Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWSSupport-ConfigureS3ReplicationSameAndCrossAccount
Deskripsi
Runbook AWSSupport-ConfigureS3ReplicationSameAndCrossAccount otomatisasi mengonfigurasi replikasi bucket Amazon Simple Storage Service (Amazon S3) antara bucket sumber dan tujuan untuk akun yang sama atau lintas akun. Otomatisasi ini mendukung replikasi bucket yang dienkripsi dengan Enkripsi Sisi Server dengan Amazon S3-Managed Keys (SSE-S3) dan Enkripsi Sisi Server dengan (SSE-KMS). AWS Key Management Service Ini juga mendukung pemfilteran replikasi selektif berbasis awalan dan tag, Kontrol Waktu Replikasi Amazon S3 (Amazon S3 RTC) dengan SLA 15 menit, dan hapus replikasi penanda. Otomatisasi melakukan tindakan berikut:
Memvalidasi parameter input dan konfigurasi bucket untuk kompatibilitas.
Memeriksa pengaturan enkripsi pada bucket sumber dan tujuan.
Membuat peran baru AWS Identity and Access Management (IAM) dengan izin yang sesuai untuk replikasi jika tidak disediakan sebagai input.
Mengkonfigurasi aturan replikasi berdasarkan parameter tertentu (awalan, tag, atau seluruh bucket).
Mengaktifkan pembuatan versi bucket jika belum diaktifkan.
Menyiapkan konfigurasi replikasi dengan fitur opsional seperti Replication Time Control (RTC) dan hapus replikasi penanda.
penting
-
Otomatisasi ini tidak mendukung bucket dengan aturan replikasi yang ada. Bucket sumber tidak boleh memiliki konfigurasi replikasi yang ada.
-
Otomatisasi ini menciptakan peran IAM baru dengan izin yang sesuai untuk replikasi jika ReplicationRole input S3 tidak disediakan.
-
Otomatisasi ini tidak mereplikasi objek yang ada. Replikasi Amazon S3 hanya berlaku untuk objek uploaded/created setelah konfigurasi replikasi diaktifkan.
-
Untuk replikasi lintas akun, Anda harus memberikan peran IAM di akun tujuan dengan izin yang sesuai untuk operasi dan AWS KMS operasi Amazon S3 (jika bucket menggunakan enkripsi). AWS KMS
-
Otomatisasi ini menggunakan
aws:approvetindakan, yang menghentikan sementara eksekusi hingga kepala sekolah yang ditunjuk menyetujui perubahan konfigurasi. Lihat Menjalankan otomatisasi dengan pemberi persetujuan untuk informasi selengkapnya.
Bagaimana cara kerjanya?
Runbook melakukan langkah-langkah berikut:
ValidateInputParameters: Memvalidasi semua parameter input untuk kebenaran dan kompatibilitas untuk memastikan konfigurasi replikasi yang tepat.
PrepareApprovalMessage: Menyiapkan pesan persetujuan dengan semua parameter konfigurasi replikasi untuk tinjauan pengguna.
RequestApproval: Meminta persetujuan dari pengguna yang berwenang sebelum menambahkan konfigurasi replikasi Amazon S3 pada bucket sumber.
CheckBucketEncryption: Memeriksa konfigurasi enkripsi untuk bucket Amazon S3 sumber dan tujuan untuk menentukan pengaturan replikasi yang kompatibel.
BranchOnEncryptionType: Eksekusi cabang berdasarkan jenis enkripsi bucket Amazon S3 untuk menerapkan konfigurasi replikasi yang sesuai untuk bucket terenkripsi SSE-S3 atau SSE-KMS.
Konfigurasi SSES3 Replikasi: Mengonfigurasi replikasi Amazon S3 untuk bucket yang dienkripsi dengan Enkripsi Sisi Server dengan Amazon S3-Managed Keys (SSE-S3), termasuk peran IAM dan aturan replikasi.
Konfigurasi SSEKMSReplication: Mengonfigurasi replikasi Amazon S3 untuk bucket yang dienkripsi dengan Enkripsi Sisi Server AWS KMS dengan (SSE-KMS), termasuk peran IAM, izin kunci KMS, dan aturan replikasi.
CleanupResources: Membersihkan peran IAM yang dibuat selama konfigurasi replikasi gagal saat S3 tidak ReplicationRole disediakan sebagai input.
Izin IAM yang diperlukan
AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.
s3: ListBucket
s3: GetBucketVersioning
s3: GetEncryptionConfiguration
s3: GetBucketLocation
s3: GetReplicationConfiguration
s3: PutBucketVersioning
s3: PutReplicationConfiguration
saya: ListRoles
saya: GetRole
saya: GetRolePolicy
saya: ListRoleTags
saya: ListAttachedRolePolicies
saya: ListRolePolicies
saya: SimulatePrincipalPolicy
saya: CreateRole
saya: TagRole
saya: PassRole
saya: DeleteRole
saya: DeleteRolePolicy
saya: DetachRolePolicy
saya: PutRolePolicy
sts: GetCallerIdentity
SNS:Publish
kms: GetKeyPolicy (saat bucket menggunakan SSE-KMS, replikasi akun yang sama)
kms: DescribeKey (saat bucket menggunakan SSE-KMS, replikasi akun yang sama)
kms: PutKeyPolicy (saat bucket menggunakan SSE-KMS, replikasi akun yang sama)
sts: AssumeRole (untuk replikasi lintas akun)
CrossAccountReplicationRole (untuk skenario lintas akun):
Untuk replikasi lintas akun, Anda harus memberikan CrossAccountReplicationRole izin berikut di akun tujuan:
s3: ListBucket
s3: GetBucketVersioning
s3: GetBucketLocation
s3: GetBucketPolicy
s3: GetEncryptionConfiguration
s3: PutBucketVersioning
s3: PutBucketPolicy
kms: GetKeyPolicy (saat bucket tujuan lintas akun menggunakan SSE-KMS)
kms: DescribeKey (saat bucket tujuan lintas akun menggunakan SSE-KMS)
kms: PutKeyPolicy (saat bucket tujuan lintas akun menggunakan SSE-KMS)
S3 ReplicationRole (peran yang disediakan pelanggan):
Jika Anda memberikan S3 yang adaReplicationRole, itu harus memiliki izin berikut:
s3: ListBucket
s3: GetBucketLocation
s3: GetReplicationConfiguration
s3: GetObjectVersionAcl
s3: GetObjectVersionTagging
s3: GetObjectVersionForReplication
s3: GetObjectTagging
s3: ReplicateObject
s3: ReplicateDelete
s3: ReplicateTags
s3: ObjectOwnerOverrideToBucketOwner
KMS: Dekripsi (untuk skenario SSE-KMS, kunci KMS sumber)
KMS: Enkripsi (untuk skenario SSE-KMS, kunci KMS tujuan)
kms: GenerateDataKey (untuk skenario SSE-KMS, kunci KMS tujuan)
kms: ReEncrypt * (untuk skenario SSE-KMS, kunci KMS tujuan)
Contoh AutomationAssumeRolekebijakan untuk replikasi akun yang sama:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Permissions", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetEncryptionConfiguration", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutReplicationConfiguration" ], "Resource": [ "arn:aws:s3:::SOURCE_BUCKET", "arn:aws:s3:::DESTINATION_BUCKET" ] }, { "Sid": "IAMReadOperations", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetRolePolicy", "iam:ListRoleTags", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:SimulatePrincipalPolicy" ], "Resource": "*" }, { "Sid": "IAMListRolesForCleanup", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMCreateAndTagRole", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:TagRole" ], "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:RequestTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "IAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringEquals": { "iam:PassedToService": "s3.amazonaws.com" } } }, { "Sid": "TaggedIAMRoleModifyAndDeleteOperations", "Effect": "Allow", "Action": [ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:ResourceTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "STSGetCallerIdentity", "Effect": "Allow", "Action": "sts:GetCallerIdentity", "Resource": "*" }, { "Sid": "SNSPublish", "Effect": "Allow", "Action": "sns:Publish", "Resource": "SNS_TOPIC_ARN" }, { "Sid": "KMSKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:REGION:ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "arn:aws:kms:REGION:ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" ] }, { "Sid": "KMSKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": [ "arn:aws:kms:REGION:ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "arn:aws:kms:REGION:ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" ], "Condition": { "StringEquals": { "kms:CallerAccount": "ACCOUNT_ID" } } } ] }
catatan
Pernyataan Kebijakan (KMSKeyReadOperations dan KMSKeyMutatingOperations) hanya diperlukan ketika bucket menggunakan enkripsi SSE-KMS.
Contoh AutomationAssumeRolekebijakan untuk replikasi lintas akun:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3SourceBucketOperations", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetEncryptionConfiguration", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutReplicationConfiguration" ], "Resource": "arn:aws:s3:::SOURCE_BUCKET" }, { "Sid": "IAMReadOperations", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetRolePolicy", "iam:ListRoleTags", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:SimulatePrincipalPolicy" ], "Resource": "*" }, { "Sid": "IAMListRolesForCleanup", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMCreateAndTagRole", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:TagRole" ], "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:RequestTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "IAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringEquals": { "iam:PassedToService": "s3.amazonaws.com" } } }, { "Sid": "TaggedIAMRoleModifyAndDeleteOperations", "Effect": "Allow", "Action": [ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:ResourceTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "CrossAccountRoleAssumption", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "CROSS_ACCOUNT_REPLICATION_ROLE_ARN" }, { "Sid": "STSGetCallerIdentity", "Effect": "Allow", "Action": "sts:GetCallerIdentity", "Resource": "*" }, { "Sid": "SNSPublish", "Effect": "Allow", "Action": "sns:Publish", "Resource": "SNS_TOPIC_ARN" }, { "Sid": "KMSSourceKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID" }, { "Sid": "KMSSourceKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "Condition": { "StringEquals": { "kms:CallerAccount": "SOURCE_ACCOUNT_ID" } } } ] }
catatan
Pernyataan Kebijakan (KMSSourceKeyReadOperations dan KMSSourceKeyMutatingOperations) hanya diperlukan jika bucket sumber menggunakan enkripsi SSE-KMS.
Ganti CROSS_ACCOUNT_REPLICATION_ROLE_ARN dengan nilai parameter aktual yang Anda berikan ke otomatisasi. CrossAccountReplicationRole
Contoh CrossAccountReplicationRolekebijakan:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3DestinationBucketReadOperations", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:GetEncryptionConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutBucketPolicy" ], "Resource": "arn:aws:s3:::DESTINATION_BUCKET" }, { "Sid": "KMSDestinationKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" }, { "Sid": "KMSDestinationKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID", "Condition": { "StringEquals": { "kms:CallerAccount": "DESTINATION_ACCOUNT_ID" } } } ] }
catatan
Pernyataan KMS (KMSDestinationKeyReadOperations dan KMSDestinationKeyMutatingOperations) hanya diperlukan jika bucket tujuan menggunakan enkripsi SSE-KMS. Hapus pernyataan ini untuk skenario SSE-S3.
Contoh kebijakan CrossAccountReplicationRole kepercayaan:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "AUTOMATION_ASSUME_ROLE_ARN" }, "Action": "sts:AssumeRole" } ] }
catatan
Ganti AUTOMATION_ASSUME_ROLE_ARN dengan nilai parameter aktual yang Anda berikan ke otomatisasi. AutomationAssumeRole
Contoh ReplicationRole kebijakan S3:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3SourceBucketPermissions", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTagging", "s3:GetObjectVersionForReplication", "s3:GetObjectTagging" ], "Resource": [ "arn:aws:s3:::SOURCE_BUCKET", "arn:aws:s3:::SOURCE_BUCKET/*" ] }, { "Sid": "S3DestinationBucketPermissions", "Effect": "Allow", "Action": [ "s3:ReplicateObject", "s3:ReplicateDelete", "s3:ReplicateTags" ], "Resource": "arn:aws:s3:::DESTINATION_BUCKET/*" }, { "Sid": "S3CrossAccountPermissions", "Effect": "Allow", "Action": "s3:ObjectOwnerOverrideToBucketOwner", "Resource": "arn:aws:s3:::DESTINATION_BUCKET/*" }, { "Sid": "KMSSourceKeyPermissions", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID" }, { "Sid": "KMSDestinationKeyPermissions", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey", "kms:ReEncrypt*" ], "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" } ] }
catatan
Pernyataan KMS (KMSSourceKeyPermissions dan KMSDestinationKeyPermissions) hanya diperlukan ketika bucket menggunakan enkripsi SSE-KMS.
CrossAccountPermissions Pernyataan S3 hanya diperlukan untuk replikasi bucket lintas akun.
Contoh kebijakan ReplicationRole kepercayaan S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Instruksi
Ikuti langkah-langkah ini untuk mengonfigurasi otomatisasi:
-
Arahkan ke
AWSSupport-ConfigureS3ReplicationSameAndCrossAccountSystems Manager di bawah Documents. -
Pilih Jalankan otomatisasi.
-
Untuk parameter input, masukkan yang berikut ini:
-
AutomationAssumeRole (Diperlukan):
-
Deskripsi: (Diperlukan) Nama Sumber Daya Amazon (ARN) dari peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.
-
Tipe:
AWS::IAM::Role::Arn
-
-
SourceBucket (Diperlukan):
-
Deskripsi: (Wajib) Nama bucket Amazon S3 sumber tempat aturan replikasi akan dibuat atau diperbarui.
-
Tipe:
AWS::S3::Bucket::Name
-
-
DestinationBucket (Diperlukan):
-
Deskripsi: (Wajib) Nama bucket Amazon S3 tujuan tempat objek akan direplikasi.
-
Tipe:
String -
Pola yang Diizinkan:
^[0-9a-z][a-z0-9\\-\\.]{3,63}$
-
-
SourceAccountId (Diperlukan):
-
Deskripsi: (Wajib) ID AWS Akun tempat bucket sumber berada.
-
Tipe:
String -
Pola yang Diizinkan:
^[0-9]{12,13}$
-
-
DestinationAccountId (Diperlukan):
-
Deskripsi: (Wajib) ID AWS Akun tempat bucket tujuan berada.
-
Tipe:
String -
Pola yang Diizinkan:
^[0-9]{12,13}$
-
-
SnsNotificationArn (Diperlukan):
-
Deskripsi: (Wajib) ARN dari Amazon Simple Notification Service (Amazon SNS) topik untuk persetujuan Otomasi.
-
Tipe:
String -
Pola yang Diizinkan:
^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):sns:[a-z]{2}(-gov)?(-iso[a-z]?)?-[a-z]{2,10}-[0-9]{1,2}:\\d{12}:[0-9a-zA-Z-_]{1,256}(.fifo)?$
-
-
Penyetuju (Wajib):
-
Deskripsi: (Wajib) Daftar IAM yang user/role ARNs berwenang untuk menyetujui eksekusi otomatisasi.
-
Tipe:
StringList -
Pola yang Diizinkan:
^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:(user|role)/[\\w+=,.@\\-/]+$
-
-
S3 ReplicationRole (Opsional):
-
Deskripsi: (Opsional) ARN dari peran IAM yang ada untuk digunakan untuk operasi replikasi Amazon S3. Peran ini harus memiliki izin untuk membaca dari bucket sumber dan menulis ke bucket tujuan, termasuk izin KMS jika bucket menggunakan enkripsi SSE-KMS. Jika tidak disediakan, otomatisasi akan membuat peran baru dengan izin yang sesuai.
-
Tipe:
String -
Pola yang Diizinkan:
^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:role/[\\w+=,.@\\-/]+$ -
Default:
""
-
-
CrossAccountReplicationRole (Opsional):
-
Deskripsi: (Opsional) ARN peran IAM dalam akun tujuan yang dapat diasumsikan oleh otomatisasi. Ini diperlukan untuk replikasi lintas akun. Untuk replikasi akun yang sama, biarkan ini kosong.
-
Tipe:
String -
Pola yang Diizinkan:
^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:role/[\\w+=,.@\\-/]+$ -
Default:
""
-
-
ReplicateEntireBucket (Opsional):
-
Deskripsi: (Opsional) Jika disetel ke
true, seluruh bucket akan direplikasi dan Awalan dan Tag harus kosong. Jika salah, replikasi akan didasarkan pada awalan atau tag yang ditentukan. -
Tipe:
Boolean -
Nilai yang Diizinkan:
[true, false] -
Default:
true
-
-
ReplicationRuleStatus (Opsional):
-
Deskripsi: (Opsional) Jika diatur ke
true, aturan replikasi yang dibuat akan diaktifkan. Jika disetel kefalse, aturan replikasi yang dibuat akan disetel ke Dinonaktifkan. -
Tipe:
Boolean -
Nilai yang Diizinkan:
[true, false] -
Default:
true
-
-
DeleteMarkerReplicationStatus (Opsional):
-
Deskripsi: (Opsional) Jika disetel ke
true, otomatisasi memungkinkan replikasi penanda hapus. -
Tipe:
Boolean -
Nilai yang Diizinkan:
[true, false] -
Default:
false
-
-
ReplicationTimeControl (Opsional):
-
Deskripsi: (Opsional) Jika disetel ke
true, aktifkan Kontrol Waktu Replikasi Amazon S3 (Amazon S3 RTC) dengan SLA 15 menit untuk waktu replikasi yang dapat diprediksi. -
Tipe:
Boolean -
Nilai yang Diizinkan:
[true, false] -
Default:
false
-
-
ReplicaModifications (Opsional):
-
Deskripsi: (Opsional) Jika disetel ke
true, memungkinkan replikasi perubahan metadata yang dibuat ke objek replika, memungkinkan modifikasi pada objek yang direplikasi untuk disinkronkan kembali ke sumber. -
Tipe:
Boolean -
Nilai yang Diizinkan:
[true, false] -
Default:
false
-
-
Awalan (Opsional):
-
Deskripsi: (Opsional) Filter awalan untuk replikasi selektif objek dengan awalan kunci tertentu. Awalan harus diakhiri dengan garis miring (/) untuk pemfilteran awalan Amazon S3 yang tepat.
-
Tipe:
String -
Pola yang Diizinkan:
^$|^[a-zA-Z0-9!_'()\\-]*/+$ -
Default:
""
-
-
Tag (Opsional):
-
Deskripsi: (Opsional) JSON array tag untuk memfilter objek untuk direplikasi. Format untuk tag tunggal: [{"Key”:” TagKey “, "Value”:” TagValue “}] dan untuk beberapa tag: [{" Key”:” TagKey 1", "Value”:” TagValue 1"}, {"Key”:” TagKey 2", "Value”:” TagValue 2"}].
-
Tipe:
String -
Pola yang Diizinkan:
^\\[((\\{\"Key\":\"[a-zA-Z0-9+\\-=.:/ @\\s]{1,128}\",\"Value\":\"[a-zA-Z0-9+\\-=.:/@\\s]{0,256}\"\\})(,\\{\"Key\":\"[a-zA-Z0-9+\\-=.:/ @\\s]{1,128}\",\"Value\":\"[a-zA-Z0-9+\\-=.:/@\\s]{0,256}\"\\})*)?\\]$ -
Default:
[]
-
-
-
Pilih Jalankan.
-
Otomatisasi dimulai.
-
Dokumen melakukan langkah-langkah berikut:
-
ValidateInputParameters:
Memvalidasi semua parameter input untuk kebenaran dan kompatibilitas untuk memastikan konfigurasi replikasi yang tepat.
-
PrepareApprovalMessage:
Menyiapkan pesan persetujuan dengan semua parameter konfigurasi replikasi untuk tinjauan pengguna.
-
RequestApproval:
Meminta persetujuan dari pengguna yang berwenang sebelum melanjutkan dengan perubahan konfigurasi replikasi Amazon S3.
-
CheckBucketEncryption:
Memeriksa konfigurasi enkripsi untuk bucket Amazon S3 sumber dan tujuan untuk menentukan pengaturan replikasi yang kompatibel.
-
BranchOnEncryptionType:
Eksekusi cabang berdasarkan jenis enkripsi bucket Amazon S3 untuk menerapkan konfigurasi replikasi yang sesuai untuk bucket terenkripsi SSE-S3 atau SSE-KMS.
-
Konfigurasikan SSES3 Replikasi:
Mengonfigurasi replikasi Amazon S3 untuk bucket yang dienkripsi dengan Enkripsi Sisi Server dengan Amazon S3-Managed Keys (SSE-S3), termasuk peran IAM dan aturan replikasi.
-
Konfigurasikan SSEKMSReplication:
Mengonfigurasi replikasi Amazon S3 untuk bucket yang dienkripsi dengan Enkripsi Sisi Server AWS KMS dengan (SSE-KMS), termasuk peran IAM, izin kunci KMS, dan aturan replikasi.
-
CleanupResources:
Membersihkan peran IAM yang dibuat selama konfigurasi replikasi gagal saat S3 tidak disediakan ReplicationRole oleh pelanggan.
-
-
Setelah selesai, tinjau output dari langkah Configure SSES3 Replication (untuk bucket terenkripsi SSE-S3) atau SSEKMSReplication langkah Configure (untuk bucket terenkripsi SSE-KMS) untuk hasil eksekusi, termasuk status konfigurasi replikasi bersama dengan peran IAM yang digunakan untuk Replikasi.
Referensi
Otomatisasi Systems Manager
