Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Réplication d'objets chiffrés (SSE-S3, SSE -, DSSE - KMSKMS, SSE -C)
Important
Amazon S3 applique désormais le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) comme niveau de chiffrement de base pour chaque compartiment d'Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d'objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. L'état de chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour le téléchargement de nouveaux objets est disponible dans AWS CloudTrail les journaux, S3 Inventory, S3 Storage Lens, la console Amazon S3 et sous forme d'en-tête de API réponse Amazon S3 supplémentaire dans le AWS Command Line Interface et AWS SDKs. Pour plus d'informations, consultez la section Chiffrement par défaut FAQ.
Certaines considérations particulières doivent être prises en compte lorsque vous répliquez des objets qui ont été chiffrés à l'aide du chiffrement côté serveur. Amazon S3 prend en charge les types suivants de chiffrement côté serveur :
-
Chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3)
-
Chiffrement côté serveur avec clés AWS Key Management Service (AWS KMS) (SSE-) KMS
-
Chiffrement double couche côté serveur avec AWS KMS clés (-) DSSE KMS
-
Chiffrement côté serveur avec des clés fournies par le client (-C) SSE
Pour plus d’informations sur le chiffrement côté serveur, consultez Protection des données avec le chiffrement côté serveur.
Cette rubrique explique les autorisations dont vous avez besoin pour demander à Amazon S3 de répliquer des objets qui ont été chiffrés à l'aide du chiffrement côté serveur. Cette rubrique fournit également des éléments de configuration supplémentaires que vous pouvez ajouter, ainsi que des exemples AWS Identity and Access Management (IAM) de politiques qui accordent les autorisations nécessaires pour répliquer des objets chiffrés.
Pour un exemple avec des step-by-step instructions, voirActivation de la réplication pour les objets chiffrés. Pour obtenir des informations sur la création d'une configuration de réplication, veuillez consulter Réplication d'objets au sein des régions et entre elles.
Note
Vous pouvez utiliser plusieurs régions AWS KMS keys dans Amazon S3. Cependant, Amazon S3 traite actuellement les clés multi-régions comme s'il s'agissait de clés à région unique et n'utilise pas les fonctions multi-régions de la clé. Pour plus d'informations, consultez la section Utilisation de clés multirégionales dans le Guide du AWS Key Management Service développeur.
Rubriques
Comment le chiffrement par défaut du compartiment a un impact sur la réplication
Après avoir activé le chiffrement par défaut pour un compartiment de destination de réplication, le comportement de chiffrement suivant s'applique :
-
Si des objets du compartiment source ne sont pas chiffrés, les objets réplica du compartiment de destination sont chiffrés à l'aide des paramètres de chiffrement par défaut du compartiment de destination. Par conséquent, les étiquettes d'entité (ETags) des objets sources sont différentes de celles ETags des objets répliqués. Si certaines applications l'utilisentETags, vous devez les mettre à jour pour tenir compte de cette différence.
-
Si les objets du compartiment source sont chiffrés à l'aide d'un chiffrement côté serveur avec des clés gérées Amazon S3 (SSE-S3), d'un chiffrement côté serveur avec des clés AWS Key Management Service (SSE-AWS KMS KMS) ou d'un chiffrement double couche côté serveur avec des AWS KMS clés (DSSE-KMS), les objets répliques du compartiment de destination utilisent le même type de chiffrement que les objets source. Les paramètres de chiffrement par défaut du compartiment de destination ne sont pas utilisés.
Réplication d'objets chiffrés avec -C SSE
En utilisant le chiffrement côté serveur avec des clés fournies par le client (SSE-C), vous pouvez gérer vos propres clés de chiffrement propriétaires. Avec SSE -C, vous gérez les clés tandis qu'Amazon S3 gère le processus de chiffrement et de déchiffrement. Vous devez fournir une clé de chiffrement dans le cadre de votre demande, mais vous n'avez pas besoin d'écrire de code pour effectuer le chiffrement ou le déchiffrement d'objets. Lorsque vous chargez un objet, Amazon S3 chiffre l'objet au moyen de la clé que vous avez fournie. Amazon S3 élimine ensuite cette clé de la mémoire. Lorsque vous récupérez un objet, vous devez fournir la même clé de chiffrement dans la demande. Pour de plus amples informations, veuillez consulter Utilisation du chiffrement côté serveur avec des clés fournies par le client (-C) SSE.
S3 Replication prend en charge les objets chiffrés avec SSE -C. Vous pouvez configurer la réplication d'objets SSE -C dans la console Amazon S3 ou de la AWS SDKs même manière que vous configurez la réplication pour les objets non chiffrés. Il n'existe pas d'autorisations SSE -C supplémentaires au-delà de celles actuellement requises pour la réplication.
S3 Replication réplique automatiquement les objets chiffrés SSE -C récemment téléchargés s'ils sont éligibles, comme indiqué dans votre configuration de réplication S3. Pour répliquer des objets existants dans vos compartiments, utilisez la réplication par lot S3. Pour plus d'informations sur la réplication d'objets existants, consultez Présentation de la configuration de la réplication en direct et Réplication d'objets existants avec Batch Replication.
La réplication d'objets SSE -C est gratuite. Pour en savoir plus sur la tarification de la réplication, consultez la tarification d'Amazon S3
Réplication d'objets chiffrés avec SSE -S3KMS, SSE - ou - DSSE KMS
Par défaut, Amazon S3 ne réplique pas les objets chiffrés avec SSE - KMS ou DSSE -KMS. Cette section explique les éléments de configuration supplémentaire que vous pouvez ajouter de manière à indiquer à Amazon S3 de répliquer ces objets.
Pour un exemple avec des step-by-step instructions, voirActivation de la réplication pour les objets chiffrés. Pour obtenir des informations sur la création d'une configuration de réplication, veuillez consulter Réplication d'objets au sein des régions et entre elles.
Spécification d'informations supplémentaires dans la configuration de la réplication
Dans la configuration de réplication, procédez comme suit :
-
Dans l'
Destination
élément de votre configuration de réplication, ajoutez l'ID de la clé symétrique gérée par le AWS KMS client que vous souhaitez qu'Amazon S3 utilise pour chiffrer les répliques d'objets, comme illustré dans l'exemple de configuration de réplication suivant. -
Inscrivez-vous explicitement en activant la réplication d'objets chiffrés à l'aide de KMS clés (SSE- KMS ou DSSE -KMS). Pour valider, ajoutez l'élément
SourceSelectionCriteria
, comme illustré dans l'exemple de configuration de réplication suivant.
<ReplicationConfiguration> <Rule> ... <SourceSelectionCriteria> <SseKmsEncryptedObjects> <Status>Enabled</Status> </SseKmsEncryptedObjects> </SourceSelectionCriteria> <Destination> ... <EncryptionConfiguration> <ReplicaKmsKeyID>
AWS KMS key ARN or Key Alias ARN that's in the same Région AWS as the destination bucket.
</ReplicaKmsKeyID> </EncryptionConfiguration> </Destination> ... </Rule> </ReplicationConfiguration>
Important
-
La KMS clé doit avoir été créée dans le même compartiment Région AWS que le compartiment de destination.
-
La KMS clé doit être valide. L'
PutBucketReplication
APIopération ne vérifie pas la validité des KMS clés. Si vous utilisez une KMS clé non valide, vous recevrez le code d'HTTP200 OK
état en réponse, mais la réplication échoue.
L'exemple suivant montre une configuration de réplication qui inclut des éléments de configuration facultatifs. Cette configuration de réplication a une règle. Cette règle s'applique aux objets dotés du préfixe de clé
. Amazon S3 utilise l' AWS KMS key ID spécifié pour chiffrer ces répliques d'objets.Tax
<?xml version="1.0" encoding="UTF-8"?> <ReplicationConfiguration> <Role>arn:aws:iam::
account-id
:role/role-name
</Role> <Rule> <ID>Rule-1
</ID> <Priority>1</Priority> <Status>Enabled</Status> <DeleteMarkerReplication> <Status>Disabled</Status> </DeleteMarkerReplication> <Filter> <Prefix>Tax</Prefix> </Filter> <Destination> <Bucket>arn:aws:s3:::</Bucket> <EncryptionConfiguration> <ReplicaKmsKeyID>
amzn-s3-demo-destination-bucket
AWS KMS key ARN or Key Alias ARN that's in the same Région AWS as the destination bucket.
</ReplicaKmsKeyID> </EncryptionConfiguration> </Destination> <SourceSelectionCriteria> <SseKmsEncryptedObjects> <Status>Enabled</Status> </SseKmsEncryptedObjects> </SourceSelectionCriteria> </Rule> </ReplicationConfiguration>
Octroi d'autorisations supplémentaires pour le IAM rôle
Pour répliquer des objets chiffrés au repos à l'aide de SSE -S3, SSE - KMS ou DSSE -KMS, accordez les autorisations supplémentaires suivantes au rôle AWS Identity and Access Management (IAM) que vous spécifiez dans la configuration de réplication. Vous accordez ces autorisations en mettant à jour la politique d'autorisation associée au IAM rôle.
-
s3:GetObjectVersionForReplication
action pour les objets source — Cette action permet à Amazon S3 de répliquer à la fois des objets non chiffrés et des objets créés avec le chiffrement côté serveur en utilisant SSE -S3, SSE - ou -. KMS DSSE KMSNote
Nous vous recommandons d'utiliser l'action
s3:GetObjectVersionForReplication
à la place de l'actions3:GetObjectVersion
, cars3:GetObjectVersionForReplication
fournit uniquement à Amazon S3 le minimum d'autorisations nécessaires pour la réplication. En outre, l's3:GetObjectVersion
action permet la réplication d'objets non chiffrés et SSE chiffrés en -S3, mais pas d'objets chiffrés à l'aide de KMS clés (SSE- ou -KMS). DSSE KMS -
kms:Decrypt
etkms:Encrypt
AWS KMS actions pour les KMS clés-
Vous devez accorder des autorisations
kms:Decrypt
pour l' AWS KMS key utilisée pour déchiffrer l'objet source. -
Vous devez accorder des autorisations
kms:Encrypt
pour la AWS KMS key utilisée pour chiffrer le réplica source.
-
-
kms:GenerateDataKey
action pour la réplication d'objets en texte brut — Si vous répliquez des objets en texte brut vers un compartiment avec KMS ou SSE DSSE - le KMS chiffrement activé par défaut, vous devez inclure l'kms:GenerateDataKey
autorisation pour le contexte de chiffrement de destination et la KMS clé dans la politique. IAM
Nous vous recommandons de limiter ces autorisations uniquement aux compartiments et objets de destination en utilisant des clés de AWS KMS condition. Le Compte AWS propriétaire du IAM rôle doit disposer d'autorisations kms:Encrypt
et d'kms:Decrypt
actions pour les KMS clés répertoriées dans la politique. Si les KMS clés appartiennent à une autre personne Compte AWS, le propriétaire des KMS clés doit accorder ces autorisations au Compte AWS propriétaire du IAM rôle. Pour plus d'informations sur la gestion de l'accès à ces KMS clés, consultez la section Utilisation des IAM politiques AWS KMS dans le Guide du AWS Key Management Service développeur.
Clés de compartiment S3 et réplication
Pour utiliser la réplication avec une clé de compartiment S3, la AWS KMS key politique relative à la KMS clé utilisée pour chiffrer la réplique de l'objet doit inclure l'kms:Decrypt
autorisation du principal appelant. L'appel à kms:Decrypt
vérifie l'intégrité de la clé de compartiment S3 avant de l'utiliser. Pour de plus amples informations, veuillez consulter Utilisation d'une clé de compartiment S3 avec réplication.
Lorsqu'une clé de compartiment S3 est activée pour le compartiment source ou de destination, le contexte de chiffrement sera le nom de ressource Amazon du compartiment (ARN), et non celui de l'objet ARN (par exemple,arn:aws:s3:::
). Vous devez mettre à jour vos IAM politiques pour utiliser le bucket ARN dans le contexte de chiffrement :bucket_ARN
"kms:EncryptionContext:aws:s3:arn": [ "arn:aws:s3:::
bucket_ARN
" ]
Pour plus d'informations, voir Contexte de chiffrement (x-amz-server-side-encryption-context) (dans la section « Utilisation du REST API ») etModifications à prendre en compte avant d'activer une clé de compartiment S3.
Exemples de politiques : utilisation de SSE -S3 et de SSE - KMS avec réplication
Les exemples de IAM politiques suivants montrent des instructions relatives à l'utilisation de SSE -S3 et de SSE - KMS avec la réplication.
Exemple — Utilisation de SSE - KMS avec des compartiments de destination distincts
L'exemple de politique suivant montre des instructions relatives à l'utilisation de SSE - KMS avec des compartiments de destination distincts.
{ "Version":"2012-10-17", "Statement":[ { "Action": ["kms:Decrypt"], "Effect": "Allow", "Condition": { "StringLike": { "kms:ViaService": "s3.
source-bucket-region
.amazonaws.com", "kms:EncryptionContext:aws:s3:arn": [ "arn:aws:s3:::/
amzn-s3-demo-source-bucket
key-prefix1
*" ] } }, "Resource": [ "List of AWS KMS key ARNs that are used to encrypt source objects.
" ] }, { "Action": ["kms:Encrypt"], "Effect": "Allow", "Condition": { "StringLike": { "kms:ViaService": "s3.destination-bucket-1-region
.amazonaws.com", "kms:EncryptionContext:aws:s3:arn": [ "arn:aws:s3:::/
amzn-s3-demo-destination-bucket1
key-prefix1
*" ] } }, "Resource": [ "AWS KMS key ARNs (in the same Région AWS as destination bucket 1). Used to encrypt object replicas created in destination bucket 1.
" ] }, { "Action": ["kms:Encrypt"], "Effect": "Allow", "Condition": { "StringLike": { "kms:ViaService": "s3.destination-bucket-2-region
.amazonaws.com", "kms:EncryptionContext:aws:s3:arn": [ "arn:aws:s3:::/
amzn-s3-demo-destination-bucket2
key-prefix1
*" ] } }, "Resource": [ "AWS KMS key ARNs (in the same Région AWS as destination bucket 2). Used to encrypt object replicas created in destination bucket 2.
" ] } ] }
Exemple — Réplication d'objets créés avec SSE -S3 et - SSE KMS
Voici une IAM politique complète qui accorde les autorisations nécessaires pour répliquer des objets non chiffrés, des objets créés avec SSE -S3 et des objets créés avec -. SSE KMS
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:GetReplicationConfiguration", "s3:ListBucket" ], "Resource":[ "arn:aws:s3:::
" ] }, { "Effect":"Allow", "Action":[ "s3:GetObjectVersionForReplication", "s3:GetObjectVersionAcl" ], "Resource":[ "arn:aws:s3:::
amzn-s3-demo-source-bucket
/
amzn-s3-demo-source-bucket
key-prefix1
*" ] }, { "Effect":"Allow", "Action":[ "s3:ReplicateObject", "s3:ReplicateDelete" ], "Resource":"arn:aws:s3:::/
amzn-s3-demo-destination-bucket
key-prefix1
*" }, { "Action":[ "kms:Decrypt" ], "Effect":"Allow", "Condition":{ "StringLike":{ "kms:ViaService":"s3.source-bucket-region
.amazonaws.com", "kms:EncryptionContext:aws:s3:arn":[ "arn:aws:s3:::/
amzn-s3-demo-source-bucket
key-prefix1
*" ] } }, "Resource":[ "List of the AWS KMS key ARNs that are used to encrypt source objects.
" ] }, { "Action":[ "kms:Encrypt" ], "Effect":"Allow", "Condition":{ "StringLike":{ "kms:ViaService":"s3.destination-bucket-region
.amazonaws.com", "kms:EncryptionContext:aws:s3:arn":[ "arn:aws:s3:::/
amzn-s3-demo-destination-bucket
prefix1
*" ] } }, "Resource":[ "AWS KMS key ARNs (in the same Région AWS as the destination bucket) to use for encrypting object replicas
" ] } ] }
Exemple : réplication d'objets avec des clés de compartiment S3
Voici une IAM politique complète qui accorde les autorisations nécessaires pour répliquer des objets avec des clés de compartiment S3.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:GetReplicationConfiguration", "s3:ListBucket" ], "Resource":[ "arn:aws:s3:::
" ] }, { "Effect":"Allow", "Action":[ "s3:GetObjectVersionForReplication", "s3:GetObjectVersionAcl" ], "Resource":[ "arn:aws:s3:::
amzn-s3-demo-source-bucket
/
amzn-s3-demo-source-bucket
key-prefix1
*" ] }, { "Effect":"Allow", "Action":[ "s3:ReplicateObject", "s3:ReplicateDelete" ], "Resource":"arn:aws:s3:::/
amzn-s3-demo-destination-bucket
key-prefix1
*" }, { "Action":[ "kms:Decrypt" ], "Effect":"Allow", "Condition":{ "StringLike":{ "kms:ViaService":"s3.source-bucket-region
.amazonaws.com", "kms:EncryptionContext:aws:s3:arn":[ "arn:aws:s3:::" ] } }, "Resource":[ "
amzn-s3-demo-source-bucket
List of the AWS KMS key ARNs that are used to encrypt source objects.
" ] }, { "Action":[ "kms:Encrypt" ], "Effect":"Allow", "Condition":{ "StringLike":{ "kms:ViaService":"s3.destination-bucket-region
.amazonaws.com", "kms:EncryptionContext:aws:s3:arn":[ "arn:aws:s3:::" ] } }, "Resource":[ "
amzn-s3-demo-destination-bucket
AWS KMS key ARNs (in the same Région AWS as the destination bucket) to use for encrypting object replicas
" ] } ] }
Octroi d'autorisations supplémentaires pour les scénarios à plusieurs comptes
Dans un scénario entre comptes, dans lequel les compartiments source et destination sont détenus par des entités différentes Comptes AWS, vous pouvez utiliser une KMS clé pour chiffrer les répliques d'objets. Toutefois, le propriétaire de la KMS clé doit autoriser le propriétaire du compartiment source à utiliser la KMS clé.
Note
Si vous devez répliquer SSE KMS des données entre comptes, votre règle de réplication doit spécifier une clé gérée par le client AWS KMS pour le compte de destination. Clés gérées par AWSn'autorisent pas l'utilisation entre comptes et ne peuvent donc pas être utilisés pour effectuer une réplication entre comptes.
Pour autoriser le propriétaire du compartiment source à utiliser la KMS clé (AWS KMS console)
-
Connectez-vous à la AWS KMS console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/km.
-
Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
-
Pour afficher les clés de votre compte que vous créez et gérez vous-même, dans le volet de navigation, choisissez Clés gérées par le client.
-
Choisissez la clé KMS.
-
Sous la section Configuration générale, choisissez l'onglet Stratégie de clé.
-
Faites défiler la page vers le bas jusqu'à Autre Comptes AWS.
-
Choisissez Ajouter un autre Comptes AWS.
La boîte Comptes AWS de dialogue Autre apparaît.
-
Dans la boîte de dialogue, choisissez Ajouter un autre Compte AWS. Pour arn:aws:iam::, saisissez l'ID de compte du compartiment source.
-
Sélectionnez Enregistrer les modifications.
Pour autoriser le propriétaire du compartiment source à utiliser la KMS clé (AWS CLI)
-
Pour plus d'informations sur la commande
put-key-policy
AWS Command Line Interface (AWS CLI), voir put-key-policydans la référence de AWS CLI commande. Pour plus d'informations sur l'PutKeyPolicy
APIopération sous-jacente, voir PutKeyPolicydans la AWS Key Management Service APIréférence.
AWS KMS considérations relatives aux quotas de transactions
Lorsque vous ajoutez de nombreux nouveaux objets AWS KMS chiffrés après avoir activé la réplication entre régions (CRR), vous pouvez rencontrer des ralentissements (HTTP503 Service
Unavailable
erreurs). La limitation survient lorsque le nombre de transactions AWS KMS
par seconde dépasse le quota actuel. Pour plus d’informations, consultez Quotas dans le Guide du développeur AWS Key Management Service .
Pour demander l'augmentation d'un quota, utilisez Service Quotas. Pour plus d'informations, consultez Demande d'augmentation de quota. Si le Service Quotas n'est pas pris en charge dans votre région, ouvrez un AWS Support dossier
Activation de la réplication pour les objets chiffrés
Par défaut, Amazon S3 ne réplique pas les objets chiffrés à l'aide d'un chiffrement côté serveur avec AWS Key Management Service (AWS KMS) clés (SSE-KMS) ou d'un chiffrement double couche côté serveur avec clés (-). AWS KMS DSSE KMS Pour répliquer des objets chiffrés avec SSE - KMS ou DSS -KMS, vous devez modifier la configuration de réplication du compartiment pour indiquer à Amazon S3 de répliquer ces objets. Cet exemple explique comment utiliser la console Amazon S3 et le AWS Command Line Interface (AWS CLI) pour modifier la configuration de réplication du compartiment afin de permettre la réplication d'objets chiffrés.
Note
Lorsqu'une clé de compartiment S3 est activée pour le compartiment source ou de destination, le contexte de chiffrement sera le nom de ressource Amazon du compartiment (ARN), et non celui de l'objetARN. Vous devez mettre à jour vos IAM politiques pour utiliser le bucket ARN dans le contexte de chiffrement. Pour de plus amples informations, veuillez consulter Clés de compartiment S3 et réplication.
Note
Vous pouvez utiliser plusieurs régions AWS KMS keys dans Amazon S3. Cependant, Amazon S3 traite actuellement les clés multi-régions comme s'il s'agissait de clés à région unique et n'utilise pas les fonctions multi-régions de la clé. Pour plus d'informations, consultez la section Utilisation de clés multirégionales dans le Guide du AWS Key Management Service développeur.
Pour step-by-step obtenir des instructions, voirConfiguration de la réplication pour les buckets d'un même compte. Cette rubrique fournit des instructions pour définir une configuration de réplication lorsque les compartiments source et de destination sont détenus de manière identique et différente Comptes AWS.
Pour répliquer des objets chiffrés avec le AWS CLI, procédez comme suit :
-
Créez les compartiments source et de destination et activez la gestion des versions pour ces mêmes compartiments.
-
Créez un rôle de service AWS Identity and Access Management (IAM) qui autorise Amazon S3 à répliquer des objets. Les autorisations du IAM rôle incluent les autorisations nécessaires pour répliquer les objets chiffrés.
-
Ajoutez une configuration de réplication au compartiment source. La configuration de réplication fournit des informations relatives à la réplication d'objets chiffrés à l'aide de KMS clés.
-
Ajoutez des objets chiffrés au compartiment source.
-
Testez la configuration pour vérifier que vos objets chiffrés sont répliqués dans le compartiment de destination.
Les procédures suivantes vous guident tout au long de ce processus.
Pour répliquer des objets chiffrés côté serveur (AWS CLI)
Pour utiliser les exemples de cette procédure, remplacez-les
par vos propres informations.user
input placeholders
-
Dans cet exemple, vous créez à la fois la source (
) et destination (amzn-s3-demo-source-bucket
) seaux dans le même Compte AWS emballage. Vous allez également définir un profil d'informations d'identification pour l' AWS CLI. Cet exemple utilise le nom de profilamzn-s3-demo-destination-bucket
.acctA
Pour plus d'informations sur la définition des profils d'identification et l'utilisation de profils nommés, consultez la section Configuration et paramètres des fichiers d'identification dans le Guide de l'AWS Command Line Interface utilisateur.
-
Utilisez les commandes suivantes pour créer le compartiment
et activer la gestion des versions sur celui-ci. Les commandes de l'exemple suivant créent le compartimentamzn-s3-demo-source-bucket
dans la région USA Est (Virginie du Nord) (amzn-s3-demo-source-bucket
us-east-1
).aws s3api create-bucket \ --bucket
amzn-s3-demo-source-bucket
\ --regionus-east-1
\ --profileacctA
aws s3api put-bucket-versioning \ --bucket
amzn-s3-demo-source-bucket
\ --versioning-configuration Status=Enabled \ --profileacctA
-
Utilisez les commandes suivantes pour créer le compartiment
et activer la gestion des versions sur celui-ci. Les commandes de l'exemple suivant créent le compartimentamzn-s3-demo-destination-bucket
dans la région USA Ouest (Oregon) (amzn-s3-demo-destination-bucket
us-west-2
).Note
Pour définir une configuration de réplication lorsque les compartiments
etamzn-s3-demo-source-bucket
se trouvent dans le même Compte AWS, utilisez le même profil. Cet exemple utiliseamzn-s3-demo-destination-bucket
. Pour configurer la réplication lorsque les buckets appartiennent à des propriétaires différents Comptes AWS, vous devez spécifier des profils différents pour chacun d'entre eux.acctA
aws s3api create-bucket \ --bucket
amzn-s3-demo-destination-bucket
\ --regionus-west-2
\ --create-bucket-configuration LocationConstraint=us-west-2
\ --profileacctA
aws s3api put-bucket-versioning \ --bucket
amzn-s3-demo-destination-bucket
\ --versioning-configuration Status=Enabled \ --profileacctA
-
Ensuite, vous créez un rôle IAM de service. Vous spécifierez ce rôle dans la configuration de réplication que vous ajouterez ultérieurement au
compartiment. Amazon S3 endosse ce rôle pour répliquer des objets en votre nom. Vous créez un IAM rôle en deux étapes :amzn-s3-demo-source-bucket
-
Créez un rôle de service.
-
Attachez une stratégie d'autorisation au rôle.
-
Pour créer un rôle IAM de service, procédez comme suit :
-
Copiez la stratégie d'approbation suivante et enregistrez-la dans un fichier nommé
dans le répertoire actif sur votre ordinateur local. Cette politique accorde au service principal Amazon S3 les autorisations nécessaires pour assumer ce rôle afin qu'Amazon S3 puisse effectuer des tâches en votre nom.s3-role-trust-policy-kmsobj
.json{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"s3.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
-
Utilisez la commande suivante pour créer le rôle :
$
aws iam create-role \ --role-namereplicationRolekmsobj
\ --assume-role-policy-document file://s3-role-trust-policy-kmsobj
.json \ --profileacctA
-
-
Ensuite, attachez une stratégie d'autorisation au rôle. Cette stratégie accorde des autorisations pour diverses actions sur les compartiments et les objets Amazon S3.
-
Copiez la politique d'autorisations suivante et enregistrez-la dans un fichier nommé
dans le répertoire actuel de votre ordinateur local. Vous allez créer un IAM rôle et y associer la politique ultérieurement.s3-role-permissions-policykmsobj
.jsonImportant
Dans la politique d'autorisation, vous spécifiez la AWS KMS clé IDs qui sera utilisée pour le chiffrement des
compartimentsamzn-s3-demo-destination-bucket
et. Vous devez créer deux KMS clés distinctes pour lesamzn-s3-demo-source-bucket
compartimentsamzn-s3-demo-destination-bucket
et. AWS KMS keys ne sont pas partagés en dehors de Région AWS celui dans lequel ils ont été créés.amzn-s3-demo-source-bucket
{ "Version":"2012-10-17", "Statement":[ { "Action":[ "s3:ListBucket", "s3:GetReplicationConfiguration", "s3:GetObjectVersionForReplication", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTagging" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::
", "arn:aws:s3:::amzn-s3-demo-source-bucket
/*" ] }, { "Action":[ "s3:ReplicateObject", "s3:ReplicateDelete", "s3:ReplicateTags" ], "Effect":"Allow", "Condition":{ "StringLikeIfExists":{ "s3:x-amz-server-side-encryption":[ "aws:kms", "AES256", "aws:kms:dsse" ], "s3:x-amz-server-side-encryption-aws-kms-key-id":[ "amzn-s3-demo-source-bucket
AWS KMS key IDs(in ARN format) to use for encrypting object replicas
" ] } }, "Resource":"arn:aws:s3:::
/*" }, { "Action":[ "kms:Decrypt" ], "Effect":"Allow", "Condition":{ "StringLike":{ "kms:ViaService":"s3.amzn-s3-demo-destination-bucket
us-east-1
.amazonaws.com", "kms:EncryptionContext:aws:s3:arn":[ "arn:aws:s3:::
/*" ] } }, "Resource":[ "amzn-s3-demo-source-bucket
AWS KMS key IDs(in ARN format) used to encrypt source objects.
" ] }, { "Action":[ "kms:Encrypt" ], "Effect":"Allow", "Condition":{ "StringLike":{ "kms:ViaService":"s3.us-west-2
.amazonaws.com", "kms:EncryptionContext:aws:s3:arn":[ "arn:aws:s3:::
/*" ] } }, "Resource":[ "amzn-s3-demo-destination-bucket
AWS KMS key IDs (in ARN format) to use for encrypting object replicas
" ] } ] } -
Créez une politique et attachez-la au rôle.
$
aws iam put-role-policy \ --role-namereplicationRolekmsobj
\ --policy-document file://s3-role-permissions-policykmsobj
.json \ --policy-namereplicationRolechangeownerPolicy
\ --profileacctA
-
-
-
Ensuite, ajoutez la configuration de réplication suivante au compartiment
. Elle demande à Amazon S3 de répliquer les objets dotés du préfixeamzn-s3-demo-source-bucket
dans le compartimentTax/
.amzn-s3-demo-destination-bucket
Important
Dans la configuration de réplication, vous spécifiez le IAM rôle qu'Amazon S3 peut assumer. Vous ne pouvez effectuer cette tâche que si vous disposez de l'autorisation
iam:PassRole
. Le profil que vous spécifiez dans la CLI commande doit disposer de cette autorisation. Pour plus d'informations, consultez la section Accorder à un utilisateur l'autorisation de transmettre un rôle à un Service AWS dans le Guide de IAM l'utilisateur.<ReplicationConfiguration> <Role>
IAM-Role-ARN
</Role> <Rule> <Priority>1</Priority> <DeleteMarkerReplication> <Status>Disabled</Status> </DeleteMarkerReplication> <Filter> <Prefix>Tax</Prefix> </Filter> <Status>Enabled</Status> <SourceSelectionCriteria> <SseKmsEncryptedObjects> <Status>Enabled</Status> </SseKmsEncryptedObjects> </SourceSelectionCriteria> <Destination> <Bucket>arn:aws:s3:::
</Bucket> <EncryptionConfiguration> <ReplicaKmsKeyID>amzn-s3-demo-destination-bucket
AWS KMS key IDs to use for encrypting object replicas
</ReplicaKmsKeyID> </EncryptionConfiguration> </Destination> </Rule> </ReplicationConfiguration>Pour ajouter une configuration de réplication au compartiment
, procédez comme suit :amzn-s3-demo-source-bucket
-
Vous AWS CLI devez spécifier la configuration de réplication sous la formeJSON. Enregistrez ce qui suit JSON dans un fichier (
) du répertoire actuel de votre ordinateur local.replication
.json{ "Role":"
IAM-Role-ARN
", "Rules":[ { "Status":"Enabled", "Priority":1, "DeleteMarkerReplication":{ "Status":"Disabled" }, "Filter":{ "Prefix":"Tax
" }, "Destination":{ "Bucket":"arn:aws:s3:::
", "EncryptionConfiguration":{ "ReplicaKmsKeyID":"amzn-s3-demo-destination-bucket
AWS KMS key IDs (in ARN format) to use for encrypting object replicas
" } }, "SourceSelectionCriteria":{ "SseKmsEncryptedObjects":{ "Status":"Enabled" } } } ] } -
Modifiez le JSON pour fournir des valeurs pour le
compartimentamzn-s3-demo-destination-bucket
, etAWS KMS key IDs (in ARN format)
. Enregistrez les Modifications.IAM-role-ARN
-
Utilisez la commande suivante pour ajouter la configuration de réplication à votre compartiment
. Veillez à saisir le nom du compartimentamzn-s3-demo-source-bucket
.amzn-s3-demo-source-bucket
$
aws s3api put-bucket-replication \ --replication-configuration file://replication
.json \ --bucket
\ --profileamzn-s3-demo-source-bucket
acctA
-
-
Testez la configuration pour vérifier que les objets chiffrés ont été répliqués. Dans la console Amazon S3, procédez comme suit :
Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/
. -
Dans le compartiment
, créez un dossier nomméamzn-s3-demo-source-bucket
.Tax
-
Ajoutez des exemples d'objet au dossier. Assurez-vous de choisir l'option de chiffrement et de spécifier votre KMS clé pour chiffrer les objets.
-
Vérifiez que le
compartiment contient les répliques d'objets et qu'elles sont chiffrées à l'aide de la KMS clé que vous avez spécifiée dans la configuration. Pour de plus amples informations, veuillez consulter Obtention d'informations sur le statut de la réplication.amzn-s3-demo-destination-bucket
Pour obtenir un exemple de code montrant comment ajouter une configuration de réplication, consultez En utilisant le AWS SDKs. Vous devez modifier la configuration de réplication en conséquence.