AWS Datasync S3 -> S3 跨帐户，对目标角色/帐户感到困惑

Question

我想使用 Datasync 将数据从一个账户中的单个 S3 存储桶复制到另一个账户中的单个 S3 存储桶。我正在关注这个官方 AWS Datasync 博客：https://aws.amazon.com/blogs/storage/how-to-use-aws-datasync-to-migrate-data- Between -amazon-s3-buckets/第二部分“跨帐户复制对象”。

我已经设置了源存储桶和目标存储桶，并且

• 完成了“创建新的 IAM 角色并为源 S3 存储桶位置附加新的 IAM 策略”的初始步骤，并且
• “将以下信任关系添加到 IAM 角色”（您可以通过搜索引号中的这些字符串来了解我在博客中的意思）但是
• 我现在对使用哪个帐户来“打开源 S3 存储桶策略并应用以下策略来授予 IAM 角色访问对象的权限”感到困惑
• 用于运行 AWS CLI 命令“aws sts get-caller-identity”的账户以及
• 然后是“aws datasync create-location-s3”命令。我是在源帐户还是目标帐户上执行这些操作？

该博客对这些具体步骤有点混乱和不清楚，我在任何地方都找不到更简单的指南。

Answer 1

源 S3 存储桶策略附加到源 S3 存储桶，因此您需要登录源帐户才能对其进行编辑。

\n

接下来的步骤必须从 CLI 完成。措辞有点含糊，但关键短语是“确保您\xe2\x80\x99 使用您在上一步创建的源 S3 存储桶策略中指定的相同 IAM 身份”。示例 S3 存储桶策略中引用的 IAM 身份是，arn:aws:iam::DEST-ACCOUNT-ID:role/DEST-ACCOUNT-USER因此您需要对 CLI 步骤的目标账户进行身份验证。这aws sts get-caller-identity命令仅返回用于执行该命令的身份，因此它可以确认您正在使用预期的身份，而不是设置数据同步位置时严格要求的身份。

\n

本教程中没有明确提及，但目标帐户中的用户当然需要适当的 IAM 权限才能创建数据同步位置和任务。

\n

这样思考可能会有所帮助：您需要允许目标账户中的角色访问源账户中的存储桶，然后在目标账户中设置 Datasync 位置和任务。因此，与 Datasync 配置相关的任何操作都需要在目标帐户中进行。

\n