Question

Я использовал Terraform для настройки сегментов S3 (другой регион) и настройки репликации между ними.

Он работал правильно, пока я не добавил в него KMS.

Я создал 2 ключа KMS один для источника и один для пункта назначения.

Теперь при применении конфигурации репликации есть возможность передать ключ назначения для корзины назначения, но я не уверен, как применить ключ в источнике.

Любая помощь будет оценена.

provider "aws" {
  alias  = "east"
  region = "us-east-1"
}

resource "aws_s3_bucket" "destination-bucket" {
  bucket = ""destination-bucket"
  provider = "aws.east"
  acl    = "private"
  region   = "us-east-1"
  versioning {
    enabled = true
  }
  server_side_encryption_configuration {
    rule {
      apply_server_side_encryption_by_default {
        kms_master_key_id = "${var.kms_cmk_dest_arn}"
        sse_algorithm     = "aws:kms"
      }
    }
  }
}

resource "aws_s3_bucket" "source-bucket" {
  bucket = "source-bucket"
  acl    = "private"
  versioning {
    enabled = true
  }
  server_side_encryption_configuration {
    rule {
      apply_server_side_encryption_by_default {
        kms_master_key_id = "${var.kms_cmk_arn}"
        sse_algorithm     = "aws:kms"
      }
    }
  }
  replication_configuration {
    role = "${aws_iam_role.replication.arn}"

    rules {
      status = "Enabled"
	  destination {
        bucket        = "${aws_s3_bucket.source-bucket.arn}"
        storage_class = "STANDARD"
		replica_kms_key_id = "${var.kms_cmk_dest_arn}"
      }
	  source_selection_criteria {
      sse_kms_encrypted_objects {
      enabled = true
	  }
    }
    }
  }
}

resource "aws_iam_role" "replication" {
  name = "cdd-iam-role-replication"
  permissions_boundary    = "arn:aws:iam::${var.account_id}:policy/ServiceRoleBoundary"
  assume_role_policy = <<POLICY
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Principal": {
        "Service": "s3.amazonaws.com"
      },
      "Effect": "Allow",
      "Sid": ""
    }
  ]
}
POLICY
}

resource "aws_iam_role_policy" "replication" {
  name = "cdd-iam-role-policy-replication"
  role = "${aws_iam_role.replication.id}"

  policy = <<POLICY
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "s3:GetReplicationConfiguration",
        "s3:ListBucket"
      ],
      "Effect": "Allow",
      "Resource": [
        "${aws_s3_bucket.source-bucket.arn}"
      ]
    },
    {
      "Action": [
        "s3:GetObjectVersion",
        "s3:GetObjectVersionAcl"
      ],
      "Effect": "Allow",
      "Resource": [
        "${aws_s3_bucket.source-bucket.arn}/*"
      ]
    },
    {
      "Action": [
        "s3:ReplicateObject",
        "s3:ReplicateDelete"
      ],
      "Effect": "Allow",
      "Resource": "${aws_s3_bucket.destination-bucket.arn}/*"
    }
  ]
}
POLICY
}

the-petrolhead · Answer 1 · 20 февраля 2020

Если вы используете управляемый клиентом ключ (CMK) для шифрования S3, вам потребуется дополнительная настройка. AWS S3 В документации упоминается, что владелец CMK должен предоставить владельцу исходного хранилища разрешение на использование CMK.

https://docs.aws.amazon.com/AmazonS3/latest/dev/replication-config-for-kms-objects.html#replication -kms-cross-acct-сценарий

Кроме того, хорошая статья для краткого изложения конфигурации межрегиональной репликации S3:

https://medium.com/@devopslearning / 100 days-of-devops-day-44-s3-cross-region-replication-crr- 8c58ae8c68d4

S3 Межрегиональная репликация с использованием Terraform

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

S3 Межрегиональная репликация с использованием Terraform

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы