本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 设置用于数据导出的 Amazon S3 存储桶
要接收和存储导出的数据,您的 Amazon 账户或指定的目标 Amazon 账户中必须有一个 Amazon S3 存储桶。在控制台中创建导出时,如果您想在自己的存储桶中导出,则可以选择自己拥有的现有 S3 存储桶,也可以创建新的存储桶。无论哪种情况,您都需要查看并确认应用了以下默认 S3 存储桶策略。如果您希望将导出内容传送到其他 Amazon 账户拥有的存储桶,则可以在数据导出创建过程中指定存储桶所有者和存储桶名称。在创建导出后编辑存储桶策略或更改 S3 存储桶所有者可能会阻止 Data Exports 交付您的导出。将导出数据存储在任何 S3 存储桶中均按标准的 Amazon S3 费率计费。有关更多信息,请参阅[限额和限制](https://docs.amazonaws.cn/cur/latest/userguide/dataexports-quotas.html)。
在创建数据导出时,必须将以下策略应用于每个 S3 存储桶,无论这些存储桶归您所有还是其他 Amazon 账户所有:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EnableAWSDataExportsToWriteToS3AndCheckPolicy",
"Effect": "Allow",
"Principal": {
"Service": [
"bcm-data-exports.amazonaws.com"
]
},
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::{bucket-name}/*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws-cn:bcm-data-exports:cn-northwest-1:{source-account-id}:export/*"
},
"StringEquals" {
"aws:SourceAccount": "{source-account-id}"
}
}
}
}
]
}
```
此 S3 存储桶策略可确保 Data Exports 只能代表创建导出的账户将导出交付到 S3 存储桶。它还允许数据导出验证 S3 存储桶是否仍归创建导出期间指定的账户所有。
+ 要将导出内容传送到您的 S3 存储桶, Amazon 需要该 S3 存储桶的写入权限。为此,S3 存储桶策略会授予 Data Exports 服务 (`bcm-data-exports.amazonaws.com`) 将 (`s3:PutObject`) 报告交付到您拥有的 S3 存储桶 (`arn:aws:s3:::/*`) 的权限。
+ 每次 Data Exports 请求写入 S3 存储桶时,都必须提供创建导出的账户的账户 ID。条件键 `aws:SourceArn` 和 `aws:SourceAccount` 会强制执行此操作。
+ 此 S3 存储桶策略不 Amazon 授予读取或删除 S3 存储桶中任何对象的权限,包括成本和使用情况报告。
对于启用了访问控制列表 (ACL) 的 Amazon S3 存储桶,Data Exports 会在交付报告时将 `BucketOwnerFullControl` ACL 应用于报告。默认情况下,Amazon S3 对象(例如这些报告)只能由写入它们的用户或服务主体读取。要为您或 S3 存储桶拥有者提供读取报告的权限, Amazon 需要应用 `BucketOwnerFullControl` ACL。该 ACL 会向 S3 存储桶拥有者授予对这些报告的 `Permission.FullControl` 权限。但是,建议禁用 ACL 并使用 S3 存储桶策略来控制访问。
**注意**
对于新创建的 S3 存储桶,默认情况下 ACL 处于禁用状态。有关更多信息,请参阅[为您的存储桶控制对象所有权和禁用 ACL](https://docs.amazonaws.cn/AmazonS3/latest/userguide/about-object-ownership.html)。
如果您在 **Data Exports** 控制台页面中看到**无效存储桶**错误,请验证相应的策略和 S3 存储桶所有权自报告设置以来是否未发生任何更改。