Création de règles de réplication sur Outposts - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création de règles de réplication sur Outposts

La réplication S3 sur Outposts est la copie automatique et asynchrone d'objets entre des compartiments dans des AWS Outposts différents ou identiques. Elle réplique les objets nouvellement créés et les mises à jour d'objets d'un compartiment Outposts source vers un ou plusieurs compartiments Outposts de destination. Pour de plus amples informations, veuillez consulter Répliquer des objets pour S3 sur Outposts.

Note

Les objets qui existaient dans votre compartiment Outposts source avant la configuration des règles de réplication ne sont pas répliqués. En d'autres termes, S3 sur Outposts ne réplique pas les objets de manière rétroactive. Pour répliquer des objets créés avant la configuration de votre réplication, vous pouvez utiliser l'opération d'API CopyObject pour les copier dans le même compartiment. Une fois les objets copiés, ils apparaissent en tant que « nouveaux » objets dans le compartiment et la configuration de réplication s'appliquera à eux. Pour plus d'informations sur la copie d'un objet, consultez Copie d'un objet dans un compartiment Amazon S3 on Outposts à l'aide du kit AWS SDK for Java et CopyObject dans la Référence d'API Amazon Simple Storage Service.

Lorsque vous configurez la réplication, vous ajoutez des règles de réplication au compartiment Outposts source. Les règles de réplication définissent les objets du compartiment Outposts source à répliquer, ainsi que le ou les compartiments Outposts de destination dans lesquels les objets répliqués seront stockés. Vous pouvez créer une règle pour répliquer tous les objets ou un sous-ensemble d'objets d'un compartiment à l'aide de préfixes de nom de clé ou d'autres balises d'objet, ou les deux. Un compartiment Outposts de destination peut se trouver dans le même Outpost que le compartiment Outposts source, mais il peut également se trouver dans un autre Outpost.

Pour les règles de réplication S3 sur Outposts, vous devez fournir à la fois l'Amazon Resource Name (ARN) du compartiment Outposts source et l'ARN du point d'accès du compartiment Outposts de destination au lieu des noms des compartiments Outposts source et de destination.

Si vous spécifiez un ID de version d'objet à supprimer, S3 sur Outposts supprime cette version de l'objet dans le compartiment Outposts source. Mais il ne réplique pas la suppression dans le compartiment Outposts de destination. En d'autres termes, il ne supprime pas la même version de l'objet dans le compartiment Outposts de destination. Ce comportement protège les données des suppressions malveillantes.

Lorsque vous ajoutez une règle de réplication à un compartiment Outposts, celle-ci est activée par défaut et entre en fonctionnement dès que vous l'enregistrez.

Dans cet exemple, vous configurez la réplication pour les compartiments Outposts source et de destination qui sont sur différents Outposts et appartiennent au même Compte AWS. Des exemples sont fournis pour l'utilisation de la console Amazon S3, d'AWS Command Line Interface (AWS CLI), et des kits AWS SDK for Java et AWS SDK for .NET. Pour plus d'informations sur les autorisations de réplication S3 intercompte sur Outposts, consultez Octroi d'autorisations lorsque les compartiments Outposts source et destination appartiennent à différents Comptes AWS.

Pour connaître les conditions préalables aux règles de réplication S3 sur Outposts, consultez Conditions préalables à la création de règles de réplication.

Suivez ces étapes pour configurer une règle de réplication quand le compartiment Amazon S3 sur Outposts de destination se trouve dans un Outpost différent de celui du compartiment Outposts source.

Si le compartiment Outposts de destination se trouve dans un compte différent du compartiment Outposts source, vous devez ajouter une stratégie de compartiment au compartiment Outposts de destination pour accorder au propriétaire du compte du compartiment Outposts source l'autorisation d'effectuer des réplications d'objets dans le compartiment Outposts de destination. Pour de plus amples informations, veuillez consulter Octroi d'autorisations lorsque les compartiments source et de destination appartiennent à des entités différentes Comptes AWS.

Pour créer une règle de réplication

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans la liste Compartiments Outposts, choisissez le nom du compartiment que vous voulez utiliser comme compartiment source.

  3. Sélectionnez Gestion, faites défiler jusqu'à la section Règles de réplication, puis sélectionnez Créer une règle de réplication.

  4. Sous Nom de la règle de réplication, saisissez un nom pour votre règle afin de l'identifier facilement plus tard. Ce nom est obligatoire et doit être unique dans le compartiment.

  5. Sous Statut, Activé est sélectionné par défaut. Un règle activée entre en fonctionnement dès que l'avez enregistrée. Si vous souhaitez activer la règle ultérieurement, sélectionnez Désactivé.

  6. Sous Priorité, la valeur de priorité de la règle détermine la règle à appliquer en cas de chevauchement de règles. Lorsque des objets sont inclus dans la portée de plusieurs règles de réplication, S3 sur Outposts utilise ces valeurs de priorité pour éviter les conflits. Par défaut, les nouvelles règles sont ajoutées à la configuration de la réplication avec la priorité la plus élevée. Plus le nombre est élevé, plus la priorité est haute.

    Pour modifier la priorité de la règle, après l'avoir enregistrée, choisissez le nom de la règle dans la liste des règles de réplication, choisissez Actions, puis Modifier la priorité.

  7. Sous Compartiment source, vous disposez des options suivantes pour définir la source de réplication :

    • Pour répliquer l'ensemble du compartiment, choisissez Appliquer à tous les objets du compartiment.

    • Pour appliquer un filtrage par préfixe ou par balise à la source de réplication, choisissez Limiter la portée de cette règle en utilisant un ou plusieurs filtres. Vous pouvez combiner un préfixe et des balises.

      • Pour répliquer tous les objets ayant le même préfixe, sous Préfixe, entrez un préfixe dans la zone. Le filtre Préfixe permet de limiter la réplication à tous les objets dont le nom commence par la même chaîne (par exemple pictures).

        Si vous entrez un préfixe correspondant à un nom de dossier, vous devez insérer le caractère / (barre oblique) en tant que dernier caractère (par exemple, pictures/).

      • Pour répliquer tous les objets avec une ou plusieurs balises d'objet identiques, sélectionnez Ajouter une balise et saisissez la paire clé-valeur dans les zones. Pour ajouter une autre étiquette, répétez la procédure. Pour en savoir plus sur les balises d'objet, consultez Ajout de balises pour les compartiments Amazon S3 on Outposts.

  8. Pour accéder à votre compartiment source S3 sur Outposts à des fins de réplication, sous Nom du point d'accès source, choisissez un point d'accès attaché au compartiment source.

  9. Sous Destination, choisissez l'ARN du point d'accès du compartiment Outposts de destination dans lequel vous souhaitez que S3 sur Outposts réplique des objets. Le compartiment Outposts de destination peuvent se trouver dans différents Compte AWS ou dans les mêmes que le compartiment Outposts source.

    Si le compartiment de destination se trouve dans un compte différent du compartiment Outposts source, vous devez ajouter une stratégie de compartiment au compartiment Outposts de destination pour accorder au propriétaire du compte du compartiment Outposts source l'autorisation d'effectuer des réplications d'objets dans le compartiment Outposts de destination. Pour de plus amples informations, veuillez consulter Octroi d'autorisations lorsque les compartiments Outposts source et destination appartiennent à différents Comptes AWS.

    Note

    Si la gestion des versions n'est pas activée sur le compartiment Outposts de destination, un message d'avertissement avec le bouton Activer la gestion des versions s'affiche. Cliquez sur ce bouton pour activer la gestion des versions sur le compartiment.

  10. Configurez une fonction du service AWS Identity and Access Management (IAM) pouvant être endossé par S3 sur Outposts pour répliquer des objets en votre nom.

    Pour configurer un rôle IAM, sous Rôle IAM, effectuez l'une des opérations suivantes :

    • Pour que S3 sur Outposts crée un nouveau rôle IAM pour votre configuration de réplication, choisissez Choisir parmi les rôles IAM existants, puis Créer un nouveau rôle. Lorsque vous enregistrez la règle, une nouvelle stratégie est générée pour le rôle IAM correspondant aux compartiments Outposts source et cible que vous choisissez. Nous vous recommandons de choisir Créer un nouveau rôle.

    • Vous pouvez également choisir d'utiliser un rôle IAM existant. Dans ce cas, vous devez choisir un rôle qui octroie à S3 sur Outposts les autorisations nécessaires pour la réplication. La réplication échoue si ce rôle n'accorde pas à S3 sur Outposts des autorisations suffisantes pour suivre votre règle de réplication.

      Pour choisir un rôle existant, choisissez Choisir parmi les rôles IAM existants, puis choisissez le rôle dans le menu déroulant. Vous pouvez également choisir Saisir un ARN de rôle IAM, puis saisir l'Amazon Resource Name (ARN) du rôle.

    Important

    Lorsque vous ajoutez une règle de réplication à un compartiment S3 sur Outposts, vous devez disposer des autorisations iam:CreateRole et iam:PassRole pour pouvoir créer et transmettre le rôle IAM qui accorde les autorisations de réplication S3 sur Outposts. Pour plus d'informations, consultez Octroi d'autorisations à un utilisateur pour transférer un rôle à un Service AWS dans le Guide de l'utilisateur IAM.

  11. Tous les objets contenus dans des compartiments Outposts sont chiffrés par défaut. Pour plus d'informations sur le chiffrement S3 sur Outposts, consultez la section Chiffrement des données dans S3 on Outposts. Seuls les objets chiffrés à l'aide du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) peuvent être répliqués. La réplication d'objets chiffrés à l'aide du chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS) ou du chiffrement côté serveur avec des clés fournies par le client (SSE-C) n'est pas prise en charge.

  12. Au besoin, vous disposez des options supplémentaires suivantes lors de la définition de la configuration de la règle de réplication :

  13. Choisissez Créer une règle pour terminer.

Une fois que vous avez enregistré votre règle, vous pouvez la modifier, l'activer, la désactiver ou la supprimer. Pour ce faire, accédez à l'onglet Gestion du compartiment Outposts source, faites défiler la page jusqu'à la section Règles de réplication, choisissez votre règle, puis choisissez Modifier la règle.

Pour utiliser AWS CLI afin de configurer une réplication quand les compartiments Outposts source et de destination appartiennent au même Compte AWS, effectuez les actions suivantes :

  • Créez des compartiments Outposts source et de destination.

  • Activez la gestion des versions sur les deux compartiments.

  • Créez un rôle IAM qui octroie à S3 sur Outposts l'autorisation de répliquer des objets.

  • Ajoutez la configuration de réplication au compartiment Outposts source.

Testez votre configuration pour la vérifier.

Pour configurer la réplication quand les compartiments Outposts source et de destination appartiennent au même Compte AWS

  1. Définissez un profil d'informations d'identification pour l'AWS CLI. Dans cet exemple, nous utilisons le nom de profil acctA. Pour plus d'informations sur la définition des profils d'informations d'identification, consultez Named profiles (Profils nommés) dans le Guide de l'utilisateur AWS Command Line Interface.

    Important

    Le profil que vous utilisez dans cet exercice doit disposer des autorisations nécessaires. Par exemple, dans la configuration de la réplication, vous spécifiez la fonction du service IAM que S3 sur Outposts peut endosser. Vous ne pouvez effectuer cette tâche que si le profil que vous utilisez dispose des autorisations iam:CreateRole et iam:PassRole. Pour plus d'informations, consultez Octroi d'autorisations à un utilisateur pour transférer un rôle à un Service AWS dans le Guide de l'utilisateur IAM. Si vous utilisez les informations d'identification d'un administrateur pour créer un profil nommé, le profil nommé disposera des autorisations adéquates pour exécuter toutes les tâches.

  2. Créez un compartiment source et activez le contrôle de version sur ce dernier. La commande create-bucket suivante crée un compartiment SOURCE-OUTPOSTS-BUCKET dans la région USA Est (Virginie du Nord) (us-east-1). Pour utiliser cette commande, remplacez user input placeholders par vos propres informations.

    aws s3control create-bucket --bucket SOURCE-OUTPOSTS-BUCKET --outpost-id SOURCE-OUTPOST-ID --profile acctA --region us-east-1

    La commande put-bucket-versioning suivante active la gestion des versions sur le compartiment SOURCE-OUTPOSTS-BUCKET. Pour utiliser cette commande, remplacez user input placeholders par vos propres informations.

    aws s3control put-bucket-versioning --account-id 123456789012 --bucket arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET --versioning-configuration Status=Enabled --profile acctA

  3. Créez un compartiment de destination et activez le contrôle de version sur ce dernier. La commande create-bucket suivante crée un compartiment DESTINATION-OUTPOSTS-BUCKET dans la région USA Ouest (Oregon) (us-west-2). Pour utiliser cette commande, remplacez user input placeholders par vos propres informations.

    Note

    Pour procéder à la configuration de la réplication lorsque les compartiments Outposts source et de destination appartiennent au même Compte AWS, vous utilisez le même profil nommé. Cet exemple utilise acctA. Pour tester la configuration de la réplication lorsque les compartiments sont détenus par des Comptes AWS différents, vous spécifiez des profils différents pour chaque compartiment.

    aws s3control create-bucket --bucket DESTINATION-OUTPOSTS-BUCKET --create-bucket-configuration LocationConstraint=us-west-2 --outpost-id DESTINATION-OUTPOST-ID --profile acctA --region us-west-2

    La commande put-bucket-versioning suivante active la gestion des versions sur le compartiment DESTINATION-OUTPOSTS-BUCKET. Pour utiliser cette commande, remplacez user input placeholders par vos propres informations.

    aws s3control put-bucket-versioning --account-id 123456789012 --bucket arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET --versioning-configuration Status=Enabled --profile acctA

  4. Créez une fonction du service IAM. Vous ajouterez cette fonction du service au compartiment SOURCE-OUTPOSTS-BUCKET plus tard dans la configuration de la réplication. S3 sur Outposts endosse ce rôle pour répliquer des objets en votre nom. Vous créez un rôle IAM en deux étapes.

    1. Créez un rôle IAM.

      1. Copiez la stratégie d'approbation suivante et enregistrez-la dans un fichier nommé s3-on-outposts-role-trust-policy.json dans le répertoire actif sur votre ordinateur local. Cette stratégie accorde au principal de service S3 sur Outposts les autorisations pour endosser cette fonction du service.

        {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"s3-outposts.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

      2. Exécutez la commande suivante pour créer le rôle. Remplacez user input placeholders par vos propres informations.

        aws iam create-role --role-name replicationRole --assume-role-policy-document file://s3-on-outposts-role-trust-policy.json --profile acctA

    2. Attachez une stratégie d'autorisation à la fonction du service.

      1. Copiez la politique d'autorisations suivante et enregistrez-la dans un fichier nommé s3-on-outposts-role-permissions-policy.json dans le répertoire actuel de votre ordinateur local. Cette stratégie accorde des autorisations pour diverses actions sur les compartiments et les objets S3 sur Outposts. Pour utiliser cette politique, remplacez user input placeholders par vos propres informations.

        {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3-outposts:GetObjectVersionForReplication",
            "s3-outposts:GetObjectVersionTagging"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET/object/*",
            "arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/accesspoint/SOURCE-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3-outposts:ReplicateObject",
            "s3-outposts:ReplicateDelete"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*",
            "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ] 
      }
   ]
}

      2. Exécutez la commande suivante pour créer une stratégie et l'attacher au rôle. Remplacez user input placeholders par vos propres informations.

        aws iam put-role-policy --role-name replicationRole --policy-document file://s3-on-outposts-role-permissions-policy.json --policy-name replicationRolePolicy --profile acctA

  5. Ajoutez une configuration de réplication au compartiment SOURCE-OUTPOSTS-BUCKET.

    1. Même si l'API S3 sur Outposts nécessite une configuration de la réplication au format XML, l'AWS CLI requiert que vous spécifiiez la configuration de réplication au format JSON. Enregistrez la configuration JSON dans un fichier (replication.json) dans le répertoire local de votre ordinateur. Pour utiliser cette configuration, remplacez user input placeholders par vos propres informations.

      {
  "Role": "IAM-role-ARN",
  "Rules": [
    {
      "Status": "Enabled",
      "Priority": 1,
      "DeleteMarkerReplication": { "Status": "Disabled" },
      "Filter" : { "Prefix": "Tax"},
      "Destination": {
        "Bucket": 
        "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT"
      }
    }
  ]
}

    2. Pour ajouter la configuration de réplication à votre compartiment Outposts source, exécutez la commande put-bucket-replication suivante. Pour utiliser cette commande, remplacez user input placeholders par vos propres informations.

      aws s3control put-bucket-replication --account-id 123456789012 --bucket arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET --replication-configuration file://replication.json --profile acctA

    3. Pour récupérer la configuration de réplication, utilisez la commande get-bucket-replication. Pour utiliser cette commande, remplacez user input placeholders par vos propres informations.

      aws s3control get-bucket-replication --account-id 123456789012 --bucket arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET --profile acctA

  6. Testez la configuration dans la console Amazon S3 :

    1. Connectez-vous à la AWS Management Console et ouvrez la console Simple Storage Service (Amazon S3) à la page https://console.aws.amazon.com/s3/.

    2. Dans le compartiment SOURCE-OUTPOSTS-BUCKET, créez un dossier nommé Tax.

    3. Ajoutez les exemples d'objets au dossier Tax du compartiment SOURCE-OUTPOSTS-BUCKET.

    4. Dans le compartiment DESTINATION-OUTPOSTS-BUCKET, vérifiez les éléments suivants :

      • S3 sur Outposts a répliqué les objets.

        Note

        Le temps nécessaire à S3 sur Outposts pour répliquer un objet dépend de la taille de ce dernier. Pour obtenir des informations sur la consultation du statut de la réplication, consultez Obtention d'informations sur le statut de la réplication.

      • Dans l'onglet Propriétés, le Statut de réplication est défini sur Réplica (afin d'indiquer qu'il s'agit d'un objet réplica).