Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Collegamento del file system a un bucket Amazon S3
Collegamento del file system a un bucket S3

Puoi collegare il tuo file system Amazon FSx for Lustre ai repository di dati in Amazon S3. Puoi creare il link durante la creazione del file system o in qualsiasi momento dopo la creazione del file system.

Un collegamento tra una directory sul file system e un bucket o prefisso S3 è chiamato *associazione di repository di dati* (DRA). È possibile configurare un massimo di 8 associazioni di repository di dati su un file system for Lustre. FSx È possibile mettere in coda un massimo di 8 richieste DRA, ma è possibile elaborare solo una richiesta alla volta per il file system. Ogni DRA deve avere una directory del file system univoca FSx per Lustre e un bucket o prefisso S3 univoco ad essa associato.

**Nota**  
 Le associazioni di archivi di dati, l'esportazione automatica e il supporto per più archivi di dati non sono disponibili sui file system o sui file system Lustre FSx 2.10. `Scratch 1` 

Per accedere agli oggetti nell'archivio di dati S3 come file e directory sul file system, i metadati di file e directory devono essere caricati nel file system. È possibile caricare i metadati da un archivio di dati collegato quando si crea il DRA o caricare i metadati per batch di file e directory a cui si desidera accedere utilizzando il file system FSx for Lustre in un secondo momento utilizzando un'attività di importazione dell'archivio dati oppure utilizzare l'esportazione automatica per caricare automaticamente i metadati quando gli oggetti vengono aggiunti, modificati o eliminati dall'archivio dati.

È possibile configurare un DRA solo per l'importazione automatica, solo per l'esportazione automatica o per entrambi. Un'associazione di repository di dati configurata sia con l'importazione automatica che con l'esportazione automatica propaga i dati in entrambe le direzioni tra il file system e il bucket S3 collegato. Quando apporti modifiche ai dati nel tuo repository di dati S3, FSx for Lustre rileva le modifiche e quindi importa automaticamente le modifiche nel tuo file system. Quando crei, modifichi o elimini file, FSx for Lustre esporta automaticamente le modifiche in Amazon S3 in modo asincrono una volta che l'applicazione ha terminato la modifica del file.

**Importante**  
Se modifichi lo stesso file sia nel file system che nel bucket S3, devi garantire il coordinamento a livello di applicazione per evitare conflitti. FSx for Lustre non impedisce scritture in conflitto in più posizioni.
Per i file contrassegnati con un attributo immutabile, FSx for Lustre non è in grado di sincronizzare le modifiche tra il file system FSx for Lustre e un bucket S3 collegato al file system. L'impostazione di un flag immutabile per un periodo di tempo prolungato può causare un peggioramento delle prestazioni dello spostamento dei dati tra Amazon FSx e S3.

Quando crei un'associazione di repository di dati, puoi configurare le seguenti proprietà:
+ **Percorso del file system**: immettere un percorso locale sul file system che punti a una directory (ad esempio`/ns1/`) o sottodirectory (ad esempio`/ns1/subdir/`) che verrà mappata one-to-one con il percorso del repository di dati specificato di seguito. La barra che precede il nome è obbligatoria. Due associazioni di repository di dati non possono avere percorsi di file system sovrapposti. Se ad esempio un repository di dati è associato al percorso del file system `/ns1`, non è possibile collegare un altro repository di dati al percorso del file system `/ns1/ns2`.
**Nota**  
Se indichi solo una barra (`/`) come percorso del file system, puoi collegare solo un repository di dati al file system. Puoi specificare solo "/" come percorso del file system per il primo repository di dati associato a un file system.
+ **Percorso dell'archivio dati: inserisci un percorso** nell'archivio dati S3. Il percorso può essere un prefisso o un bucket S3 nel formato `s3://bucket-name/prefix/`. Questa proprietà specifica da dove verranno importati o esportati i file nel repository di dati S3. FSx for Lustre aggiungerà un «/» finale al percorso del tuo repository di dati se non ne fornisci uno. Ad esempio, se fornite un percorso di archivio dati di`s3://amzn-s3-demo-bucket/my-prefix`, FSx for Lustre lo interpreterà come. `s3://amzn-s3-demo-bucket/my-prefix/`

  Due associazioni di repository di dati non possono avere percorsi di repository di dati sovrapposti. Ad esempio, se un archivio di dati con percorso `s3://amzn-s3-demo-bucket/my-prefix/` è collegato al file system, non è possibile creare un'altra associazione di repository di dati con il percorso dell'archivio di dati. `s3://amzn-s3-demo-bucket/my-prefix/my-sub-prefix`
+ **Importa metadati dal repository**: è possibile selezionare questa opzione per importare i metadati dall'intero repository di dati subito dopo aver creato l'associazione del repository di dati. In alternativa, è possibile eseguire un'attività di importazione dell'archivio di dati per caricare tutti o un sottoinsieme dei metadati dall'archivio di dati collegato nel file system in qualsiasi momento dopo la creazione dell'associazione all'archivio di dati.
+ **Impostazioni di importazione**: scegli una politica di importazione che specifichi il tipo di oggetti aggiornati (qualsiasi combinazione di oggetti nuovi, modificati ed eliminati) che verranno importati automaticamente dal bucket S3 collegato al tuo file system. L'importazione automatica (nuova, modificata, eliminata) è attivata per impostazione predefinita quando aggiungi un repository di dati dalla console, ma è disabilitata per impostazione predefinita quando si utilizza l' FSx API AWS CLI o Amazon.
+ **Impostazioni di esportazione**: scegli una politica di esportazione che specifichi il tipo di oggetti aggiornati (qualsiasi combinazione di nuovi, modificati ed eliminati) che verranno esportati automaticamente nel bucket S3. L'esportazione automatica (nuova, modificata, eliminata) è attivata per impostazione predefinita quando aggiungi un repository di dati dalla console, ma è disabilitata per impostazione predefinita quando si utilizza l' FSx API AWS CLI o Amazon.

Le impostazioni del **percorso del file system** e del percorso del **repository dei dati forniscono una mappatura 1:1 tra i percorsi** in Amazon FSx e le chiavi degli oggetti in S3.

**Topics**
+ [

# Creazione di un link a un bucket S3
](create-linked-dra.md)
+ [

# Aggiornamento delle impostazioni di associazione agli archivi di dati
](update-dra-settings.md)
+ [

# Eliminazione di un'associazione a un bucket S3
](delete-linked-dra.md)
+ [

# Visualizzazione dei dettagli dell'associazione al repository di dati
](view-dra-details.md)
+ [

# Stato del ciclo di vita dell'associazione al repository di dati
](dra-lifecycles.md)
+ [

# Utilizzo di bucket Amazon S3 crittografati lato server
](s3-server-side-encryption-support.md)

# Creazione di un link a un bucket S3


Le seguenti procedure illustrano il processo di creazione di un'associazione di repository di dati per un file system FSx for Lustre a un bucket S3 esistente, utilizzando and (). Console di gestione AWS AWS Command Line Interface AWS CLI Per informazioni sull'aggiunta di autorizzazioni a un bucket S3 per collegarlo al file system, consulta. [Aggiungere le autorizzazioni per utilizzare gli archivi di dati in Amazon S3](setting-up.md#fsx-adding-permissions-s3)

**Nota**  
Gli archivi di dati non possono essere collegati a file system su cui sono abilitati i backup del file system. Disabilita i backup prima di collegarti a un archivio di dati.

## Per collegare un bucket S3 durante la creazione di un file system (console)


1. Apri la FSx console Amazon all'indirizzo [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).

1. Segui la procedura per creare un nuovo file system descritta [Passaggio 1: crea il tuo FSx file system for Lustre](getting-started.md#getting-started-step1) nella sezione Guida introduttiva. 

1. Apri il **Data Repository Import/Export , sezione *opzionale***. La funzionalità è disabilitata per impostazione predefinita.

1. Scegli **Importa dati da ed esporta dati su S3**.

1. Nella finestra di dialogo delle **informazioni sull'associazione del repository di dati**, fornisci informazioni per i seguenti campi.
   + **Percorso del file system**: inserisci il nome di una directory di alto livello (ad esempio`/ns1`) o sottodirectory (ad esempio`/ns1/subdir`) all'interno del FSx file system Amazon che verrà associata al repository di dati S3. La barra anteriore del percorso è obbligatoria. Due associazioni di repository di dati non possono avere percorsi di file system sovrapposti. Se ad esempio un repository di dati è associato al percorso del file system `/ns1`, non è possibile collegare un altro repository di dati al percorso del file system `/ns1/ns2`. L'impostazione del **percorso del file system** deve essere univoca per tutte le associazioni di repository di dati per il file system.
   + **Percorso dell'archivio dati**: inserisci il percorso di un bucket o prefisso S3 esistente da associare al tuo file system (ad esempio,). `s3://amzn-s3-demo-bucket/my-prefix` Due associazioni di repository di dati non possono avere percorsi di repository di dati sovrapposti. L'impostazione del **percorso dell'archivio dati** deve essere univoca per tutte le associazioni di archivi di dati per il file system.
   + **Importa metadati dal repository**: seleziona questa proprietà per eseguire facoltativamente un'attività di importazione dell'archivio di dati per importare i metadati subito dopo la creazione del collegamento.

1. Per **le impostazioni di importazione, facoltativo**, imposta una **politica di importazione** che determini il modo in cui gli elenchi di file e directory vengono mantenuti aggiornati quando aggiungi, modifichi o elimini oggetti nel tuo bucket S3. Ad esempio, scegli **Nuovo** per importare i metadati nel tuo file system per i nuovi oggetti creati nel bucket S3. Per ulteriori informazioni sulle politiche di importazione, consulta. [Importa automaticamente gli aggiornamenti dal tuo bucket S3](autoimport-data-repo-dra.md)

1. Per la **politica di esportazione**, imposta una politica di esportazione che determini il modo in cui i file vengono esportati nel bucket S3 collegato quando aggiungi, modifichi o elimini oggetti nel tuo file system. Ad esempio, scegli **Modificato** per esportare oggetti il cui contenuto o metadati sono stati modificati sul tuo file system. Per ulteriori informazioni sulle politiche di esportazione, consultate[Esporta automaticamente gli aggiornamenti nel tuo bucket S3](autoexport-data-repo-dra.md).

1. Continuare con la sezione successiva della procedura guidata per la creazione del file system.

## Per collegare un bucket S3 a un file system esistente (console)


1. Apri la FSx console Amazon all'indirizzo [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).

1. Dalla dashboard, scegli **File system**, quindi seleziona il file system per cui desideri creare un'associazione di repository di dati. 

1. Scegli la scheda **Archivio dati**.

1. Nel riquadro **Associazioni di archivi di dati**, scegli **Crea associazione di archivi di dati**.

1. Nella finestra di dialogo **Informazioni sull'associazione agli archivi di dati**, fornisci informazioni per i seguenti campi.
   + **Percorso del file system**: inserisci il nome di una directory di alto livello (ad esempio`/ns1`) o sottodirectory (ad esempio`/ns1/subdir`) all'interno del FSx file system Amazon che verrà associata al repository di dati S3. La barra anteriore del percorso è obbligatoria. Due associazioni di repository di dati non possono avere percorsi di file system sovrapposti. Se ad esempio un repository di dati è associato al percorso del file system `/ns1`, non è possibile collegare un altro repository di dati al percorso del file system `/ns1/ns2`. L'impostazione del **percorso del file system** deve essere univoca per tutte le associazioni di repository di dati per il file system.
   + **Percorso dell'archivio dati**: inserisci il percorso di un bucket o prefisso S3 esistente da associare al tuo file system (ad esempio,). `s3://amzn-s3-demo-bucket/my-prefix` Due associazioni di repository di dati non possono avere percorsi di repository di dati sovrapposti. L'impostazione del **percorso dell'archivio dati** deve essere univoca per tutte le associazioni di archivi di dati per il file system.
   + **Importa metadati dal repository**: seleziona questa proprietà per eseguire facoltativamente un'attività di importazione dell'archivio di dati per importare i metadati subito dopo la creazione del collegamento.

1. Per **le impostazioni di importazione, facoltativo**, imposta una **politica di importazione** che determini il modo in cui gli elenchi di file e directory vengono mantenuti aggiornati quando aggiungi, modifichi o elimini oggetti nel tuo bucket S3. Ad esempio, scegli **Nuovo** per importare i metadati nel tuo file system per i nuovi oggetti creati nel bucket S3. Per ulteriori informazioni sulle politiche di importazione, consulta. [Importa automaticamente gli aggiornamenti dal tuo bucket S3](autoimport-data-repo-dra.md)

1. Per la **politica di esportazione**, imposta una politica di esportazione che determini il modo in cui i file vengono esportati nel bucket S3 collegato quando aggiungi, modifichi o elimini oggetti nel tuo file system. Ad esempio, scegli **Modificato** per esportare oggetti il cui contenuto o metadati sono stati modificati sul tuo file system. Per ulteriori informazioni sulle politiche di esportazione, consultate[Esporta automaticamente gli aggiornamenti nel tuo bucket S3](autoexport-data-repo-dra.md).

1. Scegli **Create** (Crea).

## Per collegare un file system a un bucket S3 ()AWS CLI


L'esempio seguente crea un'associazione di repository di dati che collega un FSx file system Amazon a un bucket S3, con una politica di importazione che importa qualsiasi file nuovo o modificato nel file system e una politica di esportazione che esporta file nuovi, modificati o eliminati nel bucket S3 collegato.
+ Per creare un'associazione di repository di dati, usa il `create-data-repository-association` comando Amazon FSx CLI, come illustrato di seguito.

  ```
  $ aws fsx create-data-repository-association \
        --file-system-id fs-0123456789abcdef0 \
        --file-system-path /ns1/path1/ \
        --data-repository-path s3://amzn-s3-demo-bucket/myprefix/ \
        --s3 "AutoImportPolicy={Events=[NEW,CHANGED,DELETED]},AutoExportPolicy={Events=[NEW,CHANGED,DELETED]}"
  ```

Amazon FSx restituisce immediatamente la descrizione JSON del DRA. Il DRA viene creato in modo asincrono.

È possibile utilizzare questo comando per creare un'associazione di archivi di dati anche prima che il file system abbia terminato la creazione. La richiesta verrà messa in coda e l'associazione al repository di dati verrà creata una volta che il file system sarà disponibile.

# Aggiornamento delle impostazioni di associazione agli archivi di dati


Puoi aggiornare le impostazioni di un'associazione di repository di dati esistente utilizzando l' Console di gestione AWS AWS CLI, la e l' FSx API Amazon, come illustrato nelle seguenti procedure.

**Nota**  
Non è possibile aggiornare l'`File system path`or `Data repository path` di un DRA dopo la sua creazione. Se si desidera modificare l'`File system path`or`Data repository path`, è necessario eliminare il DRA e crearlo nuovamente.

## Per aggiornare le impostazioni per un'associazione di archivi di dati esistente (console)


1. Apri la FSx console Amazon all'indirizzo [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).

1. Dalla dashboard, scegli **File system**, quindi seleziona il file system che desideri gestire.

1. Scegli la scheda **Archivio dati**.

1. Nel riquadro **Associazioni agli archivi di dati**, scegli l'associazione agli archivi di dati che desideri modificare.

1. Scegliere **Aggiorna**. Viene visualizzata una finestra di dialogo di modifica per l'associazione del repository di dati.

1. Per **le impostazioni di importazione, facoltativo**, puoi aggiornare la tua **politica di importazione**. Per ulteriori informazioni sulle politiche di importazione, consulta[Importa automaticamente gli aggiornamenti dal tuo bucket S3](autoimport-data-repo-dra.md).

1. Per **le impostazioni di esportazione, facoltativo**, puoi aggiornare la tua politica di esportazione. Per ulteriori informazioni sulle politiche di esportazione, consulta[Esporta automaticamente gli aggiornamenti nel tuo bucket S3](autoexport-data-repo-dra.md).

1. Scegliere **Aggiorna**.

## Per aggiornare le impostazioni per un'associazione di archivi di dati (CLI) esistente

+ Per aggiornare un'associazione di repository di dati, usa il `update-data-repository-association` comando Amazon FSx CLI, come illustrato di seguito.

  ```
  $ aws fsx update-data-repository-association \
        --association-id 'dra-872abab4b4503bfc2' \
        --s3 "AutoImportPolicy={Events=[NEW,CHANGED,DELETED]},AutoExportPolicy={Events=[NEW,CHANGED,DELETED]}"
  ```

Dopo aver aggiornato correttamente le politiche di importazione ed esportazione dell'associazione di repository di dati, Amazon FSx restituisce la descrizione dell'associazione di repository di dati aggiornata come JSON.

# Eliminazione di un'associazione a un bucket S3


Le seguenti procedure illustrano il processo di eliminazione di un'associazione di repository di dati da un FSx file system Amazon esistente a un bucket S3 esistente, utilizzando and (). Console di gestione AWS AWS Command Line Interface AWS CLI L'eliminazione dell'associazione del data repository scollega il file system dal bucket S3.

## Per eliminare un collegamento da un file system a un bucket S3 (console)


1. Apri la FSx console Amazon all'indirizzo [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).

1. Dalla dashboard, scegli **File system**, quindi seleziona il file system da cui desideri eliminare un'associazione di repository di dati. 

1. Scegli la scheda **Archivio dati**.

1. Nel riquadro **Associazioni agli archivi di dati**, scegli l'associazione di archivi di dati che desideri eliminare.

1. Per **Azioni**, scegli **Elimina** associazione.

1. Nella finestra di dialogo **Elimina**, puoi scegliere **Elimina dati nel file system** per eliminare fisicamente i dati nel file system che corrispondono all'associazione del repository di dati.

   Scegliete questa opzione se intendete creare una nuova associazione di repository di dati utilizzando lo stesso percorso del file system ma puntando a un prefisso di bucket S3 diverso o se non avete più bisogno dei dati nel file system.

1. Scegli **Elimina** per rimuovere l'associazione del repository di dati dal file system.

## Per eliminare un collegamento da un file system a un bucket S3 ()AWS CLI


L'esempio seguente elimina un'associazione di repository di dati che collega un FSx file system Amazon a un bucket S3. Il `--association-id` parametro specifica l'ID dell'associazione di repository di dati da eliminare.
+ Per eliminare un'associazione di repository di dati, utilizza il `delete-data-repository-association` comando Amazon FSx CLI, come illustrato di seguito.

  ```
  $ aws fsx delete-data-repository-association \
        --association-id dra-872abab4b4503bfc \
        --delete-data-in-file-system false
  ```

Dopo aver eliminato con successo l'associazione del repository di dati, Amazon FSx restituisce la sua descrizione come JSON.

**Ricreazione DRAs con lo stesso percorso del file system**  
Si sconsiglia di eliminare e ricreare le associazioni di repository di dati che utilizzano lo stesso percorso del file system. Se si elimina un DRA e successivamente si crea un nuovo DRA utilizzando lo stesso percorso del file system, alcuni file potrebbero mantenere lo stato HSM del DRA precedentemente eliminato.  
Se è necessario esportare file da un DRA ricreato gestito da un DRA precedentemente eliminato, è necessario contrassegnare tali file come sporchi utilizzando il comando seguente e quindi eseguire un'operazione di esportazione dell'archivio dei dati:  

```
sudo lfs hsm_set --dirty file_path
```

# Visualizzazione dei dettagli dell'associazione al repository di dati


È possibile visualizzare i dettagli di un'associazione di repository di dati utilizzando la console FSx for Lustre AWS CLI, l'e l'API. I dettagli includono l'ID di associazione del DRA, il percorso del file system, il percorso dell'archivio dati, le impostazioni di importazione, le impostazioni di esportazione, lo stato e l'ID del file system associato.

## Per visualizzare i dettagli del DRA (console)


1. Apri la FSx console Amazon all'indirizzo [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).

1. Dalla dashboard, scegli **File system**, quindi seleziona il file system per cui desideri visualizzare i dettagli di un'associazione di repository di dati.

1. Scegli la scheda **Archivio dati**.

1. Nel riquadro **Associazioni agli archivi di dati**, scegli l'associazione di archivi di dati che desideri visualizzare. Viene visualizzata la pagina di **riepilogo**, che mostra i dettagli del DRA.  
![\[Pagina Amazon FSx Details di un'associazione di repository di dati.\]](http://docs.aws.amazon.com/it_it/fsx/latest/LustreGuide/images/dra-describe.png)

## Per visualizzare i dettagli DRA (CLI)

+ Per visualizzare i dettagli di una specifica associazione di repository di dati, utilizza il `describe-data-repository-associations` comando Amazon FSx CLI, come illustrato di seguito.

  ```
  $ aws fsx describe-data-repository-associations \
        --association-ids dra-872abab4b4503bfc2
  ```

  Amazon FSx restituisce la descrizione dell'associazione del data repository come JSON.

# Stato del ciclo di vita dell'associazione al repository di dati


Lo stato del ciclo di vita dell'associazione del data repository fornisce informazioni sullo stato di uno specifico DRA. **Un'associazione di repository di dati può avere i seguenti stati del ciclo di vita:**
+ **Creazione**: Amazon FSx sta creando l'associazione del repository di dati tra il file system e il repository di dati collegato. L'archivio di dati non è disponibile.
+ **Disponibile**: l'associazione dell'archivio di dati è disponibile per l'uso.
+ **Aggiornamento**: l'associazione dell'archivio di dati è in corso di un aggiornamento avviato dal cliente che potrebbe influire sulla sua disponibilità.
+ **Eliminazione**: l'associazione all'archivio di dati è in fase di eliminazione avviata dal cliente.
+ **Configurato erroneamente**: Amazon FSx non può importare automaticamente gli aggiornamenti dal bucket S3 o esportare automaticamente gli aggiornamenti nel bucket S3 finché la configurazione dell'associazione del repository di dati non viene corretta.

  **Un DRA può essere configurato in modo errato a causa di quanto segue:**
  + Amazon FSx non dispone delle autorizzazioni IAM necessarie per accedere al bucket S3.
  + La configurazione di notifica FSx degli eventi sul bucket S3 viene eliminata o modificata.
  + Il bucket S3 contiene notifiche di eventi esistenti che si sovrappongono ai tipi di eventi. FSx 

  Dopo aver risolto il problema sottostante, il DRA torna automaticamente allo stato **Disponibile** entro 15 minuti oppure è possibile attivare immediatamente la modifica dello stato utilizzando il comando. AWS CLI [update-data-repository-association](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-data-repository-association.html) 
+ **Fallita**: l'associazione del repository di dati si trova in uno stato terminale che non può essere ripristinato (ad esempio, perché il percorso del file system viene eliminato o il bucket S3 viene eliminato).

 Puoi visualizzare lo stato del ciclo di vita di un'associazione di repository di dati utilizzando la FSx console Amazon, e l' AWS Command Line Interface API Amazon. FSx Per ulteriori informazioni, consulta [Visualizzazione dei dettagli dell'associazione al repository di dati](view-dra-details.md).

# Utilizzo di bucket Amazon S3 crittografati lato server


 FSx for Lustre supporta i bucket Amazon S3 che utilizzano la crittografia lato server con chiavi gestite da S3 (SSE-S3) e con storage in (SSE-KMS). AWS KMS keys AWS Key Management Service 

Se desideri che Amazon FSx crittografi i dati durante la scrittura nel tuo bucket S3, devi impostare la crittografia predefinita sul bucket S3 su SSE-S3 o SSE-KMS. Per ulteriori informazioni, consulta [Configurazione della crittografia predefinita nella Guida](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) per l'utente di *Amazon S3*. Quando scrivi file nel tuo bucket S3, Amazon FSx segue la politica di crittografia predefinita del tuo bucket S3.

Per impostazione predefinita, Amazon FSx supporta i bucket S3 crittografati tramite SSE-S3. Se desideri collegare il tuo FSx file system Amazon a un bucket S3 crittografato utilizzando la crittografia SSE-KMS, devi aggiungere una dichiarazione alla politica delle chiavi gestite dai clienti che consenta ad Amazon di crittografare e FSx decrittografare gli oggetti nel tuo bucket S3 utilizzando la tua chiave KMS.

La seguente dichiarazione consente a uno specifico FSx file system Amazon di crittografare e decrittografare oggetti per uno specifico bucket S3,. *bucket\$1name*

```
{
    "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fsx_file_system_id"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "aws_account_id",
            "kms:ViaService": "s3.bucket-region.amazonaws.com"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        }
    }
}
```

**Nota**  
 Se utilizzi un KMS con CMK per crittografare il tuo bucket S3 con le chiavi del bucket S3 abilitate, impostalo sull'ARN del bucket, non sull'ARN `EncryptionContext` dell'oggetto, come in questo esempio:  

```
"StringLike": {
    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name"
}
```

La seguente informativa sulla politica consente a tutti i FSx file system Amazon del tuo account di collegarsi a un bucket S3 specifico.

```
{
      "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "s3.bucket-region.amazonaws.com",
          "kms:CallerAccount": "aws_account_id"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        },
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws_partition:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fs-*"
        }
      }
}
```

## Accesso a bucket Amazon S3 crittografati lato server da un VPC Account AWS diverso o condiviso


Dopo aver creato un file system FSx for Lustre collegato a un bucket Amazon S3 crittografato, devi quindi concedere al ruolo collegato al servizio (SLR) `AWSServiceRoleForFSxS3Access_fs-01234567890` l'accesso alla chiave KMS utilizzata per crittografare il bucket S3 prima di leggere o scrivere dati dal bucket S3 collegato. Puoi utilizzare un ruolo IAM che dispone già delle autorizzazioni per la chiave KMS.

**Nota**  
Questo ruolo IAM deve trovarsi nell'account in cui è stato creato il file system FSx for Lustre (che è lo stesso account della SLR S3), non nell'account a cui appartiene la chiave KMS/bucket S3.

Utilizzi il ruolo IAM per chiamare la seguente AWS KMS API per creare una concessione per S3 SLR in modo che la SLR ottenga l'autorizzazione per gli oggetti S3. Per trovare l'ARN associato alla tua reflex, cerca i ruoli IAM utilizzando l'ID del file system come stringa di ricerca.

```
$ aws kms create-grant --region fs_account_region \
      --key-id arn:aws:kms:s3_bucket_account_region:s3_bucket_account:key/key_id \
      --grantee-principal arn:aws:iam::fs_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_file-system-id \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"
```

Per ulteriori informazioni sui ruoli collegati al servizio, consulta [Utilizzo di ruoli collegati ai servizi per Amazon FSx](using-service-linked-roles.md).