Resumen Requisitos previos y limitaciones Arquitectura Tools (Herramientas)Epics Recursos relacionados

Permitir a EC2 las instancias el acceso de escritura a los buckets de S3 en las cuentas de AMS

Mansi Suratwala, Amazon Web Services

Resumen

AWS Managed Services (AMS) le ayuda a operar su AWS infraestructura de manera más eficiente y segura. Las cuentas AMS tienen barreras de seguridad para una administración estandarizada de sus AWS recursos. Una barrera es que los perfiles de instancia predeterminados de Amazon Elastic Compute Cloud EC2 (Amazon) no permiten el acceso de escritura a los buckets de Amazon Simple Storage Service (Amazon S3). Sin embargo, es posible que su organización tenga varios buckets de S3 y necesite un mayor control sobre el acceso por parte de las instancias. EC2 Por ejemplo, es posible que desee almacenar las copias de seguridad de las bases de datos de EC2 las instancias en un depósito de S3.

Este patrón explica cómo usar las solicitudes de cambio (RFCs) para permitir que tus EC2 instancias tengan acceso de escritura a los buckets de S3 de tu cuenta de AMS. Una RFC es una solicitud creada por el interesado o por AMS para realizar un cambio en el entorno administrado y que incluye un identificador de tipo de cambio (CT) para una operación concreta.

Requisitos previos y limitaciones

Requisitos previos

Una cuenta de AMS Advanced. Para obtener más información al respecto, consulte los planes de operaciones de AMS en la documentación de AMS.
Acceso al customer-mc-user-role rol AWS Identity and Access Management (IAM) que se va a enviar. RFCs
AWS Command Line Interface (AWS CLI), instalado y configurado con las EC2 instancias de su cuenta AMS.
Comprensión de cómo crear y enviar RFCs en AMS. Para más información, consulte What are AMS change types? (¿Qué son los tipos de cambio de AMS?) en la documentación de AMS.
Comprensión de los tipos de cambios manuales y automatizados (CTs). Para obtener más información al respecto, consulte Automatizado y manual CTs en la documentación de AMS.

Arquitectura

Pila de tecnología

AMS
AWS CLI
Amazon EC2
Amazon S3
IAM

Tools (Herramientas)

AWS Command Line Interface (AWS CLI) es una herramienta de código abierto que te ayuda a interactuar Servicios de AWS mediante comandos en tu consola de línea de comandos.
AWS Identity and Access Management (IAM) le ayuda a administrar de forma segura el acceso a sus AWS recursos al controlar quién está autenticado y autorizado a usarlos.
AWS Managed Services (AMS) le ayuda a operar su infraestructura de AWS de forma más eficiente y segura.
Amazon Simple Storage Service (Amazon S3) es un servicio de almacenamiento de objetos basado en la nube que lo ayuda a almacenar, proteger y recuperar cualquier cantidad de datos.
Amazon Elastic Compute Cloud (Amazon EC2) proporciona una capacidad informática escalable en el Nube de AWS. Puede lanzar tantos servidores virtuales como necesite y escalarlos o reducirlos con rapidez.

Epics

Tarea	Descripción	Habilidades requeridas
Cree un bucket de S3 mediante una RFC automatizada.	Inicie sesión en su cuenta de AMS, elija la página Elegir el tipo de cambio, elija y RFCs, a continuación, elija Crear RFC. Envíe la RFC automatizada Crear bucket de S3. nota Asegúrese de registrar el nombre del bucket de S3.	Administrador de sistemas de AWS, desarrollador de AWS

Tarea Descripción Habilidades requeridas

Tarea	Descripción	Habilidades requeridas
Envíe una RFC manual para crear un rol de IAM.	Cuando se incorpora una cuenta de AMS, se crea un perfil de instancia de IAM predeterminado denominado y `customer-mc-ec2-instance-profile` se asocia a cada EC2 instancia de su cuenta de AMS. Sin embargo, el perfil de instancia no tiene permisos de escritura en los buckets de S3. Para añadir los permisos de escritura, envíe la RFC manual Create IAM Resource (Crear recurso de IAM) para crear un rol de IAM que tenga las tres políticas `customer_ec2_instance_`, `customer_deny_policy` y `customer_ec2_s3_integration_policy`. importante Las políticas `customer_ec2_instance_` y `customer_deny_policy` ya existen en su cuenta de AMS. Sin embargo, debe crear `customer_ec2_s3_integration_policy` mediante el ejemplo de política siguiente: { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } Role Permissions: { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload" ], "Resource": "arn:aws:s3:::/*", "Effect": "Allow" } ] }	Administrador de sistemas de AWS, desarrollador de AWS
Envíe una RFC manual para reemplazar el perfil de instancia de IAM.	Envíe una RFC manual para asociar las EC2 instancias de destino al nuevo perfil de instancia de IAM.	Administrador de sistemas de AWS, desarrollador de AWS
Pruebe una operación de copia en el bucket de S3.	Pruebe una operación de copia en el bucket de S3; para ello, ejecute el comando siguiente en la AWS CLI: `aws s3 cp test.txt s3://<S3 bucket>/test2.txt`	Administrador de sistemas de AWS, desarrollador de AWS

Envíe una RFC manual para crear un rol de IAM.

Cuando se incorpora una cuenta de AMS, se crea un perfil de instancia de IAM predeterminado denominado y customer-mc-ec2-instance-profile se asocia a cada EC2 instancia de su cuenta de AMS. Sin embargo, el perfil de instancia no tiene permisos de escritura en los buckets de S3.

Para añadir los permisos de escritura, envíe la RFC manual Create IAM Resource (Crear recurso de IAM) para crear un rol de IAM que tenga las tres políticas customer_ec2_instance_, customer_deny_policy y customer_ec2_s3_integration_policy.

importante

Las políticas customer_ec2_instance_ y customer_deny_policy ya existen en su cuenta de AMS. Sin embargo, debe crear customer_ec2_s3_integration_policy mediante el ejemplo de política siguiente:


{
  "Version": "2012-10-17",
   "Statement": [
    {
      "Sid": "",
       "Effect": "Allow",
       "Principal": {
         "Service": "ec2.amazonaws.com"
      },
       "Action": "sts:AssumeRole"
    }
  ]
}
 
Role Permissions:
{
     "Version": "2012-10-17",
     "Statement": [
        {
             "Action": [
                 "s3:ListBucket",
                 "s3:GetBucketLocation"
            ],
             "Resource": "arn:aws:s3:::",
             "Effect": "Allow"
        },
        {
             "Action": [
                 "s3:GetObject",
                 "s3:PutObject",
                 "s3:ListMultipartUploadParts",
                 "s3:AbortMultipartUpload"
            ],
             "Resource": "arn:aws:s3:::/*",
             "Effect": "Allow"
        }
    ]
}

Administrador de sistemas de AWS, desarrollador de AWS

Envíe una RFC manual para reemplazar el perfil de instancia de IAM.

Envíe una RFC manual para asociar las EC2 instancias de destino al nuevo perfil de instancia de IAM.

Administrador de sistemas de AWS, desarrollador de AWS

Pruebe una operación de copia en el bucket de S3.

Pruebe una operación de copia en el bucket de S3; para ello, ejecute el comando siguiente en la AWS CLI:


aws s3 cp test.txt s3://<S3 bucket>/test2.txt

Administrador de sistemas de AWS, desarrollador de AWS

Recursos relacionados

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Almacenamiento y copia de seguridad

Automatice la ingesta de flujos de datos en una base de datos de Snowflake

Permitir a EC2 las instancias el acceso de escritura a los buckets de S3 en las cuentas de AMS

Resumen

Requisitos previos y limitaciones

Arquitectura

Tools (Herramientas)

Epics

nota

importante

Recursos relacionados