AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Wie richte ich die konto- und regionsübergreifende Replikation für meinen Amazon S3-Bucket ein, der mit AWS KMS verschlüsselt ist?

Lesedauer: 5 Minute

Ich habe einen Amazon Simple Storage Service (Amazon S3)-Bucket mit AWS Key Management Service (AWS KMS)-Verschlüsselung. Ich möchte die Replikation über mehrere AWS-Regionen und AWS-Konten für Objekte in meinem Bucket einrichten.

Kurzbeschreibung

Um Objekte aus einem Quell-Bucket zu replizieren, der mit AWS KMS verschlüsselt ist, musst du die AWS-KMS-Verschlüsselung im Ziel-Bucket verwenden. Außerdem muss sich der AWS-KMS-Schlüssel für deinen Ziel-Bucket in derselben Region wie der Ziel-Bucket befinden.

Hinweis: Wenn sich dein Quell-Bucket und dein Ziel-Bucket in unterschiedlichen Regionen befinden, müssen sie unterschiedliche AWS-KMS-Schlüssel haben.

Einen S3-Bucket für dein Ziel erstellen

Erstelle einen neuen S3-Ziel-Bucket in derselben Region wie dein AWS-KMS-Schlüssel.

Wenn du den Bucket erstellst, musst du die Versionsverwaltung aktivieren, um die Amazon S3 Replication verwenden zu können.

Hinweis: Es hat sich bewährt, den neuen AWS-KMS-Schlüssel als Standardverschlüsselung zu verwenden, sodass der Bucket nur einen AWS-KMS-Schlüssel verwendet.

Um die Verschlüsselungskosten zu senken, aktiviere S3-Bucket-Schlüssel in deinem Bucket.

(Optional) Bearbeite die Berechtigungen der Replikations-IAM-Rolle

Wenn du die Replikationsregel erstellst, kannst du auch eine AWS Identity and Access Management (IAM)-Rolle erstellen. Die IAM-Rolle muss es Amazon S3 ermöglichen, Objekte abzurufen, zu replizieren, zu verschlüsseln und zu entschlüsseln. Bevor du Objekte in eine andere Region verschiebst, musst du Berechtigungen zum Entschlüsseln der Objekte angeben. Verschlüssle dann die Objekte im Ziel.

Gehe wie folgt vor, um Berechtigungen für Buckets mit vorhandenen Replikationsregeln zu konfigurieren:

Vergewissere dich, dass deine IAM-Rolle die folgende Vertrauensbeziehung zu Amazon S3 hat:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "s3.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Vergewissere dich, dass die IAM-Rolle über die folgenden Berechtigungen verfügt:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "SourceBucketPermissions",
      "Effect": "Allow",
      "Action": [
        "s3:GetObjectVersionTagging",
        "s3:GetObjectVersionAcl",
        "s3:ListBucket",
        "s3:GetObjectVersionForReplication",
        "s3:GetReplicationConfiguration"
      ],
      "Resource": [
        "arn:aws:s3:::SourceBucketName/*",
        "arn:aws:s3:::SourceBucketName"
      ]
    },
    {
      "Sid": "DestinationBucketPermissions",
      "Effect": "Allow",
      "Action": [
        "s3:ReplicateObject",
        "s3:ObjectOwnerOverrideToBucketOwner",
        "s3:GetObjectVersionTagging",
        "s3:ReplicateTags",
        "s3:ReplicateDelete"
      ],
      "Resource": [
        "arn:aws:s3:::DestinationBucketName/*"
      ]
    },
    {
      "Sid": "SourceBucketKMSKey",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Effect": "Allow",
      "Resource": "SourceBucketKMSKeyARN"
    },
    {
      "Sid": "DestinationBucketKMSKey",
      "Action": [
        "kms:Encrypt",
        "kms:GenerateDataKey"
      ],
      "Effect": "Allow",
      "Resource": "DestinationBucketKMSKeyARN"
    }
  ]
}

Hinweis: Ersetze SourceBucketName durch den Namen deines Quell-Buckets und DestinationBucketName durch den Namen deines Ziel-Buckets. Ersetze außerdem SourceBucketKMSKeyARN durch den Amazon-Ressourcennamen (ARN) des AWS-KMS-Schlüssels deines Quell-Buckets und DestinationBucketKMSKeyARN durch den ARN des AWS-KMS-Schlüssels deines Ziel-Buckets. Die oben genannten Berechtigungen ermöglichen es der Rolle, auf Objekte im Quell-Bucket zuzugreifen und Objekte in den Ziel-Bucket zu replizieren. Sie ermöglichen es der Rolle auch, Objekte mit den AWS-KMS-Schlüsseln zu entschlüsseln und zu verschlüsseln.

Aktualisiere die Schlüsselrichtlinie, damit die IAM-Rolle beide Schlüssel in Quell- und Ziel-Buckets verwenden kann

Ändere die AWS-KMS-Schlüsselrichtlinie, sodass die IAM-Rolle beide AWS-KMS-Schlüssel im Quell- und Ziel-Bucket verwenden kann.

Ändere die Richtlinie des Ziel-Buckets, um die Replikation auf den Bucket zuzulassen

Ändere die Richtlinie des Ziel-Buckets in die folgende Richtlinie:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DestinationBucketPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::ACCOUNTNUMBER:role/IAMROLE"
      },
      "Action": [
        "s3:ReplicateObject",
        "s3:ObjectOwnerOverrideToBucketOwner",
        "s3:GetObjectVersionTagging",
        "s3:ReplicateTags",
        "s3:ReplicateDelete",
        "s3:GetBucketVersioning",  
        "s3:PutBucketVersioning"
      ],
      "Resource": [
        "arn:aws:s3:::DestinationBucketName/*",  
        "arn:aws:s3:::DestinationBucketName"
      ]
    }]
}

Hinweis: Ersetze AccountNumber durch deine Quell-Bucket-Kontonummer, IAMRole durch deine IAM-Rolle und DestinationBucketName durch den Namen des Ziel-Buckets.

Richte die Replikationsregel ein

Führe die folgenden Schritte aus:

Öffne die Amazon-S3-Konsole.
Wähle Buckets und anschließend den Quell-Bucket.
Wähle die RegisterkarteVerwaltung. Wähle unter Replikationsregeln die Option Replikationsregel erstellen aus.
Gib einen Namen für die Regel ein. Wähle unter Quell-Bucket einen Regelbereich aus, um zu bestimmen, ob die Replikation für ein bestimmtes Objektpräfix oder den gesamten Inhalt des Buckets gilt.
Wähle unter Ziel die Option Bucket in einem anderen Konto angeben aus und gib dann den Namen des Ziel-Buckets und die Konto-ID ein.
Wähle unter IAM-Rolle die Option Aus vorhandenen IAM-Rollen wählen aus.
Wenn du über eine bestehende IAM-Rolle mit den erforderlichen Berechtigungen verfügst, wähle unter IAM-Rolle die Option Aus vorhandenen IAM-Rollen auswählen oder IAM-Rollen-ARN eingeben aus.
- oder -
Wähle Neue Rolle erstellen aus, um eine neue Rolle mit den erforderlichen Berechtigungen zu erstellen.
Wähle unter Verschlüsselung die Option Mit AWS Key Management Service (AWS KMS) verschlüsselte Objekte replizieren aus. Gib dann den ARN deines AWS-KMS-Schlüssels ein.
(Optional) Konfiguriere die Zielspeicherklasse und zusätzliche Replikationsoptionen.
Überprüfe die Konfiguration und wähle dann Speichern aus.
(Optional) Repliziere vorhandene Objekte mit einem einmaligen Auftrag in S3 Batch Operations.

Deine Replikation verifizieren

Wenn du die Replikationsregel erstellst, ermöglichst du die nahtlose Replikation neu hinzugefügter Objekte vom Quell- zum Ziel-Bucket. Gehe wie folgt vor, um deine Replikation zu testen:

Lade ein neues Objekt in den Quell-Bucket hoch.
Zeige die Objektübersicht an und überprüfe dann den Replikationsstatus des Objekts.
Wenn die Replikation erfolgreich ist, wird der Status ABGESCHLOSSEN angezeigt.

Relevanter Inhalt

Warum dauert es lange, Amazon S3-Objekte zu replizieren, wenn ich die regionsübergreifende Replikation zwischen meinen Buckets verwende?
AWS OFFICIALAktualisiert vor 5 Monaten
Wie kann ich mit Object Lock eine kontoübergreifende Replikation für meine Amazon S3-Buckets einrichten?
AWS OFFICIALAktualisiert vor 10 Monaten
Wie erstelle ich ein regionenübergreifendes MySQL-Replikat für Amazon RDS in einem anderen AWS-Konto?
AWS OFFICIALAktualisiert vor 4 Jahren
Wie stelle ich ein KMS-verschlüsseltes Backup aus einer On-Premises-Umgebung in RDS für SQL Server wieder her?
AWS OFFICIALAktualisiert vor 2 Jahren