As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Copie dados de um bucket do Amazon S3 para outra conta e região usando o AWS CLI
<a name="copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli"></a>

*Appasaheb Bagali e Purushotham G K, Amazon Web Services*

## Resumo
<a name="copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli-summary"></a>

Esse padrão descreve como migrar dados de um bucket de origem do Amazon Simple Storage Service (Amazon S3) em uma AWS conta para um bucket Amazon S3 de destino em outra AWS conta, na mesma região ou em uma região diferente. Região da AWS 

O bucket Amazon S3 de origem permite o acesso AWS Identity and Access Management (IAM) usando uma política de recursos anexada. Um usuário na conta de destino precisa assumir uma função que tenha permissões `PutObject` e `GetObject` para o bucket de origem. Finalmente, você `copy` executa `sync` comandos para transferir dados do bucket Amazon S3 de origem para o bucket Amazon S3 de destino.

As contas são proprietárias dos objetos que carregam nos buckets do Amazon S3. Se você copiar objetos entre contas e regiões, concederá à conta de destino a propriedade dos objetos copiados. Você pode alterar a propriedade de um objeto alterando sua [lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/dev/S3_ACLs_UsingACLs.html) para `bucket-owner-full-control`. No entanto, recomendamos que você conceda permissões programáticas entre contas à conta de destino, pois ACLs pode ser difícil gerenciar vários objetos.

**Atenção**  
Para este cenário, são necessários usuários do IAM com acesso programático e credenciais de longo prazo, o que representa um risco de segurança. Para ajudar a reduzir esse risco, recomendamos que você forneça a esses usuários somente as permissões necessárias para realizar a tarefa e que você os remova quando não forem mais necessários. As chaves de acesso podem ser atualizadas, se necessário. Para obter mais informações, consulte [Atualização das chaves de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) na documentação do IAM.

## Pré-requisitos e limitações
<a name="copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli-prereqs"></a>

*Pré-requisitos *
+ Dois ativos Contas da AWS no mesmo ou em diferentes Regiões da AWS.
+ Um bucket Amazon S3 existente na conta de origem. 
+ Se seu bucket Amazon S3 de origem ou destino tiver a [criptografia padrão](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) habilitada, você deverá modificar as permissões da chave AWS Key Management Service (AWS KMS). Para obter mais informações, consulte o [artigo do AWS re:POST](https://repost.aws/knowledge-center/s3-bucket-access-default-encryption) sobre esse tópico. 
+ Familiaridade com permissões entre contas.

*Limitações*
+ Este padrão abrange a migração única. Para cenários que exigem a migração contínua e automática de novos objetos de um bucket de origem para um bucket de destino, você pode usar o [Amazon S3 Batch](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-batch-replication-batch.html) Replication.
+ Esse padrão usa credenciais de sessão (`AccessKeyId`,`SecretAccessKey`, e`SessionToken`) que são temporárias e não persistentes. O carimbo de data e hora de expiração na saída indica quando essas credenciais expiram. A função é configurada com a duração máxima da sessão. O trabalho de cópia será cancelado se a sessão expirar.

## Arquitetura
<a name="copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli-architecture"></a>

 

![\[Copiar dados do Amazon S3 para outra conta ou região\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/a574c26b-fdd9-4472-842b-b34c3eb2bfe9/images/5e4dec53-dfc8-478b-a7c4-503d63c8ac4e.png)


## Ferramentas
<a name="copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli-tools"></a>
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) é uma ferramenta de código aberto que ajuda você a interagir Serviços da AWS por meio de comandos em seu shell de linha de comando.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) ajuda você a gerenciar com segurança o acesso aos seus AWS recursos controlando quem está autenticado e autorizado a usá-los.
+ O [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) é um serviço de armazenamento de objetos baseado na nuvem que ajuda você a armazenar, proteger e recuperar qualquer quantidade de dados.

## Práticas recomendadas
<a name="copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli-best-practices"></a>
+ [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (documentação do IAM)
+ [aplicativo de permissões com privilégios mínimos (documentação do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege))

## Épicos
<a name="copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli-epics"></a>

### Crie um usuário e uma função do IAM no destino Conta da AWS
<a name="create-an-iam-user-and-role-in-the-destination-aws-account"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Criar um usuário do IAM e obter a chave de acesso. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli.html) | AWS DevOps | 
| Criar uma política do IAM baseada em identidade. | Crie uma política baseada em identidade do IAM nomeada `S3MigrationPolicy` usando as seguintes permissões. Modifique os nomes dos buckets de origem e de destino de acordo com o seu caso de uso. Essa política baseada em identidade permite que o usuário que está assumindo essa função acesse o bucket de origem e o bucket de destino. Para obter instruções detalhadas, consulte [Como criar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) na documentação do IAM. <pre>{<br />    "Version": "2012-10-17",		 	 	 <br />    "Statement": [<br />        {<br />            "Effect": "Allow",<br />            "Action": [<br />                "s3:ListBucket",<br />                "s3:ListObjectsV2",<br />                "s3:GetObject",<br />                "s3:GetObjectTagging",<br />                "s3:GetObjectVersion",<br />                "s3:GetObjectVersionTagging"<br />            ],<br />            "Resource": [<br />                "arn:aws:s3:::amazon-s3-demo-source-bucket",<br />                "arn:aws:s3:::amazon-s3-demo-source-bucket/*"<br />            ]<br />        },<br />        {<br />            "Effect": "Allow",<br />            "Action": [<br />                "s3:ListBucket",<br />                "s3:PutObject",<br />                "s3:PutObjectAcl",<br />                "s3:PutObjectTagging",<br />                "s3:GetObjectTagging",<br />                "s3:ListObjectsV2",<br />                "s3:GetObjectVersion",<br />                "s3:GetObjectVersionTagging"<br />            ],<br />            "Resource": [<br />                "arn:aws:s3:::amazon-s3-demo-destination-bucket",<br />                "arn:aws:s3:::amazon-s3-demo-destination-bucket/*"<br />            ]<br />        }<br />    ]<br />}</pre> | AWS DevOps | 
| Criar um perfil do IAM. | Crie uma função do IAM nomeada `S3MigrationRole` usando a política de confiança a seguir. Modifique o nome do recurso da Amazon (ARN) do perfil do IAM de destino ou o nome do usuário na política de confiança de acordo com o seu caso de uso. Essa política de confiança permite que o usuário do IAM recém-criado assuma `S3MigrationRole`. Anexe o criado anteriormente`S3MigrationPolicy`. Para obter as etapas detalhadas, consulte [Criar um perfil para delegar permissões a um usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) na documentação do IAM. <pre>{<br />    "Version": "2012-10-17",		 	 	 <br />    "Statement": [<br />        {<br />            "Effect": "Allow",<br />            "Principal": {<br />                "AWS": "arn:aws:iam::<destination_account>:user/<user_name>"<br />            },<br />            "Action": "sts:AssumeRole",<br />            "Condition": {}<br />        }<br />    ]<br />}</pre> | AWS DevOps | 

### Crie e anexe a política de bucket do Amazon S3 na conta de origem
<a name="create-and-attach-the-s3-bucket-policy-in-the-source-account"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Crie e anexe uma política de bucket do Amazon S3. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli.html) | Administrador de nuvem | 

### Configurar o bucket Amazon S3 de destino
<a name="configure-the-destination-s3-bucket"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Crie um bucket Amazon S3 de destino. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli.html) | Administrador de nuvem | 

### Copiar dados para o bucket Amazon S3 de destino
<a name="copy-data-to-the-destination-s3-bucket"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Configure o AWS CLI com as credenciais de usuário recém-criadas. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli.html) | AWS DevOps | 
| Assuma a função de migração do Amazon S3. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli.html)Para obter mais informações, consulte [Como faço para usar o AWS CLI para assumir uma função do IAM?](https://repost.aws/knowledge-center/iam-assume-role-cli) | Administrador da AWS | 
| Copie e sincronize dados do bucket de origem para o bucket de destino. | Depois de assumir a função, `S3MigrationRole` você pode copiar os dados usando o comando [copy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3/cp.html) (`cp`) ou [synchronize](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3/sync.html) (`sync`).Cópia:<pre>aws s3 cp s3://amazon-s3-demo-source-bucket/ \<br />    s3://amazon-s3-demo-destination-bucket/ \<br />    --recursive --source-region SOURCE-REGION-NAME --region DESTINATION-REGION-NAME</pre>Sincronizar:<pre>aws s3 sync s3://amazon-s3-demo-source-bucket/ \<br />    s3://amazon-s3-demo-destination-bucket/ \<br />    --source-region SOURCE-REGION-NAME --region DESTINATION-REGION-NAME</pre> | Administrador de nuvem | 

## Solução de problemas
<a name="copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli-troubleshooting"></a>


| Problema | Solução | 
| --- | --- | 
| Ocorreu um erro (`AccessDenied`) ao chamar a `ListObjects` operação | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli.html) | 

## Recursos relacionados
<a name="copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli-resources"></a>
+ [Criação de um bucket do Amazon S3 (documentação](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) do Amazon S3)
+ [Políticas e políticas de usuário do bucket do S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/using-iam-policies.html) (documentação do Amazon S3)
+ [Identidades do IAM (usuários, grupos e perfis)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html?icmpid=docs_iam_console) (documentação do IAM)
+ [comando cp](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3/cp.html) (AWS CLI documentação)
+ [comando sync](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3/sync.html) (AWS CLI documentação)