Configuration d'Amazon S3 Inventory Stratégie du compartiment de destination Octroi à Amazon S3 d'utiliser votre clé gérée par le client pour le chiffrement Configuration de l'inventaire à l'aide de la console S3 Utilisation du REST API pour travailler avec S3 Inventory

Configuration d'Amazon S3 Inventory

Amazon S3 Inventory fournit une liste de fichiers plats de vos objets et métadonnées, selon un calendrier que vous définissez. Vous pouvez utiliser S3 Inventory comme alternative planifiée à l'ListAPIopération synchrone Amazon S3. S3 Inventory fournit des valeurs séparées par des virgules ()CSV, Apache colonne de ligne optimisée (ORC), ou Apache Parquet (Parquet)des fichiers de sortie qui répertorient vos objets et leurs métadonnées correspondantes.

Vous pouvez configurer S3 Inventory afin de créer des listes d'inventaire de façon quotidienne ou hebdomadaire pour un compartiment S3 ou pour des objets qui partagent un préfixe (c'est-à-dire des objets dont le nom commence avec la même chaîne). Pour de plus amples informations, veuillez consulter Catalogage et analyse de vos données avec S3 Inventory.

Cette section explique comment configurer un inventaire, avec notamment des détails sur les compartiments source et de destination.

Rubriques

Présentation
Création d'une stratégie de compartiment de destination
Octroi à Amazon S3 d'utiliser votre clé gérée par le client pour le chiffrement
Configuration de l'inventaire à l'aide de la console S3
Utilisation du REST API pour travailler avec S3 Inventory

Présentation

Amazon S3 Inventory vous aide à gérer votre stockage en créant des listes d'objets dans un compartiment S3 selon une planification définie. Vous pouvez configurer plusieurs listes d'inventaire d'un compartiment. Les listes d'inventaire sont publiées sur CSVORC, ou Parquet fichiers dans un compartiment de destination.

Le moyen le plus simple de configurer un inventaire est d'utiliser la console Amazon S3, mais vous pouvez également utiliser la console Amazon S3 RESTAPI, AWS Command Line Interface (AWS CLI) ou AWS SDKs. La console effectue la première étape de la procédure suivante pour vous : ajouter une stratégie de compartiment au compartiment de destination.

Pour configure Amazon S3 Inventory pour un compartiment S3

Ajoutez une stratégie de compartiment pour le compartiment de destination.

Vous devez créer une politique de compartiment sur le compartiment de destination qui autorise Amazon S3 à écrire des objets dans le compartiment à l'emplacement défini. Pour un exemple de stratégie, consultez Accorder des autorisations pour l'inventaire S3 et les analyses S3..
Configurez un inventaire pour répertorier les objets dans un compartiment source et publier la liste dans un compartiment de destination.

Lorsque vous configurez une liste d'inventaire pour un compartiment source, vous spécifiez le compartiment de destination dans lequel vous voulez stocker la liste et la fréquence de génération de la liste (quotidienne ou hebdomadaire). Vous pouvez également configurer s'il faut répertorier toutes les versions d'objets ou uniquement les versions actuelles et les métadonnées d'objet à inclure.

Certains champs de métadonnées d'objet dans les configurations des rapports d'inventaire S3 sont facultatifs, ce qui signifie qu'ils sont disponibles par défaut mais qu'ils peuvent être restreints lorsque vous accordez l's3:PutInventoryConfigurationautorisation à un utilisateur. Vous pouvez contrôler si les utilisateurs peuvent inclure ces champs de métadonnées facultatifs dans leurs rapports à l'aide de la clé de s3:InventoryAccessibleOptionalFields condition.

Pour plus d'informations sur les champs de métadonnées facultatifs disponibles dans S3 Inventory, voir OptionalFieldsdans le Amazon Simple Storage Service API Reference. Pour plus d'informations sur la restriction de l'accès à certains champs de métadonnées facultatifs dans une configuration d'inventaire, consultezCréation de la configuration du rapport d'inventaire Control S3.

Vous pouvez spécifier que le fichier de liste d'inventaire doit être chiffré en utilisant le chiffrement côté serveur avec une clé gérée Amazon S3 (SSE-S3) ou une AWS Key Management Service clé gérée par le client (SSE-AWS KMS). KMS

Note
Le Clé gérée par AWS (aws/s3) n'est pas pris en charge pour SSE KMS le chiffrement avec S3 Inventory.

Pour plus d'informations sur SSE -S3 et SSE -KMS, consultezProtection des données avec le chiffrement côté serveur. Si vous envisagez d'utiliser SSE le KMS chiffrement, reportez-vous à l'étape 3.
- Pour plus d'informations sur l'utilisation de la console pour configurer une liste d'inventaire, consultez Configuration de l'inventaire à l'aide de la console S3.
- Pour utiliser Amazon S3 API afin de configurer une liste d'inventaire, utilisez PutBucketInventoryConfigurationRESTAPIopération ou équivalent à partir du AWS CLI ou AWS SDKs.
Pour chiffrer le fichier de liste d'inventaire avec SSE -KMS, accordez à Amazon S3 l'autorisation d'utiliser le AWS KMS key.

Vous pouvez configurer le chiffrement du fichier de liste d'inventaire à l'aide de la console Amazon S3 REST API AWS CLI, Amazon S3 ou AWS SDKs. Quelle que soit la méthode que vous choisissez, vous devez autoriser Amazon S3 à utiliser la clé gérée par le client pour chiffrer le fichier d'inventaire. Vous accordez l'autorisation à Amazon S3 en modifiant la politique de la clé gérée par le client que vous souhaitez utiliser pour chiffrer le fichier d'inventaire. Pour de plus amples informations, veuillez consulter Octroi à Amazon S3 d'utiliser votre clé gérée par le client pour le chiffrement.

Le compartiment de destination qui stocke le fichier de liste d'inventaire peut appartenir à un autre Compte AWS que le compte propriétaire du compartiment source. Si vous utilisez SSE le KMS chiffrement pour les opérations entre comptes d'Amazon S3 Inventory, nous vous recommandons d'utiliser une KMS clé qualifiée complète ARN lorsque vous configurez l'inventaire S3. Pour plus d’informations, consultez Utilisation SSE du KMS chiffrement pour les opérations entre comptes et ServerSideEncryptionByDefaultdans le Amazon Simple Storage Service API Reference.

Création d'une stratégie de compartiment de destination

Si vous créez votre configuration d'inventaire via la console Amazon S3, Amazon S3 crée automatiquement une politique de compartiment sur le compartiment de destination qui accorde une autorisation d'écriture Amazon S3 au compartiment. Toutefois, si vous créez votre configuration d'inventaire via AWS CLI AWS SDKs, ou Amazon S3 RESTAPI, vous devez ajouter manuellement une politique de compartiment sur le compartiment de destination. La politique du compartiment de destination de l'inventaire S3 permet à Amazon S3 d'écrire des données pour les rapports d'inventaire dans le compartiment.

Voici un exemple de politique de compartiment.


{  
      "Version": "2012-10-17",
      "Statement": [
        {
            "Sid": "InventoryExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-DESTINATION-BUCKET/*"
            ],
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3:::DOC-EXAMPLE-SOURCE-BUCKET"
                },
                "StringEquals": {
                    "aws:SourceAccount": "source-account-id",
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

Pour de plus amples informations, veuillez consulter Accorder des autorisations pour l'inventaire S3 et les analyses S3..

Si une erreur se produit lorsque vous tentez de créer la stratégie de compartiment, des instructions s'affichent pour vous indiquer comment la résoudre. Par exemple, si vous choisissez un compartiment de destination dans un autre Compte AWS et que vous n'êtes pas autorisé à lire et à écrire dans la politique du compartiment, un message d'erreur s'affiche.

Dans ce cas, le propriétaire du compartiment de destination doit ajouter la politique du compartiment au compartiment de destination. Si la politique n'est pas ajoutée au compartiment de destination, vous ne recevez pas de rapport d'inventaire, car Amazon S3 n'est pas autorisé à écrire dans le compartiment de destination. Si le compartiment source est détenu par un compte autre que celui de l'utilisateur actuel, l'ID de compte correct du propriétaire du compartiment source doit être remplacé dans la politique.

Note

Assurez-vous qu'aucune instruction Deny n'est ajoutée à la politique du compartiment de destination qui empêcherait la livraison de rapports d'inventaire dans ce compartiment. Pour plus d'informations, consultez Pourquoi ne puis-je pas générer un rapport d'inventaire Amazon S3 ? .

Octroi à Amazon S3 d'utiliser votre clé gérée par le client pour le chiffrement

Pour autoriser Amazon S3 à utiliser votre clé gérée par le client AWS Key Management Service (AWS KMS) pour le chiffrement côté serveur, vous devez utiliser une politique de clé. Pour mettre à jour votre stratégie de clé et pouvoir utiliser votre clé gérée par le client, suivez la procédure suivante.

Pour accorder à Amazon S3 l'autorisation de chiffrer à l'aide de votre clé gérée par le client

À l'aide du Compte AWS propriétaire de la clé gérée par le client, connectez-vous au AWS Management Console.
Ouvrez la AWS KMS console à l'adresse https://console.aws.amazon.com/kms.
Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
Dans le panneau de navigation de gauche, choisissez Clés gérées par le client.
Sous Clés gérées par le client, choisissez la clé gérée par le client que vous souhaitez utiliser pour chiffrer vos fichiers d'inventaire.
Dans la section Key policy (Politique de clé), sélectionnez Switch to policy view (Passer à la vue de politique).
Pour mettre à jour la politique de clé, choisissez Modifier.

Sous Modifier la stratégie de clé, ajoutez les lignes suivantes à la stratégie de clé existante. Pour source-account-id et amzn-s3-demo-source-bucket, fournissez les valeurs appropriées pour votre cas d'utilisation.


{
    "Sid": "Allow Amazon S3 use of the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "s3.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition":{
      "StringEquals":{
         "aws:SourceAccount":"source-account-id"
     },
      "ArnLike":{
        "aws:SourceARN": "arn:aws:s3:::amzn-s3-demo-source-bucket"
     }
   }
}

Sélectionnez Enregistrer les modifications.

Pour en savoir plus amples sur la création de clés gérées par le client et l'utilisation de politiques de clé, cliquez sur les liens suivants dans le guide du développeur AWS Key Management Service :

Note

Configuration de l'inventaire à l'aide de la console S3

Suivez ces instructions pour configurer l'inventaire à l'aide de la console S3.

Note

La distribution du premier rapport d'inventaire pour Amazon S3 peut prendre jusqu'à 48 heures.

Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.
Dans le panneau de navigation de gauche, choisissez Compartiments. Dans la liste Compartiments, choisissez le nom du compartiment pour lequel vous souhaitez configurer l'inventaire Amazon S3.
Choisissez l'onglet Gestion.
Sous Configurations d'inventaire, choisissez Créer une configuration d'inventaire.
Dans Nom de la configuration d'inventaire, saisissez un nom.
Pour Portée de l'inventaire, procédez comme suit :
- Entrez un préfixe facultatif.
- Choisissez les versions d'objet à inclure, soit Versions actuelles uniquement, soit Inclure toutes les versions.
Sous Report details (Détails du rapport), choisissez l'emplacement du Compte AWS où vous souhaitez enregistrer les rapports : This account (Ce compte) ou A different account (Un compte différent).
Sous Destination, choisissez le compartiment de destination dans lequel vous souhaitez que les rapports d'inventaire soient enregistrés.

Le compartiment de destination doit se trouver dans le même compartiment Région AWS que celui pour lequel vous configurez l'inventaire. Le compartiment de destination peut se trouver dans un autre Compte AWS. Lorsque vous spécifiez le compartiment de destination, vous pouvez également inclure un préfixe facultatif pour regrouper vos rapports d'inventaire.

Sous le champ de compartiment Destination vous voyez la déclaration Autorisation de compartiment de destination qui est ajoutée à la stratégie de compartiment de destination pour permettre à Amazon S3 de placer des données dans ce compartiment. Pour de plus amples informations, veuillez consulter Création d'une stratégie de compartiment de destination.
Sous Fréquence, choisissez la fréquence à laquelle le rapport sera généré : Quotidien ou Hebdomadaire.
Dans Format de sortie, choisissez l'un des formats suivants pour le rapport :
- CSV— Si vous prévoyez d'utiliser ce rapport d'inventaire avec S3 Batch Operations ou si vous souhaitez analyser ce rapport dans un autre outil, tel que Microsoft Excel, choisissez CSV.
- Apache ORC
- Apache Parquet
Sous Status (Statut), choisissez Enable (Activer) ou Disable (Désactiver).
Pour configurer le chiffrement côté serveur, sous Chiffrement des rapports d'inventaire, procédez comme suit :
1. Sous Chiffrement côté serveur, choisissez Ne pas spécifier de clé de chiffrement ou Spécifier une clé de chiffrement pour chiffrer les données.
  - Pour conserver les paramètres du compartiment pour le chiffrement côté serveur par défaut des objets lors de leur stockage dans Amazon S3, choisissez Ne pas spécifier de clé de chiffrement. Tant que les clés de compartiment S3 sont activées pour la destination du compartiment, l'opération de copie applique une clé de compartiment S3 au compartiment de destination.
    
    Note
    Si la politique de compartiment pour la destination spécifiée exige que les objets soient chiffrés avant de les stocker dans Amazon S3, vous devez choisir Spécifier une clé de chiffrement. Sinon, la copie des objets vers la destination échouera.
  - Pour chiffrer des objets avant de les stocker dans Amazon S3, choisissez Spécifier une clé de chiffrement.
2. Si vous avez choisi Spécifier une clé de chiffrement, sous Type de chiffrement, vous devez choisir la clé gérée Amazon S3 (SSE-S3) ou la AWS Key Management Service clé (SSE-KMS).
  
  SSE-S3 utilise l'un des chiffrements par blocs les plus puissants : la norme de chiffrement avancée 256 bits (AES-256) pour chiffrer chaque objet. SSE- vous KMS permet de mieux contrôler votre clé. Pour plus d'informations sur SSE -S3, consultezUtilisation du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3). Pour plus d'informations sur SSE -KMS, consultezUtilisation du chiffrement côté serveur avec des AWS KMS clés (SSE-) KMS.
  
  Note
  Pour chiffrer le fichier de liste d'inventaire avec SSE -KMS, vous devez autoriser Amazon S3 à utiliser la clé gérée par le client. Pour obtenir des instructions, consultez Accorder à Amazon S3 l'autorisation de chiffrer à l'aide de vos KMS clés.
3. Si vous avez choisi AWS Key Management Service la touche (SSE-KMS), sous AWS KMS key, vous pouvez spécifier votre AWS KMS clé à l'aide de l'une des options suivantes.
  
  Note
  Si le compartiment de destination qui stocke le fichier de liste d'inventaire appartient à un autre Compte AWS, assurez-vous d'utiliser une KMS clé complète ARN pour spécifier votre KMS clé.
  - Pour choisir parmi une liste de KMS clés disponibles, choisissez Choisir parmi vos AWS KMS clés, puis choisissez une KMS clé de chiffrement symétrique dans la liste des clés disponibles. Assurez-vous que la KMS clé se trouve dans la même région que votre compartiment.
    
    Note
    La clé Clé gérée par AWS (aws/s3) et la clé gérée par votre client apparaissent toutes deux dans la liste. Cependant, le Clé gérée par AWS (aws/s3) n'est pas pris en charge pour SSE KMS le chiffrement avec S3 Inventory.
  - Pour saisir la KMS cléARN, choisissez la AWS KMS touche Entrée ARN, puis entrez votre KMS clé ARN dans le champ qui apparaît.
  - Pour créer une nouvelle clé gérée par le client dans la AWS KMS console, choisissez Create a KMS key.
Pour Champs de métadonnées supplémentaires, sélectionnez un ou plusieurs des éléments suivants à ajouter au rapport d'inventaire :
- Taille : la taille de l'objet en octets, à l'exclusion de la taille des chargements partitionnés incomplets, des métadonnées de l'objet et des marqueurs de suppression.
- Date de la dernière modification – Date de création de l'objet ou date de la dernière modification, la plus récente étant retenue.
- Multipart upload (Chargement partitionné) – Spécifie que l'objet a été chargé dans un chargement partitionné. Pour de plus amples informations, veuillez consulter Chargement et copie d'objets à l'aide d'un chargement partitionné.
- Replication status (Statut de réplication) – Statut de réplication de l'objet. Pour de plus amples informations, veuillez consulter Obtention d'informations sur le statut de la réplication.
- Statut de chiffrement : chiffrement côté serveur utilisé pour chiffrer l'objet. Pour de plus amples informations, veuillez consulter Protection des données avec le chiffrement côté serveur.
- État de la clé du compartiment : indique si une clé au niveau du compartiment générée par AWS KMS s'applique à l'objet. Pour de plus amples informations, veuillez consulter Réduction du coût de SSE : KMS avec les clés de compartiment Amazon S3.
- Liste de contrôle d'accès aux objets : liste de contrôle d'accès (ACL) pour chaque objet qui définit le Comptes AWS ou les groupes autorisés à accéder à cet objet et le type d'accès accordé. Pour plus d'informations sur ce champ, consultez Utilisation du ACL champ Objet. Pour plus d'informations surACLs, voirVue d'ensemble de la liste de contrôle d'accès (ACL).
- Propriétaire de l'objet : le propriétaire de l'objet.
- Classe de stockage : classe de stockage utilisée pour stocker l'objet.
- Niveau d'accès Intelligent-Tiering : niveau d'accès (fréquent ou peu fréquent) de l'objet si celui-ci est stocké dans la classe de stockage S3 Intelligent-Tiering. Pour de plus amples informations, veuillez consulter Classe de stockage pour l'optimisation automatique des données avec des modèles d'accès inconnus ou irréguliers.
- ETag— La balise d'entité (ETag) est un hachage de l'objet. Le ETag reflète les modifications apportées uniquement au contenu d'un objet, et non à ses métadonnées. ETagIl peut s'agir ou non d'un MD5 résumé des données de l'objet. Cela dépend de la façon dont l'objet a été créé et de la manière dont il est chiffré. Pour plus d’informations, consultez .Objectdans le Amazon Simple Storage Service API Reference.
- Algorithme de total de contrôle : algorithme utilisé pour créer le total de contrôle de l'objet. Pour de plus amples informations, veuillez consulter Utilisation des algorithmes de total de contrôle pris en charge.
- Configurations du verrouillage de tous les objets : statut du verrouillage des objets, y compris les paramètres suivants :
  - Verrouillage d'objet : mode de rétention : niveau de protection appliqué à l'objet, Gouvernance ou Conformité.
  - Verrouillage d'objet : conserver jusqu'à la date : date jusqu'à laquelle l'objet verrouillé ne peut pas être supprimé.
  - Verrouillage d'objet : statut de la conservation à des fins juridiques : statut de la conservation à des fins juridiques de l'objet verrouillé.
  Pour de plus amples informations sur la fonctionnalité de verrouillage des objets S3, veuillez consulter Fonctionnement du verrouillage d'objets S3.
Pour plus d'informations sur le contenu d'un rapport d'inventaire, veuillez consulter Liste d'inventaire Amazon S3.

Pour plus d'informations sur la restriction de l'accès à certains champs de métadonnées facultatifs dans une configuration d'inventaire, consultezCréation de la configuration du rapport d'inventaire Control S3.
Sélectionnez Create (Créer).

Utilisation du REST API pour travailler avec S3 Inventory

Voici les REST opérations que vous pouvez utiliser pour utiliser Amazon S3 Inventory.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Catalogage et analyse de vos données

Localisation de votre inventaire