翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWSSupport-ConfigureS3ReplicationSameAndCrossAccount
説明
AWSSupport-ConfigureS3ReplicationSameAndCrossAccount 自動化ランブックは、同じアカウントまたはクロスアカウントのレプリケート元バケットとレプリケート先バケットの間で Amazon Simple Storage Service (Amazon S3) バケットレプリケーションを設定します。この自動化は、Amazon S3-Managedキーによるサーバー側の暗号化 (SSE-S3) と AWS Key Management Service (SSE-KMS) によるサーバー側の暗号化で暗号化されたバケットのレプリケーションをサポートします。また、プレフィックスとタグベースの選択的レプリケーションフィルタリング、15 分の SLA による Amazon S3 Replication Time Control (Amazon S3 RTC)、削除マーカーレプリケーションもサポートしています。オートメーションは次のアクションを実行します。
入力パラメータとバケット設定の互換性を検証します。
レプリケート元バケットとレプリケート先バケットの両方で暗号化設定をチェックします。
入力として指定されていない場合は、レプリケーションの適切なアクセス許可を持つ新しい AWS Identity and Access Management (IAM) ロールを作成します。
指定されたパラメータ (プレフィックス、タグ、またはバケット全体) に基づいてレプリケーションルールを設定します。
まだ有効になっていない場合は、バケットのバージョニングを有効にします。
レプリケーション時間制御 (RTC) や削除マーカーレプリケーションなどのオプション機能を使用してレプリケーション設定を設定します。
重要
-
この自動化は、既存のレプリケーションルールを持つバケットをサポートしていません。レプリケート元バケットに既存のレプリケーション設定があってはなりません。
-
この自動化により、S3ReplicationRole 入力が指定されていない場合、レプリケーションに適切なアクセス許可を持つ新しい IAM ロールが作成されます。 S3ReplicationRole
-
この自動化では、既存のオブジェクトはレプリケートされません。Amazon S3 レプリケーションは、レプリケーション設定が有効になった後にアップロード/作成されたオブジェクトにのみ適用されます。
-
クロスアカウントレプリケーションでは、送信先アカウントの IAM ロールに Amazon S3 オペレーションと AWS KMS オペレーションの適切なアクセス許可を提供する必要があります (バケットが AWS KMS 暗号化を使用している場合)。
-
この自動化では
aws:approveアクションが使用され、指定されたプリンシパルが設定の変更を承認するまで実行が一時的に一時停止されます。詳細については、「承認者によるオートメーションの実行」を参照してください。
動作の仕組み
ランブックは次のステップを実行します。
ValidateInputParameters: すべての入力パラメータの正確性と互換性を検証して、適切なレプリケーション設定を確認します。
PrepareApprovalMessage: ユーザーレビュー用のすべてのレプリケーション設定パラメータを含む承認メッセージを準備します。
RequestApproval: ソースバケットに Amazon S3 レプリケーション設定を追加する前に、承認されたユーザーからの承認をリクエストします。
CheckBucketEncryption: レプリケート元とレプリケート先の両方の Amazon S3 バケットの暗号化設定をチェックして、互換性のあるレプリケーション設定を決定します。
BranchOnEncryptionType: Amazon S3 バケット暗号化タイプに基づいて実行を分岐し、SSE-S3 または SSE-KMS 暗号化バケットに適切なレプリケーション設定を適用します。
ConfigureSSES3Replication: IAM ロールとレプリケーションルールを含むAmazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3-Managedバケットの Amazon S3 レプリケーションを設定します。
ConfigureSSEKMSReplication: IAM ロール、KMS キーアクセス許可、レプリケーションルールなど、 によるサーバー側の暗号化 AWS KMS (SSE-KMS) で暗号化されたバケットの Amazon S3 レプリケーションを設定します。
CleanupResources: S3ReplicationRole を入力として指定しない場合に、失敗したレプリケーション設定中に作成された IAM ロールをクリーンアップします。
必要な IAM アクセス許可
AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。
s3:ListBucket
s3:GetBucketVersioning
s3:GetEncryptionConfiguration
s3:GetBucketLocation
s3:GetReplicationConfiguration
s3:PutBucketVersioning
s3:PutReplicationConfiguration
iam:ListRoles
iam:GetRole
iam:GetRolePolicy
iam:ListRoleTags
iam:ListAttachedRolePolicies
iam:ListRolePolicies
iam:SimulatePrincipalPolicy
iam:CreateRole
iam:TagRole
iam:PassRole
iam:DeleteRole
iam:DeleteRolePolicy
iam:DetachRolePolicy
iam:PutRolePolicy
sts:GetCallerIdentity
sns:Publish
kms:GetKeyPolicy (バケットが SSE-KMS を使用する場合、同一アカウントレプリケーション)
kms:DescribeKey (バケットが SSE-KMS を使用する場合、同一アカウントのレプリケーション)
kms:PutKeyPolicy (バケットが SSE-KMS を使用する場合、同一アカウントレプリケーション)
sts:AssumeRole (クロスアカウントレプリケーション用)
CrossAccountReplicationRole (クロスアカウントシナリオの場合):
クロスアカウントレプリケーションでは、宛先アカウントの CrossAccountReplicationRole に次のアクセス許可を付与する必要があります。
s3:ListBucket
s3:GetBucketVersioning
s3:GetBucketLocation
s3:GetBucketPolicy
s3:GetEncryptionConfiguration
s3:PutBucketVersioning
s3:PutBucketPolicy
kms:GetKeyPolicy (クロスアカウント送信先バケットが SSE-KMS を使用する場合)
kms:DescribeKey (クロスアカウント送信先バケットが SSE-KMS を使用する場合)
kms:PutKeyPolicy (クロスアカウント送信先バケットが SSE-KMS を使用する場合)
S3ReplicationRole (お客様が用意したロール):
既存の S3ReplicationRole を指定する場合は、次のアクセス許可が必要です。
s3:ListBucket
s3:GetBucketLocation
s3:GetReplicationConfiguration
s3:GetObjectVersionAcl
s3:GetObjectVersionTagging
s3:GetObjectVersionForReplication
s3:GetObjectTagging
s3:ReplicateObject
s3:ReplicateDelete
s3:ReplicateTags
s3:ObjectOwnerOverrideToBucketOwner
kms:Decrypt (SSE-KMS シナリオの場合はソース KMS キー)
kms:Encrypt (SSE-KMS シナリオの場合、送信先 KMS キー)
kms:GenerateDataKey (SSE-KMS シナリオの場合、送信先 KMS キー)
kms:ReEncrypt* (SSE-KMS シナリオの場合、送信先 KMS キー)
同一アカウントレプリケーションの AutomationAssumeRole ポリシーの例:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Permissions", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetEncryptionConfiguration", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutReplicationConfiguration" ], "Resource": [ "arn:aws:s3:::SOURCE_BUCKET", "arn:aws:s3:::DESTINATION_BUCKET" ] }, { "Sid": "IAMReadOperations", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetRolePolicy", "iam:ListRoleTags", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:SimulatePrincipalPolicy" ], "Resource": "*" }, { "Sid": "IAMListRolesForCleanup", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMCreateAndTagRole", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:TagRole" ], "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:RequestTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "IAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringEquals": { "iam:PassedToService": "s3.amazonaws.com" } } }, { "Sid": "TaggedIAMRoleModifyAndDeleteOperations", "Effect": "Allow", "Action": [ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:ResourceTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "STSGetCallerIdentity", "Effect": "Allow", "Action": "sts:GetCallerIdentity", "Resource": "*" }, { "Sid": "SNSPublish", "Effect": "Allow", "Action": "sns:Publish", "Resource": "SNS_TOPIC_ARN" }, { "Sid": "KMSKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:REGION:ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "arn:aws:kms:REGION:ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" ] }, { "Sid": "KMSKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": [ "arn:aws:kms:REGION:ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "arn:aws:kms:REGION:ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" ], "Condition": { "StringEquals": { "kms:CallerAccount": "ACCOUNT_ID" } } } ] }
注記
ポリシーステートメント (KMSKeyReadOperations および KMSKeyMutatingOperations) は、バケットが SSE-KMS 暗号化を使用する場合にのみ必要です。
クロスアカウントレプリケーションの AutomationAssumeRole ポリシーの例:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3SourceBucketOperations", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetEncryptionConfiguration", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutReplicationConfiguration" ], "Resource": "arn:aws:s3:::SOURCE_BUCKET" }, { "Sid": "IAMReadOperations", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetRolePolicy", "iam:ListRoleTags", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:SimulatePrincipalPolicy" ], "Resource": "*" }, { "Sid": "IAMListRolesForCleanup", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMCreateAndTagRole", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:TagRole" ], "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:RequestTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "IAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringEquals": { "iam:PassedToService": "s3.amazonaws.com" } } }, { "Sid": "TaggedIAMRoleModifyAndDeleteOperations", "Effect": "Allow", "Action": [ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:ResourceTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "CrossAccountRoleAssumption", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "CROSS_ACCOUNT_REPLICATION_ROLE_ARN" }, { "Sid": "STSGetCallerIdentity", "Effect": "Allow", "Action": "sts:GetCallerIdentity", "Resource": "*" }, { "Sid": "SNSPublish", "Effect": "Allow", "Action": "sns:Publish", "Resource": "SNS_TOPIC_ARN" }, { "Sid": "KMSSourceKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID" }, { "Sid": "KMSSourceKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "Condition": { "StringEquals": { "kms:CallerAccount": "SOURCE_ACCOUNT_ID" } } } ] }
注記
ポリシーステートメント (KMSSourceKeyReadOperations および KMSSourceKeyMutatingOperations) は、ソースバケットが SSE-KMS 暗号化を使用する場合にのみ必要です。
CROSS_ACCOUNT_REPLICATION_ROLE_ARN を、オートメーションに提供する実際の CrossAccountReplicationRole パラメータ値に置き換えます。
CrossAccountReplicationRole ポリシーの例:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3DestinationBucketReadOperations", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:GetEncryptionConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutBucketPolicy" ], "Resource": "arn:aws:s3:::DESTINATION_BUCKET" }, { "Sid": "KMSDestinationKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" }, { "Sid": "KMSDestinationKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID", "Condition": { "StringEquals": { "kms:CallerAccount": "DESTINATION_ACCOUNT_ID" } } } ] }
注記
KMS ステートメント (KMSDestinationKeyReadOperations および KMSDestinationKeyMutatingOperations) は、送信先バケットが SSE-KMS 暗号化を使用する場合にのみ必要です。SSE-S3 シナリオでは、これらのステートメントを削除します。
CrossAccountReplicationRole 信頼ポリシーの例:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "AUTOMATION_ASSUME_ROLE_ARN" }, "Action": "sts:AssumeRole" } ] }
注記
AUTOMATION_ASSUME_ROLE_ARN を、オートメーションに提供する実際の AutomationAssumeRole パラメータ値に置き換えます。
S3ReplicationRole ポリシーの例:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3SourceBucketPermissions", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTagging", "s3:GetObjectVersionForReplication", "s3:GetObjectTagging" ], "Resource": [ "arn:aws:s3:::SOURCE_BUCKET", "arn:aws:s3:::SOURCE_BUCKET/*" ] }, { "Sid": "S3DestinationBucketPermissions", "Effect": "Allow", "Action": [ "s3:ReplicateObject", "s3:ReplicateDelete", "s3:ReplicateTags" ], "Resource": "arn:aws:s3:::DESTINATION_BUCKET/*" }, { "Sid": "S3CrossAccountPermissions", "Effect": "Allow", "Action": "s3:ObjectOwnerOverrideToBucketOwner", "Resource": "arn:aws:s3:::DESTINATION_BUCKET/*" }, { "Sid": "KMSSourceKeyPermissions", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID" }, { "Sid": "KMSDestinationKeyPermissions", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey", "kms:ReEncrypt*" ], "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" } ] }
注記
KMS ステートメント (KMSSourceKeyPermissions および KMSDestinationKeyPermissions) は、バケットが SSE-KMS 暗号化を使用する場合にのみ必要です。
S3CrossAccountPermissions ステートメントは、クロスアカウントバケットレプリケーションにのみ必要です。
S3ReplicationRole 信頼ポリシーの例:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
指示
次の手順に従って自動化を設定します。
-
ドキュメントの Systems Manager
AWSSupport-ConfigureS3ReplicationSameAndCrossAccountで に移動します。 -
[Execute automation] (オートメーションを実行) を選択します。
-
入力パラメータには、次のように入力します。
-
AutomationAssumeRole (必須):
-
説明: (必須) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。
-
型:
AWS::IAM::Role::Arn
-
-
SourceBucket (必須):
-
説明: (必須) レプリケーションルールを作成または更新するソース Amazon S3 バケットの名前。
-
型:
AWS::S3::Bucket::Name
-
-
DestinationBucket (必須):
-
説明: (必須) オブジェクトのレプリケート先の Amazon S3 バケットの名前。
-
型:
String -
許可されたパターン:
^[0-9a-z][a-z0-9\\-\\.]{3,63}$
-
-
SourceAccountId (必須):
-
説明: (必須) ソースバケットがある AWS アカウント ID。
-
型:
String -
許可されたパターン:
^[0-9]{12,13}$
-
-
DestinationAccountId (必須):
-
説明: (必須) 送信先バケットがある AWS アカウント ID。
-
型:
String -
許可されたパターン:
^[0-9]{12,13}$
-
-
SnsNotificationArn (必須):
-
説明: (必須) 自動化承認のための Amazon Simple Notification Service (Amazon SNS) トピックの ARN。
-
型:
String -
許可されたパターン:
^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):sns:[a-z]{2}(-gov)?(-iso[a-z]?)?-[a-z]{2,10}-[0-9]{1,2}:\\d{12}:[0-9a-zA-Z-_]{1,256}(.fifo)?$
-
-
承認者 (必須):
-
説明: (必須) オートメーション実行の承認を許可された IAM ユーザー/ロール ARNs のリスト。
-
型:
StringList -
許可されたパターン:
^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:(user|role)/[\\w+=,.@\\-/]+$
-
-
S3ReplicationRole (オプション):
-
説明: (オプション) Amazon S3 レプリケーションオペレーションに使用する既存の IAM ロールの ARN。このロールには、レプリケート元バケットから読み取り、レプリケート先バケットに書き込むアクセス許可が必要です。これには、バケットが SSE-KMS 暗号化を使用している場合の KMS アクセス許可が含まれます。指定しない場合、オートメーションは適切なアクセス許可を持つ新しいロールを作成します。
-
型:
String -
許可されたパターン:
^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:role/[\\w+=,.@\\-/]+$ -
デフォルト:
""
-
-
CrossAccountReplicationRole (オプション):
-
説明: (オプション) オートメーションが引き受けることができる送信先アカウントの IAM ロールの ARN。これは、クロスアカウントレプリケーションに必要です。同じアカウントレプリケーションの場合は、これを空のままにします。
-
型:
String -
許可されたパターン:
^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:role/[\\w+=,.@\\-/]+$ -
デフォルト:
""
-
-
ReplicateEntireBucket (オプション):
-
説明: (オプション) に設定すると
true、バケット全体がレプリケートされ、プレフィックスとタグの両方が空である必要があります。false の場合、レプリケーションは指定されたプレフィックスまたはタグに基づきます。 -
型:
Boolean -
使用できる値:
[true, false] -
デフォルト:
true
-
-
ReplicationRuleStatus (オプション):
-
説明: (オプション) に設定すると
true、作成されたレプリケーションルールが有効になります。に設定するとfalse、作成されたレプリケーションルールは無効に設定されます。 -
型:
Boolean -
使用できる値:
[true, false] -
デフォルト:
true
-
-
DeleteMarkerReplicationStatus (オプション):
-
説明: (オプション) に設定すると
true、オートメーションは削除マーカーのレプリケーションを有効にします。 -
型:
Boolean -
使用できる値:
[true, false] -
デフォルト:
false
-
-
ReplicationTimeControl (オプション):
-
説明: (オプション) に設定すると
true、予測可能なレプリケーション時間に対して 15 分の SLA で Amazon S3 レプリケーション時間制御 (Amazon S3 RTC) が有効になります。 -
型:
Boolean -
使用できる値:
[true, false] -
デフォルト:
false
-
-
ReplicaModifications (オプション):
-
説明: (オプション) に設定すると
true、レプリカオブジェクトに加えられたメタデータ変更のレプリケーションが有効になり、レプリケートされたオブジェクトの変更をソースに同期できます。 -
型:
Boolean -
使用できる値:
[true, false] -
デフォルト:
false
-
-
プレフィックス (オプション):
-
説明: (オプション) 特定のキープレフィックスを持つオブジェクトを選択的にレプリケーションするためのプレフィックスフィルター。適切な Amazon S3 プレフィックスフィルタリングを行うには、プレフィックスの末尾にスラッシュ (/) を付ける必要があります。
-
型:
String -
許可されたパターン:
^$|^[a-zA-Z0-9!_'()\\-]*/+$ -
デフォルト:
""
-
-
タグ (オプション):
-
説明: (オプション) レプリケートするオブジェクトをフィルタリングするためのタグの JSON 配列。1 つのタグの形式: [{"Key"TagKey"Value"TagValue"}] および複数のタグの形式: [{"Key"TagKey1"Value"TagValue1"},{"Key"TagKey2"Value"TagValue2"}]。
-
型:
String -
許可されたパターン:
^\\[((\\{\"Key\":\"[a-zA-Z0-9+\\-=.:/ @\\s]{1,128}\",\"Value\":\"[a-zA-Z0-9+\\-=.:/@\\s]{0,256}\"\\})(,\\{\"Key\":\"[a-zA-Z0-9+\\-=.:/ @\\s]{1,128}\",\"Value\":\"[a-zA-Z0-9+\\-=.:/@\\s]{0,256}\"\\})*)?\\]$ -
デフォルト:
[]
-
-
-
[実行] を選択します。
-
自動化が開始されます。
-
ドキュメントは以下のステップを実行します。
-
ValidateInputParameters:
すべての入力パラメータの正確性と互換性を検証して、適切なレプリケーション設定を確認します。
-
PrepareApprovalMessage:
ユーザーレビュー用のすべてのレプリケーション設定パラメータを含む承認メッセージを準備します。
-
RequestApproval:
Amazon S3 レプリケーション設定の変更に進む前に、承認されたユーザーからの承認をリクエストします。
-
CheckBucketEncryption:
レプリケート元とレプリケート先の両方の Amazon S3 バケットの暗号化設定をチェックして、互換性のあるレプリケーション設定を決定します。
-
BranchOnEncryptionType:
Amazon S3 バケット暗号化タイプに基づいて実行を分岐し、SSE-S3 または SSE-KMS 暗号化バケットに適切なレプリケーション設定を適用します。
-
ConfigureSSES3Replication:
IAM ロールやレプリケーションルールなど、Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3) S3-Managedバケットの Amazon S3 レプリケーションを設定します。
-
ConfigureSSEKMSReplication:
IAM ロール、KMS キーのアクセス許可、レプリケーションルールなど、 (SSE-KMS) によるサーバー側の暗号化で暗号化されたバケットの Amazon S3 レプリケーションを設定します。 AWS KMS
-
CleanupResources:
S3ReplicationRole が顧客から提供されなかった場合に、失敗したレプリケーション設定中に作成された IAM ロールをクリーンアップします。
-
-
完了後、ConfigureSSES3Replication ステップ (SSE-S3 暗号化バケットの場合) または ConfigureSSEKMSReplication ステップ (SSE-KMS 暗号化バケットの場合) からの出力で、レプリケーション設定ステータスとレプリケーションに使用される IAM ロールを含む実行結果を確認します。
リファレンス
Systems Manager Automation
