使用暫時安全性認證來連線Amazon S3
您可以使用s3SessionToken
連線Amazon S3與暫存的安全性認證。 這可讓您將Amazon S3連線至Experience Platform,而不需要使用Amazon Web Services建立永久性IAM認證,或是將Amazon S3儲存貯體的存取權提供給不受信任環境中的使用者。
臨時安全性憑證的運作方式與一般長期存取金鑰憑證類似,不過您可以設定較短的臨時憑證到期日。 有效期限可在啟用後數分鐘或最多數小時設定。 使用者也不包含臨時認證。 這表示您必須在臨時認證過期時,要求一組新的臨時認證。
如需如何產生暫存工作階段權杖的步驟,請參閱暫存工作階段權杖上的此AWS 檔案。
在Amazon Web Services上設定Experience Platform的Amazon S3來源
本節適用於在Amazon Web Services (AWS)上執行的Experience Platform實作。 目前有限數量的客戶可使用在AWS上執行的Experience Platform 。 若要進一步瞭解支援的Experience Platform基礎結構,請參閱Experience Platform多雲端總覽。
請依照下列步驟,瞭解如何在Amazon Web Services (AWS)上為Experience Platform設定Amazon S3帳戶。
先決條件
若要將您的Amazon S3帳戶連線至AWS上的Experience Platform,您必須具備下列條件:
- 具有您要連線之Amazon S3儲存貯體或資料夾存取權的AWS帳戶。
- 允許
s3:GetObject
和s3:ListBucket
動作的必要IAM許可權。
AWS上連線的IP位址允許清單
您必須先將地區特定的IP位址新增至允許清單,才能將您的來源連線到AWS上的Experience Platform。 如需詳細資訊,請參閱允許清單IP位址以連線至AWS上的Experience Platform的指南。
存取UI中的Amazon S3來源
- 導覽至Experience Platform UI中的來源目錄。
- 選取Amazon S3,然後選取 新帳戶。
- 複製將IAM角色新增至允許清單下列出的 IAM角色。 您稍後將使用此IAM角色來設定Amazon S3貯體的許可權。
設定許可權
您必須在Amazon S3儲存貯體中設定必要的許可權,才能成功從AWS區域擷取資料。 您要存取之儲存貯體的原則必須與您使用的認證相關聯。
請依照下列步驟更新您的Amazon S3貯體:
- 在AWS管理主控台中登入您的帳戶。
- 導覽至您的Amazon S3貯體,然後選取 Permissions。
- 編輯貯體原則並新增以下許可權:
請確定您以您的IAM角色更新
AWS
的值,並以您的Amazon S3儲存貯體或資料夾更新Resource
的值。{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AEP Get Object Related Policy Prod",
"Effect": "Allow",
"Principal": {
"AWS": "{IAM_ROLE_TO_ALLOW_LIST}"
},
"Action": "s3:Get*",
"Resource": "arn:aws:s3:::{YOUR_BUCKET_NAME}/{YOUR_FOLDER_NAME}"
},
{
"Sid": "AEP List Bucket Prod",
"Effect": "Allow",
"Principal": {
"AWS": "{IAM_ROLE_TO_ALLOW_LIST}"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::{YOUR_BUCKET_NAME}"
}
]
}