As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWSSupport-ConfigureS3ReplicationSameAndCrossAccount
Descrição
O runbook de AWSSupport-ConfigureS3ReplicationSameAndCrossAccount automação configura a replicação de buckets do Amazon Simple Storage Service (Amazon S3) entre um bucket de origem e um bucket de destino para contas iguais ou cruzadas. Essa automação oferece suporte à replicação de buckets criptografados com criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3) e criptografia do lado do servidor com (SSE-KMS). AWS Key Management Service Ele também suporta filtragem de replicação seletiva baseada em prefixo e tag, controle de tempo de replicação do Amazon S3 (Amazon S3 RTC) com SLA de 15 minutos e replicação de marcadores de exclusão. A automação executa as seguintes ações:
Valida os parâmetros de entrada e as configurações do bucket para fins de compatibilidade.
Verifica as configurações de criptografia nos buckets de origem e destino.
Cria uma nova função AWS Identity and Access Management (IAM) com as permissões apropriadas para replicação, se não for fornecida como entrada.
Configura as regras de replicação com base em parâmetros especificados (prefixo, tags ou bucket inteiro).
Ativa o controle de versão do bucket, caso ainda não esteja habilitado.
Define a configuração de replicação com recursos opcionais, como Controle de Tempo de Replicação (RTC) e replicação de marcadores de exclusão.
Importante
-
Essa automação não oferece suporte a buckets com regras de replicação existentes. O bucket de origem não deve ter nenhuma configuração de replicação existente.
-
Essa automação cria uma nova função do IAM com permissões apropriadas para replicação se a ReplicationRole entrada do S3 não for fornecida.
-
Essa automação não replica objetos existentes. A replicação do Amazon S3 só se aplica aos objetos uploaded/created depois que a configuração de replicação é habilitada.
-
Para replicação entre contas, você deve fornecer uma função do IAM na conta de destino com as permissões apropriadas para operações AWS KMS e operações do Amazon S3 (se o bucket AWS KMS usar criptografia).
-
Essa automação usa a
aws:approveação, que pausa temporariamente a execução até que os diretores designados aprovem as alterações de configuração. Consulte Executando uma automação com aprovadores para obter mais informações.
Como funciona?
O runbook executa as seguintes etapas:
ValidateInputParameters: valida a exatidão e a compatibilidade de todos os parâmetros de entrada para garantir a configuração de replicação adequada.
PrepareApprovalMessage: prepara uma mensagem de aprovação com todos os parâmetros de configuração de replicação para análise pelo usuário.
RequestApproval: solicita aprovação de usuários autorizados antes de adicionar a configuração de replicação do Amazon S3 no bucket de origem.
CheckBucketEncryption: verifica a configuração de criptografia dos buckets Amazon S3 de origem e de destino para determinar configurações de replicação compatíveis.
BranchOnEncryptionType: ramifica a execução com base no tipo de criptografia de bucket Amazon S3 para aplicar a configuração de replicação apropriada para buckets criptografados SSE-S3 ou SSE-KMS.
Configurar SSES3 replicação: configura a replicação do Amazon S3 para buckets criptografados com criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3), incluindo funções do IAM e regras de replicação.
Configurar SSEKMSReplication: configura a replicação do Amazon S3 para buckets criptografados com criptografia do lado do servidor AWS KMS com (SSE-KMS), incluindo funções do IAM, permissões de chave KMS e regras de replicação.
CleanupResources: limpa a função do IAM criada durante a falha na configuração de replicação quando o S3 não ReplicationRole é fornecido como entrada.
Execute esta automação (console)
Permissões obrigatórias do IAM
O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.
s3: ListBucket
s3: GetBucketVersioning
s3: GetEncryptionConfiguration
s3: GetBucketLocation
s3: GetReplicationConfiguration
s3: PutBucketVersioning
s3: PutReplicationConfiguration
objetivo: ListRoles
objetivo: GetRole
objetivo: GetRolePolicy
objetivo: ListRoleTags
objetivo: ListAttachedRolePolicies
objetivo: ListRolePolicies
objetivo: SimulatePrincipalPolicy
objetivo: CreateRole
objetivo: TagRole
objetivo: PassRole
objetivo: DeleteRole
objetivo: DeleteRolePolicy
objetivo: DetachRolePolicy
objetivo: PutRolePolicy
conjuntos: GetCallerIdentity
sns:Publish
kms: GetKeyPolicy (quando os buckets usam SSE-KMS, replicação na mesma conta)
kms: DescribeKey (quando os buckets usam SSE-KMS, replicação na mesma conta)
kms: PutKeyPolicy (quando os buckets usam SSE-KMS, replicação na mesma conta)
sts: AssumeRole (para replicação entre contas)
CrossAccountReplicationRole (para cenários de várias contas):
Para replicação entre contas, você deve fornecer uma CrossAccountReplicationRole na conta de destino com as seguintes permissões:
s3: ListBucket
s3: GetBucketVersioning
s3: GetBucketLocation
s3: GetBucketPolicy
s3: GetEncryptionConfiguration
s3: PutBucketVersioning
s3: PutBucketPolicy
kms: GetKeyPolicy (quando o bucket de destino entre contas usa SSE-KMS)
kms: DescribeKey (quando o bucket de destino entre contas usa SSE-KMS)
kms: PutKeyPolicy (quando o bucket de destino entre contas usa SSE-KMS)
S3 ReplicationRole (função fornecida pelo cliente):
Se você fornecer um S3 existenteReplicationRole, ele deverá ter as seguintes permissões:
s3: ListBucket
s3: GetBucketLocation
s3: GetReplicationConfiguration
s3: GetObjectVersionAcl
s3: GetObjectVersionTagging
s3: GetObjectVersionForReplication
s3: GetObjectTagging
s3: ReplicateObject
s3: ReplicateDelete
s3: ReplicateTags
s3: ObjectOwnerOverrideToBucketOwner
KMS:Decrypt (para cenários SSE-KMS, chave KMS de origem)
KMS:Encrypt (para cenários SSE-KMS, chave KMS de destino)
kms: GenerateDataKey (para cenários SSE-KMS, chave KMS de destino)
kms: ReEncrypt * (para cenários SSE-KMS, chave KMS de destino)
Exemplo AutomationAssumeRolede política para replicação na mesma conta:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Permissions", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetEncryptionConfiguration", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutReplicationConfiguration" ], "Resource": [ "arn:aws:s3:::SOURCE_BUCKET", "arn:aws:s3:::DESTINATION_BUCKET" ] }, { "Sid": "IAMReadOperations", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetRolePolicy", "iam:ListRoleTags", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:SimulatePrincipalPolicy" ], "Resource": "*" }, { "Sid": "IAMListRolesForCleanup", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMCreateAndTagRole", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:TagRole" ], "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:RequestTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "IAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringEquals": { "iam:PassedToService": "s3.amazonaws.com" } } }, { "Sid": "TaggedIAMRoleModifyAndDeleteOperations", "Effect": "Allow", "Action": [ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:ResourceTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "STSGetCallerIdentity", "Effect": "Allow", "Action": "sts:GetCallerIdentity", "Resource": "*" }, { "Sid": "SNSPublish", "Effect": "Allow", "Action": "sns:Publish", "Resource": "SNS_TOPIC_ARN" }, { "Sid": "KMSKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:REGION:ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "arn:aws:kms:REGION:ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" ] }, { "Sid": "KMSKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": [ "arn:aws:kms:REGION:ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "arn:aws:kms:REGION:ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" ], "Condition": { "StringEquals": { "kms:CallerAccount": "ACCOUNT_ID" } } } ] }
nota
As declarações de política (KMSKeyReadOperations e KMSKeyMutatingOperations) são necessárias somente quando os buckets usam criptografia SSE-KMS.
Exemplo AutomationAssumeRolede política para replicação entre contas:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3SourceBucketOperations", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetEncryptionConfiguration", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutReplicationConfiguration" ], "Resource": "arn:aws:s3:::SOURCE_BUCKET" }, { "Sid": "IAMReadOperations", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetRolePolicy", "iam:ListRoleTags", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:SimulatePrincipalPolicy" ], "Resource": "*" }, { "Sid": "IAMListRolesForCleanup", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMCreateAndTagRole", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:TagRole" ], "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:RequestTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "IAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringEquals": { "iam:PassedToService": "s3.amazonaws.com" } } }, { "Sid": "TaggedIAMRoleModifyAndDeleteOperations", "Effect": "Allow", "Action": [ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:ResourceTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "CrossAccountRoleAssumption", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "CROSS_ACCOUNT_REPLICATION_ROLE_ARN" }, { "Sid": "STSGetCallerIdentity", "Effect": "Allow", "Action": "sts:GetCallerIdentity", "Resource": "*" }, { "Sid": "SNSPublish", "Effect": "Allow", "Action": "sns:Publish", "Resource": "SNS_TOPIC_ARN" }, { "Sid": "KMSSourceKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID" }, { "Sid": "KMSSourceKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "Condition": { "StringEquals": { "kms:CallerAccount": "SOURCE_ACCOUNT_ID" } } } ] }
nota
As declarações de política (KMSSourceKeyReadOperations e KMSSourceKeyMutatingOperations) são necessárias somente quando o bucket de origem usa criptografia SSE-KMS.
Substitua CROSS_ACCOUNT_REPLICATION_ROLE_ARN pelo valor real do parâmetro que você fornece à automação. CrossAccountReplicationRole
Exemplo CrossAccountReplicationRolede política:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3DestinationBucketReadOperations", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:GetEncryptionConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutBucketPolicy" ], "Resource": "arn:aws:s3:::DESTINATION_BUCKET" }, { "Sid": "KMSDestinationKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" }, { "Sid": "KMSDestinationKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID", "Condition": { "StringEquals": { "kms:CallerAccount": "DESTINATION_ACCOUNT_ID" } } } ] }
nota
As instruções KMS (KMSDestinationKeyReadOperations e KMSDestinationKeyMutatingOperations) são necessárias somente quando o bucket de destino usa criptografia SSE-KMS. Remova essas declarações para cenários SSE-S3.
Exemplo de política de CrossAccountReplicationRole confiança:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "AUTOMATION_ASSUME_ROLE_ARN" }, "Action": "sts:AssumeRole" } ] }
nota
Substitua AUTOMATION_ASSUME_ROLE_ARN pelo valor real do parâmetro que você fornece à automação. AutomationAssumeRole
Exemplo de ReplicationRole política S3:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3SourceBucketPermissions", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTagging", "s3:GetObjectVersionForReplication", "s3:GetObjectTagging" ], "Resource": [ "arn:aws:s3:::SOURCE_BUCKET", "arn:aws:s3:::SOURCE_BUCKET/*" ] }, { "Sid": "S3DestinationBucketPermissions", "Effect": "Allow", "Action": [ "s3:ReplicateObject", "s3:ReplicateDelete", "s3:ReplicateTags" ], "Resource": "arn:aws:s3:::DESTINATION_BUCKET/*" }, { "Sid": "S3CrossAccountPermissions", "Effect": "Allow", "Action": "s3:ObjectOwnerOverrideToBucketOwner", "Resource": "arn:aws:s3:::DESTINATION_BUCKET/*" }, { "Sid": "KMSSourceKeyPermissions", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID" }, { "Sid": "KMSDestinationKeyPermissions", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey", "kms:ReEncrypt*" ], "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" } ] }
nota
As instruções KMS (KMSSourceKeyPermissions e KMSDestinationKeyPermissions) são necessárias somente quando os buckets usam criptografia SSE-KMS.
A CrossAccountPermissions instrução S3 só é necessária para a replicação de buckets entre contas.
Exemplo de política de ReplicationRole confiança do S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Instruções
Siga estas etapas para configurar a automação:
-
Navegue até
AWSSupport-ConfigureS3ReplicationSameAndCrossAccountem Systems Manager em Documentos. -
Selecione Execute automation (Executar automação).
-
Para os parâmetros de entrada, insira o seguinte:
-
AutomationAssumeRole (Obrigatório):
-
Descrição: (Obrigatório) O Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
-
Tipo:
AWS::IAM::Role::Arn
-
-
SourceBucket (Obrigatório):
-
Descrição: (Obrigatório) O nome do bucket Amazon S3 de origem onde as regras de replicação serão criadas ou atualizadas.
-
Tipo:
AWS::S3::Bucket::Name
-
-
DestinationBucket (Obrigatório):
-
Descrição: (Obrigatório) O nome do bucket Amazon S3 de destino para o qual os objetos serão replicados.
-
Tipo:
String -
Allowed-pattern:
^[0-9a-z][a-z0-9\\-\\.]{3,63}$
-
-
SourceAccountId (Obrigatório):
-
Descrição: (Obrigatório) O ID da AWS conta em que o bucket de origem está localizado.
-
Tipo:
String -
Allowed-pattern:
^[0-9]{12,13}$
-
-
DestinationAccountId (Obrigatório):
-
Descrição: (Obrigatório) O ID da AWS conta em que o bucket de destino está localizado.
-
Tipo:
String -
Allowed-pattern:
^[0-9]{12,13}$
-
-
SnsNotificationArn (Obrigatório):
-
Descrição: (Obrigatório) O ARN de um tópico do Amazon Simple Notification Service (Amazon SNS) para aprovações de automação.
-
Tipo:
String -
Allowed-pattern:
^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):sns:[a-z]{2}(-gov)?(-iso[a-z]?)?-[a-z]{2,10}-[0-9]{1,2}:\\d{12}:[0-9a-zA-Z-_]{1,256}(.fifo)?$
-
-
Aprovadores (obrigatório):
-
Descrição: (Obrigatório) A lista de IAM user/role ARNs autorizados a aprovar a execução da automação.
-
Tipo:
StringList -
Allowed-pattern:
^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:(user|role)/[\\w+=,.@\\-/]+$
-
-
S3 ReplicationRole (opcional):
-
Descrição: (Opcional) O ARN de uma função existente do IAM a ser usada nas operações de replicação do Amazon S3. Essa função deve ter permissões para ler do bucket de origem e gravar no bucket de destino, incluindo permissões KMS se os buckets usarem criptografia SSE-KMS. Se não for fornecida, a automação criará uma nova função com as permissões apropriadas.
-
Tipo:
String -
Allowed-pattern:
^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:role/[\\w+=,.@\\-/]+$ -
Padrão:
""
-
-
CrossAccountReplicationRole (Opcional):
-
Descrição: (Opcional) O ARN de uma função do IAM na conta de destino que a automação pode assumir. Isso é necessário para a replicação entre contas. Para replicação na mesma conta, deixe isso em branco.
-
Tipo:
String -
Allowed-pattern:
^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:role/[\\w+=,.@\\-/]+$ -
Padrão:
""
-
-
ReplicateEntireBucket (Opcional):
-
Descrição: (Opcional) Se definido como
true, todo o bucket será replicado e tanto o Prefixo quanto os Tags deverão estar vazios. Se for falso, a replicação será baseada em prefixos ou tags especificados. -
Tipo:
Boolean -
Valores permitidos:
[true, false] -
Padrão:
true
-
-
ReplicationRuleStatus (Opcional):
-
Descrição: (Opcional) Se definido como
true, as regras de replicação criadas serão habilitadas. Se definido comofalse, as regras de replicação criadas serão definidas como Desativadas. -
Tipo:
Boolean -
Valores permitidos:
[true, false] -
Padrão:
true
-
-
DeleteMarkerReplicationStatus (Opcional):
-
Descrição: (Opcional) Se definida como
true, a automação permite a replicação do marcador de exclusão. -
Tipo:
Boolean -
Valores permitidos:
[true, false] -
Padrão:
false
-
-
ReplicationTimeControl (Opcional):
-
Descrição: (Opcional) Se definido como
true, habilita o Amazon S3 Replication Time Control (Amazon S3 RTC) com SLA de 15 minutos para tempos de replicação previsíveis. -
Tipo:
Boolean -
Valores permitidos:
[true, false] -
Padrão:
false
-
-
ReplicaModifications (Opcional):
-
Descrição: (Opcional) Se definido como
true, permite a replicação das alterações de metadados feitas nos objetos de réplica, permitindo que as modificações nos objetos replicados sejam sincronizadas de volta à origem. -
Tipo:
Boolean -
Valores permitidos:
[true, false] -
Padrão:
false
-
-
Prefixo (opcional):
-
Descrição: (Opcional) Filtro de prefixo para replicação seletiva de objetos com prefixos de chave específicos. O prefixo deve terminar com uma barra final (/) para uma filtragem adequada do prefixo do Amazon S3.
-
Tipo:
String -
Allowed-pattern:
^$|^[a-zA-Z0-9!_'()\\-]*/+$ -
Padrão:
""
-
-
Etiquetas (opcional):
-
Descrição: matriz de tags JSON (opcional) para filtrar objetos a serem replicados. Formato para uma única tag: [{"Key”:” TagKey “, "Value”:” TagValue “}] e para várias tags: [{" Key”:” TagKey 1", "Value”:” TagValue 1"}, {"Key”:” 2", "Value”:” TagKey 2"}]. TagValue
-
Tipo:
String -
Allowed-pattern:
^\\[((\\{\"Key\":\"[a-zA-Z0-9+\\-=.:/ @\\s]{1,128}\",\"Value\":\"[a-zA-Z0-9+\\-=.:/@\\s]{0,256}\"\\})(,\\{\"Key\":\"[a-zA-Z0-9+\\-=.:/ @\\s]{1,128}\",\"Value\":\"[a-zA-Z0-9+\\-=.:/@\\s]{0,256}\"\\})*)?\\]$ -
Padrão:
[]
-
-
-
Selecione Executar.
-
A automação é iniciada.
-
O bucket realiza as seguintes etapas:
-
ValidateInputParameters:
Valida a exatidão e a compatibilidade de todos os parâmetros de entrada para garantir a configuração de replicação adequada.
-
PrepareApprovalMessage:
Prepara a mensagem de aprovação com todos os parâmetros de configuração de replicação para análise pelo usuário.
-
RequestApproval:
Solicita aprovação de usuários autorizados antes de prosseguir com as alterações na configuração de replicação do Amazon S3.
-
CheckBucketEncryption:
Verifica a configuração de criptografia dos buckets Amazon S3 de origem e de destino para determinar configurações de replicação compatíveis.
-
BranchOnEncryptionType:
Ramifica a execução com base no tipo de criptografia de bucket Amazon S3 para aplicar a configuração de replicação apropriada para buckets criptografados SSE-S3 ou SSE-KMS.
-
Configurar a SSES3 replicação:
Configura a replicação do Amazon S3 para buckets criptografados com criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3), incluindo funções do IAM e regras de replicação.
-
Configurar SSEKMSReplication:
Configura a replicação do Amazon S3 para buckets criptografados com criptografia do lado do servidor AWS KMS com (SSE-KMS), incluindo funções do IAM, permissões de chave KMS e regras de replicação.
-
CleanupResources:
Limpa as funções do IAM criadas durante a falha na configuração de replicação quando o S3 não ReplicationRole foi fornecido pelo cliente.
-
-
Após a conclusão, revise os resultados da etapa Configurar SSES3 replicação (para buckets criptografados SSE-S3) ou da SSEKMSReplication etapa Configurar (para buckets criptografados SSE-KMS) para ver os resultados da execução, incluindo o status da configuração da replicação junto com a função do IAM usada para replicação.
Referências
Automação do Systems Manager
