As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # `AWSSupport-ConfigureS3ReplicationSameAndCrossAccount` **Descrição** O runbook de `AWSSupport-ConfigureS3ReplicationSameAndCrossAccount` automação configura a replicação de buckets do Amazon Simple Storage Service (Amazon S3) entre um bucket de origem e um bucket de destino para contas iguais ou cruzadas. Essa automação oferece suporte à replicação de buckets criptografados com criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3) e criptografia do lado do servidor com (SSE-KMS). AWS Key Management Service Ele também suporta filtragem de replicação seletiva baseada em prefixo e tag, controle de tempo de replicação do Amazon S3 (Amazon S3 RTC) com SLA de 15 minutos e replicação de marcadores de exclusão. A automação executa as seguintes ações: + Valida os parâmetros de entrada e as configurações do bucket para fins de compatibilidade. + Verifica as configurações de criptografia nos buckets de origem e destino. + Cria uma nova função AWS Identity and Access Management (IAM) com as permissões apropriadas para replicação, se não for fornecida como entrada. + Configura as regras de replicação com base em parâmetros especificados (prefixo, tags ou bucket inteiro). + Ativa o controle de versão do bucket, caso ainda não esteja habilitado. + Define a configuração de replicação com recursos opcionais, como Controle de Tempo de Replicação (RTC) e replicação de marcadores de exclusão. **Importante** **Essa automação não oferece suporte a buckets com regras de replicação existentes.** O bucket de origem não deve ter nenhuma configuração de replicação existente. **Essa automação cria uma nova função do IAM** com permissões apropriadas para replicação se a ReplicationRole entrada do S3 não for fornecida. **Essa automação não replica objetos existentes.** A replicação do Amazon S3 só se aplica aos objetos uploaded/created depois que a configuração de replicação é habilitada. Para replicação entre contas, você deve fornecer uma função do IAM na conta de destino com as permissões apropriadas para operações AWS KMS e operações do Amazon S3 (se o bucket AWS KMS usar criptografia). Essa automação usa a `aws:approve` ação, que pausa temporariamente a execução até que os diretores designados aprovem as alterações de configuração. Consulte [Executando uma automação com aprovadores](https://docs.aws.amazon.com//systems-manager/latest/userguide/running-automations-require-approvals.html) para obter mais informações. **Como funciona?** O runbook executa as seguintes etapas: + **ValidateInputParameters**: valida a exatidão e a compatibilidade de todos os parâmetros de entrada para garantir a configuração de replicação adequada. + **PrepareApprovalMessage**: prepara uma mensagem de aprovação com todos os parâmetros de configuração de replicação para análise pelo usuário. + **RequestApproval**: solicita aprovação de usuários autorizados antes de adicionar a configuração de replicação do Amazon S3 no bucket de origem. + **CheckBucketEncryption**: verifica a configuração de criptografia dos buckets Amazon S3 de origem e de destino para determinar configurações de replicação compatíveis. + **BranchOnEncryptionType**: ramifica a execução com base no tipo de criptografia de bucket Amazon S3 para aplicar a configuração de replicação apropriada para buckets criptografados SSE-S3 ou SSE-KMS. + **Configurar SSES3 replicação**: configura a replicação do Amazon S3 para buckets criptografados com criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3), incluindo funções do IAM e regras de replicação. + **Configurar SSEKMSReplication**: configura a replicação do Amazon S3 para buckets criptografados com criptografia do lado do servidor AWS KMS com (SSE-KMS), incluindo funções do IAM, permissões de chave KMS e regras de replicação. + **CleanupResources**: limpa a função do IAM criada durante a falha na configuração de replicação quando o S3 não ReplicationRole é fornecido como entrada. [Execute esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount) **Permissões obrigatórias do IAM** O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito. + s3: ListBucket + s3: GetBucketVersioning + s3: GetEncryptionConfiguration + s3: GetBucketLocation + s3: GetReplicationConfiguration + s3: PutBucketVersioning + s3: PutReplicationConfiguration + objetivo: ListRoles + objetivo: GetRole + objetivo: GetRolePolicy + objetivo: ListRoleTags + objetivo: ListAttachedRolePolicies + objetivo: ListRolePolicies + objetivo: SimulatePrincipalPolicy + objetivo: CreateRole + objetivo: TagRole + objetivo: PassRole + objetivo: DeleteRole + objetivo: DeleteRolePolicy + objetivo: DetachRolePolicy + objetivo: PutRolePolicy + conjuntos: GetCallerIdentity + sns:Publish + kms: GetKeyPolicy (quando os buckets usam SSE-KMS, replicação na mesma conta) + kms: DescribeKey (quando os buckets usam SSE-KMS, replicação na mesma conta) + kms: PutKeyPolicy (quando os buckets usam SSE-KMS, replicação na mesma conta) + sts: AssumeRole (para replicação entre contas) **CrossAccountReplicationRole (para cenários de várias contas):** Para replicação entre contas, você deve fornecer uma CrossAccountReplicationRole na conta de destino com as seguintes permissões: + s3: ListBucket + s3: GetBucketVersioning + s3: GetBucketLocation + s3: GetBucketPolicy + s3: GetEncryptionConfiguration + s3: PutBucketVersioning + s3: PutBucketPolicy + kms: GetKeyPolicy (quando o bucket de destino entre contas usa SSE-KMS) + kms: DescribeKey (quando o bucket de destino entre contas usa SSE-KMS) + kms: PutKeyPolicy (quando o bucket de destino entre contas usa SSE-KMS) **S3 ReplicationRole (função fornecida pelo cliente):** Se você fornecer um S3 existenteReplicationRole, ele deverá ter as seguintes permissões: + s3: ListBucket + s3: GetBucketLocation + s3: GetReplicationConfiguration + s3: GetObjectVersionAcl + s3: GetObjectVersionTagging + s3: GetObjectVersionForReplication + s3: GetObjectTagging + s3: ReplicateObject + s3: ReplicateDelete + s3: ReplicateTags + s3: ObjectOwnerOverrideToBucketOwner + KMS:Decrypt (para cenários SSE-KMS, chave KMS de origem) + KMS:Encrypt (para cenários SSE-KMS, chave KMS de destino) + kms: GenerateDataKey (para cenários SSE-KMS, chave KMS de destino) + kms: ReEncrypt \$1 (para cenários SSE-KMS, chave KMS de destino) Exemplo **AutomationAssumeRole**de política para **replicação na mesma conta**: ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "S3Permissions", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetEncryptionConfiguration", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutReplicationConfiguration" ], "Resource": [ "arn:aws:s3:::SOURCE_BUCKET", "arn:aws:s3:::DESTINATION_BUCKET" ] }, { "Sid": "IAMReadOperations", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetRolePolicy", "iam:ListRoleTags", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:SimulatePrincipalPolicy" ], "Resource": "*" }, { "Sid": "IAMListRolesForCleanup", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMCreateAndTagRole", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:TagRole" ], "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:RequestTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "IAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringEquals": { "iam:PassedToService": "s3.amazonaws.com" } } }, { "Sid": "TaggedIAMRoleModifyAndDeleteOperations", "Effect": "Allow", "Action": [ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:ResourceTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "STSGetCallerIdentity", "Effect": "Allow", "Action": "sts:GetCallerIdentity", "Resource": "*" }, { "Sid": "SNSPublish", "Effect": "Allow", "Action": "sns:Publish", "Resource": "SNS_TOPIC_ARN" }, { "Sid": "KMSKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:REGION:ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "arn:aws:kms:REGION:ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" ] }, { "Sid": "KMSKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": [ "arn:aws:kms:REGION:ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "arn:aws:kms:REGION:ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" ], "Condition": { "StringEquals": { "kms:CallerAccount": "ACCOUNT_ID" } } } ] } ``` **nota** As declarações de política (KMSKeyReadOperations e KMSKeyMutatingOperations) são necessárias somente quando os buckets usam criptografia SSE-KMS. Exemplo **AutomationAssumeRole**de política para **replicação entre contas**: ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "S3SourceBucketOperations", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetEncryptionConfiguration", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutReplicationConfiguration" ], "Resource": "arn:aws:s3:::SOURCE_BUCKET" }, { "Sid": "IAMReadOperations", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetRolePolicy", "iam:ListRoleTags", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:SimulatePrincipalPolicy" ], "Resource": "*" }, { "Sid": "IAMListRolesForCleanup", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMCreateAndTagRole", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:TagRole" ], "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:RequestTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "IAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringEquals": { "iam:PassedToService": "s3.amazonaws.com" } } }, { "Sid": "TaggedIAMRoleModifyAndDeleteOperations", "Effect": "Allow", "Action": [ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:ResourceTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "CrossAccountRoleAssumption", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "CROSS_ACCOUNT_REPLICATION_ROLE_ARN" }, { "Sid": "STSGetCallerIdentity", "Effect": "Allow", "Action": "sts:GetCallerIdentity", "Resource": "*" }, { "Sid": "SNSPublish", "Effect": "Allow", "Action": "sns:Publish", "Resource": "SNS_TOPIC_ARN" }, { "Sid": "KMSSourceKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID" }, { "Sid": "KMSSourceKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "Condition": { "StringEquals": { "kms:CallerAccount": "SOURCE_ACCOUNT_ID" } } } ] } ``` **nota** As declarações de política (KMSSourceKeyReadOperations e KMSSourceKeyMutatingOperations) são necessárias somente quando o bucket de origem usa criptografia SSE-KMS. Substitua CROSS\$1ACCOUNT\$1REPLICATION\$1ROLE\$1ARN pelo valor real do parâmetro que você fornece à automação. CrossAccountReplicationRole Exemplo **CrossAccountReplicationRole**de política: ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "S3DestinationBucketReadOperations", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:GetEncryptionConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutBucketPolicy" ], "Resource": "arn:aws:s3:::DESTINATION_BUCKET" }, { "Sid": "KMSDestinationKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" }, { "Sid": "KMSDestinationKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID", "Condition": { "StringEquals": { "kms:CallerAccount": "DESTINATION_ACCOUNT_ID" } } } ] } ``` **nota** As instruções KMS (KMSDestinationKeyReadOperations e KMSDestinationKeyMutatingOperations) são necessárias somente quando o bucket de destino usa criptografia SSE-KMS. Remova essas declarações para cenários SSE-S3. Exemplo de política de CrossAccountReplicationRole confiança: ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "AUTOMATION_ASSUME_ROLE_ARN" }, "Action": "sts:AssumeRole" } ] } ``` **nota** Substitua AUTOMATION\$1ASSUME\$1ROLE\$1ARN pelo valor real do parâmetro que você fornece à automação. AutomationAssumeRole Exemplo de ReplicationRole política **S3**: ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "S3SourceBucketPermissions", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTagging", "s3:GetObjectVersionForReplication", "s3:GetObjectTagging" ], "Resource": [ "arn:aws:s3:::SOURCE_BUCKET", "arn:aws:s3:::SOURCE_BUCKET/*" ] }, { "Sid": "S3DestinationBucketPermissions", "Effect": "Allow", "Action": [ "s3:ReplicateObject", "s3:ReplicateDelete", "s3:ReplicateTags" ], "Resource": "arn:aws:s3:::DESTINATION_BUCKET/*" }, { "Sid": "S3CrossAccountPermissions", "Effect": "Allow", "Action": "s3:ObjectOwnerOverrideToBucketOwner", "Resource": "arn:aws:s3:::DESTINATION_BUCKET/*" }, { "Sid": "KMSSourceKeyPermissions", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID" }, { "Sid": "KMSDestinationKeyPermissions", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey", "kms:ReEncrypt*" ], "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" } ] } ``` **nota** As instruções KMS (KMSSourceKeyPermissions e KMSDestinationKeyPermissions) são necessárias somente quando os buckets usam criptografia SSE-KMS. A CrossAccountPermissions instrução S3 só é necessária para a replicação de buckets entre contas. Exemplo de política de ReplicationRole confiança do S3: ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } ``` **Instruções** Siga estas etapas para configurar a automação: 1. Navegue até [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount/description)em Systems Manager em Documentos. 1. Selecione **Execute automation (Executar automação)**. 1. Para os parâmetros de entrada, insira o seguinte: + **AutomationAssumeRole (Obrigatório):** + Descrição: (Obrigatório) O Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook. + Tipo: `AWS::IAM::Role::Arn` + **SourceBucket (Obrigatório):** + Descrição: (Obrigatório) O nome do bucket Amazon S3 de origem onde as regras de replicação serão criadas ou atualizadas. + Tipo: `AWS::S3::Bucket::Name` + **DestinationBucket (Obrigatório):** + Descrição: (Obrigatório) O nome do bucket Amazon S3 de destino para o qual os objetos serão replicados. + Tipo: `String` + Allowed-pattern: `^[0-9a-z][a-z0-9\\-\\.]{3,63}$` + **SourceAccountId (Obrigatório):** + Descrição: (Obrigatório) O ID da AWS conta em que o bucket de origem está localizado. + Tipo: `String` + Allowed-pattern: `^[0-9]{12,13}$` + **DestinationAccountId (Obrigatório):** + Descrição: (Obrigatório) O ID da AWS conta em que o bucket de destino está localizado. + Tipo: `String` + Allowed-pattern: `^[0-9]{12,13}$` + **SnsNotificationArn (Obrigatório):** + Descrição: (Obrigatório) O ARN de um tópico do Amazon Simple Notification Service (Amazon SNS) para aprovações de automação. + Tipo: `String` + Allowed-pattern: `^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):sns:[a-z]{2}(-gov)?(-iso[a-z]?)?-[a-z]{2,10}-[0-9]{1,2}:\\d{12}:[0-9a-zA-Z-_]{1,256}(.fifo)?$` + **Aprovadores (obrigatório):** + Descrição: (Obrigatório) A lista de IAM user/role ARNs autorizados a aprovar a execução da automação. + Tipo: `StringList` + Allowed-pattern: `^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:(user|role)/[\\w+=,.@\\-/]+$` + **S3 ReplicationRole (opcional):** + Descrição: (Opcional) O ARN de uma função existente do IAM a ser usada nas operações de replicação do Amazon S3. Essa função deve ter permissões para ler do bucket de origem e gravar no bucket de destino, incluindo permissões KMS se os buckets usarem criptografia SSE-KMS. Se não for fornecida, a automação criará uma nova função com as permissões apropriadas. + Tipo: `String` + Allowed-pattern: `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:role/[\\w+=,.@\\-/]+$` + Padrão: `""` + **CrossAccountReplicationRole (Opcional):** + Descrição: (Opcional) O ARN de uma função do IAM na conta de destino que a automação pode assumir. Isso é necessário para a replicação entre contas. Para replicação na mesma conta, deixe isso em branco. + Tipo: `String` + Allowed-pattern: `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:role/[\\w+=,.@\\-/]+$` + Padrão: `""` + **ReplicateEntireBucket (Opcional):** + Descrição: (Opcional) Se definido como`true`, todo o bucket será replicado e tanto o Prefixo quanto os Tags deverão estar vazios. Se for falso, a replicação será baseada em prefixos ou tags especificados. + Tipo: `Boolean` + Valores permitidos: `[true, false]` + Padrão: `true` + **ReplicationRuleStatus (Opcional):** + Descrição: (Opcional) Se definido como`true`, as regras de replicação criadas serão habilitadas. Se definido como`false`, as regras de replicação criadas serão definidas como **Desativadas**. + Tipo: `Boolean` + Valores permitidos: `[true, false]` + Padrão: `true` + **DeleteMarkerReplicationStatus (Opcional):** + Descrição: (Opcional) Se definida como`true`, a automação permite a replicação do marcador de exclusão. + Tipo: `Boolean` + Valores permitidos: `[true, false]` + Padrão: `false` + **ReplicationTimeControl (Opcional):** + Descrição: (Opcional) Se definido como`true`, habilita o Amazon S3 Replication Time Control (Amazon S3 RTC) com SLA de 15 minutos para tempos de replicação previsíveis. + Tipo: `Boolean` + Valores permitidos: `[true, false]` + Padrão: `false` + **ReplicaModifications (Opcional):** + Descrição: (Opcional) Se definido como`true`, permite a replicação das alterações de metadados feitas nos objetos de réplica, permitindo que as modificações nos objetos replicados sejam sincronizadas de volta à origem. + Tipo: `Boolean` + Valores permitidos: `[true, false]` + Padrão: `false` + **Prefixo (opcional):** + Descrição: (Opcional) Filtro de prefixo para replicação seletiva de objetos com prefixos de chave específicos. O prefixo deve terminar com uma barra final (/) para uma filtragem adequada do prefixo do Amazon S3. + Tipo: `String` + Allowed-pattern: `^$|^[a-zA-Z0-9!_'()\\-]*/+$` + Padrão: `""` + **Etiquetas (opcional):** + Descrição: matriz de tags JSON (opcional) para filtrar objetos a serem replicados. Formato para uma única tag: [\$1"Key”:” TagKey “, "Value”:” TagValue “\$1] e para várias tags: [\$1" Key”:” TagKey 1", "Value”:” TagValue 1"\$1, \$1"Key”:” 2", "Value”:” TagKey 2"\$1]. TagValue + Tipo: `String` + Allowed-pattern: `^\\[((\\{\"Key\":\"[a-zA-Z0-9+\\-=.:/ @\\s]{1,128}\",\"Value\":\"[a-zA-Z0-9+\\-=.:/@\\s]{0,256}\"\\})(,\\{\"Key\":\"[a-zA-Z0-9+\\-=.:/ @\\s]{1,128}\",\"Value\":\"[a-zA-Z0-9+\\-=.:/@\\s]{0,256}\"\\})*)?\\]$` + Padrão: `[]` 1. Selecione **Executar**. 1. A automação é iniciada. 1. O bucket realiza as seguintes etapas: + **ValidateInputParameters**: Valida a exatidão e a compatibilidade de todos os parâmetros de entrada para garantir a configuração de replicação adequada. + **PrepareApprovalMessage**: Prepara a mensagem de aprovação com todos os parâmetros de configuração de replicação para análise pelo usuário. + **RequestApproval**: Solicita aprovação de usuários autorizados antes de prosseguir com as alterações na configuração de replicação do Amazon S3. + **CheckBucketEncryption**: Verifica a configuração de criptografia dos buckets Amazon S3 de origem e de destino para determinar configurações de replicação compatíveis. + **BranchOnEncryptionType**: Ramifica a execução com base no tipo de criptografia de bucket Amazon S3 para aplicar a configuração de replicação apropriada para buckets criptografados SSE-S3 ou SSE-KMS. + **Configurar a SSES3 replicação**: Configura a replicação do Amazon S3 para buckets criptografados com criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3), incluindo funções do IAM e regras de replicação. + **Configurar SSEKMSReplication**: Configura a replicação do Amazon S3 para buckets criptografados com criptografia do lado do servidor AWS KMS com (SSE-KMS), incluindo funções do IAM, permissões de chave KMS e regras de replicação. + **CleanupResources**: Limpa as funções do IAM criadas durante a falha na configuração de replicação quando o S3 não ReplicationRole foi fornecido pelo cliente. 1. Após a conclusão, revise os resultados da etapa **Configurar SSES3 replicação** (para buckets criptografados SSE-S3) ou da SSEKMSReplication etapa **Configurar** (para buckets criptografados SSE-KMS) para ver os resultados da execução, incluindo o status da configuração da replicação junto com a função do IAM usada para replicação. **Referências** Automação do Systems Manager + [Execute esta automação (console)](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount/description) + [Executar uma automação](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html) + [Configurar a automação](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html) + [Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)