Publicité
"s3:GetBucketPolicy",
"s3:GetBucketLocation",
"s3:ListBucketMultipartUploads",
"s3:ListBucket",
"s3:HeadBucket",
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts",
"s3:PutObjectAcl",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::YourS3BucketARN",
"arn:aws:s3:::YourS3BucketARN/*"
]
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "importexport.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
Si vous utilisez le chiffrement côté serveur avecAWS KMS—Managed Keys (SSE-KMS) pour chiffrer les
compartiments Amazon S3 associés à votre tâche d'importation, vous devez également ajouter l'instruction
suivante à votre rôle IAM.
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource":
"arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-
efgh-111111111111"
}
Si la taille des objets est plus importante, le client Amazon S3 utilisé pour le processus d'importation utilise
le chargement partitionné. Si vous lancez un chargement partitionné avec SSE-KMS, toutes les parties
chargées sont chiffrés à l'aide de la clé AWS KMS spécifiée. Les parties étant chiffrées, elles doivent être
déchiffrées avant de pouvoir être assemblées pour terminer le chargement partitionné. Vous devez donc
avoir l'autorisation de déchiffrer laAWS KMSclé (kms:Decrypt) lorsque vous exécutez un chargement
partitionné sur Amazon S3 avec SSE-KMS.
Voici un exemple de rôle IAM nécessaire pour une tâche d'importation nécessitant une autorisation
kms:Decrypt.
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey","kms:Decrypt"
AWS Snowball Guide de l'utilisateur
Autorisation et contrôle d'accès
93
Publicité
