公司业务中可能涉及到内部账号之间数据的迁移,那么如何迁移整个 S3 中的数据到另外一个账户的问题可能困扰着我们。作为伊克罗德技术支持工程师008,今天就和大家来分享怎么实现跨账号的 S3 数据迁移,请准备两个 AWS 账户,和我一起开启数据迁移之旅。
要确保目标账户拥有从另一个账户复制 S3 的对象,请授予目标账户拥有跨账户复制的权限。大致按照以下步骤配置跨账户权限,将对象从账户 A 中的源存储桶复制到账户 B 中的目标存储桶:
1. 将 存储桶策略 附加到账户 A 中的源存储桶。
2. 将 AWS IAM 策略 附加到账户 B 中的目标用户。
3. 使用目标账户 B 中的 IAM 用户执行跨账户复制。
具体操作步骤如下:步骤一:在账户 A 中创建 S3 存储桶。
登录账号 A, 点击 服务,进入 S3 服务控制台,并选择 创建存储桶。
接着,设定存储桶的相关配置:
存储桶名称:请根据需要自行创建一个全球唯一的存储桶名称;
区域:请根据需要自行选择;
其他配置保持默认,选择创建存储桶。
步骤二:将存储桶策略附加到账户 A 的源存储桶中。
选择第一步创建的 S3 存储桶,选择 权限,向下滚动,找到 存储桶策略,点击 编辑。
将以下存储桶策略复制进去,并修改以下相关配置:
arn:aws:iam::11111111111:user/s3-demo 替换为账户 B 中 IAM 用户的 ARN;
sourcebucketname 替换为在账号 A 中创建的 S3 存储桶名称;
其他配置保留默认。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DelegateS3Access",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::11111111111:user/s3-demo"
},
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::source_bucket_name/*",
"arn:aws:s3:::source_bucket_name"
]
}
]
}
步骤三:同理,在账号 B 中也创建一个 S3 存储桶,作为目标存储桶。
具体操作过程请参考步骤 1。
步骤四:在账户 B 中,创建 IAM 客户托管策略。
点击 服务,进入 IAM 服务控制台,选择 策略,选择 创建策略,接着选择 JSON。
接着,将以下 IAM 策略复制进去,并修改以下相关配置:
sourcebucketname 替换为源存储桶的名称,即在账户 A 中创建的 S3 存储桶名称;
destinationbucketname 替换为目标存储桶的名称,即在账户 B 中创建的 S3 存储桶名称。
这条策略是允许 IAM 用户将对象从账户 A 中的源存储桶复制到账户 B 中的目标存储桶。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::source_bucket_name",
"arn:aws:s3:::source_bucket_name/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::destination_bucket_name",
"arn:aws:s3:::destination_bucket_name/*"
]
}
]
}
再接着,选择 查看策略,输入策略的 名称和描述,最后选择 创建策略。
步骤五:在账号 B 中,创建 IAM 用户。并将步骤 4 中的 IAM 策略附加到该用户中[1]。具体操作步骤可以参考以下官方文档:
[1] https://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/id_users_create.html
注意:请把用户的访问密钥(访问密钥 ID 和秘密访问密钥)下载下来,后续会用到。
步骤六:在本地电脑安装AWS CLI 工具[2],并配置账号 B 的访问密钥[3]。
具体操作步骤可以参考以下官方文档:
[2] https://docs.aws.amazon.com/zh_cn/cli/latest/userguide/cli-chap-install.html
[3] https://docs.aws.amazon.com/zh_cn/cli/latest/userguide/cli-chap-configure.html
步骤七:要将账户 A 中源存储桶的所有内容同步到账户 B 中的目标存储桶。
请在账号 A 的存储桶上传一个文件,并在账户 B 中的 IAM 用户可以使用 AWS 命令行界面 (AWS CLI) 运行 sync 命令:
aws s3 sync s3://source_bucket_name s3://destination_bucket_name
并修改以下相关配置:
sourcebucketname 替换为源存储桶的名称,即在账户 A 中创建的 S3 存储桶名称;
destinationbucketname 替换为目标存储桶的名称,即在账户 B 中创建的 S3 存储桶名称。
推荐阅读
如何在 CentOS 7 上挂载 Amazon EFS 文件系统?
Athena 帮您轻松查询分析 WAF 日志,有效阻止恶意攻击
如何应对频繁访问的网络攻击? 一招 WAF 制胜
企业如何快速无痛的更换应用程序版本?
如何高效实现音视频字幕自动生成及翻译?
Lambda@edge 轻松入手,以低延迟响应最终用户
S3 作为 AWS CloudFront 源真的安全吗?
伊克罗德,
您的云端合作伙伴
伊克罗德(eCloudrover)是 AWS 的核心级咨询合作伙伴(APN Premier Consulting Partner),致力于以云端优势推动企业实现数字化转型。目前伊克罗德已荣获AWS 多项能力资质认证,包括机器学习、大数据与分析、迁移、物联网、MSP、Amazon Aurora、WAF、CDN等。
伊克罗德已经拥有非常成熟的技术团队,独立专责的 SAP/Oracle 团队、数据分析(Big Data) 团队、机器学习 (AI/ML) 团队、以及 AWS 培训团队。服务的客户横跨媒体、金融、制造、游戏、零售、教育等产业。伊克罗德致力于向客户提供可靠、全方位的服务。