นโยบาย AWS ในการอ่าน/เขียน RDS

ในสถานการณ์ของฉัน ฉันต้องการนโยบายที่จะอนุญาตให้อ่านและเขียน abc-database-backups/rds/postgresql-backup บน S3? เราต้องการให้เซิร์ฟเวอร์ของฉันเพิ่มการเข้าถึงนั้น

การสร้างบทบาทและแนบกับเซิร์ฟเวอร์จะดีที่สุดหรือเพิ่มคีย์ลงในเซิร์ฟเวอร์

ฉันลองสิ่งนี้:

aws iam สร้างนโยบาย \
     --ชื่อนโยบาย rds-s3-integration-นโยบาย \
     --เอกสารนโยบาย '{
            "เวอร์ชัน": "2012-10-17",
            "คำแถลง": [
                {
                    "เอฟเฟกต์": "อนุญาต",
                    "การดำเนินการ": "s3:ListAllMyBuckets",
                    "ทรัพยากร": "*"
                },
                {
                    "เอฟเฟกต์": "อนุญาต",
                    "หนังบู๊": [
                        "s3:ListBucket",
                        "s3:GetBucketACL",
                        "s3:GetBucketLocation"
                    ]
                    "ทรัพยากร": "arn:aws:s3:::bucket_name"
                },
                {
                    "เอฟเฟกต์": "อนุญาต",
                    "หนังบู๊": [
                        "s3:GetObject",
                        "s3:PutObject",
                        "s3:ListMultipartUploadParts",
                        "s3:Abort MultipartUpload"
                    ]
                    "ทรัพยากร": "arn:aws:s3:::bucket_name/key_prefix/*"
                }
            ]
        }' 

ฉันจะขอบคุณมากสำหรับความช่วยเหลือใด ๆ เนื่องจากประสบการณ์ของฉันในด้านนี้ค่อนข้างจำกัด

ใช้ บทบาทที่เชื่อมโยงกับบริการ เพื่อให้ RDS ให้การเข้าถึง S3 และทรัพยากรที่มีชื่ออื่นๆ ที่คุณต้องการ ตรวจสอบให้แน่ใจว่าอินสแตนซ์ RDS มีบทบาทนี้ คุณควรอ่านด้วย เอกสารนี้ เกี่ยวกับการนำเข้าข้อมูล S3 ไปยัง RDS PostgreSQL โดยใช้ส่วนขยาย

ฉันได้ปรับโครงสร้างพื้นฐาน CloudFormation เป็นรหัสที่ฉันมีซึ่งควรตั้งค่าบทบาท คุณจะต้องแก้ไขสิทธิ์และชื่อบัคเก็ตให้เหมาะกับความต้องการของคุณ มันควรจะใช้งานได้ตามที่เป็นอยู่ แต่ฉันต้องนวดรหัสที่มีอยู่ของฉัน ดังนั้นถ้ามันใช้ไม่ได้ 100% โปรดแก้ไขโพสต์หรือความคิดเห็นเพื่อให้ฉันสามารถแก้ไขได้

AWSTเทมเพลตรูปแบบเวอร์ชัน: '2010-09-09'
คำอธิบาย: บทบาทสำหรับ RDS

ทรัพยากร:    
    RdsS3บูรณาการบทบาท:
        ประเภท: AWS::IAM::บทบาท
        คุณสมบัติ:
            ชื่อบทบาท: RdsS3IntegrationRole
            สมมติบทบาทนโยบายเอกสาร:
                เวอร์ชัน: 2012-10-17
                คำแถลง:
                    -
                        ผลกระทบ: อนุญาต
                        อาจารย์ใหญ่:
                            บริการ:
                                - rds.amazonaws.com
                        หนังบู๊:
                            - ห่วง: AssumeRole
                
    RDSS3IntegrationPolicy:
        ประเภท: AWS::IAM::Policy
        คุณสมบัติ:
            บทบาท:
                - !อ้างอิง 'RdsS3IntegrationRole'
            ชื่อนโยบาย: RDSS3IntegrationPolicy
            เอกสารนโยบาย:
                คำแถลง:
                    - ผลกระทบ: อนุญาต
                        หนังบู๊:
                            - s3:GetObject
                            - s3:ListBucket 
                            - s3:PutObject 
                        ทรัพยากร:
                            - !Sub 'arn:aws:s3:::bucketname/*'
                            - !Sub 'arn:aws:s3:::bucketname'
                    - ผลกระทบ: อนุญาต
                        หนังบู๊:
                            - kms: ถอดรหัส
                            - กิโลเมตร: เข้ารหัส
                            - kms:สร้างคีย์ข้อมูล
                            - kms:ReEncryptTo
                            - kms:DescribeKey
                            - kms:ReEncryptFrom
                        ทรัพยากร:
                            - !Sub 'arn:aws:kms:ap-southeast-2:${AWS::AccountId}:key/*'