Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menyiapkan izin untuk replikasi langsung
Saat menyiapkan replikasi langsung di Amazon S3, Anda harus memperoleh izin yang diperlukan sebagai berikut:
+ Anda harus memberikan AWS Identity and Access Management (IAM) prinsipal (pengguna atau peran) yang akan membuat aturan replikasi serangkaian izin tertentu.
+ Amazon S3 membutuhkan izin untuk mereplikasi objek atas nama Anda. Anda memberikan izin ini dengan membuat peran IAM lalu menentukan peran tersebut dalam konfigurasi replikasi Anda.
+ Jika bucket sumber dan tujuan tidak dimiliki oleh akun yang sama, pemilik bucket tujuan juga harus memberikan izin pemilik bucket sumber untuk menyimpan replika.
**catatan**
Jika Anda menggunakan Operasi Batch S3 untuk mereplikasi objek sesuai permintaan alih-alih menyiapkan replikasi langsung, peran dan kebijakan IAM yang berbeda diperlukan untuk Replikasi Batch S3. Untuk contoh peran dan kebijakan IAM Replikasi Batch, lihat. [Mengkonfigurasi peran IAM untuk Replikasi Batch S3](s3-batch-replication-policies.md)
**Topics**
+ [Langkah 1: Memberikan izin kepada kepala sekolah IAM yang membuat aturan replikasi](#setting-repl-config-role)
+ [Langkah 2: Membuat peran IAM untuk diasumsikan oleh Amazon S3](#setting-repl-config-same-acctowner)
+ [(Opsional) Langkah 3: Memberikan izin saat bucket sumber dan tujuan dimiliki oleh yang berbeda Akun AWS](#setting-repl-config-crossacct)
+ [(Opsional) Langkah 4: Memberikan izin untuk mengubah kepemilikan replika](#change-replica-ownership)
## Langkah 1: Memberikan izin kepada kepala sekolah IAM yang membuat aturan replikasi
Pengguna atau peran IAM yang akan Anda gunakan untuk membuat aturan replikasi memerlukan izin untuk membuat aturan replikasi untuk replikasi satu atau dua arah. Jika pengguna atau peran tidak memiliki izin ini, Anda tidak akan dapat membuat aturan replikasi. Untuk informasi selengkapnya, lihat [Identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) di Panduan Pengguna *IAM*.
Pengguna atau peran membutuhkan tindakan berikut:
+ `iam:AttachRolePolicy`
+ `iam:CreatePolicy`
+ `iam:CreateServiceLinkedRole`
+ `iam:PassRole`
+ `iam:PutRolePolicy`
+ `s3:GetBucketVersioning`
+ `s3:GetObjectVersionAcl`
+ `s3:GetObjectVersionForReplication`
+ `s3:GetReplicationConfiguration`
+ `s3:PutReplicationConfiguration`
Berikut ini adalah contoh kebijakan IAM yang mencakup tindakan ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetAccessPoint",
"s3:GetAccountPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketPolicyStatus",
"s3:GetBucketPublicAccessBlock",
"s3:ListAccessPoints",
"s3:ListAllMyBuckets",
"s3:PutReplicationConfiguration",
"s3:GetReplicationConfiguration",
"s3:GetBucketVersioning",
"s3:GetObjectVersionForReplication",
"s3:GetObjectVersionAcl",
"s3:GetObject",
"s3:ListBucket",
"s3:GetObjectVersion",
"s3:GetBucketOwnershipControls",
"s3:PutBucketOwnershipControls",
"s3:GetObjectLegalHold",
"s3:GetObjectRetention",
"s3:GetBucketObjectLockConfiguration"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1-*",
"arn:aws:s3:::amzn-s3-demo-bucket2-*/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:List*AccessPoint*",
"s3:GetMultiRegion*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:Get*",
"iam:CreateServiceLinkedRole",
"iam:CreateRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/service-role/s3*"
},
{
"Effect": "Allow",
"Action": [
"iam:List*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"iam:CreatePolicy"
],
"Resource": [
"arn:aws:iam::*:policy/service-role/s3*",
"arn:aws:iam::*:role/service-role/s3*"
]
}
]
}
```
------
## Langkah 2: Membuat peran IAM untuk diasumsikan oleh Amazon S3
Secara default, semua sumber daya Amazon S3—bucket, objek, dan subsumber terkait—bersifat privat dan hanya pemilik sumber daya yang bisa mengakses sumber daya. Amazon S3 membutuhkan izin untuk membaca dan mereplikasi objek dari bucket sumber. Anda memberikan izin ini dengan membuat peran IAM dan menentukan peran tersebut dalam konfigurasi replikasi Anda.
Bagian ini menjelaskan kebijakan kepercayaan dan kebijakan izin minimum yang diperlukan yang dilampirkan pada peran IAM ini. Contoh penelusuran memberikan step-by-step instruksi untuk membuat peran IAM. Untuk informasi selengkapnya, lihat [Contoh untuk mengonfigurasi replikasi langsung](replication-example-walkthroughs.md).
**catatan**
Jika Anda menggunakan konsol untuk membuat konfigurasi replikasi, sebaiknya lewati bagian ini dan sebaliknya minta konsol membuat peran IAM ini dan kebijakan kepercayaan dan izin yang diperlukan untuk Anda.
*Kebijakan kepercayaan* mengidentifikasi identitas utama mana yang dapat mengambil peran IAM. *Kebijakan izin* menentukan tindakan yang dapat dilakukan peran IAM, sumber daya mana, dan dalam kondisi apa.
+ Contoh berikut menunjukkan *kebijakan kepercayaan* di mana Anda mengidentifikasi Amazon S3 sebagai Layanan AWS prinsipal yang dapat mengambil peran:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"s3.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
+ Contoh berikut menunjukkan *kebijakan kepercayaan* tempat Anda mengidentifikasi Operasi Batch Amazon S3 dan S3 sebagai prinsip layanan yang dapat mengambil peran tersebut. Gunakan pendekatan ini jika Anda membuat pekerjaan Replikasi Batch. Untuk informasi selengkapnya, lihat [Buat pekerjaan Replikasi Batch untuk aturan atau tujuan replikasi baru](s3-batch-replication-new-config.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service": [
"s3.amazonaws.com",
"batchoperations.s3.amazonaws.com"
]
},
"Action":"sts:AssumeRole"
}
]
}
```
------
Untuk informasi selengkapnya tentang peran IAM, lihat [Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) dalam *Panduan Pengguna IAM*.
+ Contoh berikut menunjukkan *kebijakan izin*, tempat Anda memberikan izin peran IAM untuk melakukan tugas replikasi atas nama Anda. Saat Amazon S3 memegang peran tersebut, Amazon S3 memiliki izin yang Anda tentukan dalam kebijakan ini. Dalam kebijakan ini, `{{amzn-s3-demo-source-bucket}}` adalah bucket sumber, dan `{{amzn-s3-demo-destination-bucket}}` merupakan bucket tujuan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetReplicationConfiguration",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{amzn-s3-demo-source-bucket}}"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObjectVersionForReplication",
"s3:GetObjectVersionAcl",
"s3:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3:::{{amzn-s3-demo-source-bucket}}/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ReplicateObject",
"s3:ReplicateDelete",
"s3:ReplicateTags"
],
"Resource": "arn:aws:s3:::{{amzn-s3-demo-destination-bucket}}/*"
}
]
}
```
------
Kebijakan izin memberikan izin untuk tindakan berikut:
+ `s3:GetReplicationConfiguration`dan `s3:ListBucket` — Izin untuk tindakan ini di `{{amzn-s3-demo-source-bucket}}` bucket memungkinkan Amazon S3 untuk mengambil konfigurasi replikasi dan mencantumkan konten bucket. (Model izin saat ini memerlukan izin `s3:ListBucket` untuk mengakses penanda hapus.)
+ `s3:GetObjectVersionForReplication` dan `s3:GetObjectVersionAcl`–Izin untuk tindakan ini diberikan pada semua objek untuk memungkinkan Amazon S3 mendapatkan versi objek tertentu dan daftar kontrol akses (ACL) yang terkait dengan objek.
+ `s3:ReplicateObject`dan `s3:ReplicateDelete` — Izin untuk tindakan ini pada semua objek di `{{amzn-s3-demo-destination-bucket}}` bucket memungkinkan Amazon S3 mereplikasi objek atau menghapus penanda ke bucket tujuan. Untuk informasi tentang penanda hapus, lihat [Bagaimana cara menghapus operasi yang memengaruhi replikasi](replication-what-is-isnot-replicated.md#replication-delete-op).
**catatan**
Izin untuk `s3:ReplicateObject` tindakan pada `{{amzn-s3-demo-destination-bucket}}` bucket juga memungkinkan replikasi metadata seperti tag objek dan. ACLs Oleh karena itu, Anda tidak perlu secara eksplisit memberikan izin untuk tindakan `s3:ReplicateTags` tersebut.
+ `s3:GetObjectVersionTagging`— Izin untuk tindakan ini pada objek di `{{amzn-s3-demo-source-bucket}}` bucket memungkinkan Amazon S3 membaca tag objek untuk replikasi. Untuk informasi selengkapnya tentang tag objek, lihat [Mengkategorikan objek Anda menggunakan tag](object-tagging.md). Jika Amazon S3 tidak memiliki `s3:GetObjectVersionTagging` izin, itu mereplikasi objek, tetapi bukan tag objek.
*Untuk daftar tindakan Amazon S3, lihat [Tindakan, sumber daya, dan kunci kondisi untuk Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#list_amazons3-actions-as-permissions) di Referensi Otorisasi Layanan.*
Untuk informasi selengkapnya tentang izin operasi S3 API menurut jenis sumber daya S3, lihat. [Izin yang diperlukan untuk operasi API Amazon S3](using-with-s3-policy-actions.md)
**penting**
Akun AWS Yang memiliki peran IAM harus memiliki izin untuk tindakan yang diberikannya ke peran IAM.
Misalnya, anggaplah bucket sumber berisi objek yang dimiliki oleh Akun AWS lain. Pemilik objek harus secara eksplisit memberikan Akun AWS yang memiliki peran IAM izin yang diperlukan melalui daftar kontrol akses objek (). ACLs Jika tidak, Amazon S3 tidak dapat mengakses objek, dan replikasi objek akan gagal. Untuk informasi tentang izin ACL, lihat [Gambaran umum daftar kontrol akses (ACL)](acl-overview.md).
Izin yang dijelaskan di sini terkait dengan konfigurasi replikasi minimum. Jika Anda memilih untuk menambahkan konfigurasi replikasi opsional, Anda harus memberikan izin tambahan ke Amazon S3:
Untuk mereplikasi objek terenkripsi, Anda juga perlu memberikan izin kunci AWS Key Management Service (AWS KMS) yang diperlukan. Untuk informasi selengkapnya, lihat [Mereplikasi objek terenkripsi (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
Untuk menggunakan Object Lock dengan replikasi, Anda harus memberikan dua izin tambahan pada bucket S3 sumber dalam peran AWS Identity and Access Management (IAM) yang Anda gunakan untuk mengatur replikasi. Dua izin tambahan tersebut adalah `s3:GetObjectRetention` dan`s3:GetObjectLegalHold`. Jika peran tersebut memiliki pernyataan izin `s3:Get*`, pernyataan itu memenuhi persyaratan. Untuk informasi selengkapnya, lihat [Menggunakan Kunci Objek dengan Replikasi S3](object-lock-managing.md#object-lock-managing-replication).
## (Opsional) Langkah 3: Memberikan izin saat bucket sumber dan tujuan dimiliki oleh yang berbeda Akun AWS
Jika bucket sumber dan tujuan tidak dimiliki oleh akun yang sama, pemilik bucket tujuan juga harus menambahkan kebijakan bucket untuk memberikan izin kepada pemilik bucket sumber agar melakukan tindakan replikasi, seperti yang ditunjukkan pada contoh berikut. Dalam contoh kebijakan ini, `{{amzn-s3-demo-destination-bucket}}` adalah bucket tujuan.
Anda juga dapat menggunakan konsol Amazon S3 untuk membuat kebijakan bucket ini secara otomatis untuk Anda. Untuk informasi selengkapnya, lihat [Mengaktifkan penerimaan objek yang direplikasi dari keranjang sumber](#receiving-replicated-objects).
**catatan**
Format ARN peran mungkin tampak berbeda. Jika peran dibuat dengan menggunakan konsol, format ARN adalah. `arn:aws:iam::{{account-ID}}:role/service-role/{{role-name}}` Jika peran dibuat dengan menggunakan AWS CLI, format ARN adalah. `arn:aws:iam::{{account-ID}}:role/{{role-name}}` Untuk informasi selengkapnya, lihat [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html) dalam *Panduan Pengguna IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PolicyForDestinationBucket",
"Statement": [
{
"Sid": "Permissions on objects",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:{{role/service-role/source-account-IAM-role}}"
},
"Action": [
"s3:ReplicateDelete",
"s3:ReplicateObject"
],
"Resource": "arn:aws:s3:::{{amzn-s3-demo-destination-bucket}}/*"
},
{
"Sid": "Permissions on bucket",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:{{role/service-role/source-account-IAM-role}}"
},
"Action": [
"s3:List*",
"s3:GetBucketVersioning",
"s3:PutBucketVersioning"
],
"Resource": "arn:aws:s3:::{{amzn-s3-demo-destination-bucket}}"
}
]
}
```
------
Sebagai contoh, lihat [Mengkonfigurasi replikasi untuk bucket di akun yang berbeda](replication-walkthrough-2.md).
Jika objek dalam bucket sumber ditandai, perhatikan hal berikut:
+ Jika pemilik bucket sumber memberikan izin kepada Amazon S3 untuk tindakan `s3:GetObjectVersionTagging` dan `s3:ReplicateTags` guna mereplikasi tag objek (melalui peran IAM), Amazon S3 mereplikasi tag beserta objek. Untuk informasi tentang peran IAM, lihat [Langkah 2: Membuat peran IAM untuk diasumsikan oleh Amazon S3](#setting-repl-config-same-acctowner).
+ Jika pemilik bucket tujuan tidak ingin mereplikasi tag, mereka dapat menambahkan pernyataan berikut ke kebijakan bucket tujuan untuk secara eksplisit menolak izin bagi tindakan `s3:ReplicateTags`. Dalam kebijakan ini, `{{amzn-s3-demo-destination-bucket}}` adalah bucket tujuan.
```
...
"Statement":[
{
"Effect":"Deny",
"Principal":{
"AWS":"arn:aws:iam::{{source-bucket-account-id}}:{{role/service-role/source-account-IAM-role}}"
},
"Action":"s3:ReplicateTags",
"Resource":"arn:aws:s3:::{{amzn-s3-demo-destination-bucket}}/*"
}
]
...
```
**catatan**
Jika Anda ingin mereplikasi objek terenkripsi, Anda juga harus memberikan izin kunci AWS Key Management Service (AWS KMS) yang diperlukan. Untuk informasi selengkapnya, lihat [Mereplikasi objek terenkripsi (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
Untuk menggunakan Object Lock dengan replikasi, Anda harus memberikan dua izin tambahan pada bucket S3 sumber dalam peran AWS Identity and Access Management (IAM) yang Anda gunakan untuk mengatur replikasi. Dua izin tambahan tersebut adalah `s3:GetObjectRetention` dan`s3:GetObjectLegalHold`. Jika peran tersebut memiliki pernyataan izin `s3:Get*`, pernyataan itu memenuhi persyaratan. Untuk informasi selengkapnya, lihat [Menggunakan Kunci Objek dengan Replikasi S3](object-lock-managing.md#object-lock-managing-replication).
**Aktifkan menerima objek yang direplikasi dari bucket sumber**
Alih-alih menambahkan kebijakan sebelumnya secara manual ke bucket tujuan, Anda dapat dengan cepat membuat kebijakan yang diperlukan untuk mengaktifkan penerimaan objek yang direplikasi dari bucket sumber melalui konsol Amazon S3.
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Di panel navigasi kiri, pilih **Bucket**.
1. Di daftar **Bucket**, pilih bucket yang ingin Anda gunakan sebagai bucket tujuan.
1. Pilih tab **Manajemen**, lalu gulir ke bawah ke **Aturan replikasi**.
1. Untuk **Tindakan**, pilih **Menerima objek yang direplikasi**.
Ikuti petunjuknya dan masukkan Akun AWS ID akun bucket sumber, lalu pilih **Buat kebijakan**. Konsol menghasilkan kebijakan bucket Amazon S3 dan kebijakan kunci KMS.
1. Untuk menambahkan kebijakan ini ke kebijakan bucket yang ada, pilih **Terapkan pengaturan** atau pilih **Salin** untuk menyalin perubahan secara manual.
1. (Opsional) Salin AWS KMS kebijakan ke kebijakan kunci KMS yang Anda inginkan di AWS Key Management Service konsol.
## (Opsional) Langkah 4: Memberikan izin untuk mengubah kepemilikan replika
Jika berbeda Akun AWS memiliki bucket sumber dan tujuan, Anda dapat memberi tahu Amazon S3 untuk mengubah kepemilikan replika ke bucket Akun AWS yang memiliki tujuan. Untuk mengganti kepemilikan replika, Anda harus memberikan beberapa izin tambahan atau menyesuaikan pengaturan Kepemilikan Objek S3 untuk bucket tujuan. Untuk informasi selengkapnya tentang penggantian pemilik, lihat [Mengubah pemilik replika](replication-change-owner.md).