本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 將您的檔案系統連結至 Amazon S3 儲存貯體
<a name="create-dra-linked-data-repo"></a>

您可以將 Amazon FSx for Lustre 檔案系統連結至 Amazon S3 中的資料儲存庫。您可以在建立檔案系統時或建立檔案系統之後隨時建立連結。

檔案系統上目錄與 S3 儲存貯體或字首之間的連結稱為*資料儲存庫關聯 (DRA)*。您可以在 FSx for Lustre 檔案系統上設定最多 8 個資料儲存庫關聯。最多可將 8 個 DRA 請求排入佇列，但檔案系統一次只能處理一個請求。每個 DRA 必須具有唯一的 FSx for Lustre 檔案系統目錄，以及與其相關聯的唯一 S3 儲存貯體或字首。

**注意**  
 FSx for Lustre 2.10 檔案系統或`Scratch 1`檔案系統不提供多個資料儲存庫的資料儲存庫關聯、自動匯出和支援。

為了存取 S3 資料儲存庫上的物件做為檔案系統的檔案和目錄，檔案和目錄中繼資料必須載入檔案系統。當您為稍後使用 FSx for Lustre 檔案系統存取的檔案和目錄批次建立 DRA 或載入中繼資料時，您可以使用匯入資料儲存庫任務從連結的資料儲存庫載入中繼資料，或使用自動匯出，在從資料儲存庫新增、變更或刪除物件時自動載入中繼資料。

您可以將 DRA 設定為僅限自動匯入、僅限自動匯出，或同時設定兩者。使用自動匯入和自動匯出設定的資料儲存庫關聯會在檔案系統和連結的 S3 儲存貯體之間雙向傳播資料。當您變更 S3 資料儲存庫中的資料時，FSx for Lustre 會偵測變更，然後自動將變更匯入檔案系統。當您建立、修改或刪除檔案時，一旦應用程式完成修改檔案，FSx for Lustre 會自動以非同步方式將變更匯出至 Amazon S3。

**重要**  
如果您在檔案系統和 S3 儲存貯體中修改相同的檔案，您應該確保應用程式層級協調，以防止衝突。FSx for Lustre 無法防止多個位置中的寫入衝突。
對於標記不可變屬性的檔案，FSx for Lustre 無法同步 FSx for Lustre 檔案系統與連結至檔案系統的 S3 儲存貯體之間的變更。長時間設定不可變旗標可能會導致 Amazon FSx 和 S3 之間的資料移動效能降低。

建立資料儲存庫關聯時，您可以設定下列屬性：
+ **檔案系統路徑** – 在檔案系統上輸入本機路徑，該路徑指向將與以下指定資料儲存庫路徑one-to-one映射的目錄 （例如 `/ns1/`) 或子目錄 （例如 `/ns1/subdir/`)。名稱需要以正斜線開頭。兩個資料儲存庫關聯的檔案系統路徑不可重疊。例如，如果某個資料儲存庫已經與檔案系統路徑 `/ns1` 建立關聯，則您無法將其他資料儲存庫連結到檔案系統路徑 `/ns1/ns2`。
**注意**  
如果您僅指定一個正斜線 (`/`) 作為檔案系統路徑，則只能將一個資料儲存庫連結至檔案系統。您只能指定 "/" 作為與檔案系統關聯的第一個資料儲存庫的檔案系統路徑。
+ **資料儲存庫路徑** – 在 S3 資料儲存庫中輸入路徑。路徑可以是 S3 儲存貯體或字首，格式為 `s3://bucket-name/prefix/`。此屬性指定 S3 資料儲存庫檔案中要從何處匯入或匯出。如果您沒有提供資料儲存庫路徑，FSx for Lustre 會將結尾 "/" 附加至您的資料儲存庫路徑。例如，如果您提供 的資料儲存庫路徑`s3://amzn-s3-demo-bucket/my-prefix`，FSx for Lustre 會將其解譯為 `s3://amzn-s3-demo-bucket/my-prefix/`。

  兩個資料儲存庫關聯不能有重疊的資料儲存庫路徑。例如，如果具有路徑 的資料儲存庫`s3://amzn-s3-demo-bucket/my-prefix/`連結至檔案系統，則無法建立與資料儲存庫路徑 的其他資料儲存庫關聯`s3://amzn-s3-demo-bucket/my-prefix/my-sub-prefix`。
+ **從儲存庫匯入中繼資料** – 您可以在建立資料儲存庫關聯後立即選取此選項，從整個資料儲存庫匯入中繼資料。或者，您可以在建立資料儲存庫關聯之後，隨時執行匯入資料儲存庫任務，以從連結的資料儲存庫將全部或部分中繼資料載入檔案系統。
+ **匯入設定** – 選擇匯入政策，指定將從連結的 S3 儲存貯體自動匯入至檔案系統的更新物件類型 （任何新物件、變更物件和已刪除物件的組合）。當您從主控台新增資料儲存庫時，預設會開啟自動匯入 （新增、變更、刪除），但在使用 AWS CLI 或 Amazon FSx API 時，預設會停用。
+ **匯出設定** – 選擇匯出政策，指定將自動匯出至 S3 儲存貯體的更新物件類型 （任何新物件、變更物件和已刪除物件的組合）。當您從主控台新增資料儲存庫時，預設會開啟自動匯出 （新增、變更、刪除），但在使用 AWS CLI 或 Amazon FSx API 時，預設會停用。

**檔案系統路徑**和**資料儲存庫路徑**設定可在 Amazon FSx 中的路徑和 S3 中的物件索引鍵之間提供 1：1 映射。

**Topics**
+ [建立 S3 儲存貯體的連結](create-linked-dra.md)
+ [更新資料儲存庫關聯設定](update-dra-settings.md)
+ [刪除與 S3 儲存貯體的關聯](delete-linked-dra.md)
+ [檢視資料儲存庫關聯詳細資訊](view-dra-details.md)
+ [資料儲存庫關聯生命週期狀態](dra-lifecycles.md)
+ [使用伺服器端加密的 Amazon S3 儲存貯體](s3-server-side-encryption-support.md)

# 建立 S3 儲存貯體的連結
<a name="create-linked-dra"></a>

下列程序會逐步引導您使用 AWS 管理主控台 和 AWS Command Line Interface ()，為 FSx for Lustre 檔案系統建立與現有 S3 儲存貯體的資料儲存庫關聯AWS CLI。如需新增許可至 S3 儲存貯體以將其連結至檔案系統的詳細資訊，請參閱 [新增在 Amazon S3 中使用資料儲存庫的許可](setting-up.md#fsx-adding-permissions-s3)。

**注意**  
資料儲存庫無法連結至已啟用檔案系統備份的檔案系統。在連結至資料儲存庫之前停用備份。

## 在建立檔案系統時連結 S3 儲存貯體 （主控台）
<a name="export-path-lustre-console-dra-new"></a>

1. 在 [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)：// 開啟 Amazon FSx 主控台。

1. 遵循 入門一節[步驟 1：建立 FSx for Lustre 檔案系統](getting-started.md#getting-started-step1)中所述建立新檔案系統的程序。

1. 開啟**資料儲存庫匯入/匯出 - *選用***區段。此功能預設為停用。

1. 選擇**從 匯入資料並將資料匯出至 S3**。

1. 在**資料儲存庫關聯資訊**對話方塊中，提供下列欄位的資訊。
   + **檔案系統路徑**：在將與 S3 資料儲存庫相關聯的 Amazon FSx 檔案系統中，輸入高階目錄 （例如 `/ns1`) 或子目錄 （例如 `/ns1/subdir`) 的名稱。路徑中的正斜線為必要項目。兩個資料儲存庫關聯的檔案系統路徑不可重疊。例如，如果某個資料儲存庫已經與檔案系統路徑 `/ns1` 建立關聯，則您無法將其他資料儲存庫連結到檔案系統路徑 `/ns1/ns2`。**檔案系統路徑**設定在檔案系統的所有資料儲存庫關聯中必須是唯一的。
   + **資料儲存庫路徑**：輸入要與您的檔案系統建立關聯的現有 S3 儲存貯體或字首路徑 （例如 `s3://amzn-s3-demo-bucket/my-prefix`)。兩個資料儲存庫關聯不能有重疊的資料儲存庫路徑。**資料儲存庫路徑**設定在檔案系統的所有資料儲存庫關聯中必須是唯一的。
   + **從儲存庫匯入中繼資料**：選取此屬性可選擇性地執行匯入資料儲存庫任務，以在建立連結後立即匯入中繼資料。

1. 對於**匯入設定 - 選用**，請設定**匯入政策**，以決定在新增、變更或刪除 S3 儲存貯體中的物件時，檔案和目錄清單如何保持最新狀態。例如，針對在 S3 儲存貯體中建立的新物件，選擇**新增**以將中繼資料匯入檔案系統。如需匯入政策的詳細資訊，請參閱 [從 S3 儲存貯體自動匯入更新](autoimport-data-repo-dra.md)。

1. 對於**匯出政策**，請設定匯出政策，以決定在新增、變更或刪除檔案系統中的物件時，如何將檔案匯出至連結的 S3 儲存貯體。例如，選擇**變更**以匯出檔案系統上內容或中繼資料已變更的物件。如需匯出政策的詳細資訊，請參閱 [自動匯出更新到您的 S3 儲存貯體](autoexport-data-repo-dra.md)。

1. 繼續執行檔案系統建立精靈的下一節。

## 將 S3 儲存貯體連結至現有的檔案系統 （主控台）
<a name="export-path-lustre-console-dra"></a>

1. 在 [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)：// 開啟 Amazon FSx 主控台。

1. 從儀表板中，選擇**檔案系統**，然後選擇您要為其建立資料儲存庫關聯的檔案系統。

1. 選擇**資料儲存庫**索引標籤。

1. 在**資料儲存庫關聯**窗格中，選擇**建立資料儲存庫關聯**。

1. 在**資料儲存庫關聯資訊**對話方塊中，提供下列欄位的資訊。
   + **檔案系統路徑**：在將與 S3 資料儲存庫相關聯的 Amazon FSx 檔案系統中，輸入高階目錄 （例如 `/ns1`) 或子目錄 （例如 `/ns1/subdir`) 的名稱。路徑中的正斜線為必要項目。兩個資料儲存庫關聯的檔案系統路徑不可重疊。例如，如果某個資料儲存庫已經與檔案系統路徑 `/ns1` 建立關聯，則您無法將其他資料儲存庫連結到檔案系統路徑 `/ns1/ns2`。**檔案系統路徑**設定在檔案系統的所有資料儲存庫關聯中必須是唯一的。
   + **資料儲存庫路徑**：輸入要與您的檔案系統建立關聯的現有 S3 儲存貯體或字首路徑 （例如 `s3://amzn-s3-demo-bucket/my-prefix`)。兩個資料儲存庫關聯不能有重疊的資料儲存庫路徑。**資料儲存庫路徑**設定在檔案系統的所有資料儲存庫關聯中必須是唯一的。
   + **從儲存庫匯入中繼資料**：選取此屬性可選擇性地執行匯入資料儲存庫任務，以在建立連結後立即匯入中繼資料。

1. 對於**匯入設定 - 選用**，請設定**匯入政策**，以決定在新增、變更或刪除 S3 儲存貯體中的物件時，檔案和目錄清單如何保持最新狀態。例如，針對在 S3 儲存貯體中建立的新物件，選擇**新增**以將中繼資料匯入檔案系統。如需匯入政策的詳細資訊，請參閱 [從 S3 儲存貯體自動匯入更新](autoimport-data-repo-dra.md)。

1. 對於**匯出政策**，請設定匯出政策，以決定當您在檔案系統中新增、變更或刪除物件時，如何將檔案匯出至連結的 S3 儲存貯體。例如，選擇**變更**以匯出檔案系統上內容或中繼資料已變更的物件。如需匯出政策的詳細資訊，請參閱 [自動匯出更新到您的 S3 儲存貯體](autoexport-data-repo-dra.md)。

1. 選擇**建立**。

## 將檔案系統連結至 S3 儲存貯體 (AWS CLI)
<a name="export-path-lustre-cli-dra"></a>

下列範例會建立將 Amazon FSx 檔案系統連結至 S3 儲存貯體的資料儲存庫關聯，其中包含將任何新檔案或變更檔案匯入檔案系統的匯入政策，以及將新檔案、變更檔案或刪除檔案匯出至連結 S3 儲存貯體的匯出政策。
+ 若要建立資料儲存庫關聯，請使用 Amazon FSx CLI 命令 `create-data-repository-association`，如下所示。

  ```
  $ aws fsx create-data-repository-association \
        --file-system-id fs-0123456789abcdef0 \
        --file-system-path /ns1/path1/ \
        --data-repository-path s3://amzn-s3-demo-bucket/myprefix/ \
        --s3 "AutoImportPolicy={Events=[NEW,CHANGED,DELETED]},AutoExportPolicy={Events=[NEW,CHANGED,DELETED]}"
  ```

Amazon FSx 會立即傳回 DRA 的 JSON 描述。DRA 是以非同步方式建立。

即使檔案系統完成建立之前，您也可以使用此命令來建立資料儲存庫關聯。請求將排入佇列，並在檔案系統可用後建立資料儲存庫關聯。

# 更新資料儲存庫關聯設定
<a name="update-dra-settings"></a>

您可以使用 AWS 管理主控台、 AWS CLI和 Amazon FSx API 更新現有的資料儲存庫關聯設定，如下列程序所示。

**注意**  
您無法在建立 DRA 之後更新 DRA `Data repository path` 的 `File system path`或 。如果您想要變更 `File system path`或 `Data repository path`，您必須刪除 DRA 並再次建立。

## 更新現有資料儲存庫關聯的設定 （主控台）
<a name="update-dra-console"></a>

1. 開啟位於 https：//[https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) 的 Amazon FSx 主控台。

1. 從儀表板選擇**檔案系統**，然後選取您要管理的檔案系統。

1. 選擇**資料儲存庫**索引標籤。

1. 在**資料儲存庫關聯**窗格中，選擇您要變更的資料儲存庫關聯。

1. 選擇**更新**。此時會顯示資料儲存庫關聯的編輯對話方塊。

1. 對於**匯入設定 - 選用**，您可以更新**匯入政策**。如需匯入政策的詳細資訊，請參閱 [從 S3 儲存貯體自動匯入更新](autoimport-data-repo-dra.md)。

1. 對於**匯出設定 - 選用**，您可以更新匯出政策。如需匯出政策的詳細資訊，請參閱 [自動匯出更新到您的 S3 儲存貯體](autoexport-data-repo-dra.md)。

1. 選擇**更新**。

## 更新現有資料儲存庫關聯的設定 (CLI)
<a name="update-dra-cli"></a>
+ 若要更新資料儲存庫關聯，請使用 Amazon FSx CLI 命令 `update-data-repository-association`，如下所示。

  ```
  $ aws fsx update-data-repository-association \
        --association-id 'dra-872abab4b4503bfc2' \
        --s3 "AutoImportPolicy={Events=[NEW,CHANGED,DELETED]},AutoExportPolicy={Events=[NEW,CHANGED,DELETED]}"
  ```

成功更新資料儲存庫關聯的匯入和匯出政策後，Amazon FSx 會將更新的資料儲存庫關聯描述傳回為 JSON。

# 刪除與 S3 儲存貯體的關聯
<a name="delete-linked-dra"></a>

下列程序會逐步引導您使用 AWS 管理主控台 和 AWS Command Line Interface ()，從現有的 Amazon FSx 檔案系統刪除資料儲存庫關聯至現有的 S3 儲存貯體AWS CLI。刪除資料儲存庫關聯會取消檔案系統與 S3 儲存貯體的連結。

## 刪除檔案系統到 S3 儲存貯體的連結 （主控台）
<a name="delete-dra-console-dra"></a>

1. 在 [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)：// 開啟 Amazon FSx 主控台。

1. 從儀表板中，選擇**檔案系統**，然後選擇您要從中刪除資料儲存庫關聯的檔案系統。

1. 選擇**資料儲存庫**索引標籤。

1. 在**資料儲存庫關聯**窗格中，選擇您要刪除的資料儲存庫關聯。

1. 針對**動作**，選擇**刪除關聯**。

1. 在**刪除**對話方塊中，您可以選擇**刪除檔案系統中的資料**，以實際刪除與資料儲存庫關聯對應的檔案系統中的資料。

   如果您打算使用相同的檔案系統路徑建立新的資料儲存庫關聯，但指向不同的 S3 儲存貯體字首，或者您不再需要檔案系統中的資料，請選擇此選項。

1. 選擇**刪除**，從檔案系統移除資料儲存庫關聯。

## 刪除檔案系統到 S3 儲存貯體的連結 (AWS CLI)
<a name="delete-dra-cli-dra"></a>

下列範例會刪除將 Amazon FSx 檔案系統連結至 S3 儲存貯體的資料儲存庫關聯。`--association-id` 參數指定要刪除的資料儲存庫關聯的 ID。
+ 若要刪除資料儲存庫關聯，請使用 Amazon FSx CLI 命令 `delete-data-repository-association`，如下所示。

  ```
  $ aws fsx delete-data-repository-association \
        --association-id dra-872abab4b4503bfc \
        --delete-data-in-file-system false
  ```

成功刪除資料儲存庫關聯後，Amazon FSx 會將其描述傳回為 JSON。

**使用相同的檔案系統路徑重新建立 DRAs**  
我們不建議刪除和重新建立使用相同檔案系統路徑的資料儲存庫關聯。如果您刪除 DRA 並稍後使用相同的檔案系統路徑建立新的 DRA，某些檔案可能會保留先前已刪除 DRA 的 HSM 狀態。  
如果您需要從先前刪除的 DRA 管理的重新建立 DRA 匯出檔案，則需要使用下列命令將這些檔案標記為髒，然後執行匯出資料儲存庫任務：  

```
sudo lfs hsm_set --dirty file_path
```

# 檢視資料儲存庫關聯詳細資訊
<a name="view-dra-details"></a>

您可以使用 FSx for Lustre 主控台 AWS CLI、 和 API 來檢視資料儲存庫關聯的詳細資訊。詳細資訊包括 DRA 的關聯 ID、檔案系統路徑、資料儲存庫路徑、匯入設定、匯出設定、狀態及其相關聯檔案系統的 ID。

## 檢視 DRA 詳細資訊 （主控台）
<a name="view-dra-details-console"></a>

1. 開啟位於 https：//[https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) 的 Amazon FSx 主控台。

1. 從儀表板中，選擇**檔案系統**，然後選擇您要檢視資料儲存庫關聯詳細資訊的檔案系統。

1. 選擇**資料儲存庫**索引標籤。

1. 在**資料儲存庫關聯**窗格中，選擇您要檢視的資料儲存庫關聯。**摘要**頁面隨即出現，顯示 DRA 詳細資訊。  
![\[資料儲存庫關聯的 Amazon FSx 詳細資訊頁面。\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/LustreGuide/images/dra-describe.png)

## 檢視 DRA 詳細資訊 (CLI)
<a name="view-dra-details-cli"></a>
+ 若要檢視特定資料儲存庫關聯的詳細資訊，請使用 Amazon FSx CLI 命令 `describe-data-repository-associations`，如下所示。

  ```
  $ aws fsx describe-data-repository-associations \
        --association-ids dra-872abab4b4503bfc2
  ```

  Amazon FSx 會將資料儲存庫關聯的描述傳回為 JSON。

# 資料儲存庫關聯生命週期狀態
<a name="dra-lifecycles"></a>

資料儲存庫關聯生命週期狀態提供特定 DRA 的狀態資訊。資料儲存庫關聯可以具有下列**生命週期狀態**：
+ **建立** – Amazon FSx 正在建立檔案系統和連結資料儲存庫之間的資料儲存庫關聯。資料儲存庫無法使用。
+ **可用** – 資料儲存庫關聯可供使用。
+ **更新** – 資料儲存庫關聯正在進行客戶啟動的更新，這可能會影響其可用性。
+ **刪除** – 資料儲存庫關聯正在進行客戶起始的刪除。
+ **設定錯誤** – 在更正資料儲存庫關聯組態之前，Amazon FSx 無法自動從 S3 儲存貯體匯入更新，也無法自動將更新匯出至 S3 儲存貯體。

  DRA 可能會因為下列原因而設定**錯誤**：
  + Amazon FSx 缺少存取 S3 儲存貯體所需的 IAM 許可。
  + S3 儲存貯體上的 FSx 事件通知組態已刪除或修改。
  + S3 儲存貯體具有與 FSx 事件類型重疊的現有事件通知。

  解決基礎問題後，DRA 會在 15 分鐘內自動返回**可用**狀態，或者您可以使用 AWS CLI 命令 [update-data-repository-association](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-data-repository-association.html) 立即觸發狀態變更。
+ **失敗** – 資料儲存庫關聯處於無法復原的終端狀態 （例如，因為刪除其檔案系統路徑或刪除 S3 儲存貯體）。

 您可以使用 Amazon FSx 主控台、 AWS Command Line Interface和 Amazon FSx API 檢視資料儲存庫關聯的生命週期狀態。如需詳細資訊，請參閱[檢視資料儲存庫關聯詳細資訊](view-dra-details.md)。

# 使用伺服器端加密的 Amazon S3 儲存貯體
<a name="s3-server-side-encryption-support"></a>

 FSx for Lustre 支援使用伺服器端加密搭配 S3-managed3 受管金鑰 (SSE-S3) 以及預存於 (SSE-KMS) 的 Amazon S3 儲存貯體。 AWS KMS keys AWS Key Management Service 

如果您希望 Amazon FSx 在寫入 S3 儲存貯體時加密資料，您需要將 S3 儲存貯體上的預設加密設定為 SSE-S3 或 SSE-KMS。如需詳細資訊，請參閱《*Amazon S3 使用者指南*》中的[設定預設加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html)。將檔案寫入 S3 儲存貯體時，Amazon FSx 會遵循 S3 儲存貯體的預設加密政策。

根據預設，Amazon FSx 支援使用 SSE-S3 加密的 S3 儲存貯體。如果您想要將 Amazon FSx 檔案系統連結至使用 S3-KMS 加密的 S3 儲存貯體，您需要將陳述式新增至客戶受管金鑰政策，以允許 Amazon FSx 使用您的 KMS 金鑰加密和解密 S3 儲存貯體中的物件。

下列陳述式允許特定 Amazon FSx 檔案系統加密和解密特定 S3 儲存貯體 *bucket\$1name* 的物件。

```
{
    "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fsx_file_system_id"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "aws_account_id",
            "kms:ViaService": "s3.bucket-region.amazonaws.com"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        }
    }
}
```

**注意**  
 如果您使用 KMS 搭配 CMK 來加密已啟用 S3 儲存貯體金鑰的 S3 儲存貯體，請將 `EncryptionContext` 設定為儲存貯體 ARN，而非物件 ARN，如本範例所示：  

```
"StringLike": {
    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name"
}
```

下列政策陳述式允許帳戶中的所有 Amazon FSx 檔案系統連結至特定的 S3 儲存貯體。

```
{
      "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "s3.bucket-region.amazonaws.com",
          "kms:CallerAccount": "aws_account_id"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        },
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws_partition:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fs-*"
        }
      }
}
```

## 存取不同 AWS 帳戶 或共用 VPC 中的伺服器端加密 Amazon S3 儲存貯體
<a name="s3-server-side-cross-account-support"></a>

建立連結至加密 Amazon S3 儲存貯體的 FSx for Lustre 檔案系統之後，您必須授予`AWSServiceRoleForFSxS3Access_fs-01234567890`服務連結角色 (SLR) 存取用於加密 S3 儲存貯體的 KMS 金鑰，才能從連結的 S3 儲存貯體讀取或寫入資料。您可以使用已具有 KMS 金鑰許可的 IAM 角色。

**注意**  
此 IAM 角色必須位於建立 FSx for Lustre 檔案系統的帳戶中 （與 S3 SLR 是相同的帳戶），而不是 KMS 金鑰/S3 儲存貯體所屬的帳戶。

您可以使用 IAM 角色呼叫下列 AWS KMS API 來建立 S3 SLR 的授予，以便 SLR 取得 S3 物件的許可。若要尋找與 SLR 相關聯的 ARN，請使用檔案系統 ID 做為搜尋字串來搜尋 IAM 角色。

```
$ aws kms create-grant --region fs_account_region \
      --key-id arn:aws:kms:s3_bucket_account_region:s3_bucket_account:key/key_id \
      --grantee-principal arn:aws:iam::fs_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_file-system-id \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"
```

如需服務連結角色的詳細資訊，請參閱[使用 Amazon FSx 的服務連結角色](using-service-linked-roles.md)。