Conditions préalables à la création de règles de réplication - Amazon S3 on Outposts
Connexion de vos sous-réseaux Outpost source et de destinationCréation d'un IAM rôle

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conditions préalables à la création de règles de réplication

Connexion de vos sous-réseaux Outpost source et de destination

Pour que votre trafic de réplication passe de votre Outpost source à votre Outpost de destination via votre passerelle locale, vous devez ajouter un nouvel acheminement pour configurer la mise en réseau. Vous devez connecter ensemble les plages réseau Classless Inter-Domain Routing (CIDR) de vos points d'accès. Pour chaque paire de points d'accès, vous ne devez configurer cette connexion qu'une seule fois.

Certaines étapes de configuration de la connexion sont différentes, en fonction du type d'accès de vos points de terminaison Outposts associés à vos points d'accès. Le type d'accès pour les points de terminaison est soit privé (routage direct vers le cloud privé virtuel [VPC] pour AWS Outposts), soit IP appartenant au client (un pool d'adresses IP appartenant au client [pool CoIP] au sein de votre réseau local).

Étape 1 : Trouvez la CIDR plage de votre point de terminaison Outposts source

Pour trouver la CIDR plage de votre point de terminaison source associé à votre point d'accès source

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le panneau de navigation de gauche, choisissez Outposts buckets (Compartiments Outposts).

  3. Dans la liste Compartiments Outposts, choisissez le compartiment source à partir duquel vous souhaitez effectuer la réplication.

  4. Choisissez l'onglet Points d'accès Outposts, puis choisissez le point d'accès Outposts pour le compartiment source de votre règle de réplication.

  5. Sélectionnez le point de terminaison Outposts.

  6. Copiez l'ID de sous-réseau à utiliser à l'étape 5.

  7. La méthode que vous utilisez pour trouver la CIDR plage du point de terminaison Outposts source dépend du type d'accès de votre point de terminaison.

    Dans la section Présentation du point de terminaison Outposts, consultez Type d'accès.

    • Si le type d'accès est privé, copiez la valeur Classless inter-domaines routing (CIDR) à utiliser à l'étape 6.

    • Si le type d'accès est Adresse IP détenue par le client, procédez comme suit :

      1. Copiez la valeur du IPv4pool appartenant au client pour l'utiliser ultérieurement comme ID du pool d'adresses.

      2. Ouvrez la AWS Outposts console à l'adresse https://console.aws.amazon.com/outposts/.

      3. Dans le panneau de navigation, choisissez Tables de routage de passerelle locale.

      4. Choisissez la valeur ID de table de routage de passerelle locale de votre Outpost source.

      5. Dans le volet des détails, choisissez l'onglet Groupes CoIP. Collez la valeur de votre ID de groupe CoIP que vous avez copié précédemment dans le champ de recherche.

      6. Pour le pool CoIP correspondant, copiez la CIDRsvaleur correspondante de votre point de terminaison Outposts source pour l'utiliser à l'étape 6.

Étape 2 : Trouvez l'ID de sous-réseau et la CIDR plage de votre point de terminaison Outposts de destination

Pour trouver l'ID de sous-réseau et la CIDR plage de votre point de terminaison de destination associés à votre point d'accès de destination, suivez les mêmes sous-étapes à l'étape 1 et remplacez votre point de terminaison Outposts source par votre point de terminaison Outposts de destination lorsque vous appliquez ces sous-étapes. Copiez la valeur de l'ID de sous-réseau de votre point de terminaison Outposts de destination pour l'utiliser à l'étape 6. Copiez la CIDR valeur de votre point de terminaison Outposts de destination pour l'utiliser à l'étape 5.

Étape 3 : Trouver l'ID de passerelle local de votre Outpost source

Pour trouver l'ID de passerelle local de votre Outpost source

  1. Ouvrez la AWS Outposts console à l'adresse https://console.aws.amazon.com/outposts/.

  2. Dans le volet de navigation de gauche, sélectionnez Passerelles locales.

  3. Sur la page Passerelles locales, trouvez l'ID Outpost de votre Outpost source que vous souhaitez utiliser pour la réplication.

  4. Copiez la valeur d'ID de passerelle locale de votre Outpost source pour l'utiliser à l'étape 5.

Pour plus d'informations sur les passerelles locales, consultez Local gateway (Passerelles locales) dans le Guide de l'utilisateur AWS Outposts .

Étape 4 : Trouver l'ID de passerelle local de votre Outpost de destination

Pour trouver l'ID de passerelle locale de votre Outpost de destination, suivez les mêmes sous-étapes qu'à l'étape 3, sauf que vous recherchez l'ID Outpost de votre Outpost de destination. Copiez la valeur d'ID de passerelle locale de votre Outpost de destination pour l'utiliser à l'étape 6.

Étape 5 : Configurer la connexion entre votre sous-réseau Outpost source et votre sous-réseau Outpost de destination

Pour connecter votre sous-réseau Outpost source et votre sous-réseau Outpost de destination

  1. Connectez-vous à la VPC console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation de gauche, choisissez Subnets (Sous-réseaux).

  3. Dans la zone de recherche, entrez l'ID de sous-réseau de votre point de terminaison Outposts source que vous avez trouvé à l'étape 1. Choisissez le sous-réseau au sein de l'ID de sous-réseau correspondant.

  4. Pour l'élément de sous-réseau correspondant, choisissez la valeur Table de routage de ce sous-réseau.

  5. Sur la page contenant une table de routage sélectionnée, choisissez Actions, puis choisissez Modifier les routages.

  6. Sur la page Modifier les routes, choisissez Ajouter une route.

  7. Sous Destination, entrez la CIDR plage de points de terminaison Outposts de destination que vous avez trouvée à l'étape 2.

  8. Sous Cible, choisissez Passerelle locale de l'Outpost et saisissez l'ID de passerelle locale de votre Outpost source que vous avez trouvé à l'étape 3.

  9. Sélectionnez Enregistrer les modifications.

  10. Assurez-vous que le Statut de la route est Actif.

Étape 6 : Configurer la connexion entre votre sous-réseau Outpost de destination et votre sous-réseau Outpost source

  1. Connectez-vous à la VPC console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation de gauche, choisissez Subnets (Sous-réseaux).

  3. Dans la zone de recherche, saisissez l'ID de sous-réseau de votre point de terminaison Outposts de destination que vous avez trouvé à l'étape 2. Choisissez le sous-réseau au sein de l'ID de sous-réseau correspondant.

  4. Pour l'élément de sous-réseau correspondant, choisissez la valeur Table de routage de ce sous-réseau.

  5. Sur la page contenant une table de routage sélectionnée, choisissez Actions, puis choisissez Modifier les routages.

  6. Sur la page Modifier les routes, choisissez Ajouter une route.

  7. Sous Destination, entrez la CIDR plage de votre point de terminaison Outposts source que vous avez trouvée à l'étape 1.

  8. Sous Cible, choisissez Passerelle locale de l'Outpost et saisissez l'ID de passerelle locale de votre Outpost de destination que vous avez trouvé à l'étape 4.

  9. Sélectionnez Enregistrer les modifications.

  10. Assurez-vous que le Statut de la route est Actif.

Après avoir connecté les plages CIDR réseau de vos points d'accès source et de destination, vous devez créer un rôle AWS Identity and Access Management (IAM).

Création d'un IAM rôle

Par défaut, toutes les ressources S3 sur Outposts (compartiments, objets et sous-ressources liées) sont privées : seul le propriétaire des ressources peut y accéder. S3 sur Outposts a besoin d'autorisations pour lire et répliquer les objets du compartiment Outposts source. Vous accordez ces autorisations en créant un rôle IAM de service et en spécifiant ce rôle dans votre configuration de réplication.

Cette section décrit la stratégie d'approbation et la stratégie d'autorisation minimale requise. Les exemples de procédures pas à pas fournissent des step-by-step instructions pour créer un IAM rôle. Pour de plus amples informations, veuillez consulter Création de règles de réplication sur Outposts. Pour plus d'informations sur IAM les rôles, voir IAMles rôles dans le Guide de IAM l'utilisateur.

  • L'exemple suivant illustre une politique d'approbation selon laquelle vous identifiez S3 sur Outposts en tant que principal de service capable d'endosser le rôle.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"s3-outposts.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

  • L'exemple suivant illustre une stratégie d'accès selon laquelle vous accordez au rôle les autorisations lui permettant d'effectuer les tâches de réplication en votre nom. Quand S3 sur Outposts endosse le rôle, il dispose des autorisations que vous avez spécifiées dans cette stratégie. Pour utiliser cette politique, remplacez user input placeholders par vos propres informations. Assurez-vous de les remplacer par l'Outpost IDs de vos Outposts source et de destination, ainsi que par les noms de bucket et de point d'accès de vos buckets Outposts source et de destination.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3-outposts:GetObjectVersionForReplication",
            "s3-outposts:GetObjectVersionTagging"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET/object/*",
            "arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/accesspoint/SOURCE-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ]        
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3-outposts:ReplicateObject",
            "s3-outposts:ReplicateDelete"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*",
            "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ]  
      }
   ]
}

    La stratégie d'accès octroie les autorisations pour les actions suivantes :

    • s3-outposts:GetObjectVersionForReplication : l'autorisation pour cette action est accordée sur tous les objets afin de permettre à S3 sur Outposts d'obtenir une version d'objet spécifique associée à chaque objet.

    • s3-outposts:GetObjectVersionTagging— Autorisation pour cette action sur les objets du SOURCE-OUTPOSTS-BUCKET bucket (le compartiment source) permet à S3 on Outposts de lire les balises d'objets à des fins de réplication. Pour de plus amples informations, veuillez consulter Ajout de balises pour les compartiments Amazon S3 on Outposts. Si S3 sur Outposts ne dispose pas de ces autorisations, il réplique les objets mais pas leurs balises.

    • s3-outposts:ReplicateObjectet s3-outposts:ReplicateDelete — Autorisations pour ces actions sur tous les objets du DESTINATION-OUTPOSTS-BUCKET bucket (le bucket de destination) autorise S3 on Outposts à répliquer des objets ou à supprimer des marqueurs dans le bucket Outposts de destination. Pour en savoir plus sur les marqueurs de suppression, consultez Impact des opérations de suppression sur la réplication.

      Note

      • Autorisation pour l's3-outposts:ReplicateObjectaction sur DESTINATION-OUTPOSTS-BUCKET bucket (le bucket de destination) permet également la réplication des balises d'objets. Il n'est donc pas nécessaire d'accorder une autorisation explicite pour l'action s3-outposts:ReplicateTags.

      • Pour la réplication entre comptes, le propriétaire du bucket Outposts de destination doit mettre à jour sa politique de bucket afin d'autoriser l'action s3-outposts:ReplicateObject sur leDESTINATION-OUTPOSTS-BUCKET. Cette s3-outposts:ReplicateObject action permet à S3 on Outposts de répliquer des objets et des balises d'objets dans le compartiment Outposts de destination.

    Pour obtenir la liste des actions S3 sur Outposts, consultez Actions définies par Amazon S3 sur Outposts.

    Important

    Le Compte AWS propriétaire du IAM rôle doit disposer d'autorisations pour les actions qu'il accorde au IAM rôle.

    Supposons, par exemple, que le compartiment Outposts source contient des objets détenus par un autre Compte AWS. Le propriétaire des objets doit explicitement accorder à Compte AWS celui qui détient le IAM rôle les autorisations requises par le biais de la politique de compartiment et de la politique de point d'accès. Dans le cas contraire, S3 sur Outposts ne peut pas accéder aux objets et la réplication des objets échoue.

    Les autorisations décrites dans la présente section sont liées à la configuration de réplication minimale. Si vous choisissez d'ajouter des configurations de réplication facultatives, vous devez accorder des autorisations supplémentaires à S3 sur Outposts.

Octroi d'autorisations lorsque les buckets Outposts source et de destination appartiennent à différents Comptes AWS

Lorsque les compartiments Outposts source et de destination n'appartiennent pas aux mêmes comptes, le propriétaire du compartiment Outposts de destination doit mettre à jour les politiques de compartiment et de point d'accès du compartiment de destination. Ces politiques doivent accorder au propriétaire du bucket Outposts source et au rôle de IAM service les autorisations nécessaires pour effectuer des actions de réplication, comme indiqué dans les exemples de politiques suivants, sinon la réplication échouera. Dans ces exemples de politiques, DESTINATION-OUTPOSTS-BUCKET est le compartiment de destination. Pour utiliser ces exemples de politique, remplacez user input placeholders par vos propres informations.

Si vous créez le rôle IAM de service manuellement, définissez le chemin du rôle comme role/service-role/ indiqué dans les exemples de politique suivants. Pour plus d'informations, consultez IAMARNsle guide de IAM l'utilisateur. 

{
   "Version":"2012-10-17",
   "Id":"PolicyForDestinationBucket",
   "Statement":[
      {
         "Sid":"Permissions on objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::SourceBucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":[
            "s3-outposts:ReplicateDelete",
            "s3-outposts:ReplicateObject"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:DestinationBucket-account-ID:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*"
         ]  
      }

   ]
}
{
"Version":"2012-10-17",
   "Id":"PolicyForDestinationAccessPoint",
   "Statement":[
      {
         "Sid":"Permissions on objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::SourceBucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":[
            "s3-outposts:ReplicateDelete",
            "s3-outposts:ReplicateObject"
         ],
         "Resource" :[
            "arn:aws:s3-outposts:region:DestinationBucket-account-ID:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ]
      }
   ]              
}
Note

Si des objets stockés dans le compartiment Outposts source sont balisés, notez les points suivants :

Si le propriétaire du compartiment Outposts source accorde à S3 on Outposts l'autorisation s3-outposts:GetObjectVersionTagging et les s3-outposts:ReplicateTags actions pour répliquer les balises d'objets (via le rôle)IAM, Amazon S3 réplique les balises en même temps que les objets. Pour plus d'informations sur le IAM rôle, consultezCréation d'un IAM rôle.