen.
-
Typ:
String -
Zulässiges Muster:
^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:role/[\\w+=,.@\\-/]+$ -
Standard:
""
-
-
CrossAccountReplicationRole (Fakultativ):
-
Beschreibung: (Optional) Der ARN einer IAM-Rolle im Zielkonto, den die Automatisierung annehmen kann. Dies ist für die kontenübergreifende Replikation erforderlich. Lassen Sie dieses Feld für die Replikation unter demselben Konto leer.
-
Typ:
String -
Zulässiges Muster:
^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:role/[\\w+=,.@\\-/]+$ -
Standard:
""
-
-
ReplicateEntireBucket (Fakultativ):
-
Beschreibung: (Optional) Wenn auf gesetzt
true, wird der gesamte Bucket repliziert und sowohl Präfix als auch Tags müssen leer sein. Wenn der Wert falsch ist, basiert die Replikation auf dem angegebenen Präfix oder den angegebenen Tags. -
Typ:
Boolean -
Zulässige Werte:
[true, false] -
Standard:
true
-
-
ReplicationRuleStatus (Fakultativ):
-
Beschreibung: (Optional) Wenn auf gesetzt
true, werden die erstellten Replikationsregeln aktiviert. Wenn auf gesetztfalse, werden die erstellten Replikationsregeln auf Deaktiviert gesetzt. -
Typ:
Boolean -
Zulässige Werte:
[true, false] -
Standard:
true
-
-
DeleteMarkerReplicationStatus (Fakultativ):
-
Beschreibung: (Optional) Wenn auf gesetzt
true, aktiviert die Automatisierung die Replikation von Löschmarkern. -
Typ:
Boolean -
Zulässige Werte:
[true, false] -
Standard:
false
-
-
ReplicationTimeControl (Fakultativ):
-
Beschreibung: (Optional) Wenn auf gesetzt
true, wird Amazon S3 Replication Time Control (Amazon S3 RTC) mit 15-Minuten-SLA für vorhersehbare Replikationszeiten aktiviert. -
Typ:
Boolean -
Zulässige Werte:
[true, false] -
Standard:
false
-
-
ReplicaModifications (Fakultativ):
-
Beschreibung: (Optional) Wenn auf gesetzt
true, wird die Replikation von Metadatenänderungen an Replikatobjekten aktiviert, sodass Änderungen an replizierten Objekten wieder mit der Quelle synchronisiert werden können. -
Typ:
Boolean -
Zulässige Werte:
[true, false] -
Standard:
false
-
-
Präfix (optional):
-
Beschreibung: (Optional) Präfixfilter für die selektive Replikation von Objekten mit bestimmten Schlüsselpräfixen. Für eine korrekte Amazon S3 S3-Präfixfilterung muss das Präfix mit einem abschließenden Schrägstrich (/) enden.
-
Typ:
String -
Zulässiges Muster:
^$|^[a-zA-Z0-9!_'()\\-]*/+$ -
Standard:
""
-
-
Schlagworte (optional):
-
Beschreibung: (Optional) JSON-Array mit Tags zum Filtern von Objekten, die repliziert werden sollen. Format für ein einzelnes Tag: [{"Key“:“ TagKey „, "Value“:“ TagValue „}] und für mehrere Tags: [{" Key“:“ TagKey 1", "Value“:“ TagValue 1"}, {"Key“:“ TagKey 2", "Value“:“ TagValue 2"}].
-
Typ:
String -
Zulässiges Muster:
^\\[((\\{\"Key\":\"[a-zA-Z0-9+\\-=.:/ @\\s]{1,128}\",\"Value\":\"[a-zA-Z0-9+\\-=.:/@\\s]{0,256}\"\\})(,\\{\"Key\":\"[a-zA-Z0-9+\\-=.:/ @\\s]{1,128}\",\"Value\":\"[a-zA-Z0-9+\\-=.:/@\\s]{0,256}\"\\})*)?\\]$ -
Standard:
[]
-
-
-
Wählen Sie Ausführen aus.
-
Die Automatisierung wird initiiert.
-
Das Dokument führt die folgenden Schritte aus:
-
ValidateInputParameters:
Überprüft alle Eingabeparameter auf Richtigkeit und Kompatibilität, um eine korrekte Replikationskonfiguration sicherzustellen.
-
PrepareApprovalMessage:
Bereitet die Genehmigungsnachricht mit allen Parametern der Replikationskonfiguration zur Überprüfung durch den Benutzer vor.
-
RequestApproval:
Fordert die Genehmigung autorisierter Benutzer an, bevor Sie mit den Änderungen der Amazon S3 S3-Replikationskonfiguration fortfahren.
-
CheckBucketEncryption:
Überprüft die Verschlüsselungskonfiguration für Amazon S3 S3-Quell- und Ziel-Buckets, um die kompatiblen Replikationseinstellungen zu ermitteln.
-
BranchOnEncryptionType:
Verzweigt die Ausführung auf der Grundlage des Amazon S3 S3-Bucket-Verschlüsselungstyps, um die entsprechende Replikationskonfiguration für SSE-S3- oder SSE-KMS-verschlüsselte Buckets anzuwenden.
-
Replikation konfigurieren: SSES3
Konfiguriert die Amazon S3 S3-Replikation für Buckets, die mit serverseitiger Verschlüsselung mit Amazon S3-Managed Keys (SSE-S3) verschlüsselt wurden, einschließlich IAM-Rollen und Replikationsregeln.
-
Konfigurieren Sie: SSEKMSReplication
Konfiguriert die Amazon S3 S3-Replikation für Buckets, die mit serverseitiger Verschlüsselung mit AWS KMS (SSE-KMS) verschlüsselt wurden, einschließlich IAM-Rollen, KMS-Schlüsselberechtigungen und Replikationsregeln.
-
CleanupResources:
Bereinigt IAM-Rollen, die während einer fehlgeschlagenen Replikationskonfiguration erstellt wurden, als S3 nicht vom Kunden bereitgestellt wurde. ReplicationRole
-
-
Überprüfen Sie nach Abschluss der Ausführung die Ergebnisse des Schritts „SSES3Replikation konfigurieren“ (für SSE-S3-verschlüsselte Buckets) oder des SSEKMSReplication Schritts „Konfigurieren“ (für SSE-KMS-verschlüsselte Buckets) auf die Ergebnisse der Ausführung, einschließlich des Status der Replikationskonfiguration und der für die Replikation verwendeten IAM-Rolle.
Referenzen
Systems Manager Automation
