Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWSSupport-ConfigureS3ReplicationSameAndCrossAccount
Descrizione
Il runbook di AWSSupport-ConfigureS3ReplicationSameAndCrossAccount automazione configura la replica dei bucket di Amazon Simple Storage Service (Amazon S3) tra un bucket di origine e uno di destinazione per account uguali o multipli. Questa automazione supporta la replica di bucket crittografati con crittografia lato server con chiavi gestite Amazon S3 (SSE-S3) e crittografia lato server con (SSE-KMS). AWS Key Management Service Supporta inoltre il filtraggio di replica selettiva basato su prefissi e tag, Amazon S3 Replication Time Control (Amazon S3 RTC) con SLA di 15 minuti e la replica di marker di eliminazione. L'automazione esegue le seguenti azioni:
Convalida i parametri di input e le configurazioni dei bucket per verificarne la compatibilità.
Controlla le impostazioni di crittografia sia sui bucket di origine che su quelli di destinazione.
Crea un nuovo ruolo AWS Identity and Access Management (IAM) con le autorizzazioni appropriate per la replica se non viene fornito come input.
Configura le regole di replica in base a parametri specificati (prefisso, tag o intero bucket).
Abilita il controllo delle versioni del bucket se non è già abilitato.
Imposta la configurazione di replica con funzionalità opzionali come Replication Time Control (RTC) e la replica dei marker di eliminazione.
Importante
-
Questa automazione non supporta i bucket con regole di replica esistenti. Il bucket di origine non deve avere alcuna configurazione di replica esistente.
-
Questa automazione crea un nuovo ruolo IAM con le autorizzazioni appropriate per la replica se non viene fornito l'input S3ReplicationRole .
-
Questa automazione non replica gli oggetti esistenti. La replica di Amazon S3 si applica agli oggetti solo uploaded/created dopo l'attivazione della configurazione di replica.
-
Per la replica tra account, devi fornire un ruolo IAM nell'account di destinazione con le autorizzazioni appropriate per le operazioni e AWS KMS le operazioni di Amazon S3 (se il bucket utilizza la crittografia). AWS KMS
-
Questa automazione utilizza l'
aws:approveazione, che sospende temporaneamente l'esecuzione fino a quando i principali designati non approvano le modifiche alla configurazione. Per ulteriori informazioni, consulta Esecuzione di un'automazione con approvatori.
Come funziona?
Il runbook esegue i seguenti passaggi:
ValidateInputParameters: convalida tutti i parametri di input per verificarne la correttezza e la compatibilità per garantire la corretta configurazione della replica.
PrepareApprovalMessage: prepara un messaggio di approvazione con tutti i parametri di configurazione della replica per la revisione da parte dell'utente.
RequestApproval: richiede l'approvazione degli utenti autorizzati prima di aggiungere la configurazione di replica di Amazon S3 al bucket di origine.
CheckBucketEncryption: verifica la configurazione della crittografia per i bucket Amazon S3 di origine e di destinazione per determinare le impostazioni di replica compatibili.
BranchOnEncryptionType: esecuzione di branch basata sul tipo di crittografia dei bucket Amazon S3 per applicare la configurazione di replica appropriata per i bucket crittografati SSE-S3 o SSE-KMS.
Configura SSES3 la replica: configura la replica di Amazon S3 per i bucket crittografati con crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3), inclusi ruoli IAM e regole di replica.
ConfigurazioneSSEKMSReplication: configura la replica di Amazon S3 per i bucket crittografati con crittografia lato server AWS KMS con (SSE-KMS), inclusi ruoli IAM, autorizzazioni per le chiavi KMS e regole di replica.
CleanupResources: ripulisce il ruolo IAM creato durante la configurazione di replica fallita quando S3 non viene fornito come input. ReplicationRole
Esegui questa automazione (console)
Autorizzazioni IAM richieste
Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.
s3: ListBucket
s3: GetBucketVersioning
s3: GetEncryptionConfiguration
s3: GetBucketLocation
s3: GetReplicationConfiguration
s3: PutBucketVersioning
s3: PutReplicationConfiguration
obiettivo: ListRoles
Io sono: GetRole
Io sono: GetRolePolicy
Io sono: ListRoleTags
Io sono: ListAttachedRolePolicies
Io sono: ListRolePolicies
Io sono: SimulatePrincipalPolicy
Io sono: CreateRole
Io sono: TagRole
Io sono: PassRole
Io sono: DeleteRole
Io sono: DeleteRolePolicy
Io sono: DetachRolePolicy
Io sono: PutRolePolicy
set: GetCallerIdentity
sns:Publish
kms: GetKeyPolicy (quando i bucket utilizzano SSE-KMS, replica dello stesso account)
kms: DescribeKey (quando i bucket utilizzano SSE-KMS, replica sullo stesso account)
kms: PutKeyPolicy (quando i bucket utilizzano SSE-KMS, replica sullo stesso account)
sts: AssumeRole (per la replica tra account)
CrossAccountReplicationRole (per scenari tra più account):
Per la replica tra account, è necessario fornire un account CrossAccountReplicationRole di destinazione con le seguenti autorizzazioni:
s3: ListBucket
s3: GetBucketVersioning
s3: GetBucketLocation
s3: GetBucketPolicy
s3: GetEncryptionConfiguration
s3: PutBucketVersioning
s3: PutBucketPolicy
kms: GetKeyPolicy (quando il bucket di destinazione tra più account utilizza SSE-KMS)
kms: DescribeKey (quando il bucket di destinazione tra account utilizza SSE-KMS)
kms: PutKeyPolicy (quando il bucket di destinazione tra account utilizza SSE-KMS)
S3 (ruolo fornito dal cliente): ReplicationRole
Se fornisci un S3 esistenteReplicationRole, deve disporre delle seguenti autorizzazioni:
s3: ListBucket
s3: GetBucketLocation
s3: GetReplicationConfiguration
s3: GetObjectVersionAcl
s3: GetObjectVersionTagging
s3: GetObjectVersionForReplication
s3: GetObjectTagging
s3: ReplicateObject
s3: ReplicateDelete
s3: ReplicateTags
s3: ObjectOwnerOverrideToBucketOwner
KMS:Decrypt (per scenari SSE-KMS, chiave KMS di origine)
KMS:Encrypt (per scenari SSE-KMS, chiave KMS di destinazione)
kms: GenerateDataKey (per scenari SSE-KMS, chiave KMS di destinazione)
kms: ReEncrypt * (per scenari SSE-KMS, chiave KMS di destinazione)
Esempio AutomationAssumeRoledi politica per la replica dello stesso account:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Permissions", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetEncryptionConfiguration", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutReplicationConfiguration" ], "Resource": [ "arn:aws:s3:::SOURCE_BUCKET", "arn:aws:s3:::DESTINATION_BUCKET" ] }, { "Sid": "IAMReadOperations", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetRolePolicy", "iam:ListRoleTags", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:SimulatePrincipalPolicy" ], "Resource": "*" }, { "Sid": "IAMListRolesForCleanup", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMCreateAndTagRole", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:TagRole" ], "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:RequestTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "IAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringEquals": { "iam:PassedToService": "s3.amazonaws.com" } } }, { "Sid": "TaggedIAMRoleModifyAndDeleteOperations", "Effect": "Allow", "Action": [ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:ResourceTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "STSGetCallerIdentity", "Effect": "Allow", "Action": "sts:GetCallerIdentity", "Resource": "*" }, { "Sid": "SNSPublish", "Effect": "Allow", "Action": "sns:Publish", "Resource": "SNS_TOPIC_ARN" }, { "Sid": "KMSKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:REGION:ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "arn:aws:kms:REGION:ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" ] }, { "Sid": "KMSKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": [ "arn:aws:kms:REGION:ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "arn:aws:kms:REGION:ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" ], "Condition": { "StringEquals": { "kms:CallerAccount": "ACCOUNT_ID" } } } ] }
Nota
Le istruzioni Policy (KMSKeyReadOperations and KMSKeyMutatingOperations) sono obbligatorie solo quando i bucket utilizzano la crittografia SSE-KMS.
Esempio di AutomationAssumeRolepolitica per la replica tra account:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3SourceBucketOperations", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetEncryptionConfiguration", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutReplicationConfiguration" ], "Resource": "arn:aws:s3:::SOURCE_BUCKET" }, { "Sid": "IAMReadOperations", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetRolePolicy", "iam:ListRoleTags", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:SimulatePrincipalPolicy" ], "Resource": "*" }, { "Sid": "IAMListRolesForCleanup", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMCreateAndTagRole", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:TagRole" ], "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:RequestTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "IAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringEquals": { "iam:PassedToService": "s3.amazonaws.com" } } }, { "Sid": "TaggedIAMRoleModifyAndDeleteOperations", "Effect": "Allow", "Action": [ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:ResourceTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "CrossAccountRoleAssumption", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "CROSS_ACCOUNT_REPLICATION_ROLE_ARN" }, { "Sid": "STSGetCallerIdentity", "Effect": "Allow", "Action": "sts:GetCallerIdentity", "Resource": "*" }, { "Sid": "SNSPublish", "Effect": "Allow", "Action": "sns:Publish", "Resource": "SNS_TOPIC_ARN" }, { "Sid": "KMSSourceKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID" }, { "Sid": "KMSSourceKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "Condition": { "StringEquals": { "kms:CallerAccount": "SOURCE_ACCOUNT_ID" } } } ] }
Nota
Le dichiarazioni politiche (KMSSourceKeyReadOperations and KMSSourceKeyMutatingOperations) sono richieste solo quando il bucket di origine utilizza la crittografia SSE-KMS.
Sostituisci CROSS_ACCOUNT_REPLICATION_ROLE_ARN con il valore effettivo del parametro che fornisci all'automazione. CrossAccountReplicationRole
CrossAccountReplicationRoleEsempio di politica:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3DestinationBucketReadOperations", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:GetEncryptionConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutBucketPolicy" ], "Resource": "arn:aws:s3:::DESTINATION_BUCKET" }, { "Sid": "KMSDestinationKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" }, { "Sid": "KMSDestinationKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID", "Condition": { "StringEquals": { "kms:CallerAccount": "DESTINATION_ACCOUNT_ID" } } } ] }
Nota
Le istruzioni KMS (KMSDestinationKeyReadOperations and KMSDestinationKeyMutatingOperations) sono richieste solo quando il bucket di destinazione utilizza la crittografia SSE-KMS. Rimuovi queste istruzioni per gli scenari SSE-S3.
Esempio CrossAccountReplicationRole di politica di fiducia:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "AUTOMATION_ASSUME_ROLE_ARN" }, "Action": "sts:AssumeRole" } ] }
Nota
Sostituisci AUTOMATION_ASSUME_ROLE_ARN con il valore effettivo del parametro che fornisci all'automazione. AutomationAssumeRole
Esempio di politica ReplicationRole S3:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3SourceBucketPermissions", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTagging", "s3:GetObjectVersionForReplication", "s3:GetObjectTagging" ], "Resource": [ "arn:aws:s3:::SOURCE_BUCKET", "arn:aws:s3:::SOURCE_BUCKET/*" ] }, { "Sid": "S3DestinationBucketPermissions", "Effect": "Allow", "Action": [ "s3:ReplicateObject", "s3:ReplicateDelete", "s3:ReplicateTags" ], "Resource": "arn:aws:s3:::DESTINATION_BUCKET/*" }, { "Sid": "S3CrossAccountPermissions", "Effect": "Allow", "Action": "s3:ObjectOwnerOverrideToBucketOwner", "Resource": "arn:aws:s3:::DESTINATION_BUCKET/*" }, { "Sid": "KMSSourceKeyPermissions", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID" }, { "Sid": "KMSDestinationKeyPermissions", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey", "kms:ReEncrypt*" ], "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" } ] }
Nota
Le istruzioni KMS (KMSSourceKeyPermissions and KMSDestinationKeyPermissions) sono necessarie solo quando i bucket utilizzano la crittografia SSE-KMS.
L'CrossAccountPermissions istruzione S3 è richiesta solo per la replica di bucket tra account.
Esempio di policy di fiducia S3: ReplicationRole
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Istruzioni
Segui questi passaggi per configurare l'automazione:
-
Accedere
AWSSupport-ConfigureS3ReplicationSameAndCrossAccounta Systems Manager nella sezione Documenti. -
Seleziona Execute automation (Esegui automazione).
-
Per i parametri di input, immettete quanto segue:
-
AutomationAssumeRole (Obbligatorio):
-
Descrizione: (Obbligatorio) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.
-
Tipo:
AWS::IAM::Role::Arn
-
-
SourceBucket (Obbligatorio):
-
Descrizione: (Obbligatorio) Il nome del bucket Amazon S3 di origine in cui verranno create o aggiornate le regole di replica.
-
Tipo:
AWS::S3::Bucket::Name
-
-
DestinationBucket (Obbligatorio):
-
Descrizione: (Obbligatorio) Il nome del bucket Amazon S3 di destinazione in cui verranno replicati gli oggetti.
-
Tipo:
String -
Pattern consentito:
^[0-9a-z][a-z0-9\\-\\.]{3,63}$
-
-
SourceAccountId (Obbligatorio):
-
Descrizione: (Obbligatorio) L'ID AWS dell'account in cui si trova il bucket di origine.
-
Tipo:
String -
Modello consentito:
^[0-9]{12,13}$
-
-
DestinationAccountId (Obbligatorio):
-
Descrizione: (Obbligatorio) L'ID AWS dell'account in cui si trova il bucket di destinazione.
-
Tipo:
String -
Modello consentito:
^[0-9]{12,13}$
-
-
SnsNotificationArn (Obbligatorio):
-
Descrizione: (Obbligatorio) L'ARN di un argomento di Amazon Simple Notification Service (Amazon SNS) per le approvazioni di Automation.
-
Tipo:
String -
Modello consentito:
^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):sns:[a-z]{2}(-gov)?(-iso[a-z]?)?-[a-z]{2,10}-[0-9]{1,2}:\\d{12}:[0-9a-zA-Z-_]{1,256}(.fifo)?$
-
-
Approvatori (obbligatorio):
-
Descrizione: (Obbligatorio) L'elenco degli IAM user/role ARNs autorizzati ad approvare l'esecuzione dell'automazione.
-
Tipo:
StringList -
Modello consentito:
^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:(user|role)/[\\w+=,.@\\-/]+$
-
-
S3 ReplicationRole (opzionale):
-
Descrizione: (Facoltativo) L'ARN di un ruolo IAM esistente da utilizzare per le operazioni di replica di Amazon S3. Questo ruolo deve disporre delle autorizzazioni per leggere dal bucket di origine e scrivere nel bucket di destinazione, incluse le autorizzazioni KMS se i bucket utilizzano la crittografia SSE-KMS. Se non viene fornito, l'automazione creerà un nuovo ruolo con le autorizzazioni appropriate.
-
Tipo:
String -
Modello consentito:
^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:role/[\\w+=,.@\\-/]+$ -
Impostazione predefinita:
""
-
-
CrossAccountReplicationRole (Opzionale):
-
Descrizione: (Facoltativo) L'ARN di un ruolo IAM nell'account di destinazione che l'automazione può assumere. È necessario per la replica tra account. Per la replica sullo stesso account, lascia questo campo vuoto.
-
Tipo:
String -
Modello consentito:
^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:role/[\\w+=,.@\\-/]+$ -
Impostazione predefinita:
""
-
-
ReplicateEntireBucket (Opzionale):
-
Descrizione: (Facoltativo) Se impostato su
true, l'intero bucket verrà replicato e sia il prefisso che i tag devono essere vuoti. Se false, la replica si baserà sul prefisso o sui tag specificati. -
Tipo:
Boolean -
Valori consentiti:
[true, false] -
Impostazione predefinita:
true
-
-
ReplicationRuleStatus (Facoltativo):
-
Descrizione: (Facoltativo) Se impostato su
true, le regole di replica create verranno abilitate. Se impostato sufalse, le regole di replica create verranno impostate su Disabilitato. -
Tipo:
Boolean -
Valori consentiti:
[true, false] -
Impostazione predefinita:
true
-
-
DeleteMarkerReplicationStatus (Facoltativo):
-
Descrizione: (Facoltativo) Se impostata su
true, l'automazione consente la replica dei marker di eliminazione. -
Tipo:
Boolean -
Valori consentiti:
[true, false] -
Impostazione predefinita:
false
-
-
ReplicationTimeControl (Facoltativo):
-
Descrizione: (Facoltativo) Se impostato su
true, abilita Amazon S3 Replication Time Control (Amazon S3 RTC) con SLA di 15 minuti per tempi di replica prevedibili. -
Tipo:
Boolean -
Valori consentiti:
[true, false] -
Impostazione predefinita:
false
-
-
ReplicaModifications (Facoltativo):
-
Descrizione: (Facoltativo) Se impostato su
true, consente la replica delle modifiche ai metadati apportate agli oggetti di replica, consentendo la sincronizzazione delle modifiche agli oggetti replicati con l'origine. -
Tipo:
Boolean -
Valori consentiti:
[true, false] -
Impostazione predefinita:
false
-
-
Prefisso (opzionale):
-
Descrizione: (Facoltativo) Filtro prefisso per la replica selettiva di oggetti con prefissi chiave specifici. Il prefisso deve terminare con una barra finale (/) per filtrare correttamente i prefissi di Amazon S3.
-
Tipo:
String -
Modello consentito:
^$|^[a-zA-Z0-9!_'()\\-]*/+$ -
Impostazione predefinita:
""
-
-
Tag (facoltativi):
-
Descrizione: (Facoltativo) matrice di tag JSON per filtrare gli oggetti da replicare. Formato per tag singolo: [{"Key»:» TagKey «, "Value»:» TagValue «}] e per più tag: [{" Key»:» 1", "Value»:» TagKey 1"}, {"Key»:» TagValue 2", "Value»:» TagKey 2"}]. TagValue
-
Tipo:
String -
Modello consentito:
^\\[((\\{\"Key\":\"[a-zA-Z0-9+\\-=.:/ @\\s]{1,128}\",\"Value\":\"[a-zA-Z0-9+\\-=.:/@\\s]{0,256}\"\\})(,\\{\"Key\":\"[a-zA-Z0-9+\\-=.:/ @\\s]{1,128}\",\"Value\":\"[a-zA-Z0-9+\\-=.:/@\\s]{0,256}\"\\})*)?\\]$ -
Impostazione predefinita:
[]
-
-
-
Seleziona Esegui.
-
L'automazione viene avviata.
-
Il documento esegue le seguenti operazioni:
-
ValidateInputParameters:
Convalida tutti i parametri di input per verificarne la correttezza e la compatibilità per garantire una corretta configurazione di replica.
-
PrepareApprovalMessage:
Prepara il messaggio di approvazione con tutti i parametri di configurazione della replica per la revisione da parte dell'utente.
-
RequestApproval:
Richiede l'approvazione degli utenti autorizzati prima di procedere con le modifiche alla configurazione di replica di Amazon S3.
-
CheckBucketEncryption:
Verifica la configurazione della crittografia per i bucket Amazon S3 di origine e di destinazione per determinare le impostazioni di replica compatibili.
-
BranchOnEncryptionType:
Esecuzione delle filiali basata sul tipo di crittografia dei bucket Amazon S3 per applicare la configurazione di replica appropriata per i bucket crittografati SSE-S3 o SSE-KMS.
-
SSES3Configura la replica:
Configura la replica di Amazon S3 per i bucket crittografati con crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3), inclusi ruoli IAM e regole di replica.
-
SSEKMSReplicationConfigura:
Configura la replica di Amazon S3 per i bucket crittografati con crittografia lato server AWS KMS con (SSE-KMS), inclusi ruoli IAM, autorizzazioni per le chiavi KMS e regole di replica.
-
CleanupResources:
Pulisce i ruoli IAM creati durante la configurazione di replica non riuscita quando S3 non è stato fornito dal cliente. ReplicationRole
-
-
Al termine, esamina gli output della fase di configurazione della SSES3 replica (per i bucket crittografati SSE-S3) o della fase di configurazione SSEKMSReplication (per i bucket crittografati SSE-KMS) per i risultati dell'esecuzione, incluso lo stato della configurazione della replica e il ruolo IAM utilizzato per la replica.
Riferimenti
Systems Manager Automation
