Gerar credenciais temporárias para ingestão

Este artigo descreve como criar um usuário IAM em sua account da AWS que tenha acesso suficiente para ler dados em um bucket Amazon S3 (S3).

Criar uma política de IAM

1. Abra o console AWS IAM em sua account AWS, normalmente em https://console.aws.amazon.com/iam.

2. Clique em Políticas.

3. Clique em Criar política.

4. Clique na tab JSON .

5. Substitua o código JSON existente pelo código a seguir. No código, substitua:

   • <s3-bucket> com o nome do seu bucket S3.

   • <folder> com o nome da pasta dentro do seu bucket S3.

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "ReadOnlyAccessToTrips",
         "Effect": "Allow",
         "Action": [
           "s3:GetObject",
           "s3:ListBucket"
         ],
         "Resource": [
           "arn:aws:s3:::<s3-bucket>",
           "arn:aws:s3:::<s3-bucket>/<folder>/*"
         ]
       }
     ]
   }
   

6. Clique em Avançar: tags.

7. Clique em Avançar: Revisar.

8. Insira um nome para a política e clique em Criar política.

Criar um usuário IAM

1. Na barra lateral, clique em Usuários.

2. Clique em Adicionar usuários.

3. Digite um nome para o usuário.

4. Selecione a caixa key de acesso - Acesso programático e clique em Avançar: Permissões.

5. Clique em Anexar políticas existentes diretamente.

6. Marque a caixa ao lado da política e clique em Avançar: tags.

7. Clique em Avançar: Revisar.

8. Clique em Criar usuário.

9. Copie os valores Access key ID e Secret access key que aparecem em um local seguro, pois você precisa deles para obter os tokens de sessão do AWS STS.

Criar um perfil nomeado

1. Em sua máquina de desenvolvimento local, use a AWS CLI para criar um perfil nomeado com as credenciais da AWS que você copiou na passo anterior. Consulte Perfis nomeados para a AWS CLI no site da AWS.

2. Teste suas credenciais da AWS. Para fazer isso, use a AWS CLI para executar o seguinte comando, que exibe o conteúdo da pasta que contém seus dados. No comando, substitua:

   • <s3-bucket> com o nome do seu bucket S3.

   • <folder> com o nome da pasta dentro do seu bucket S3.

   • <named-profile> com o nome do seu perfil nomeado.

   aws s3 ls s3://<s3-bucket>/<folder>/ --profile <named-profile>
   

3. Para obter os tokens de sessão, execute o seguinte comando:

   aws sts get-session-token --profile <named-profile>
   

   Substitua <named-profile> pelo nome do seu perfil nomeado.

4. Copie os valores AccessKeyId, SecretAccessKey e SessionToken que aparecem em um local seguro.