Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Vincular el sistema de archivos a un bucket de Amazon S3
Puede vincular su sistema de archivos Amazon FSx for Lustre a los repositorios de datos de Amazon S3. Puede crear el enlace al crear el sistema de archivos o en cualquier momento después de crearlo.
Un vínculo entre un directorio del sistema de archivos y un bucket o prefijo de S3 se denomina *asociación de repositorio de datos (DRA)*. Puede configurar un máximo de 8 asociaciones de repositorios de datos en un sistema de archivos FSx de Lustre. Se pueden poner en cola un máximo de 8 solicitudes de DRA, pero solo se puede trabajar con una solicitud a la vez para el sistema de archivos. Cada DRA debe tener un directorio del sistema de archivos exclusivo FSx para Lustre y un bucket o prefijo S3 único asociado a él.
**nota**
Las asociaciones de repositorios de datos, la exportación automática y la compatibilidad con varios repositorios de datos no están disponibles en los sistemas de archivos Lustre 2.10 ni en FSx los sistemas de archivos. `Scratch 1`
Para acceder a los objetos del repositorio de datos S3 como archivos y directorios en el sistema de archivos, los metadatos de archivos y directorios deben cargarse en el sistema de archivos. Puede cargar los metadatos de un repositorio de datos vinculado al crear el DRA o cargar los metadatos de los lotes de archivos y directorios a los que desee acceder mediante el FSx sistema de archivos de Lustre más adelante mediante una tarea de importación de repositorio de datos, o utilizar la exportación automática para cargar los metadatos automáticamente cuando se añaden, modifican o eliminan objetos del repositorio de datos.
Puede configurar una DRA solo para la importación automática, solo para la exportación automática o para ambas. Una asociación de repositorios de datos configurada con importación y exportación automáticas propaga los datos en ambas direcciones entre el sistema de archivos y el bucket de S3 vinculado. A medida que realiza cambios en los datos de su repositorio de datos de S3, FSx for Lustre detecta los cambios y, a continuación, los importa automáticamente a su sistema de archivos. A medida que crea, modifica o elimina archivos, FSx for Lustre exporta automáticamente los cambios a Amazon S3 de forma asíncrona una vez que la aplicación termine de modificar el archivo.
**importante**
Si modifica el mismo archivo tanto en el sistema de archivos como en el bucket de S3, debe garantizar la coordinación a nivel de la aplicación para evitar conflictos. FSx for Lustre no evita escrituras conflictivas en varias ubicaciones.
En el caso de los archivos marcados con un atributo inmutable, FSx for Lustre no puede sincronizar los cambios entre el sistema de archivos de FSx For Lustre y un bucket de S3 vinculado al sistema de archivos. Si se establece un indicador inmutable durante un período de tiempo prolongado, se puede reducir el rendimiento del movimiento de datos entre Amazon FSx y S3.
Al crear una asociación de repositorios de datos, puede configurar las siguientes propiedades:
+ **Ruta del sistema de archivos**: introduzca una ruta local en el sistema de archivos que apunte a un directorio (por ejemplo`/ns1/`) o subdirectorio (por ejemplo`/ns1/subdir/`) que se asignará a la ruta del repositorio de datos especificada one-to-one a continuación. Se requiere la barra diagonal que aparece al principio del nombre. Dos asociaciones de repositorios de datos no pueden tener rutas de sistema de archivos superpuestas. Por ejemplo, si un repositorio de datos está asociado a la ruta del sistema de archivos `/ns1`, no se puede vincular otro repositorio de datos con la ruta del sistema de archivos `/ns1/ns2`.
**nota**
Si especifica solo una barra diagonal (`/`) como ruta del sistema de archivos, a este solo se puede vincular un repositorio de datos. Solo puede especificar “/” como la ruta del sistema de archivos del primer repositorio de datos asociado a un sistema de archivos.
+ **Data repository path**: introduzca una ruta en el repositorio de datos de S3. La ruta puede ser un bucket de S3 o un prefijo con el formato `s3://bucket-name/prefix/`. Esta propiedad especifica el lugar desde el que se importarán o exportarán los archivos del repositorio de datos de S3. FSx for Lustre añadirá una «/» al final a la ruta del repositorio de datos si no la proporciona. Por ejemplo, si proporciona una ruta de repositorio de datos de`s3://amzn-s3-demo-bucket/my-prefix`, FSx for Lustre la interpretará como. `s3://amzn-s3-demo-bucket/my-prefix/`
Dos asociaciones de repositorios de datos no pueden tener rutas de repositorios de datos superpuestas. Por ejemplo, si un repositorio de datos con la ruta `s3://amzn-s3-demo-bucket/my-prefix/` está vinculado al sistema de archivos, no se puede crear otra asociación de repositorio de datos con la ruta de repositorio de datos `s3://amzn-s3-demo-bucket/my-prefix/my-sub-prefix`.
+ **Import metadata from repository**: puede seleccionar esta opción para importar metadatos de todo el repositorio de datos inmediatamente después de crear la asociación de repositorios de datos. Como alternativa, puede ejecutar una tarea de importación del repositorio de datos para cargar todos o un subconjunto de los metadatos del repositorio de datos vinculado al sistema de archivos en cualquier momento después de crear la asociación de repositorios de datos.
+ **Import settings**: elija una política de importación que especifique el tipo de objetos actualizados (cualquier combinación de objetos nuevos, modificados y eliminados) que se importarán automáticamente desde el bucket de S3 vinculado a su sistema de archivos. La importación automática (nueva, modificada, eliminada) se activa de forma predeterminada cuando se añade un repositorio de datos desde la consola, pero se desactiva de forma predeterminada cuando se utiliza la FSx API AWS CLI o Amazon.
+ **Export settings**: elija una política de exportación que especifique el tipo de objetos actualizados (cualquier combinación de nuevos, modificados y eliminados) que se exportarán automáticamente al bucket de S3. La exportación automática (nueva, modificada, eliminada) se activa de forma predeterminada cuando se añade un repositorio de datos desde la consola, pero se desactiva de forma predeterminada cuando se utiliza la FSx API AWS CLI o Amazon.
La configuración de la **ruta del sistema de archivos** y la **ruta del repositorio de datos** proporcionan un mapeo 1:1 entre las rutas en Amazon FSx y las claves de objeto en S3.
**Topics**
+ [Crear un enlace a un bucket de S3](create-linked-dra.md)
+ [Actualización de la configuración de asociación de repositorios de datos](update-dra-settings.md)
+ [Eliminación de una asociación a un bucket de S3](delete-linked-dra.md)
+ [Visualización de los detalles de asociación del repositorio de datos](view-dra-details.md)
+ [Estado del ciclo de vida de la asociación de repositorios](dra-lifecycles.md)
+ [Trabajo con buckets de Amazon S3 cifrados del lado del servidor](s3-server-side-encryption-support.md)
# Crear un enlace a un bucket de S3
Los siguientes procedimientos le guiarán por el proceso de creación de una asociación de repositorios de datos FSx para un sistema de archivos de Lustre con un bucket de S3 existente, mediante el comando Consola de administración de AWS and AWS Command Line Interface ()AWS CLI. Para obtener información sobre cómo añadir permisos a un bucket de S3 para vincularlo a su sistema de archivos, consulte [Agregar permisos para utilizar repositorios de datos en Amazon S3](setting-up.md#fsx-adding-permissions-s3).
**nota**
Los repositorios de datos no se pueden vincular a sistemas de archivos que tengan habilitadas las copias de seguridad del sistema de archivos. Deshabilite las copias de seguridad antes de vincularlas a un repositorio de datos.
## Para vincular un bucket de S3 al crear un sistema de archivos (consola)
1. Abre la FSx consola de Amazon en [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Siga el procedimiento para crear un nuevo sistema de archivos que se describe en [Paso 1: crear un sistema de archivos FSx para Lustre](getting-started.md#getting-started-step1) en la sección Primeros pasos.
1. Abra la sección ***opcional* del repositorio Import/Export de datos**. De forma predeterminada, esta característica está deshabilitada.
1. Elija **Import data from and export data to S3**.
1. En el cuadro de diálogo de **Data repository association information**, proporcione información para los siguientes campos.
+ **Ruta del sistema de archivos**: introduzca el nombre de un directorio de alto nivel (por ejemplo`/ns1`) o subdirectorio (por ejemplo`/ns1/subdir`) del sistema de FSx archivos de Amazon que se asociará al repositorio de datos de S3. Se requiere la barra diagonal inicial en la ruta. Dos asociaciones de repositorios de datos no pueden tener rutas de sistema de archivos superpuestas. Por ejemplo, si un repositorio de datos está asociado a la ruta del sistema de archivos `/ns1`, no se puede vincular otro repositorio de datos con la ruta del sistema de archivos `/ns1/ns2`. La configuración de la **File system path** debe ser única en todas las asociaciones de repositorios de datos del sistema de archivos.
+ **Data repository path**: introduzca la ruta de un bucket o prefijo de S3 existente para asociarlo a su sistema de archivos (por ejemplo, `s3://amzn-s3-demo-bucket/my-prefix`). Dos asociaciones de repositorios de datos no pueden tener rutas de repositorios de datos superpuestas. La configuración de la **File system path** debe ser única en todas las asociaciones de repositorios de datos del sistema de archivos.
+ **Import metadata from repository**: seleccione esta propiedad para ejecutar, de manera opcional, una tarea de importación de repositorios de datos para importar metadatos inmediatamente después de crear el vínculo.
1. En el caso de los **Import settings - optional**, defina **Import Policy** que determine cómo se mantienen actualizados los listados de archivos y directorios al añadir, cambiar o eliminar objetos del bucket de S3. Por ejemplo, elija **New** para importar los metadatos a su sistema de archivos para los nuevos objetos creados en el bucket de S3. Para obtener más información sobre las políticas de importación, consulte [Importe automáticamente actualizaciones desde un bucket de S3](autoimport-data-repo-dra.md).
1. Para **Export policy**, defina una política de exportación que determine cómo se exportarán sus archivos al bucket de S3 vinculado a medida que añada, modifique o elimine objetos del sistema de archivos. Por ejemplo, elija **Changed** para exportar los objetos cuyo contenido o metadatos se hayan modificado en su sistema de archivos. Para obtener más información acerca de las políticas de exportación, consulte [Exporte automáticamente las actualizaciones a su bucket de S3](autoexport-data-repo-dra.md).
1. Continúe con la siguiente sección del asistente de creación del sistema de archivos.
## Para vincular un bucket de S3 a un sistema de archivos existente (consola)
1. Abre la FSx consola de Amazon en [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. En el panel, elija **File systems** y, a continuación, seleccione el sistema de archivos para el que desee crear una asociación de repositorios de datos.
1. Seleccione la pestaña **Data repository**.
1. En el panel **Data repository associations**, elija **Create data repository association**.
1. En el cuadro de diálogo de **Data repository association information**, proporcione información para los siguientes campos.
+ **Ruta del sistema de archivos**: introduzca el nombre de un directorio de alto nivel (por ejemplo`/ns1`) o subdirectorio (por ejemplo`/ns1/subdir`) del sistema de FSx archivos de Amazon que se asociará al repositorio de datos de S3. Se requiere la barra diagonal inicial en la ruta. Dos asociaciones de repositorios de datos no pueden tener rutas de sistema de archivos superpuestas. Por ejemplo, si un repositorio de datos está asociado a la ruta del sistema de archivos `/ns1`, no se puede vincular otro repositorio de datos con la ruta del sistema de archivos `/ns1/ns2`. La configuración de la **File system path** debe ser única en todas las asociaciones de repositorios de datos del sistema de archivos.
+ **Data repository path**: introduzca la ruta de un bucket o prefijo de S3 existente para asociarlo a su sistema de archivos (por ejemplo, `s3://amzn-s3-demo-bucket/my-prefix`). Dos asociaciones de repositorios de datos no pueden tener rutas de repositorios de datos superpuestas. La configuración de la **File system path** debe ser única en todas las asociaciones de repositorios de datos del sistema de archivos.
+ **Import metadata from repository**: seleccione esta propiedad para ejecutar, de manera opcional, una tarea de importación de repositorios de datos para importar metadatos inmediatamente después de crear el vínculo.
1. En el caso de los **Import settings - optional**, defina **Import Policy** que determine cómo se mantienen actualizados los listados de archivos y directorios al añadir, cambiar o eliminar objetos del bucket de S3. Por ejemplo, elija **New** para importar los metadatos a su sistema de archivos para los nuevos objetos creados en el bucket de S3. Para obtener más información acerca de las políticas de importación, consulte [Importe automáticamente actualizaciones desde un bucket de S3](autoimport-data-repo-dra.md).
1. Para **Export policy**, defina una política de exportación que determine cómo se exportarán sus archivos al bucket de S3 vinculado a medida que añada, modifique o elimine objetos del sistema de archivos. Por ejemplo, elija **Changed** para exportar los objetos cuyo contenido o metadatos se hayan modificado en su sistema de archivos. Para obtener más información acerca de las políticas de exportación, consulte [Exporte automáticamente las actualizaciones a su bucket de S3](autoexport-data-repo-dra.md).
1. Seleccione **Crear**.
## Para vincular su sistema de archivos a un bucket de S3 (AWS CLI)
El siguiente ejemplo crea una asociación de repositorios de datos que vincula un sistema de FSx archivos de Amazon a un bucket de S3, con una política de importación que importa todos los archivos nuevos o modificados al sistema de archivos y una política de exportación que exporta los archivos nuevos, modificados o eliminados al bucket de S3 vinculado.
+ Para crear una asociación de repositorios de datos, utilice el comando Amazon FSx CLI`create-data-repository-association`, tal y como se muestra a continuación.
```
$ aws fsx create-data-repository-association \
--file-system-id fs-0123456789abcdef0 \
--file-system-path /ns1/path1/ \
--data-repository-path s3://amzn-s3-demo-bucket/myprefix/ \
--s3 "AutoImportPolicy={Events=[NEW,CHANGED,DELETED]},AutoExportPolicy={Events=[NEW,CHANGED,DELETED]}"
```
Amazon FSx devuelve inmediatamente la descripción en JSON del DRA. La DRA se crea de forma asíncrona.
Puede utilizar este comando para crear una asociación de repositorios de datos incluso antes de que el sistema de archivos haya terminado de crearse. La solicitud se pondrá en cola y la asociación de repositorios de datos se creará cuando el sistema de archivos esté disponible.
# Actualización de la configuración de asociación de repositorios de datos
Puede actualizar la configuración de una asociación de repositorios de datos existente mediante la Consola de administración de AWS AWS CLI, la y la FSx API de Amazon, tal y como se muestra en los siguientes procedimientos.
**nota**
No puede actualizar la `File system path` o la `Data repository path` de una DRA una vez creado. Si desea cambiar la `File system path` o la `Data repository path`, debe eliminar la DRA y volver a crearlo.
## Cómo actualizar la configuración de una asociación de repositorios de datos existente (consola)
1. Abre la FSx consola de Amazon en [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. En el panel, elija **File systems** y, a continuación, seleccione el sistema de archivos que desea administrar.
1. Elija la pestaña **Data repository**.
1. En el panel **Data repository associations**, elija la asociación de repositorios de datos que desea modificar.
1. Elija **Update**. Aparece un cuadro de diálogo de edición para la asociación del repositorio de datos.
1. Para **Import settings - optional**, puede actualizar su **Import Policy**. Para obtener más información sobre las políticas de importación, consulte [Importe automáticamente actualizaciones desde un bucket de S3](autoimport-data-repo-dra.md).
1. Para **Export settings - optional**, puede actualizar su política de exportación. Para más información sobre políticas de exportación, consulte [Exporte automáticamente las actualizaciones a su bucket de S3](autoexport-data-repo-dra.md).
1. Elija **Actualizar**.
## Para actualizar la configuración de una asociación de repositorios de datos existente (CLI)
+ Para actualizar una asociación de repositorios de datos, utilice el comando Amazon FSx CLI`update-data-repository-association`, tal y como se muestra a continuación.
```
$ aws fsx update-data-repository-association \
--association-id 'dra-872abab4b4503bfc2' \
--s3 "AutoImportPolicy={Events=[NEW,CHANGED,DELETED]},AutoExportPolicy={Events=[NEW,CHANGED,DELETED]}"
```
Tras actualizar correctamente las políticas de importación y exportación de la asociación de repositorios de datos, Amazon FSx devuelve la descripción de la asociación de repositorios de datos actualizada en formato JSON.
# Eliminación de una asociación a un bucket de S3
Los siguientes procedimientos le guiarán por el proceso de eliminar una asociación de repositorio de datos de un sistema de FSx archivos de Amazon existente a un bucket de S3 existente, mediante el Consola de administración de AWS comando and AWS Command Line Interface (AWS CLI). Al eliminar la asociación de repositorios de datos, se desvincula el sistema de archivos del bucket de S3.
## Para eliminar un vínculo de un sistema de archivos a un bucket de S3 (consola)
1. Abre la FSx consola de Amazon en [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. En el panel, elija **File systems** y, a continuación, seleccione el sistema de archivos del que desee eliminar una asociación de repositorios de datos.
1. Elija la pestaña **Data repository**.
1. En el panel **Data repository associations**, elija la asociación de repositorios de datos que desea eliminar.
1. En **Actions**, elija **Delete association**.
1. En el cuadro de diálogo **Eliminar**, puede elegir **Eliminar datos en el sistema de archivos** para eliminar físicamente los datos del sistema de archivos que corresponden a la asociación del repositorio de datos.
Elija esta opción si planea crear una nueva asociación de repositorios de datos utilizando la misma ruta del sistema de archivos pero apuntando a un prefijo de bucket de S3 diferente, o si ya no necesita los datos de su sistema de archivos.
1. Elija **Delete** para eliminar la asociación de repositorios de datos del sistema de archivos.
## Para eliminar un vínculo de un sistema de archivos a un bucket de S3 (AWS CLI)
En el siguiente ejemplo, se elimina una asociación de repositorios de datos que vincula un sistema de FSx archivos de Amazon a un bucket de S3. El parámetro `--association-id` especifica el ID de la asociación de repositorios de datos que se va a eliminar.
+ Para eliminar una asociación de repositorios de datos, utilice el comando Amazon FSx CLI`delete-data-repository-association`, tal y como se muestra a continuación.
```
$ aws fsx delete-data-repository-association \
--association-id dra-872abab4b4503bfc \
--delete-data-in-file-system false
```
Tras eliminar correctamente la asociación de repositorios de datos, Amazon FSx devuelve su descripción como JSON.
**Recreando DRAs con la misma ruta del sistema de archivos**
No se recomienda eliminar ni volver a crear las asociaciones de repositorios de datos que utilizan la misma ruta del sistema de archivos. Si elimina un DRA y, posteriormente, crea uno nuevo utilizando la misma ruta del sistema de archivos, es posible que algunos archivos conserven el estado HSM del DRA eliminado anteriormente.
Si necesita exportar archivos de una DRA recreada que estaban gestionados por una DRA eliminada anteriormente, debe marcarlos como archivos sin procesar mediante el siguiente comando y, a continuación, ejecutar una tarea de exportación de datos en el repositorio de datos:
```
sudo lfs hsm_set --dirty file_path
```
# Visualización de los detalles de asociación del repositorio de datos
Puede ver los detalles de una asociación de repositorios de datos mediante la consola FSx de Lustre AWS CLI, la y la API. Los detalles incluyen el ID de asociación de la DRA, la ruta del sistema de archivos, la ruta del repositorio de datos, la configuración de importación, la configuración de exportación, el estado y el ID del sistema de archivos asociado.
## Cómo ver los detalles de la DRA (consola)
1. Abre la FSx consola de Amazon en [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. En el panel, elija **File systems** y, a continuación, seleccione el sistema de archivos del que desee ver los detalles de una asociación de repositorios de datos.
1. Elija la pestaña **Data repository**.
1. En el panel **Data repository associations**, elija la asociación de repositorios de datos que desea ver. Aparece la página de **Summary**, que muestra los detalles de la DRA.
![\[Página de FSx detalles de Amazon de una asociación de repositorios de datos.\]](http://docs.aws.amazon.com/es_es/fsx/latest/LustreGuide/images/dra-describe.png)
## Cómo ver los detalles de la DRA (CLI)
+ Para ver los detalles de una asociación de repositorios de datos específica, utilice el comando Amazon FSx CLI`describe-data-repository-associations`, tal y como se muestra a continuación.
```
$ aws fsx describe-data-repository-associations \
--association-ids dra-872abab4b4503bfc2
```
Amazon FSx devuelve la descripción de la asociación de repositorios de datos en formato JSON.
# Estado del ciclo de vida de la asociación de repositorios
El estado del ciclo de vida de la asociación del repositorio de datos proporciona información de estado sobre una DRA específica. Una asociación de repositorios de datos puede tener los siguientes **Lifecycle states**:
+ **Creación**: Amazon FSx está creando la asociación de repositorios de datos entre el sistema de archivos y el repositorio de datos vinculado. El repositorio de datos no está disponible.
+ **Available**: la asociación de repositorios de datos está disponible para su uso.
+ **Updating**: la asociación de repositorios de datos está siendo objeto de una actualización iniciada por el cliente que podría afectar a su disponibilidad.
+ **Deleting**: se está procediendo a una eliminación de la asociación de repositorios de datos iniciada por el cliente.
+ Configuración **incorrecta**: Amazon FSx no puede importar automáticamente las actualizaciones del bucket de S3 ni exportarlas automáticamente al bucket de S3 hasta que se corrija la configuración de asociación del repositorio de datos.
Un DRA puede **configurarse incorrectamente** debido a lo siguiente:
+ Amazon FSx carece de los permisos de IAM necesarios para acceder al bucket de S3.
+ La configuración de notificación de FSx eventos del bucket de S3 se elimina o modifica.
+ El bucket de S3 tiene notificaciones de eventos existentes que se superponen con los tipos de FSx eventos.
Tras resolver el problema subyacente, el DRA vuelve automáticamente al estado **Disponible** en 15 minutos. También puede activar el cambio de estado inmediatamente mediante el AWS CLI comando [update-data-repository-association](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-data-repository-association.html).
+ **Failed**: la asociación del repositorio de datos está en un estado terminal que no se puede recuperar (por ejemplo, porque se elimina la ruta del sistema de archivos o se elimina el bucket de S3).
Puede ver el estado del ciclo de vida de una asociación de repositorios de datos mediante la FSx consola de Amazon AWS Command Line Interface, la y la FSx API de Amazon. Para obtener más información, consulte [Visualización de los detalles de asociación del repositorio de datos](view-dra-details.md).
# Trabajo con buckets de Amazon S3 cifrados del lado del servidor
FSx for Lustre admite buckets de Amazon S3 que utilizan cifrado del lado del servidor con claves administradas por S3 (SSE-S3) y almacenadas en (SSE-KMS). AWS KMS keys AWS Key Management Service
Si quieres que Amazon cifre los datos FSx al escribir en tu bucket de S3, debes configurar el cifrado predeterminado de tu bucket de S3 en SSE-S3 o SSE-KMS. Para obtener más información, consulte [Configuración del cifrado predeterminado](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) en la *Guía del usuario de Amazon S3*. Al escribir archivos en el depósito de S3, Amazon FSx sigue la política de cifrado predeterminada del depósito de S3.
De forma predeterminada, Amazon FSx admite buckets S3 cifrados mediante SSE-S3. Si desea vincular su sistema de FSx archivos de Amazon a un bucket de S3 cifrado mediante el cifrado SSE-KMS, debe añadir una declaración a su política de claves gestionadas por el cliente que permita FSx a Amazon cifrar y descifrar los objetos de su bucket de S3 con su clave de KMS.
La siguiente declaración permite a un sistema de FSx archivos de Amazon específico cifrar y descifrar objetos para un bucket de S3 específico,. *bucket\$1name*
```
{
"Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fsx_file_system_id"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "aws_account_id",
"kms:ViaService": "s3.bucket-region.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
}
}
}
```
**nota**
Si utiliza un KMS con una CMK para cifrar su bucket de S3 con las claves de bucket de S3 habilitadas, establezca el `EncryptionContext` en la ARN del bucket, no en el ARN del objeto, como en este ejemplo:
```
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name"
}
```
La siguiente declaración de política permite que todos los sistemas de FSx archivos de Amazon de tu cuenta se vinculen a un bucket de S3 específico.
```
{
"Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "s3.bucket-region.amazonaws.com",
"kms:CallerAccount": "aws_account_id"
},
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws_partition:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fs-*"
}
}
}
```
## Acceder a buckets de Amazon S3 cifrados del lado del servidor en una VPC diferente Cuenta de AWS o desde una VPC compartida
Tras crear un sistema de archivos FSx para Lustre vinculado a un depósito de Amazon S3 cifrado, debe conceder al rol `AWSServiceRoleForFSxS3Access_fs-01234567890` vinculado al servicio (SLR) acceso a la clave de KMS utilizada para cifrar el depósito de S3 antes de leer o escribir datos del depósito de S3 vinculado. Puede utilizar un rol de IAM que ya tenga permisos para acceder a la clave de KMS.
**nota**
Esta función de IAM debe estar en la cuenta en la que se creó el sistema de archivos FSx for Lustre (que es la misma cuenta que la SLR de S3), no en la cuenta a la que pertenece la clave KMS o el depósito de S3.
Utilice la función de IAM para llamar a la siguiente AWS KMS API a fin de crear una concesión para la SLR de S3, de forma que la SLR obtenga permiso para acceder a los objetos de S3. Para encontrar la ARN asociado a su SLR, busque sus roles de IAM utilizando el ID del sistema de archivos como cadena de búsqueda.
```
$ aws kms create-grant --region fs_account_region \
--key-id arn:aws:kms:s3_bucket_account_region:s3_bucket_account:key/key_id \
--grantee-principal arn:aws:iam::fs_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_file-system-id \
--operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"
```
Para obtener más información acerca de los roles vinculados a servicios, consulte [Uso de roles vinculados a servicios para Amazon FSx](using-service-linked-roles.md).