使用暫時安全性認證來連線Amazon S3

您可以使用s3SessionToken連線Amazon S3與暫存的安全性認證。 這可讓您將Amazon S3連線至Experience Platform,而不需要使用Amazon Web Services建立永久性IAM認證,或是將Amazon S3儲存貯體的存取權提供給不受信任環境中的使用者。

臨時安全性憑證的運作方式與一般長期存取金鑰憑證類似,不過您可以設定較短的臨時憑證到期日。 有效期限可在啟用後數分鐘或最多數小時設定。 使用者也不包含臨時認證。 這表示您必須在臨時認證過期時,要求一組新的臨時認證。

如需如何產生暫存工作階段權杖的步驟,請參閱暫存工作階段權杖上的此AWS 檔案

在Amazon Web Services上設定Experience Platform的Amazon S3來源

AVAILABILITY
本節適用於在Amazon Web Services (AWS)上執行的Experience Platform實作。 目前有限數量的客戶可使用在AWS上執行的Experience Platform 。 若要進一步瞭解支援的Experience Platform基礎結構,請參閱Experience Platform多雲端總覽

請依照下列步驟,瞭解如何在Amazon Web Services (AWS)上為Experience Platform設定Amazon S3帳戶。

先決條件

若要將您的Amazon S3帳戶連線至AWS上的Experience Platform,您必須具備下列條件:

  • 具有您要連線之Amazon S3儲存貯體或資料夾存取權的AWS帳戶。
  • 允許s3:GetObjects3:ListBucket動作的必要IAM許可權。

AWS上連線的IP位址允許清單

您必須先將地區特定的IP位址新增至允許清單,才能將您的來源連線到AWS上的Experience Platform。 如需詳細資訊,請參閱允許清單IP位址以連線至AWS上的Experience Platform的指南。

存取UI中的Amazon S3來源

  • 導覽至Experience Platform UI中的來源目錄。
  • 選取Amazon S3,然後選取​ 新帳戶
  • 複製將IAM角色新增至允許清單下列出的​ IAM角色。 您稍後將使用此IAM角色來設定Amazon S3貯體的許可權。

Amazon S3新帳戶驗證頁面。

設定許可權

您必須在Amazon S3儲存貯體中設定必要的許可權,才能成功從AWS區域擷取資料。 您要存取之儲存貯體的原則必須與您使用的認證相關聯。

請依照下列步驟更新您的Amazon S3貯體:

  • AWS管理主控台中登入您的帳戶。
  • 導覽至您的Amazon S3貯體,然後選取​ Permissions
  • 編輯貯體原則並新增以下許可權:
TIP
請確定您以您的IAM角色更新AWS的值,並以您的Amazon S3儲存貯體或資料夾更新Resource的值。
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AEP Get Object Related Policy Prod",
            "Effect": "Allow",
            "Principal": {
                "AWS": "{IAM_ROLE_TO_ALLOW_LIST}"
            },
            "Action": "s3:Get*",
            "Resource": "arn:aws:s3:::{YOUR_BUCKET_NAME}/{YOUR_FOLDER_NAME}"
        },
        {
            "Sid": "AEP List Bucket Prod",
            "Effect": "Allow",
            "Principal": {
                "AWS": "{IAM_ROLE_TO_ALLOW_LIST}"
            },
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::{YOUR_BUCKET_NAME}"
        }
    ]
}