Как создать пользователя AWS IAM и бакет S3

В этом руководстве показано, как создать пользователя IAM и бакет S3 в AWS — это необходимый предварительный шаг для резервного копирования в S3 или настройки ClickHouse для хранения данных в S3

Создание пользователя AWS IAM

В этой процедуре мы создадим служебную учетную запись (service account), а не пользователя для интерактивного входа.

1. Войдите в консоль управления AWS IAM (AWS IAM Management Console).

2. На вкладке Users выберите Create user.

3. Введите имя пользователя.

4. Выберите Next.

5. Выберите Next.

6. Выберите Create user.

Пользователь создан. Нажмите на вновь созданного пользователя.

7. Выберите Create access key.

8. Выберите Application running outside AWS.

9. Выберите Create access key.

10. Загрузите свой access key и secret в виде файла .csv для последующего использования.

Создание бакета S3

1. В разделе бакетов S3 выберите Create bucket

2. Введите имя бакета, остальные параметры оставьте по умолчанию

Примечание

Имя бакета должно быть уникальным во всём AWS, а не только внутри вашей организации, иначе будет выдана ошибка.

3. Оставьте параметр Block all Public Access включённым; публичный доступ не требуется.

4. Внизу страницы выберите Create Bucket

5. Перейдите по ссылке, скопируйте ARN и сохраните его для использования при настройке политики доступа для бакета

6. После создания бакета найдите новый бакет S3 в списке S3 buckets и выберите его имя, чтобы перейти на страницу, показанную ниже:

7. Выберите Create folder

8. Введите имя папки, которая будет целевым расположением для S3-диска ClickHouse или резервных копий, и выберите Create folder внизу страницы

9. Папка теперь должна отображаться в списке объектов бакета

10. Установите флажок для новой папки и нажмите Copy URL. Сохраните URL для использования в конфигурации хранилища ClickHouse в следующем разделе.

11. Перейдите на вкладку Permissions и нажмите кнопку Edit в разделе Bucket Policy

12. Добавьте политику для бакета, пример приведён ниже

{
    "Version": "2012-10-17",
    "Id": "Policy123456",
    "Statement": [
        {
            "Sid": "abc123",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::782985192762:user/docs-s3-user"
            },
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::ch-docs-s3-bucket",
                "arn:aws:s3:::ch-docs-s3-bucket/*"
            ]
        }
    ]
}

Примечание

Приведённая выше политика позволяет выполнять любые операции с бакетом.

Параметр	Описание	Пример значения
Version	Версия интерпретатора политики, оставьте как есть	2012-10-17
Sid	Определяемый пользователем идентификатор политики	abc123
Effect	Разрешаются или запрещаются запросы пользователя	Allow
Principal	Учетные записи или пользователи, которым будет разрешён доступ	arn:aws:iam::782985192762:user/docs-s3-user
Action	Какие операции разрешены для бакета	s3:*
Resource	К каким ресурсам в бакете будут разрешены операции	"arn:aws:s3:::ch-docs-s3-bucket", "arn:aws:s3:::ch-docs-s3-bucket/*"

Примечание

Совместно с вашей командой по безопасности определите, какие разрешения использовать; рассматривайте приведённые выше как отправную точку. Для получения дополнительной информации о политиках и настройках см. документацию AWS: https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-policy-language-overview.html

13. Сохраните конфигурацию политики