As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Vincular o sistema de arquivos a um bucket do Amazon S3
Você pode vincular seu sistema de arquivos Amazon FSx for Lustre a repositórios de dados no Amazon S3. Você pode criar o link ao criar o sistema de arquivos ou a qualquer momento após a criação do sistema de arquivos.
Um link entre um diretório no sistema de arquivos e um bucket ou prefixo do S3 é chamado de *associação de repositório de dados (DRA)*. Você pode configurar no máximo 8 associações de repositório de dados em um sistema de arquivos FSx for Lustre. No máximo oito solicitações de DRA podem ser enfileiradas, mas apenas uma solicitação pode ser processada por vez no sistema de arquivos. Cada DRA deve ter um diretório exclusivo FSx do sistema de arquivos Lustre e um bucket ou prefixo S3 exclusivo associado a ele.
**nota**
Associações de repositórios de dados, exportação automática e suporte para vários repositórios de dados não estão disponíveis nos sistemas de arquivos ou sistemas FSx de arquivos Lustre 2.10. `Scratch 1`
Para acessar objetos no repositório de dados do S3 como arquivos e diretórios no sistema de arquivos, os metadados de arquivos e diretórios devem ser carregados no sistema de arquivos. Você pode carregar metadados de um repositório de dados vinculado ao criar o DRA ou carregar metadados para lotes de arquivos e diretórios que você deseja acessar usando o sistema de arquivos FSx for Lustre posteriormente usando uma tarefa de importação do repositório de dados, ou usar a exportação automática para carregar metadados automaticamente quando objetos forem adicionados, alterados ou excluídos do repositório de dados.
Você pode configurar um DRA somente para importação automática, somente para exportação automática ou ambas. Uma associação de repositório de dados configurada com importação e exportação automáticas propaga os dados em ambas as direções entre o sistema de arquivos e o bucket do S3 vinculado. Conforme você faz alterações nos dados no seu repositório de dados do S3, o FSx for Lustre detecta as alterações e, em seguida, importa automaticamente as alterações para o seu sistema de arquivos. Conforme você cria, modifica ou exclui arquivos, o For Lustre exporta automaticamente as alterações FSx para o Amazon S3 de forma assíncrona quando seu aplicativo termina de modificar o arquivo.
**Importante**
Se você modificar o mesmo arquivo no sistema de arquivos e no bucket do S3, deverá garantir a coordenação no nível do aplicativo para evitar conflitos. FSx for Lustre não evita gravações conflitantes em vários locais.
Para arquivos marcados com um atributo imutável, o FSx for Lustre não consegue sincronizar as alterações entre seu sistema de arquivos FSx for Lustre e um bucket do S3 vinculado ao sistema de arquivos. Definir uma bandeira imutável por um longo período de tempo pode prejudicar o desempenho da movimentação de dados entre a Amazon FSx e o S3.
Ao criar uma associação de repositório de dados, você pode configurar as seguintes propriedades:
+ **Caminho do sistema de arquivos** — insira um caminho local no sistema de arquivos que aponte para um diretório (como`/ns1/`) ou subdiretório (como`/ns1/subdir/`) que será mapeado one-to-one com o caminho do repositório de dados especificado abaixo. A barra inicial no nome é obrigatória. Duas associações de repositórios de dados não podem ter caminhos de sistema de arquivos sobrepostos. Por exemplo, se um repositório de dados estiver associado ao caminho do sistema de arquivos `/ns1`, você não poderá vincular outro repositório de dados ao caminho do sistema de arquivos `/ns1/ns2`.
**nota**
Se você especificar somente uma barra (`/`) como o caminho do sistema de arquivos, poderá vincular somente um repositório de dados ao sistema de arquivos. Só é possível especificar “/” como o caminho do sistema de arquivos para o primeiro repositório de dados associado a um sistema de arquivos.
+ **Caminho do repositório de dados**: insira um caminho no repositório de dados do S3. O caminho pode ser um bucket ou prefixo do S3 no formato `s3://bucket-name/prefix/`. Essa propriedade especifica de onde os arquivos do repositório de dados do S3 serão importados ou exportados. FSx for Lustre anexará um “/” final ao caminho do seu repositório de dados, caso você não forneça um. Por exemplo, se você fornecer um caminho de repositório de dados de`s3://amzn-s3-demo-bucket/my-prefix`, FSx for Lustre o interpretará como. `s3://amzn-s3-demo-bucket/my-prefix/`
Duas associações de repositório de dados não podem ter caminhos de repositório de dados sobrepostos. Por exemplo, se um repositório de dados com o caminho `s3://amzn-s3-demo-bucket/my-prefix/` estiver vinculado ao sistema de arquivos, você não poderá criar outra associação de repositório de dados com o caminho `s3://amzn-s3-demo-bucket/my-prefix/my-sub-prefix` do repositório de dados.
+ **Importar metadados do repositório**: você pode selecionar essa opção para importar metadados de todo o repositório de dados imediatamente após criar a associação de repositório de dados. Se preferir, você poderá executar uma tarefa de importação do repositório de dados para carregar todos ou um subconjunto dos metadados do repositório de dados vinculado no sistema de arquivos a qualquer momento após a criação da associação de repositório de dados.
+ **Configurações de importação**: escolha uma política de importação que especifique o tipo de objetos atualizados (qualquer combinação de novos, alterados e excluídos) que serão importados automaticamente do bucket do S3 vinculado para o sistema de arquivos. A importação automática (nova, alterada, excluída) é ativada por padrão quando você adiciona um repositório de dados do console, mas é desativada por padrão ao usar a FSx API AWS CLI ou a Amazon.
+ **Configurações de importação**: escolha uma política de importação que especifique o tipo de objetos atualizados (qualquer combinação de novos, alterados e excluídos) que serão exportados automaticamente para o bucket do S3. A exportação automática (nova, alterada, excluída) é ativada por padrão quando você adiciona um repositório de dados do console, mas é desativada por padrão ao usar a FSx API AWS CLI ou a Amazon.
As configurações do **caminho do sistema de arquivos** e do **caminho do repositório de dados** fornecem um mapeamento 1:1 entre os caminhos na Amazon FSx e as chaves de objeto no S3.
**Topics**
+ [Como criar um link para um bucket do S3](create-linked-dra.md)
+ [Atualização das configurações de associação de repositório de dados](update-dra-settings.md)
+ [Exclusão de uma associação com um bucket do S3](delete-linked-dra.md)
+ [Visualização dos detalhes da associação de repositório de dados](view-dra-details.md)
+ [Estado do ciclo de vida da associação de repositório de dados](dra-lifecycles.md)
+ [Como trabalhar com buckets do Amazon S3 criptografados no lado do servidor](s3-server-side-encryption-support.md)
# Como criar um link para um bucket do S3
Os procedimentos a seguir orientam você no processo de criação de uma associação de repositório de dados de um sistema de arquivos FSx for Lustre a um bucket S3 existente, usando o Console de gerenciamento da AWS e AWS Command Line Interface ().AWS CLI Para obter informações sobre como adicionar permissões a um bucket do S3 para vinculá-lo ao seu sistema de arquivos, consulte[Adição de permissões para usar repositórios de dados no Amazon S3](setting-up.md#fsx-adding-permissions-s3).
**nota**
Os repositórios de dados não podem ser vinculados a sistemas de arquivos que tenham backups de sistema de arquivos habilitados. Desative os backups antes da vinculação a um repositório de dados.
## Para vincular um bucket do S3 ao criar um sistema de arquivos (console)
1. Abra o FSx console da Amazon em [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Siga o procedimento para a criação de um novo sistema de arquivos descrito na [Etapa 1: criar o sistema de arquivos do FSx para Lustre](getting-started.md#getting-started-step1) na seção de Conceitos básicos.
1. Abra a seção **Repositório de dados Import/Export - *opcional***. Por padrão, o recurso está desabilitado:
1. Escolha **Importar e exportar dados no S3**.
1. Na caixa de diálogo **Informações de associação de repositório de dados**, forneça informações para os campos a seguir.
+ **Caminho do sistema de arquivos**: insira o nome de um diretório de alto nível (como`/ns1`) ou subdiretório (como`/ns1/subdir`) dentro do sistema de FSx arquivos da Amazon que será associado ao repositório de dados do S3. A barra inicial no caminho é obrigatória. Duas associações de repositórios de dados não podem ter caminhos de sistema de arquivos sobrepostos. Por exemplo, se um repositório de dados estiver associado ao caminho do sistema de arquivos `/ns1`, você não poderá vincular outro repositório de dados ao caminho do sistema de arquivos `/ns1/ns2`. A configuração **Caminho do sistema de arquivos** deve ser exclusiva em todas as associações de repositório de dados do sistema de arquivos.
+ **Caminho do repositório de dados**: insira o caminho de um bucket ou prefixo do S3 existente a ser associado ao sistema de arquivos (por exemplo, `s3://amzn-s3-demo-bucket/my-prefix`). Duas associações de repositório de dados não podem ter caminhos de repositório de dados sobrepostos. A configuração **Caminho do repositório de dados** deve ser exclusiva em todas as associações de repositório de dados do sistema de arquivos.
+ **Importar metadados do repositório**: selecione essa propriedade para, opcionalmente, executar uma tarefa de importação do repositório de dados para importar metadados imediatamente após a criação do link.
1. Para **Configurações de importação: opcional**, defina uma **Política de importação** que determine como suas listagens de arquivos e diretórios são mantidas atualizadas à medida que você adiciona, altera ou exclui objetos em seu bucket do S3. Por exemplo, escolha **Novo** para importar metadados para seu sistema de arquivos de novos objetos criados no bucket do S3. Para obter mais informações sobre políticas de importação, consulte [Importação automática de atualizações do bucket do S3](autoimport-data-repo-dra.md).
1. Em **Política de exportação**, defina uma política de exportação que determine como seus arquivos são exportados para o bucket do S3 vinculado à medida que você adiciona, altera ou exclui objetos em seu sistema de arquivos. Por exemplo, escolha **Alterado** para exportar objetos cujo conteúdo ou metadados foram alterados em seu sistema de arquivos. Para obter mais informações sobre políticas de exportação, consulte [Exportação automática de atualizações para o bucket do S3](autoexport-data-repo-dra.md).
1. Prossiga para a próxima seção do assistente de criação do sistema de arquivos.
## Para vincular um bucket do S3 a um sistema de arquivos existente (console)
1. Abra o FSx console da Amazon em [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. No painel, escolha **Sistemas de arquivos** e selecione o sistema de arquivos para o qual você deseja criar uma associação de repositório de dados.
1. Escolha a guia **Repositório de dados**.
1. No painel **Associações de repositório de dados**, escolha **Criar associação de repositório de dados**.
1. Na caixa de diálogo **Informações de associação de repositório de dados**, forneça informações para os campos a seguir.
+ **Caminho do sistema de arquivos**: insira o nome de um diretório de alto nível (como`/ns1`) ou subdiretório (como`/ns1/subdir`) dentro do sistema de FSx arquivos da Amazon que será associado ao repositório de dados do S3. A barra inicial no caminho é obrigatória. Duas associações de repositórios de dados não podem ter caminhos de sistema de arquivos sobrepostos. Por exemplo, se um repositório de dados estiver associado ao caminho do sistema de arquivos `/ns1`, você não poderá vincular outro repositório de dados ao caminho do sistema de arquivos `/ns1/ns2`. A configuração **Caminho do sistema de arquivos** deve ser exclusiva em todas as associações de repositório de dados do sistema de arquivos.
+ **Caminho do repositório de dados**: insira o caminho de um bucket ou prefixo do S3 existente a ser associado ao sistema de arquivos (por exemplo, `s3://amzn-s3-demo-bucket/my-prefix`). Duas associações de repositório de dados não podem ter caminhos de repositório de dados sobrepostos. A configuração **Caminho do repositório de dados** deve ser exclusiva em todas as associações de repositório de dados do sistema de arquivos.
+ **Importar metadados do repositório**: selecione essa propriedade para, opcionalmente, executar uma tarefa de importação do repositório de dados para importar metadados imediatamente após a criação do link.
1. Para **Configurações de importação: opcional**, defina uma **Política de importação** que determine como suas listagens de arquivos e diretórios são mantidas atualizadas à medida que você adiciona, altera ou exclui objetos em seu bucket do S3. Por exemplo, escolha **Novo** para importar metadados para seu sistema de arquivos de novos objetos criados no bucket do S3. Para obter mais informações sobre políticas de importação, consulte [Importação automática de atualizações do bucket do S3](autoimport-data-repo-dra.md).
1. Em **Política de exportação**, defina uma política de exportação que determine como seus arquivos são exportados para o bucket do S3 vinculado à medida que você adiciona, altera ou exclui objetos em seu sistema de arquivos. Por exemplo, escolha **Alterado** para exportar objetos cujo conteúdo ou metadados foram alterados em seu sistema de arquivos. Para obter mais informações sobre políticas de exportação, consulte [Exportação automática de atualizações para o bucket do S3](autoexport-data-repo-dra.md).
1. Escolha **Criar**.
## Vincular um sistema de arquivos a um bucket do S3 (AWS CLI)
O exemplo a seguir cria uma associação de repositório de dados que vincula um sistema de FSx arquivos da Amazon a um bucket do S3, com uma política de importação que importa todos os arquivos novos ou alterados para o sistema de arquivos e uma política de exportação que exporta arquivos novos, alterados ou excluídos para o bucket do S3 vinculado.
+ Para criar uma associação de repositório de dados, use o `create-data-repository-association` comando Amazon FSx CLI, conforme mostrado a seguir.
```
$ aws fsx create-data-repository-association \
--file-system-id fs-0123456789abcdef0 \
--file-system-path /ns1/path1/ \
--data-repository-path s3://amzn-s3-demo-bucket/myprefix/ \
--s3 "AutoImportPolicy={Events=[NEW,CHANGED,DELETED]},AutoExportPolicy={Events=[NEW,CHANGED,DELETED]}"
```
A Amazon FSx retorna imediatamente a descrição JSON do DRA. O DRA é criado de forma assíncrona.
Você pode usar esse comando para criar uma associação de repositório de dados mesmo antes da conclusão da criação do sistema de arquivos. A solicitação será colocada na fila e a associação de repositório de dados será criada após a disponibilidade do sistema de arquivos.
# Atualização das configurações de associação de repositório de dados
Você pode atualizar as configurações de uma associação de repositório de dados existente usando a Console de gerenciamento da AWS AWS CLI, a e a FSx API da Amazon, conforme mostrado nos procedimentos a seguir.
**nota**
Você não pode atualizar o caminho `File system path` ou `Data repository path` de um DRA após a criação. Se quiser alterar o caminho `File system path` ou `Data repository path`, exclua o DRA e crie-o novamente.
## Atualizar as configurações de uma associação de repositório de dados existente (console)
1. Abra o FSx console da Amazon em [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. No painel, escolha **Sistemas de arquivos** e selecione o sistema de arquivos que você deseja gerenciar.
1. Escolha a guia **Repositório de dados**.
1. No painel **Associações de repositório de dados**, escolha a associação de repositório de dados que você deseja alterar.
1. Selecione **Atualizar**. Uma caixa de diálogo de edição é exibida para a associação de repositório de dados.
1. Para **Configurações de importação: opcional**, você pode atualizar a **Política de importação**. Para obter mais informações sobre políticas de importação, consulte [Importação automática de atualizações do bucket do S3](autoimport-data-repo-dra.md).
1. Para **Configurações de exportação: opcional**, você pode atualizar a política de exportação. Para obter mais informações sobre políticas de exportação, consulte [Exportação automática de atualizações para o bucket do S3](autoexport-data-repo-dra.md).
1. Selecione **Atualizar**.
## Atualizar as configurações de uma associação de repositório de dados (CLI) existente
+ Para atualizar uma associação de repositório de dados, use o `update-data-repository-association` comando Amazon FSx CLI, conforme mostrado a seguir.
```
$ aws fsx update-data-repository-association \
--association-id 'dra-872abab4b4503bfc2' \
--s3 "AutoImportPolicy={Events=[NEW,CHANGED,DELETED]},AutoExportPolicy={Events=[NEW,CHANGED,DELETED]}"
```
Depois de atualizar com sucesso as políticas de importação e exportação da associação do repositório de dados, a Amazon FSx retorna a descrição da associação atualizada do repositório de dados como JSON.
# Exclusão de uma associação com um bucket do S3
Os procedimentos a seguir orientam você no processo de exclusão de uma associação de repositório de dados de um sistema de FSx arquivos existente da Amazon para um bucket S3 existente, usando o Console de gerenciamento da AWS e AWS Command Line Interface ().AWS CLI A exclusão da associação de repositório de dados desvincula o sistema de arquivos do bucket do S3.
## Excluir um link de um sistema de arquivos para um bucket do S3 (console)
1. Abra o FSx console da Amazon em [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. No painel, escolha **Sistemas de arquivos** e selecione o sistema de arquivos do qual você deseja excluir uma associação de repositório de dados.
1. Escolha a guia **Repositório de dados**.
1. No painel **Associações de repositório de dados**, escolha a associação que deseja excluir.
1. Em **Ações**, escolha **Excluir associação**.
1. Na caixa de diálogo **Excluir**, você pode escolher **Excluir dados no sistema de arquivos** para excluir fisicamente os dados no sistema de arquivos que correspondem à associação de repositório de dados.
Escolha essa opção se você planeja criar uma nova associação de repositório de dados usando o mesmo caminho do sistema de arquivos, mas apontando para um prefixo de bucket do S3 diferente, ou se não precisar mais dos dados em seu sistema de arquivos.
1. Escolha **Excluir** para remover a associação de repositório de dados do sistema de arquivos.
## Excluir um link de um sistema de arquivos para um bucket do S3 (AWS CLI)
O exemplo a seguir exclui uma associação de repositório de dados que vincula um sistema de FSx arquivos da Amazon a um bucket do S3. O parâmetro `--association-id` especifica o ID da associação de repositório de dados a ser excluída.
+ Para excluir uma associação de repositório de dados, use o `delete-data-repository-association` comando Amazon FSx CLI, conforme mostrado a seguir.
```
$ aws fsx delete-data-repository-association \
--association-id dra-872abab4b4503bfc \
--delete-data-in-file-system false
```
Depois de excluir com sucesso a associação do repositório de dados, a Amazon FSx retorna sua descrição como JSON.
**Recriando DRAs com o mesmo caminho do sistema de arquivos**
Não recomendamos excluir e recriar associações de repositórios de dados que usem o mesmo caminho do sistema de arquivos. Se você excluir um DRA e depois criar um novo DRA usando o mesmo caminho do sistema de arquivos, alguns arquivos poderão reter o estado do HSM do DRA excluído anteriormente.
Se precisar exportar arquivos de um DRA recriado que foram gerenciados por um DRA excluído anteriormente, você precisa marcar esses arquivos como sujos usando o comando abaixo e, em seguida, executar uma tarefa de exportação do repositório de dados:
```
sudo lfs hsm_set --dirty file_path
```
# Visualização dos detalhes da associação de repositório de dados
Você pode visualizar os detalhes de uma associação de repositório de dados usando o FSx console do Lustre AWS CLI, o e a API. Os detalhes incluem o ID de associação do DRA, o caminho do sistema de arquivos, o caminho do repositório de dados, as configurações de importação, as configurações de exportação, o status e o ID do sistema de arquivos associado.
## Visualizar detalhes do DRA (console)
1. Abra o FSx console da Amazon em [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. No painel, escolha **Sistemas de arquivos** e, em seguida, selecione o sistema de arquivos cujos detalhes de uma associação de repositório de dados você deseja visualizar.
1. Escolha a guia **Repositório de dados**.
1. No painel **Associações de repositório de dados**, escolha a associação do repositório de dados que deseja visualizar. A página **Resumo** é exibida, mostrando os detalhes do DRA.
![\[Página de FSx detalhes da Amazon de uma associação de repositórios de dados.\]](http://docs.aws.amazon.com/pt_br/fsx/latest/LustreGuide/images/dra-describe.png)
## Visualizar detalhes do DRA (CLI)
+ Para visualizar os detalhes de uma associação específica de repositório de dados, use o `describe-data-repository-associations` comando Amazon FSx CLI, conforme mostrado a seguir.
```
$ aws fsx describe-data-repository-associations \
--association-ids dra-872abab4b4503bfc2
```
A Amazon FSx retorna a descrição da associação do repositório de dados como JSON.
# Estado do ciclo de vida da associação de repositório de dados
O estado do ciclo de vida da associação de repositório de dados fornece informações de status sobre um DRA específico. Uma associação de repositório de dados pode ter os seguintes **Estados do ciclo de vida**:
+ **Criação** — A Amazon FSx está criando a associação do repositório de dados entre o sistema de arquivos e o repositório de dados vinculado. O repositório de dados está indisponível.
+ **Disponível**: a associação de repositório de dados está disponível para uso.
+ **Atualizando**: a associação de repositório de dados está passando por uma atualização iniciada pelo cliente que pode afetar a disponibilidade.
+ **Excluindo**: a associação de repositório de dados está passando por uma exclusão iniciada pelo cliente.
+ **Configuração incorreta** — A Amazon FSx não pode importar automaticamente as atualizações do bucket do S3 nem exportar automaticamente as atualizações para o bucket do S3 até que a configuração da associação do repositório de dados seja corrigida.
Um DRA pode apresentar o estado **Configuração incorreta** devido ao seguinte:
+ A Amazon FSx não tem as permissões necessárias do IAM para acessar o bucket do S3.
+ A configuração de notificação de FSx eventos no bucket do S3 é excluída ou modificada.
+ O bucket do S3 tem notificações de eventos existentes que se sobrepõem aos tipos de FSx eventos.
Depois de resolver o problema subjacente, o DRA retorna automaticamente ao estado **Disponível** em 15 minutos, ou você pode acionar imediatamente a alteração de estado usando o AWS CLI comando [update-data-repository-association](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-data-repository-association.html).
+ **Falha**: a associação de repositório de dados está em um estado terminal que não pode ser recuperado (por exemplo, porque o caminho do sistema de arquivos foi excluído ou o bucket do S3 foi excluído).
Você pode visualizar o estado do ciclo de vida de uma associação de repositório de dados usando o FSx console da Amazon AWS Command Line Interface, o e a API da Amazon. FSx Para obter mais informações, consulte [Visualização dos detalhes da associação de repositório de dados](view-dra-details.md).
# Como trabalhar com buckets do Amazon S3 criptografados no lado do servidor
FSx for Lustre oferece suporte a buckets Amazon S3 que usam criptografia do lado do servidor com chaves gerenciadas pelo S3 (SSE-S3) e armazenadas em (SSE-KMS). AWS KMS keys AWS Key Management Service
Se você quiser que FSx a Amazon criptografe dados ao gravar em seu bucket S3, você precisa definir a criptografia padrão em seu bucket S3 como SSE-S3 ou SSE-KMS. Para obter mais informações, consulte [Configuração da criptografia padrão](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) no *Guia do usuário do Amazon S3*. Ao gravar arquivos no seu bucket do S3, a Amazon FSx segue a política de criptografia padrão do seu bucket do S3.
Por padrão, a Amazon FSx oferece suporte a buckets S3 criptografados usando SSE-S3. Se você quiser vincular seu sistema de FSx arquivos Amazon a um bucket S3 criptografado usando criptografia SSE-KMS, você precisa adicionar uma declaração à sua política de chaves gerenciadas pelo cliente que permita à Amazon criptografar e FSx descriptografar objetos em seu bucket S3 usando sua chave KMS.
A declaração a seguir permite que um sistema de FSx arquivos específico da Amazon criptografe e descriptografe objetos para um bucket específico do S3,. *bucket\$1name*
```
{
"Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fsx_file_system_id"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "aws_account_id",
"kms:ViaService": "s3.bucket-region.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
}
}
}
```
**nota**
Se você estiver usando um KMS com uma CMK para criptografar seu bucket do S3 com as chaves do bucket do S3 habilitadas, defina `EncryptionContext` como ARN do bucket, não o ARN do objeto, como neste exemplo:
```
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name"
}
```
A declaração de política a seguir permite que todos os sistemas de FSx arquivos da Amazon em sua conta sejam vinculados a um bucket específico do S3.
```
{
"Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "s3.bucket-region.amazonaws.com",
"kms:CallerAccount": "aws_account_id"
},
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws_partition:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fs-*"
}
}
}
```
## Acessando buckets do Amazon S3 criptografados do lado do servidor em uma VPC diferente ou de uma VPC compartilhada Conta da AWS
Depois de criar um sistema de arquivos FSx for Lustre vinculado a um bucket criptografado do Amazon S3, você deve então conceder à função vinculada `AWSServiceRoleForFSxS3Access_fs-01234567890` ao serviço (SLR) acesso à chave KMS usada para criptografar o bucket do S3 antes de ler ou gravar dados do bucket do S3 vinculado. Você pode usar um perfil do IAM que já tenha permissões para a chave do KMS.
**nota**
Essa função do IAM deve estar na conta na qual o sistema de arquivos FSx for Lustre foi criado (que é a mesma conta da SLR do S3), não na conta à qual a chave KMS/bucket do S3 pertence.
Você usa a função do IAM para chamar a AWS KMS API a seguir para criar uma concessão para a SLR do S3 para que a SLR ganhe permissão para os objetos do S3. Para encontrar o ARN associado ao SLR, pesquise nos perfis do IAM usando o ID do sistema de arquivos como string de pesquisa.
```
$ aws kms create-grant --region fs_account_region \
--key-id arn:aws:kms:s3_bucket_account_region:s3_bucket_account:key/key_id \
--grantee-principal arn:aws:iam::fs_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_file-system-id \
--operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"
```
Para obter mais informações sobre funções vinculadas ao serviço, consulte [Usando funções vinculadas a serviços para a Amazon FSx](using-service-linked-roles.md).