Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWSSupport-ConfigureS3ReplicationSameAndCrossAccount
Descripción
El manual de AWSSupport-ConfigureS3ReplicationSameAndCrossAccount automatización configura la replicación de buckets de Amazon Simple Storage Service (Amazon S3) entre un bucket de origen y un bucket de destino para cuentas iguales o cruzadas. Esta automatización admite la replicación de cubos cifrados con el cifrado del lado del servidor con claves administradas por Amazon S3 (SSE-S3) y el cifrado del lado del servidor con (SSE-KMS). AWS Key Management Service También admite el filtrado de replicación selectiva basado en prefijos y etiquetas, el control del tiempo de replicación de Amazon S3 (Amazon S3 RTC) con un SLA de 15 minutos y la replicación de marcadores de eliminación. La automatización realiza las siguientes acciones:
Valida los parámetros de entrada y las configuraciones de los cubos para garantizar su compatibilidad.
Comprueba la configuración de cifrado en los depósitos de origen y destino.
Crea un nuevo rol AWS Identity and Access Management (IAM) con los permisos adecuados para la replicación si no se proporciona como entrada.
Configura las reglas de replicación en función de parámetros específicos (prefijo, etiquetas o conjunto completo).
Habilita el control de versiones en cubos si aún no está habilitado.
Establece la configuración de replicación con funciones opcionales, como el control del tiempo de replicación (RTC) y la replicación de marcadores eliminados.
importante
-
Esta automatización no admite buckets con las reglas de replicación existentes. El bucket de origen no debe tener ninguna configuración de replicación existente.
-
Esta automatización crea una nueva función de IAM con los permisos adecuados para la replicación si no se proporciona la ReplicationRole entrada de S3.
-
Esta automatización no replica los objetos existentes. La replicación de Amazon S3 solo se aplica a los objetos una uploaded/created vez habilitada la configuración de replicación.
-
Para la replicación entre cuentas, debe proporcionar un rol de IAM en la cuenta de destino con los permisos adecuados para las operaciones y AWS KMS operaciones de Amazon S3 (si el bucket usa AWS KMS cifrado).
-
Esta automatización utiliza la
aws:approveacción, que detiene temporalmente la ejecución hasta que los responsables designados aprueben los cambios de configuración. Consulte Ejecutar una automatización con aprobadores para obtener más información.
¿Cómo funciona?
El manual de ejecución lleva a cabo los siguientes pasos:
ValidateInputParameters: valida todos los parámetros de entrada para garantizar su corrección y compatibilidad a fin de garantizar una configuración de replicación adecuada.
PrepareApprovalMessage: Prepara un mensaje de aprobación con todos los parámetros de configuración de la replicación para que el usuario lo revise.
RequestApproval: Solicita la aprobación de los usuarios autorizados antes de añadir la configuración de replicación de Amazon S3 al bucket de origen.
CheckBucketEncryption: Comprueba la configuración de cifrado de los buckets de Amazon S3 de origen y destino para determinar la configuración de replicación compatible.
BranchOnEncryptionType: La ejecución de ramificaciones se basa en el tipo de cifrado de buckets de Amazon S3 para aplicar la configuración de replicación adecuada a los buckets cifrados con SSE-S3 o SSE-KMS.
Configurar la SSES3 replicación: configura la replicación de Amazon S3 para depósitos cifrados con cifrado del lado del servidor con claves administradas por Amazon S3 (SSE-S3), incluidas las funciones de IAM y las reglas de replicación.
Configurar SSEKMSReplication: configura la replicación de Amazon S3 para buckets cifrados con cifrado del lado del servidor con AWS KMS (SSE-KMS), incluidas las funciones de IAM, los permisos de clave de KMS y las reglas de replicación.
CleanupResources: Limpia la función de IAM creada durante una configuración de replicación fallida cuando no se proporciona S3 como entrada. ReplicationRole
Ejecuta esta automatización (consola)
Permisos de IAM necesarios
El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.
s3: ListBucket
s3: GetBucketVersioning
s3: GetEncryptionConfiguration
s3: GetBucketLocation
s3: GetReplicationConfiguration
s3: PutBucketVersioning
s3: PutReplicationConfiguration
objetivo: ListRoles
objetivo: GetRole
objetivo: GetRolePolicy
objetivo: ListRoleTags
objetivo: ListAttachedRolePolicies
objetivo: ListRolePolicies
objetivo: SimulatePrincipalPolicy
objetivo: CreateRole
objetivo: TagRole
objetivo: PassRole
objetivo: DeleteRole
objetivo: DeleteRolePolicy
objetivo: DetachRolePolicy
objetivo: PutRolePolicy
conjuntos: GetCallerIdentity
sns:Publish
kms: GetKeyPolicy (cuando los buckets usan SSE-KMS, replicación en la misma cuenta)
kms: DescribeKey (cuando los buckets usan SSE-KMS, replicación en la misma cuenta)
kms: PutKeyPolicy (cuando los buckets usan SSE-KMS, replicación en la misma cuenta)
sts: AssumeRole (para la replicación entre cuentas)
CrossAccountReplicationRole (para escenarios con varias cuentas):
Para la replicación entre cuentas, debe proporcionar a CrossAccountReplicationRole la cuenta de destino los siguientes permisos:
s3: ListBucket
s3: GetBucketVersioning
s3: GetBucketLocation
s3: GetBucketPolicy
s3: GetEncryptionConfiguration
s3: PutBucketVersioning
s3: PutBucketPolicy
kms: GetKeyPolicy (cuando el depósito de destino multicuenta usa SSE-KMS)
kms: DescribeKey (cuando el depósito de destino multicuenta usa SSE-KMS)
kms: PutKeyPolicy (cuando el depósito de destino multicuenta usa SSE-KMS)
S3 ReplicationRole (función proporcionada por el cliente):
Si proporciona un S3 existenteReplicationRole, debe tener los siguientes permisos:
s3: ListBucket
s3: GetBucketLocation
s3: GetReplicationConfiguration
s3: GetObjectVersionAcl
s3: GetObjectVersionTagging
s3: GetObjectVersionForReplication
s3: GetObjectTagging
s3: ReplicateObject
s3: ReplicateDelete
s3: ReplicateTags
s3: ObjectOwnerOverrideToBucketOwner
KMS:Decrypt (para escenarios de SSE-KMS, clave KMS de origen)
KMS:Encrypt (para escenarios de SSE-KMS, clave KMS de destino)
kms: GenerateDataKey (para escenarios de SSE-KMS, clave KMS de destino)
kms: ReEncrypt * (para escenarios de SSE-KMS, clave KMS de destino)
Ejemplo de AutomationAssumeRolepolítica para la replicación en la misma cuenta:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Permissions", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetEncryptionConfiguration", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutReplicationConfiguration" ], "Resource": [ "arn:aws:s3:::SOURCE_BUCKET", "arn:aws:s3:::DESTINATION_BUCKET" ] }, { "Sid": "IAMReadOperations", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetRolePolicy", "iam:ListRoleTags", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:SimulatePrincipalPolicy" ], "Resource": "*" }, { "Sid": "IAMListRolesForCleanup", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMCreateAndTagRole", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:TagRole" ], "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:RequestTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "IAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringEquals": { "iam:PassedToService": "s3.amazonaws.com" } } }, { "Sid": "TaggedIAMRoleModifyAndDeleteOperations", "Effect": "Allow", "Action": [ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:ResourceTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "STSGetCallerIdentity", "Effect": "Allow", "Action": "sts:GetCallerIdentity", "Resource": "*" }, { "Sid": "SNSPublish", "Effect": "Allow", "Action": "sns:Publish", "Resource": "SNS_TOPIC_ARN" }, { "Sid": "KMSKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:REGION:ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "arn:aws:kms:REGION:ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" ] }, { "Sid": "KMSKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": [ "arn:aws:kms:REGION:ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "arn:aws:kms:REGION:ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" ], "Condition": { "StringEquals": { "kms:CallerAccount": "ACCOUNT_ID" } } } ] }
nota
Las declaraciones de política (KMSKeyReadOperations y KMSKeyMutatingOperations) solo son obligatorias cuando los buckets utilizan el cifrado SSE-KMS.
Ejemplo de AutomationAssumeRolepolítica para la replicación entre cuentas:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3SourceBucketOperations", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetEncryptionConfiguration", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutReplicationConfiguration" ], "Resource": "arn:aws:s3:::SOURCE_BUCKET" }, { "Sid": "IAMReadOperations", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetRolePolicy", "iam:ListRoleTags", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:SimulatePrincipalPolicy" ], "Resource": "*" }, { "Sid": "IAMListRolesForCleanup", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMCreateAndTagRole", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:TagRole" ], "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:RequestTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "IAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringEquals": { "iam:PassedToService": "s3.amazonaws.com" } } }, { "Sid": "TaggedIAMRoleModifyAndDeleteOperations", "Effect": "Allow", "Action": [ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:ResourceTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "CrossAccountRoleAssumption", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "CROSS_ACCOUNT_REPLICATION_ROLE_ARN" }, { "Sid": "STSGetCallerIdentity", "Effect": "Allow", "Action": "sts:GetCallerIdentity", "Resource": "*" }, { "Sid": "SNSPublish", "Effect": "Allow", "Action": "sns:Publish", "Resource": "SNS_TOPIC_ARN" }, { "Sid": "KMSSourceKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID" }, { "Sid": "KMSSourceKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "Condition": { "StringEquals": { "kms:CallerAccount": "SOURCE_ACCOUNT_ID" } } } ] }
nota
Las declaraciones de política (KMSSourceKeyReadOperations y KMSSourceKeyMutatingOperations) solo son obligatorias cuando el bucket de origen utiliza el cifrado SSE-KMS.
Sustituya CROSS_ACCOUNT_REPLICATION_ROLE_ARN por el valor de parámetro real que haya proporcionado a la automatización. CrossAccountReplicationRole
CrossAccountReplicationRoleEjemplo de política:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3DestinationBucketReadOperations", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:GetEncryptionConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutBucketPolicy" ], "Resource": "arn:aws:s3:::DESTINATION_BUCKET" }, { "Sid": "KMSDestinationKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" }, { "Sid": "KMSDestinationKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID", "Condition": { "StringEquals": { "kms:CallerAccount": "DESTINATION_ACCOUNT_ID" } } } ] }
nota
Las sentencias KMS (KMSDestinationKeyReadOperations y KMSDestinationKeyMutatingOperations) solo son necesarias cuando el depósito de destino utiliza el cifrado SSE-KMS. Elimine estas declaraciones para los escenarios de SSE-S3.
Ejemplo de política de CrossAccountReplicationRole confianza:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "AUTOMATION_ASSUME_ROLE_ARN" }, "Action": "sts:AssumeRole" } ] }
nota
Sustituya AUTOMATION_ASSUME_ROLE_ARN por el valor de parámetro real que proporcione a la automatización. AutomationAssumeRole
Ejemplo de política ReplicationRole de S3:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3SourceBucketPermissions", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTagging", "s3:GetObjectVersionForReplication", "s3:GetObjectTagging" ], "Resource": [ "arn:aws:s3:::SOURCE_BUCKET", "arn:aws:s3:::SOURCE_BUCKET/*" ] }, { "Sid": "S3DestinationBucketPermissions", "Effect": "Allow", "Action": [ "s3:ReplicateObject", "s3:ReplicateDelete", "s3:ReplicateTags" ], "Resource": "arn:aws:s3:::DESTINATION_BUCKET/*" }, { "Sid": "S3CrossAccountPermissions", "Effect": "Allow", "Action": "s3:ObjectOwnerOverrideToBucketOwner", "Resource": "arn:aws:s3:::DESTINATION_BUCKET/*" }, { "Sid": "KMSSourceKeyPermissions", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID" }, { "Sid": "KMSDestinationKeyPermissions", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey", "kms:ReEncrypt*" ], "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" } ] }
nota
Las sentencias KMS (KMSSourceKeyPermissions y KMSDestinationKeyPermissions) solo son necesarias cuando los buckets utilizan el cifrado SSE-KMS.
La CrossAccountPermissions declaración S3 solo es necesaria para la replicación de cubos entre cuentas.
Ejemplo de política de ReplicationRole confianza de S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Instrucciones
Siga estos pasos para configurar la automatización:
-
Navegue hasta
AWSSupport-ConfigureS3ReplicationSameAndCrossAccountSystems Manager en Documentos. -
Elija Execute automation (Ejecutar automatización).
-
Para los parámetros de entrada, introduzca lo siguiente:
-
AutomationAssumeRole (Obligatorio):
-
Descripción: (obligatorio) El nombre del recurso de Amazon (ARN) del rol AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.
-
Tipo:
AWS::IAM::Role::Arn
-
-
SourceBucket (Obligatorio):
-
Descripción: (obligatorio) El nombre del depósito de Amazon S3 de origen en el que se crearán o actualizarán las reglas de replicación.
-
Tipo:
AWS::S3::Bucket::Name
-
-
DestinationBucket (Obligatorio):
-
Descripción: (obligatorio) El nombre del bucket de Amazon S3 de destino en el que se replicarán los objetos.
-
Tipo:
String -
Valor permitido:
^[0-9a-z][a-z0-9\\-\\.]{3,63}$
-
-
SourceAccountId (Obligatorio):
-
Descripción: (obligatorio) El ID de AWS cuenta en el que se encuentra el depósito de origen.
-
Tipo:
String -
Valor permitido:
^[0-9]{12,13}$
-
-
DestinationAccountId (Obligatorio):
-
Descripción: (obligatorio) El identificador de AWS cuenta en el que se encuentra el depósito de destino.
-
Tipo:
String -
Valor permitido:
^[0-9]{12,13}$
-
-
SnsNotificationArn (Obligatorio):
-
Descripción: (Obligatorio) El ARN de un tema de Amazon Simple Notification Service (Amazon SNS) para aprobaciones de automatización.
-
Tipo:
String -
Valor permitido:
^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):sns:[a-z]{2}(-gov)?(-iso[a-z]?)?-[a-z]{2,10}-[0-9]{1,2}:\\d{12}:[0-9a-zA-Z-_]{1,256}(.fifo)?$
-
-
Aprobadores (obligatorio):
-
Descripción: (Obligatoria) La lista de los IAM user/role ARNs autorizados a aprobar la ejecución de la automatización.
-
Tipo:
StringList -
Valor permitido:
^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:(user|role)/[\\w+=,.@\\-/]+$
-
-
S3 ReplicationRole (opcional):
-
Descripción: (opcional) El ARN de un rol de IAM existente que se utilizará en las operaciones de replicación de Amazon S3. Esta función debe tener permisos para leer el bucket de origen y escribir en el bucket de destino, incluidos los permisos de KMS si los buckets utilizan el cifrado SSE-KMS. Si no se proporciona, la automatización creará un nuevo rol con los permisos adecuados.
-
Tipo:
String -
Valor permitido:
^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:role/[\\w+=,.@\\-/]+$ -
Valor predeterminado:
""
-
-
CrossAccountReplicationRole (Opcional):
-
Descripción: (opcional) El ARN de una función de IAM en la cuenta de destino que puede asumir la automatización. Esto es necesario para la replicación entre cuentas. Para la replicación en la misma cuenta, deje este campo en blanco.
-
Tipo:
String -
Valor permitido:
^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:role/[\\w+=,.@\\-/]+$ -
Valor predeterminado:
""
-
-
ReplicateEntireBucket (Opcional):
-
Descripción: (opcional) Si se establece en
true, se replicará todo el depósito y tanto el prefijo como las etiquetas deberán estar vacíos. Si es falso, la replicación se basará en el prefijo o las etiquetas especificados. -
Tipo:
Boolean -
Valores permitidos:
[true, false] -
Valor predeterminado:
true
-
-
ReplicationRuleStatus (Opcional):
-
Descripción: (Opcional) Si se establece en
true, se habilitarán las reglas de replicación creadas. Si se establece enfalse, las reglas de replicación creadas se establecerán en Deshabilitadas. -
Tipo:
Boolean -
Valores permitidos:
[true, false] -
Valor predeterminado:
true
-
-
DeleteMarkerReplicationStatus (Opcional):
-
Descripción: (Opcional) Si se establece en
true, la automatización permite la replicación de marcadores de eliminación. -
Tipo:
Boolean -
Valores permitidos:
[true, false] -
Valor predeterminado:
false
-
-
ReplicationTimeControl (Opcional):
-
Descripción: (Opcional) Si se establece en
true, habilita Amazon S3 Replication Time Control (Amazon S3 RTC) con un SLA de 15 minutos para tiempos de replicación predecibles. -
Tipo:
Boolean -
Valores permitidos:
[true, false] -
Valor predeterminado:
false
-
-
ReplicaModifications (Opcional):
-
Descripción: (Opcional) Si se establece en
true, habilita la replicación de los cambios de metadatos realizados en los objetos de réplica, lo que permite que las modificaciones de los objetos replicados se sincronicen de nuevo con el origen. -
Tipo:
Boolean -
Valores permitidos:
[true, false] -
Valor predeterminado:
false
-
-
Prefijo (opcional):
-
Descripción: (opcional) Filtro de prefijos para la replicación selectiva de objetos con prefijos clave específicos. El prefijo debe terminar con una barra al final (/) para que el filtrado de prefijos de Amazon S3 sea correcto.
-
Tipo:
String -
Valor permitido:
^$|^[a-zA-Z0-9!_'()\\-]*/+$ -
Valor predeterminado:
""
-
-
Etiquetas (opcionales):
-
Descripción: matriz JSON de etiquetas (opcional) para filtrar los objetos y replicarlos. Formato para una sola etiqueta: [{"Key»:» TagKey «, "Value»:» TagValue «}] y para varias etiquetas: [{" Key»:» TagKey 1", "Value»:» TagValue 1"}, {"Key»:» TagKey 2", "Value»:» TagValue 2"}].
-
Tipo:
String -
Valor permitido:
^\\[((\\{\"Key\":\"[a-zA-Z0-9+\\-=.:/ @\\s]{1,128}\",\"Value\":\"[a-zA-Z0-9+\\-=.:/@\\s]{0,256}\"\\})(,\\{\"Key\":\"[a-zA-Z0-9+\\-=.:/ @\\s]{1,128}\",\"Value\":\"[a-zA-Z0-9+\\-=.:/@\\s]{0,256}\"\\})*)?\\]$ -
Valor predeterminado:
[]
-
-
-
Seleccione Ejecutar.
-
Se inicia la automatización.
-
Este documento realiza los siguientes pasos:
-
ValidateInputParameters:
Valida todos los parámetros de entrada para comprobar su exactitud y compatibilidad a fin de garantizar una configuración de replicación adecuada.
-
PrepareApprovalMessage:
Prepara el mensaje de aprobación con todos los parámetros de configuración de la replicación para que el usuario lo revise.
-
RequestApproval:
Solicita la aprobación de los usuarios autorizados antes de proceder con los cambios en la configuración de replicación de Amazon S3.
-
CheckBucketEncryption:
Comprueba la configuración de cifrado de los buckets de Amazon S3 de origen y destino para determinar la configuración de replicación compatible.
-
BranchOnEncryptionType:
La ejecución de ramificaciones se basa en el tipo de cifrado de buckets de Amazon S3 para aplicar la configuración de replicación adecuada a los buckets cifrados de SSE-S3 o SSE-KMS.
-
SSES3Configure la replicación:
Configura la replicación de Amazon S3 para depósitos cifrados con cifrado del lado del servidor con claves gestionadas por Amazon S3 (SSE-S3), incluidas las funciones de IAM y las reglas de replicación.
-
SSEKMSReplicationConfigure:
Configura la replicación de Amazon S3 para buckets cifrados con cifrado del lado del servidor con AWS KMS (SSE-KMS), incluidas las funciones de IAM, los permisos de clave de KMS y las reglas de replicación.
-
CleanupResources:
Limpia las funciones de IAM creadas durante una configuración de replicación fallida cuando el cliente no proporcionó S3. ReplicationRole
-
-
Una vez finalizada, revise los resultados de la ejecución en los pasos de configuración de la SSES3 replicación (para los depósitos cifrados con SSE-S3) o del SSEKMSReplication paso de configuración (para los depósitos cifrados con SSE-KMS) para ver los resultados de la ejecución, incluido el estado de la configuración de la replicación y la función de IAM utilizada para la replicación.
Referencias
Automatización de Systems Manager
