Amazon Simple Storage Service
控制台用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

如何配置 Amazon S3 清单?

Amazon S3 清单提供您的对象和元数据的平面文件列表,该列表将有计划地取代 Amazon S3 同步 List API 操作。Amazon S3 清单每天或每周为 S3 存储桶或为共享前缀 (即,其名称以相同字符串开头的对象) 对象提供逗号分隔值 (CSV) 或 Apache 优化行列式 (ORC) 输出文件,其中列出您的对象及其对应元数据。有关更多信息,请参阅 Amazon Simple Storage Service 开发人员指南 中的 Amazon S3 清单

配置清单

  1. 登录 AWS 管理控制台并通过以下网址打开 Amazon S3 控制台:https://console.amazonaws.cn/s3/

  2. Bucket name 列表中,选择要为其配置 Amazon S3 清单的存储桶的名称。

     存储桶名称列表的屏幕截图,其中突出显示了存储桶名称。
  3. 选择 Management 选项卡,然后选择 Inventory

     “Management”选项卡上“Inventory”按钮的屏幕截图。
  4. 如果您没有启用任何清单报告,请选择 Add new

     突出显示清单报告中“add new”链接的屏幕截图。
  5. 键入清单的名称并按以下方式进行设置:

    • (可选) 为筛选条件添加前缀以仅清查其名称以相同字符串开头的对象。

    • 选择要将报告保存到的目标存储桶。目标存储桶必须位于与您为其设置清单的存储桶相同的 AWS 区域中。目标存储桶可处于不同的 AWS 账户中。

    • (可选) 您可以为目标存储桶选择前缀。

    • 选择清单的生成频率。

     在设置新清单时显示要完成的框的屏幕截图。
  6. Advanced settings 下,您可以设置以下内容:

    1. 为清单选择 CSV 或 ORC 输出文件格式。有关这些格式的更多信息,请参阅 Amazon Simple Storage Service 开发人员指南 中的 Amazon S3 清单

       “Advanced settings”屏幕,其中仅包括当前选择的版本
    2. 要包含清单中对象的所有版本,请在 Object versions 列表中选择 Include all versions。默认情况下,该清单仅包括对象的当前版本。

    3. 对于 Optional fields,从下面选择一项或多项以添加到清单报告:

      • Size – 对象大小 (以字节为单位)。

      • Last modified date – 对象创建日期或上次更新日期 (以较晚者为准)。

      • Storage class – 用于存储对象的存储类。

      • ETag – 实体标签是对象的哈希。ETag 仅反映对对象内容的更改,而不反映对其元数据的更改。ETag 可能是也可能不是对象数据的 MD5 摘要。是与不是取决于对象的创建方式和加密方式。

      • Replication status – 对象的跨区域复制状态。有关更多信息,请参阅 如何向 S3 存储桶添加跨区域复制 (CRR) 规则?

      • Encryption status – 用于加密对象的服务器端加密。有关更多信息,请参阅 Amazon Simple Storage Service 开发人员指南 中的使用服务器端加密保护数据

      有关清单报告内容的更多信息,请参阅 Amazon S3 清单中包含了什么? (位于 Amazon Simple Storage Service 开发人员指南 中)。

    4. 对于 Encryption ,请选择服务器端加密选项来加密清单报告,或选择 None

      • None – 不加密清单报告。

      • AES-256 – 使用服务器端加密和 Amazon S3 托管密钥 (SSE-S3) 来加密清单报告。Amazon S3 服务器端加密使用 256 位高级加密标准 (AES-256)。有关更多信息,请参阅 Amazon Simple Storage Service 开发人员指南 中的 Amazon S3 托管的加密密钥 (SSE-S3)

      • AWS-KMS – 使用 AWS KMS 托管密钥通过服务器端加密 (SSE-KMS) 来加密报告。有关更多信息,请参阅 Amazon Simple Storage Service 开发人员指南 中的 AWS KMS 托管密钥 (SSE-KMS)

        注意

        要使用 SSE-KMS 加密清单列表文件,您必须授予 Amazon S3 使用 AWS KMS 密钥的权限。有关说明,请参阅授予 Amazon S3 使用您的 AWS KMS 密钥进行加密的权限

  7. 选择 Save

目标存储桶策略

Amazon S3 在授予 Amazon S3 写入权限的目标存储桶上创建存储桶策略。这样,Amazon S3 就能够将清单报告的数据写入存储桶。

如果在您尝试创建存储桶策略出现错误,则将为您提供相关修复说明。例如,如果您在其他 AWS 账户中选择了目标存储桶,而没有权限读取和写入存储桶策略,则您会看到以下消息。

 显示已成功保存清单的一条消息,以及显示存储桶策略错误的其他消息。

在这种情况下,目标存储桶拥有者必须将显示的存储桶策略添加到目标存储桶中。如果策略未添加到目标存储桶中,则您不会获得清单报告,因为 Amazon S3 无权写入目标存储桶。如果源存储桶属于其他账户而非当前用户,则在策略中必须替换掉源存储桶的正确账户 ID。

有关更多信息,请参阅 Amazon Simple Storage Service 开发人员指南 中的 Amazon S3 清单

授予 Amazon S3 使用您的 AWS KMS 密钥进行加密的权限

您必须通过密钥策略授予 Amazon S3 权限,以使用您的 AWS KMS 密钥进行加密。以下过程介绍如何使用 AWS Identity and Access Management (IAM) 控制台修改用于加密清单文件的 AWS KMS 客户主密钥 (CMK) 的密钥策略。

授予使用您的 AWS KMS 密钥进行加密的权限

  1. 使用拥有该 AWS KMS CMK 的 AWS 账户登录 AWS 管理控制台。通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  2. 在左侧导航窗格中,选择 Encryption keys

  3. 对于 Region,选择适当的 AWS 区域。请勿使用导航栏中的区域选择器 (右上角)。

  4. 选择您在加密清单时要使用的 CMK 的别名。

  5. 在页面的 Key Policy 部分中,选择 Switch to policy view

  6. 使用 Key Policy 编辑器,将以下密钥策略插入到现有策略中,然后选择 Save Changes。您可能希望将策略复制到现有策略的末尾。

    { "Sid": "Allow Amazon S3 use of the key", "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*" ], "Resource": "*" }

有关创建和编辑 AWS KMS CMK 的更多信息,请参阅 AWS Key Management Service Developer Guide 中的入门

更多信息

存储管理