Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Avant de créer et d’exécuter des tâches d’opérations par lot S3, vous devez accorder les autorisations requises. Pour créer une tâche d’opérations par lot Amazon S3, l’autorisation de l’utilisateur s3:CreateJob est requise. La même entité qui crée la tâche doit également être iam:PassRole autorisée à transmettre le rôle AWS Identity and Access Management (IAM) spécifié pour la tâche à Batch Operations.
Pour plus d’informations générales sur la spécification des ressources IAM, consultez Éléments de stratégie JSON IAM : Ressource dans le Guide de l’utilisateur IAM. Les sections suivantes fournissent des informations sur la création d’un rôle IAM et l’attachement de stratégies.
Rubriques
Création d’un rôle IAM pour les opérations par lot S3
Amazon S3 doit avoir l’autorisation d’effectuer des tâches d’opérations par lot S3 en votre nom. Vous accordez ces autorisations par le biais d'un rôle AWS Identity and Access Management (IAM). Cette section fournit des exemples de stratégies d’approbation et d’autorisation que vous utilisez lors de la création d’un rôle IAM. Pour plus d’informations, consultez Rôles IAM dans le Guide de l’utilisateur IAM. Pour obtenir des exemples, consultez Contrôle des autorisations pour les opérations par lot à l’aide de balises de tâche et Copie d’objets à l’aide d’opérations par lot S3.
Dans vos politiques IAM, vous pouvez également utiliser des clés de condition pour filtrer les autorisations d’accès pour les tâches d’opérations par lot S3. Pour obtenir plus d’informations ainsi que la liste complète des clés de condition spécifiques à Amazon S3, consultez Actions, ressources et clés de condition pour Amazon S3 dans la Référence de l’autorisation de service.
Pour plus d’informations sur les autorisations relatives aux opérations d’API S3 par type de ressource S3, consultez Autorisations requises pour les opérations d’API Amazon S3.
La vidéo suivante inclut la procédure de configuration d’autorisations IAM pour des tâches d’opérations par lots à l’aide de la AWS Management Console.
Stratégie d’approbation
Vous attachez la stratégie d’approbation suivante au rôle IAM afin de permettre au principal de service de la fonctionnalité d’opérations par lot S3 d’endosser le rôle.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"batchoperations.s3.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}Attachement des stratégies d’autorisations
En fonction du type d’opérations, vous pouvez attacher l’une des stratégies suivantes.
Avant de configurer les autorisations, veuillez noter ce qui suit :
-
Indépendamment de l’opération, Amazon S3 a besoin d’autorisations pour lire l’objet manifeste depuis votre compartiment S3 et, éventuellement, écrire un rapport dans votre compartiment. Dès lors, toutes les stratégies d’autorisations suivantes incluent ces autorisations.
-
Pour les manifestes de rapport Amazon S3 Inventory, S3 Batch Operations nécessite l’autorisation de lire l’objet manifest.json et tous les fichiers de données CSV associés.
-
Des autorisations spécifiques à la version comme
s3:GetObjectVersionsont requises uniquement quand vous spécifiez l’ID de version des objets. -
Si vous exécutez S3 Batch Operations sur des objets chiffrés, le rôle IAM doit également avoir accès aux AWS KMS clés utilisées pour les chiffrer.
-
Si vous soumettez un manifeste de rapport d'inventaire chiffré avec AWS KMS, votre politique IAM doit inclure les autorisations relatives à l'objet manifest.json
"kms:Decrypt"et"kms:GenerateDataKey"à tous les fichiers de données CSV associés. Si la tâche Batch Operations génère un manifeste dans un bucket dans lequel les listes de contrôle d'accès (ACLs) sont activées et qui se trouve dans un autre compartiment Compte AWS, vous devez accorder l'
s3:PutObjectAclautorisation dans la politique IAM du rôle IAM configuré pour la tâche par lots. Si vous n’incluez pas cette autorisation, le traitement par lot échoue avec l’erreurError occurred when preparing manifest: Failed to write manifest.
Copier des objets : PutObject
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectTagging"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-source-bucket",
"arn:aws:s3:::amzn-s3-demo-source-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-manifest-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-completion-report-bucket/*"
]
}
]
}Remplacez le balisage des objets : PutObjectTagging
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:PutObjectTagging",
"s3:PutObjectVersionTagging"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-manifest-bucket/*"
]
},
{
"Effect":"Allow",
"Action":[
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-completion-report-bucket/*"
]
}
]
}Supprimer le balisage des objets : DeleteObjectTagging
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:DeleteObjectTagging",
"s3:DeleteObjectVersionTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-manifest-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-completion-report-bucket/*"
]
}
]
}Remplacer la liste de contrôle d'accès : PutObjectAcl
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:PutObjectAcl",
"s3:PutObjectVersionAcl"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-manifest-bucket/*"
]
},
{
"Effect":"Allow",
"Action":[
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-completion-report-bucket/*"
]
}
]
}Restaurer les objets : RestoreObject
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:RestoreObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-manifest-bucket/*"
]
},
{
"Effect":"Allow",
"Action":[
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-completion-report-bucket/*"
]
}
]
}Appliquer la rétention Object Lock : PutObjectRetention
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetBucketObjectLockConfiguration",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObjectRetention",
"s3:BypassGovernanceRetention"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-manifest-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-completion-report-bucket/*"
]
}
]
}Appliquer la garantie légale d'Object Lock : PutObjectLegalHold
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetBucketObjectLockConfiguration",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket"
]
},
{
"Effect": "Allow",
"Action": "s3:PutObjectLegalHold",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-manifest-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-completion-report-bucket/*"
]
}
]
}Répliquez des objets existants : InitiateReplication avec un manifeste généré par S3
Optez pour cette politique si vous utilisez et stockez un manifeste généré par S3. Pour plus d’informations sur l’utilisation des opérations par lot pour répliquer des objets existants, consultez Réplication d’objets existants via la réplication par lot.
{
"Version":"2012-10-17",
"Statement":[
{
"Action":[
"s3:InitiateReplication"
],
"Effect":"Allow",
"Resource":[
"arn:aws:s3:::amzn-s3-demo-source-bucket/*"
]
},
{
"Action":[
"s3:GetReplicationConfiguration",
"s3:PutInventoryConfiguration"
],
"Effect":"Allow",
"Resource":[
"arn:aws:s3:::amzn-s3-demo-source-bucket"
]
},
{
"Action":[
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect":"Allow",
"Resource":[
"arn:aws:s3:::amzn-s3-demo-manifest-bucket/*"
]
},
{
"Effect":"Allow",
"Action":[
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-completion-report-bucket/*",
"arn:aws:s3:::amzn-s3-demo-manifest-bucket/*"
]
}
]
}Répliquez des objets existants : InitiateReplication avec un manifeste utilisateur
Utilisez cette politique si vous utilisez un manifeste fourni par l’utilisateur. Pour plus d’informations sur l’utilisation des opérations par lot pour répliquer des objets existants, consultez Réplication d’objets existants via la réplication par lot.
{
"Version":"2012-10-17",
"Statement":[
{
"Action":[
"s3:InitiateReplication"
],
"Effect":"Allow",
"Resource":[
"arn:aws:s3:::amzn-s3-demo-source-bucket/*"
]
},
{
"Action":[
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect":"Allow",
"Resource":[
"arn:aws:s3:::amzn-s3-demo-manifest-bucket/*"
]
},
{
"Effect":"Allow",
"Action":[
"s3:PutObject"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-completion-report-bucket/*"
]
}
]
}