Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # `AWSSupport-ConfigureS3ReplicationSameAndCrossAccount` **Descrizione** Il runbook di `AWSSupport-ConfigureS3ReplicationSameAndCrossAccount` automazione configura la replica dei bucket di Amazon Simple Storage Service (Amazon S3) tra un bucket di origine e uno di destinazione per account uguali o multipli. Questa automazione supporta la replica di bucket crittografati con crittografia lato server con chiavi gestite Amazon S3 (SSE-S3) e crittografia lato server con (SSE-KMS). AWS Key Management Service Supporta inoltre il filtraggio di replica selettiva basato su prefissi e tag, Amazon S3 Replication Time Control (Amazon S3 RTC) con SLA di 15 minuti e la replica di marker di eliminazione. L'automazione esegue le seguenti azioni: + Convalida i parametri di input e le configurazioni dei bucket per verificarne la compatibilità. + Controlla le impostazioni di crittografia sia sui bucket di origine che su quelli di destinazione. + Crea un nuovo ruolo AWS Identity and Access Management (IAM) con le autorizzazioni appropriate per la replica se non viene fornito come input. + Configura le regole di replica in base a parametri specificati (prefisso, tag o intero bucket). + Abilita il controllo delle versioni del bucket se non è già abilitato. + Imposta la configurazione di replica con funzionalità opzionali come Replication Time Control (RTC) e la replica dei marker di eliminazione. **Importante** **Questa automazione non supporta i bucket con regole di replica esistenti.** Il bucket di origine non deve avere alcuna configurazione di replica esistente. **Questa automazione crea un nuovo ruolo IAM** con le autorizzazioni appropriate per la replica se non viene fornito l'input S3ReplicationRole . **Questa automazione non replica gli oggetti esistenti.** La replica di Amazon S3 si applica agli oggetti solo uploaded/created dopo l'attivazione della configurazione di replica. Per la replica tra account, devi fornire un ruolo IAM nell'account di destinazione con le autorizzazioni appropriate per le operazioni e AWS KMS le operazioni di Amazon S3 (se il bucket utilizza la crittografia). AWS KMS Questa automazione utilizza l'`aws:approve`azione, che sospende temporaneamente l'esecuzione fino a quando i principali designati non approvano le modifiche alla configurazione. Per ulteriori informazioni, consulta [Esecuzione di un'automazione con approvatori](https://docs.aws.amazon.com//systems-manager/latest/userguide/running-automations-require-approvals.html). **Come funziona?** Il runbook esegue i seguenti passaggi: + **ValidateInputParameters**: convalida tutti i parametri di input per verificarne la correttezza e la compatibilità per garantire la corretta configurazione della replica. + **PrepareApprovalMessage**: prepara un messaggio di approvazione con tutti i parametri di configurazione della replica per la revisione da parte dell'utente. + **RequestApproval**: richiede l'approvazione degli utenti autorizzati prima di aggiungere la configurazione di replica di Amazon S3 al bucket di origine. + **CheckBucketEncryption**: verifica la configurazione della crittografia per i bucket Amazon S3 di origine e di destinazione per determinare le impostazioni di replica compatibili. + **BranchOnEncryptionType**: esecuzione di branch basata sul tipo di crittografia dei bucket Amazon S3 per applicare la configurazione di replica appropriata per i bucket crittografati SSE-S3 o SSE-KMS. + **Configura SSES3 la replica**: configura la replica di Amazon S3 per i bucket crittografati con crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3), inclusi ruoli IAM e regole di replica. + **ConfigurazioneSSEKMSReplication: configura la replica di Amazon S3 per i bucket crittografati con crittografia lato server AWS KMS con (SSE-KMS), inclusi ruoli IAM, autorizzazioni per le chiavi KMS e regole di replica.** + **CleanupResources**: ripulisce il ruolo IAM creato durante la configurazione di replica fallita quando S3 non viene fornito come input. ReplicationRole [Esegui questa automazione (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount) **Autorizzazioni IAM richieste** Il `AutomationAssumeRole` parametro richiede le seguenti azioni per utilizzare correttamente il runbook. + s3: ListBucket + s3: GetBucketVersioning + s3: GetEncryptionConfiguration + s3: GetBucketLocation + s3: GetReplicationConfiguration + s3: PutBucketVersioning + s3: PutReplicationConfiguration + obiettivo: ListRoles + Io sono: GetRole + Io sono: GetRolePolicy + Io sono: ListRoleTags + Io sono: ListAttachedRolePolicies + Io sono: ListRolePolicies + Io sono: SimulatePrincipalPolicy + Io sono: CreateRole + Io sono: TagRole + Io sono: PassRole + Io sono: DeleteRole + Io sono: DeleteRolePolicy + Io sono: DetachRolePolicy + Io sono: PutRolePolicy + set: GetCallerIdentity + sns:Publish + kms: GetKeyPolicy (quando i bucket utilizzano SSE-KMS, replica dello stesso account) + kms: DescribeKey (quando i bucket utilizzano SSE-KMS, replica sullo stesso account) + kms: PutKeyPolicy (quando i bucket utilizzano SSE-KMS, replica sullo stesso account) + sts: AssumeRole (per la replica tra account) **CrossAccountReplicationRole (per scenari tra più account):** Per la replica tra account, è necessario fornire un account CrossAccountReplicationRole di destinazione con le seguenti autorizzazioni: + s3: ListBucket + s3: GetBucketVersioning + s3: GetBucketLocation + s3: GetBucketPolicy + s3: GetEncryptionConfiguration + s3: PutBucketVersioning + s3: PutBucketPolicy + kms: GetKeyPolicy (quando il bucket di destinazione tra più account utilizza SSE-KMS) + kms: DescribeKey (quando il bucket di destinazione tra account utilizza SSE-KMS) + kms: PutKeyPolicy (quando il bucket di destinazione tra account utilizza SSE-KMS) **S3 (ruolo fornito dal cliente): ReplicationRole ** Se fornisci un S3 esistenteReplicationRole, deve disporre delle seguenti autorizzazioni: + s3: ListBucket + s3: GetBucketLocation + s3: GetReplicationConfiguration + s3: GetObjectVersionAcl + s3: GetObjectVersionTagging + s3: GetObjectVersionForReplication + s3: GetObjectTagging + s3: ReplicateObject + s3: ReplicateDelete + s3: ReplicateTags + s3: ObjectOwnerOverrideToBucketOwner + KMS:Decrypt (per scenari SSE-KMS, chiave KMS di origine) + KMS:Encrypt (per scenari SSE-KMS, chiave KMS di destinazione) + kms: GenerateDataKey (per scenari SSE-KMS, chiave KMS di destinazione) + kms: ReEncrypt \$1 (per scenari SSE-KMS, chiave KMS di destinazione) **Esempio **AutomationAssumeRole**di politica per la replica dello stesso account:** ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "S3Permissions", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetEncryptionConfiguration", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutReplicationConfiguration" ], "Resource": [ "arn:aws:s3:::SOURCE_BUCKET", "arn:aws:s3:::DESTINATION_BUCKET" ] }, { "Sid": "IAMReadOperations", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetRolePolicy", "iam:ListRoleTags", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:SimulatePrincipalPolicy" ], "Resource": "*" }, { "Sid": "IAMListRolesForCleanup", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMCreateAndTagRole", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:TagRole" ], "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:RequestTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "IAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringEquals": { "iam:PassedToService": "s3.amazonaws.com" } } }, { "Sid": "TaggedIAMRoleModifyAndDeleteOperations", "Effect": "Allow", "Action": [ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:ResourceTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "STSGetCallerIdentity", "Effect": "Allow", "Action": "sts:GetCallerIdentity", "Resource": "*" }, { "Sid": "SNSPublish", "Effect": "Allow", "Action": "sns:Publish", "Resource": "SNS_TOPIC_ARN" }, { "Sid": "KMSKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:REGION:ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "arn:aws:kms:REGION:ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" ] }, { "Sid": "KMSKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": [ "arn:aws:kms:REGION:ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "arn:aws:kms:REGION:ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" ], "Condition": { "StringEquals": { "kms:CallerAccount": "ACCOUNT_ID" } } } ] } ``` **Nota** Le istruzioni Policy (KMSKeyReadOperations and KMSKeyMutatingOperations) sono obbligatorie solo quando i bucket utilizzano la crittografia SSE-KMS. **Esempio di **AutomationAssumeRole**politica per la replica tra account:** ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "S3SourceBucketOperations", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetEncryptionConfiguration", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutReplicationConfiguration" ], "Resource": "arn:aws:s3:::SOURCE_BUCKET" }, { "Sid": "IAMReadOperations", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetRolePolicy", "iam:ListRoleTags", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:SimulatePrincipalPolicy" ], "Resource": "*" }, { "Sid": "IAMListRolesForCleanup", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMCreateAndTagRole", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:TagRole" ], "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:RequestTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "IAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringEquals": { "iam:PassedToService": "s3.amazonaws.com" } } }, { "Sid": "TaggedIAMRoleModifyAndDeleteOperations", "Effect": "Allow", "Action": [ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:ResourceTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "CrossAccountRoleAssumption", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "CROSS_ACCOUNT_REPLICATION_ROLE_ARN" }, { "Sid": "STSGetCallerIdentity", "Effect": "Allow", "Action": "sts:GetCallerIdentity", "Resource": "*" }, { "Sid": "SNSPublish", "Effect": "Allow", "Action": "sns:Publish", "Resource": "SNS_TOPIC_ARN" }, { "Sid": "KMSSourceKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID" }, { "Sid": "KMSSourceKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "Condition": { "StringEquals": { "kms:CallerAccount": "SOURCE_ACCOUNT_ID" } } } ] } ``` **Nota** Le dichiarazioni politiche (KMSSourceKeyReadOperations and KMSSourceKeyMutatingOperations) sono richieste solo quando il bucket di origine utilizza la crittografia SSE-KMS. Sostituisci CROSS\$1ACCOUNT\$1REPLICATION\$1ROLE\$1ARN con il valore effettivo del parametro che fornisci all'automazione. CrossAccountReplicationRole **CrossAccountReplicationRole**Esempio di politica: ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "S3DestinationBucketReadOperations", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:GetEncryptionConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutBucketPolicy" ], "Resource": "arn:aws:s3:::DESTINATION_BUCKET" }, { "Sid": "KMSDestinationKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" }, { "Sid": "KMSDestinationKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID", "Condition": { "StringEquals": { "kms:CallerAccount": "DESTINATION_ACCOUNT_ID" } } } ] } ``` **Nota** Le istruzioni KMS (KMSDestinationKeyReadOperations and KMSDestinationKeyMutatingOperations) sono richieste solo quando il bucket di destinazione utilizza la crittografia SSE-KMS. Rimuovi queste istruzioni per gli scenari SSE-S3. Esempio CrossAccountReplicationRole di politica di fiducia: ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "AUTOMATION_ASSUME_ROLE_ARN" }, "Action": "sts:AssumeRole" } ] } ``` **Nota** Sostituisci AUTOMATION\$1ASSUME\$1ROLE\$1ARN con il valore effettivo del parametro che fornisci all'automazione. AutomationAssumeRole **Esempio di politica ReplicationRole S3**: ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "S3SourceBucketPermissions", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTagging", "s3:GetObjectVersionForReplication", "s3:GetObjectTagging" ], "Resource": [ "arn:aws:s3:::SOURCE_BUCKET", "arn:aws:s3:::SOURCE_BUCKET/*" ] }, { "Sid": "S3DestinationBucketPermissions", "Effect": "Allow", "Action": [ "s3:ReplicateObject", "s3:ReplicateDelete", "s3:ReplicateTags" ], "Resource": "arn:aws:s3:::DESTINATION_BUCKET/*" }, { "Sid": "S3CrossAccountPermissions", "Effect": "Allow", "Action": "s3:ObjectOwnerOverrideToBucketOwner", "Resource": "arn:aws:s3:::DESTINATION_BUCKET/*" }, { "Sid": "KMSSourceKeyPermissions", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID" }, { "Sid": "KMSDestinationKeyPermissions", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey", "kms:ReEncrypt*" ], "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" } ] } ``` **Nota** Le istruzioni KMS (KMSSourceKeyPermissions and KMSDestinationKeyPermissions) sono necessarie solo quando i bucket utilizzano la crittografia SSE-KMS. L'CrossAccountPermissions istruzione S3 è richiesta solo per la replica di bucket tra account. Esempio di policy di fiducia S3: ReplicationRole ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } ``` **Istruzioni** Segui questi passaggi per configurare l'automazione: 1. Accedere [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount/description)a Systems Manager nella sezione Documenti. 1. Seleziona **Execute automation** (Esegui automazione). 1. Per i parametri di input, immettete quanto segue: + **AutomationAssumeRole (Obbligatorio):** + Descrizione: (Obbligatorio) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook. + Tipo: `AWS::IAM::Role::Arn` + **SourceBucket (Obbligatorio):** + Descrizione: (Obbligatorio) Il nome del bucket Amazon S3 di origine in cui verranno create o aggiornate le regole di replica. + Tipo: `AWS::S3::Bucket::Name` + **DestinationBucket (Obbligatorio):** + Descrizione: (Obbligatorio) Il nome del bucket Amazon S3 di destinazione in cui verranno replicati gli oggetti. + Tipo: `String` + Pattern consentito: `^[0-9a-z][a-z0-9\\-\\.]{3,63}$` + **SourceAccountId (Obbligatorio):** + Descrizione: (Obbligatorio) L'ID AWS dell'account in cui si trova il bucket di origine. + Tipo: `String` + Modello consentito: `^[0-9]{12,13}$` + **DestinationAccountId (Obbligatorio):** + Descrizione: (Obbligatorio) L'ID AWS dell'account in cui si trova il bucket di destinazione. + Tipo: `String` + Modello consentito: `^[0-9]{12,13}$` + **SnsNotificationArn (Obbligatorio):** + Descrizione: (Obbligatorio) L'ARN di un argomento di Amazon Simple Notification Service (Amazon SNS) per le approvazioni di Automation. + Tipo: `String` + Modello consentito: `^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):sns:[a-z]{2}(-gov)?(-iso[a-z]?)?-[a-z]{2,10}-[0-9]{1,2}:\\d{12}:[0-9a-zA-Z-_]{1,256}(.fifo)?$` + **Approvatori (obbligatorio):** + Descrizione: (Obbligatorio) L'elenco degli IAM user/role ARNs autorizzati ad approvare l'esecuzione dell'automazione. + Tipo: `StringList` + Modello consentito: `^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:(user|role)/[\\w+=,.@\\-/]+$` + **S3 ReplicationRole (opzionale):** + Descrizione: (Facoltativo) L'ARN di un ruolo IAM esistente da utilizzare per le operazioni di replica di Amazon S3. Questo ruolo deve disporre delle autorizzazioni per leggere dal bucket di origine e scrivere nel bucket di destinazione, incluse le autorizzazioni KMS se i bucket utilizzano la crittografia SSE-KMS. Se non viene fornito, l'automazione creerà un nuovo ruolo con le autorizzazioni appropriate. + Tipo: `String` + Modello consentito: `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:role/[\\w+=,.@\\-/]+$` + Impostazione predefinita: `""` + **CrossAccountReplicationRole (Opzionale):** + Descrizione: (Facoltativo) L'ARN di un ruolo IAM nell'account di destinazione che l'automazione può assumere. È necessario per la replica tra account. Per la replica sullo stesso account, lascia questo campo vuoto. + Tipo: `String` + Modello consentito: `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:role/[\\w+=,.@\\-/]+$` + Impostazione predefinita: `""` + **ReplicateEntireBucket (Opzionale):** + Descrizione: (Facoltativo) Se impostato su`true`, l'intero bucket verrà replicato e sia il prefisso che i tag devono essere vuoti. Se false, la replica si baserà sul prefisso o sui tag specificati. + Tipo: `Boolean` + Valori consentiti: `[true, false]` + Impostazione predefinita: `true` + **ReplicationRuleStatus (Facoltativo):** + Descrizione: (Facoltativo) Se impostato su`true`, le regole di replica create verranno abilitate. **Se impostato su`false`, le regole di replica create verranno impostate su Disabilitato.** + Tipo: `Boolean` + Valori consentiti: `[true, false]` + Impostazione predefinita: `true` + **DeleteMarkerReplicationStatus (Facoltativo):** + Descrizione: (Facoltativo) Se impostata su`true`, l'automazione consente la replica dei marker di eliminazione. + Tipo: `Boolean` + Valori consentiti: `[true, false]` + Impostazione predefinita: `false` + **ReplicationTimeControl (Facoltativo):** + Descrizione: (Facoltativo) Se impostato su`true`, abilita Amazon S3 Replication Time Control (Amazon S3 RTC) con SLA di 15 minuti per tempi di replica prevedibili. + Tipo: `Boolean` + Valori consentiti: `[true, false]` + Impostazione predefinita: `false` + **ReplicaModifications (Facoltativo):** + Descrizione: (Facoltativo) Se impostato su`true`, consente la replica delle modifiche ai metadati apportate agli oggetti di replica, consentendo la sincronizzazione delle modifiche agli oggetti replicati con l'origine. + Tipo: `Boolean` + Valori consentiti: `[true, false]` + Impostazione predefinita: `false` + **Prefisso (opzionale):** + Descrizione: (Facoltativo) Filtro prefisso per la replica selettiva di oggetti con prefissi chiave specifici. Il prefisso deve terminare con una barra finale (/) per filtrare correttamente i prefissi di Amazon S3. + Tipo: `String` + Modello consentito: `^$|^[a-zA-Z0-9!_'()\\-]*/+$` + Impostazione predefinita: `""` + **Tag (facoltativi):** + Descrizione: (Facoltativo) matrice di tag JSON per filtrare gli oggetti da replicare. Formato per tag singolo: [\$1"Key»:» TagKey «, "Value»:» TagValue «\$1] e per più tag: [\$1" Key»:» 1", "Value»:» TagKey 1"\$1, \$1"Key»:» TagValue 2", "Value»:» TagKey 2"\$1]. TagValue + Tipo: `String` + Modello consentito: `^\\[((\\{\"Key\":\"[a-zA-Z0-9+\\-=.:/ @\\s]{1,128}\",\"Value\":\"[a-zA-Z0-9+\\-=.:/@\\s]{0,256}\"\\})(,\\{\"Key\":\"[a-zA-Z0-9+\\-=.:/ @\\s]{1,128}\",\"Value\":\"[a-zA-Z0-9+\\-=.:/@\\s]{0,256}\"\\})*)?\\]$` + Impostazione predefinita: `[]` 1. Seleziona **Esegui**. 1. L'automazione viene avviata. 1. Il documento esegue le seguenti operazioni: + **ValidateInputParameters**: Convalida tutti i parametri di input per verificarne la correttezza e la compatibilità per garantire una corretta configurazione di replica. + **PrepareApprovalMessage**: Prepara il messaggio di approvazione con tutti i parametri di configurazione della replica per la revisione da parte dell'utente. + **RequestApproval**: Richiede l'approvazione degli utenti autorizzati prima di procedere con le modifiche alla configurazione di replica di Amazon S3. + **CheckBucketEncryption**: Verifica la configurazione della crittografia per i bucket Amazon S3 di origine e di destinazione per determinare le impostazioni di replica compatibili. + **BranchOnEncryptionType**: Esecuzione delle filiali basata sul tipo di crittografia dei bucket Amazon S3 per applicare la configurazione di replica appropriata per i bucket crittografati SSE-S3 o SSE-KMS. + **SSES3Configura** la replica: Configura la replica di Amazon S3 per i bucket crittografati con crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3), inclusi ruoli IAM e regole di replica. + **SSEKMSReplicationConfigura**: Configura la replica di Amazon S3 per i bucket crittografati con crittografia lato server AWS KMS con (SSE-KMS), inclusi ruoli IAM, autorizzazioni per le chiavi KMS e regole di replica. + **CleanupResources**: Pulisce i ruoli IAM creati durante la configurazione di replica non riuscita quando S3 non è stato fornito dal cliente. ReplicationRole 1. Al termine, esamina gli output della fase di **configurazione della SSES3 replica** (per i bucket crittografati SSE-S3) o della fase di **configurazione SSEKMSReplication** (per i bucket crittografati SSE-KMS) per i risultati dell'esecuzione, incluso lo stato della configurazione della replica e il ruolo IAM utilizzato per la replica. **Riferimenti** Systems Manager Automation + [Esegui questa automazione (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount/description) + [Esegui un'automazione](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html) + [Configurazione di un'automazione](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html) + [Flussi di lavoro di Support Automation](https://aws.amazon.com/premiumsupport/technology/saw/)