如何创建 AWS IAM 用户和 S3 存储桶

本指南将向您展示如何在 AWS 中创建 IAM 用户和 S3 存储桶， 这是将备份写入 S3 或将 ClickHouse 配置为在 S3 上存储数据的先决条件步骤

创建 AWS IAM 用户

在本步骤中，我们将创建一个服务账户用户，而不是登录用户。

1. 登录 AWS IAM 管理控制台。

2. 在 Users 选项卡中，选择 Create user

3. 输入用户名

4. 选择 Next

5. 选择 Next

6. 选择 Create user

用户已创建。 单击新创建的用户

7. 选择 Create access key

8. 选择 Application running outside AWS

9. 选择 Create access key

10. 将访问密钥 ID 和密钥下载为 .csv 文件，以便后续使用

创建一个 S3 bucket

1. 在 S3 bucket 部分选择 Create bucket

2. 输入一个 bucket 名称，其余选项保持默认

注意

bucket 名称在整个 AWS 账号空间中必须唯一，而不仅仅是在你的组织内，否则会报错。

3. 保持启用 Block all Public Access；不需要公共访问。

4. 在页面底部选择 Create Bucket

5. 点击该链接，复制 ARN，并保存，以便在配置该 bucket 的访问策略时使用

6. 创建 bucket 后，在 S3 buckets 列表中找到新的 S3 bucket，并选择该 bucket 名称，这会打开如下所示的页面：

7. 选择 Create folder

8. 输入一个文件夹名称，该文件夹将作为 ClickHouse S3 磁盘或备份的目标，然后在页面底部选择 Create folder

9. 现在应当能在 bucket 列表中看到该文件夹

10. 勾选新建文件夹前的复选框并点击 Copy URL。保存该 URL，以便在下一节中用于 ClickHouse 存储配置。

11. 选择 Permissions 选项卡，然后在 Bucket Policy 部分点击 Edit 按钮

12. 添加一个 bucket policy，示例如下

{
    "Version": "2012-10-17",
    "Id": "Policy123456",
    "Statement": [
        {
            "Sid": "abc123",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::782985192762:user/docs-s3-user"
            },
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::ch-docs-s3-bucket",
                "arn:aws:s3:::ch-docs-s3-bucket/*"
            ]
        }
    ]
}

注意

上述策略允许对该 bucket 执行所有操作

Parameter	Description	Example Value
Version	策略解释器的版本，保持不变	2012-10-17
Sid	用户自定义的策略 ID	abc123
Effect	是否允许或拒绝用户请求	Allow
Principal	被允许访问的账号或用户	arn:aws:iam::782985192762:user/docs-s3-user
Action	在该 bucket 上允许执行的操作	s3:*
Resource	该 bucket 中允许执行操作的资源	"arn:aws:s3:::ch-docs-s3-bucket", "arn:aws:s3:::ch-docs-s3-bucket/*"

注意

应与安全团队协作确定要使用的权限，可将这些示例视为起点。 有关策略和设置的更多信息，请参阅 AWS 文档： https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-policy-language-overview.html

13. 保存策略配置