私のシナリオでは、S3 での読み取りと書き込みを許可するポリシーが必要ですかabc-database-backups/rds/postgresql-backup? サーバーにそのアクセスを追加する必要があります。
ロールを作成してそれをサーバーにアタッチするのが最善でしょうか、それともサーバーにキーを追加するのが最善でしょうか?
これを試してみました:
aws iam create-policy \
--policy-name rds-s3-integration-policy \
--policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketACL",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::bucket_name"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": "arn:aws:s3:::bucket_name/key_prefix/*"
}
]
}'
この分野での私の経験は限られているので、どんな助けでもいただければ大変ありがたく思います。
答え1
使うサービスにリンクされた役割RDSがS3やその他の必要な名前付きリソースへのアクセスを提供する必要があります。RDSインスタンスにこの役割があることを確認してください。また、このドキュメント拡張機能を使用して S3 データを RDS PostgreSQL にインポートする方法について説明します。
私は、ロールを設定するためのコードとして CloudFormation インフラストラクチャをいくつか採用しました。要件に合わせて権限とバケット名を変更する必要があります。そのままでも動作するはずですが、既存のコードを調整する必要がありました。100% 動作しない場合は、投稿またはコメントを編集して、私が編集できるようにしてください。
AWSTemplateFormatVersion: '2010-09-09'
Description: Role for RDS
Resources:
RdsS3IntegrationRole:
Type: AWS::IAM::Role
Properties:
RoleName: RdsS3IntegrationRole
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
-
Effect: Allow
Principal:
Service:
- rds.amazonaws.com
Action:
- sts:AssumeRole
RDSS3IntegrationPolicy:
Type: AWS::IAM::Policy
Properties:
Roles:
- !Ref 'RdsS3IntegrationRole'
PolicyName: RDSS3IntegrationPolicy
PolicyDocument:
Statement:
- Effect: Allow
Action:
- s3:GetObject
- s3:ListBucket
- s3:PutObject
Resource:
- !Sub 'arn:aws:s3:::bucketname/*'
- !Sub 'arn:aws:s3:::bucketname'
- Effect: Allow
Action:
- kms:Decrypt
- kms:Encrypt
- kms:GenerateDataKey
- kms:ReEncryptTo
- kms:DescribeKey
- kms:ReEncryptFrom
Resource:
- !Sub 'arn:aws:kms:ap-southeast-2:${AWS::AccountId}:key/*'