本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 了解存放在 Amazon S3 中的組態
您可以將組態存放在 Amazon Simple Storage Service (Amazon S3) 儲存貯體中。在您建立組態描述檔時,您可以指定指向儲存貯體中單一 S3 物件的 URI。您也可以指定 (IAM) 角色的 Amazon Resource Name AWS Identity and Access Management (ARN),以授予 AWS AppConfig 取得物件的許可。為 Amazon S3 物件建立組態設定檔之前,請注意下列限制。
****
| 限制 | 詳細資訊 |
| --- | --- |
| 大小 | 存放為 S3 物件的組態大小上限為 1 MB。 |
| 物件加密 | 組態設定檔可以鎖定 SSE-S3 和 SSE-KMS 加密物件。 |
| 儲存類別 | AWS AppConfig 支援下列 S3 儲存類別:`STANDARD`、`INTELLIGENT_TIERING`、`STANDARD_IA`、 `REDUCED_REDUNDANCY`和 `ONEZONE_IA`。不支援下列類別:所有 S3 Glacier 類別 (`GLACIER` 和 `DEEP_ARCHIVE`)。 |
| 版本控制 | AWS AppConfig 要求 S3 物件使用版本控制。 |
## 設定儲存為 Amazon S3 物件之組態的許可
當您為存放為 S3 物件的組態建立組態描述檔時,您必須為 IAM 角色指定 ARN,以授予取得物件的 AWS AppConfig 許可。角色必須包含下列許可。
存取 S3 物件的許可
+ s3:GetObject
+ s3:GetObjectVersion
列出 S3 儲存貯體的許可
s3:ListAllMyBuckets
存放物件的 S3 儲存貯體的存取許可
+ s3:GetBucketLocation
+ s3:GetBucketVersioning
+ s3:ListBucket
+ s3:ListBucketVersions
完成下列程序以建立角色, AWS AppConfig 讓 取得存放在 S3 物件中的組態。
**建立存取 S3 物件的 IAM 政策**
使用下列程序建立 IAM 政策,讓 AWS AppConfig 取得存放在 S3 物件中的組態。
**建立用於存取 S3 物件的 IAM 政策**
1. 在 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 中開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Policies (政策)**,然後選擇 **Create policy (建立政策)**。
1. 在**建立政策**頁面上,選擇 **JSON** 標籤。
1. 使用 S3 儲存貯體及組態物件的相關資訊,更新以下範例政策。然後將政策貼入 **JSON** 標籤上的文字欄位中。使用您的資訊取代*預留位置的值*。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/my-configurations/my-configuration.json"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetBucketVersioning",
"s3:ListBucketVersions",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "*"
}
]
}
```
------
1. 選擇**檢閱政策**。
1. 在 **Review policy (檢閱政策)** 頁面上,於 **Name (名稱)** 方塊中輸入名稱,然後輸入描述。
1. 選擇**建立政策**。系統會讓您回到 **Roles (角色)** 頁面。
**建立存取 S3 物件的 IAM 角色**
使用下列程序建立 IAM 角色,讓 AWS AppConfig 取得存放在 S3 物件中的組態。
**建立用於存取 Amazon S3 物件的 IAM 角色**
1. 在以下網址開啟 IAM 主控台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在導覽窗格中,選擇**角色**,然後選擇**建立角色**。
1. 在**選取信任實體類型**區段中,選擇**AWS 服務**。
1. 在 **Choose a use case (選擇使用案例)** 區段中,選擇位於 **Common use cases (常見使用案例)** 下方的 **EC2**,然後選擇 **Next: Permissions (下一步:許可)**。
1. 在 **Attach permissions policy (連接許可政策)** 頁面上,於搜尋方塊中輸入您在上一個程序中建立的政策名稱。
1. 選擇政策,然後選擇 **Next: Tags (下一步:標籤)**。
1. 在**新增標籤 (選用)** 頁面上,輸入索引鍵和選用值,然後選擇**下一步:檢閱**。
1. 在 **Review (檢閱)** 頁面上,在 **Role name (角色名稱)** 欄位中輸入名稱,然後輸入描述。
1. 選擇 **Create role** (建立角色)。系統會讓您回到 **Roles (角色)** 頁面。
1. 在 **Roles (角色)** 頁面,選擇您剛建立的角色,以開啟 **Summary (摘要)** 頁面。請記下 **Role Name (角色名稱)** 和 **Role ARN (角色 ARN)**。您將會在本主題中稍後建立組態描述檔時指定角色 ARN。
**建立信任關係**
使用下列程序來設定您剛建立的角色以信任 AWS AppConfig。
**新增信任關係**
1. 在您剛建立之角色的 **Summary (摘要)** 頁面中,選擇 **Trust Relationships (信任關係)** 索引標籤,然後著選擇 **Edit Trust Relationship (編輯信任關係)**。
1. 刪除 `"ec2.amazonaws.com"`,然後新增 `"appconfig.amazonaws.com"`,如以下範例所示。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appconfig.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 選擇 **Update Trust Policy** (更新信任政策)。