Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Présentation de la configuration de la réplication en direct
<a name="replication-how-setup"></a>

**Note**  
Les objets qui existaient avant la configuration de la réplication ne sont pas répliqués automatiquement. En d’autres termes, Simple Storage Service (Amazon S3) ne réplique pas les objets de manière rétroactive. Pour répliquer des objets créés avant la configuration de la réplication, utilisez la réplication par lot S3. Pour plus d’informations sur la configuration de la réplication par lot, consultez [Réplication d’objets existants](s3-batch-replication-batch.md).

Pour activer la réplication en direct (réplication sur une même région (SRR) ou réplication interrégionale (CRR)), ajoutez une configuration de réplication à votre compartiment source. Cette configuration indique à Amazon S3 de répliquer les objets comme spécifié. Dans la configuration de réplication, vous devez renseigner les éléments suivants :
+ **Compartiments de destination** – Compartiments dans lesquels vous souhaitez qu’Simple Storage Service (Amazon S3) réplique les objets.
+ **Objets que vous voulez répliquer** : vous pouvez répliquer tous les objets figurant dans le compartiment source ou un sous-ensemble d’objets. Vous identifiez un sous-ensemble en fournissant un [préfixe de nom de clé](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#keyprefix), une ou plusieurs balises d’objets, ou les deux dans la configuration.

  Par exemple, si vous configurez une règle de réplication pour ne répliquer que les objets dotés du préfixe de nom de clé `Tax/`, Amazon S3 réplique les objets avec les clés `Tax/doc1` et `Tax/doc2`. Mais le service ne réplique pas les objets dotés d’une clé `Legal/doc3`. Si vous spécifiez un préfixe et une ou plusieurs balises, Simple Storage Service (Amazon S3) réplique uniquement les objets dotés du préfixe de clé et des balises spécifiques.
+ **Un rôle Gestion des identités et des accès AWS (IAM) : Amazon S3 assume ce rôle** IAM pour répliquer des objets en votre nom. Pour plus d’informations sur la création de ce rôle IAM et la gestion des autorisations, consultez [Configuration des autorisations pour la réplication en direct](setting-repl-config-perm-overview.md).

Outre ces conditions minimales requises, vous pouvez choisir les options suivantes : 
+ **Classe de stockage des réplicas** – Par défaut, Simple Storage Service (Amazon S3) stocke les réplicas d’objet dans la même classe de stockage que celle de l’objet source. Vous pouvez spécifier une classe de stockage différente pour les réplicas.
+ **Propriété des réplicas** – Simple Storage Service (Amazon S3) suppose qu’un réplica d’objet appartient toujours au propriétaire de l’objet source. Ainsi, lorsqu’il réplique des objets, il réplique également la liste de contrôle d’accès (ACL) correspondante ou le paramètre de propriété de l’objet S3. Si les compartiments source et de destination appartiennent à des Comptes AWS différents, vous pouvez configurer la réplication de sorte à remplacer le propriétaire d’un réplica par le Compte AWS qui possède le compartiment de destination. Pour de plus amples informations, veuillez consulter [Modification du propriétaire d’un réplica](replication-change-owner.md).

Vous pouvez configurer la réplication à l'aide de la console Amazon S3 AWS Command Line Interface (AWS CLI) ou de l'API REST Amazon S3. AWS SDKs Pour obtenir des instructions détaillées sur la configuration de la réplication, consultez [Exemples de configuration de la réplication en direct](replication-example-walkthroughs.md).

 Amazon S3 fournit également les opérations d’API REST pour prendre en charge la configuration des règles de réplication. Pour plus d’informations, consultez les rubriques suivantes dans la *Référence d’API Amazon Simple Storage Service* :
+  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html) 
+  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html) 
+  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketReplication.html) 

**Topics**
+ [

# Éléments du fichier de configuration de réplication
](replication-add-config.md)
+ [

# Configuration des autorisations pour la réplication en direct
](setting-repl-config-perm-overview.md)
+ [

# Exemples de configuration de la réplication en direct
](replication-example-walkthroughs.md)

# Éléments du fichier de configuration de réplication
<a name="replication-add-config"></a>

Amazon S3 stocke une configuration de réplication au format XML. Si vous configurez la réplication par programmation via l’API REST Amazon S3, vous spécifiez les différents éléments de votre configuration de réplication dans ce fichier XML. Si vous configurez la réplication via l’ AWS Command Line Interface (AWS CLI), vous spécifiez votre configuration de réplication au format JSON. Pour des exemples JSON, consultez les procédures dans [Exemples de configuration de la réplication en direct](replication-example-walkthroughs.md).

**Note**  
La dernière version du format XML de configuration de réplication est V2. Les configurations de réplication XML V2 sont celles qui contiennent l’élément `<Filter>` pour les règles et les règles qui spécifient le contrôle du délai de réplication S3.  
Pour afficher votre version de configuration de réplication, vous pouvez utiliser l’opération d’API `GetBucketReplication`. Pour plus d’informations, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html) dans la *Référence d’API Amazon Simple Storage Service*.   
Pour assurer la rétrocompatibilité, Amazon S3 continue de prendre en charge le format de configuration de réplication XML V1. Si vous avez utilisé le format de configuration de réplication XML V1, consultez [Considérations relatives à la rétrocompatibilité](#replication-backward-compat-considerations) pour les considérations de rétrocompatibilité.

Dans le fichier XML de configuration de réplication, vous devez spécifier un rôle Gestion des identités et des accès AWS (IAM) et une ou plusieurs règles, comme illustré dans l'exemple suivant :

```
<ReplicationConfiguration>
    <Role>IAM-role-ARN</Role>
    <Rule>
        ...
    </Rule>
    <Rule>
         ... 
    </Rule>
     ...
</ReplicationConfiguration>
```

Amazon S3 ne peut pas répliquer d’objets sans votre autorisation. Vous accordez des autorisations à Amazon S3 avec le rôle IAM que vous spécifiez dans la configuration de réplication. Amazon S3 endosse ce rôle IAM pour répliquer des objets en votre nom. Vous devez accorder les autorisations requises au rôle IAM en premier. Pour plus d’informations sur la gestion des autorisations, consultez [Configuration des autorisations pour la réplication en direct](setting-repl-config-perm-overview.md).

Vous ajoutez une seule règle dans la configuration de réplication pour les scénarios suivants :
+ Vous souhaitez répliquer tous les objets.
+ Vous souhaitez répliquer un seul sous-ensemble d’objets. Vous identifiez le sous-ensemble d’objets en ajoutant un filtre dans la règle. Dans le filtre, vous spécifiez un préfixe de clé d’objet et/ou des balises pour identifier le sous-ensemble d’objets auquel la règle s’applique. Les filtres ciblent les objets qui correspondent exactement aux valeurs que vous avez spécifiées.

Si vous souhaitez répliquer des sous-ensembles d’objets différents, vous ajoutez plusieurs règles dans une configuration de réplication. Dans chaque règle, vous spécifiez un filtre qui sélectionne un sous-ensemble différent. Par exemple, vous pouvez choisir de répliquer des objets qui possèdent les préfixes de clé `tax/` ou `document/`. Pour ce faire, vous ajoutez deux règles, l’une qui spécifie le filtre de préfixe de clé `tax/` et l’autre qui spécifie le préfixe de clé `document/`. Pour plus d’informations sur les préfixes de clé d’objet, consultez [Organisation des objets à l’aide de préfixes](using-prefixes.md).

Les sections suivantes fournissent des informations supplémentaires.

**Topics**
+ [

## Configuration de base d’une règle
](#replication-config-min-rule-config)
+ [

## Facultatif : Spécification d’un filtre
](#replication-config-optional-filter)
+ [

## Configurations de destinations supplémentaires
](#replication-config-optional-dest-config)
+ [

## Exemples de configuration de réplication
](#replication-config-example-configs)
+ [

## Considérations relatives à la rétrocompatibilité
](#replication-backward-compat-considerations)

## Configuration de base d’une règle
<a name="replication-config-min-rule-config"></a>

Chaque règle doit inclure le statut et la priorité de la règle. La règle doit également indiquer s’il faut répliquer les marqueurs de suppression. 
+ L’élément `<Status>` indique si la règle est activée ou désactivée en utilisant les valeurs `Enabled` ou `Disabled`. Si une règle est désactivée, Simple Storage Service (Amazon S3) n’effectue pas les actions spécifiées dans la règle. 
+ L’élément `<Priority>` indique quelle règle a priorité en cas de conflit de deux règles de réplication ou plus. Simple Storage Service (Amazon S3) tente de répliquer les objets selon toutes les règles de réplication. Toutefois, s’il existe deux règles ou plus avec le même compartiment de destination, les objets sont répliqués selon la règle avec la priorité la plus élevée. Plus le nombre est élevé, plus la priorité est haute.
+ L’élément `<DeleteMarkerReplication>` indique s’il faut répliquer les marqueurs de suppression en utilisant les valeurs `Enabled` ou `Disabled`.

Dans la configuration de l’élément `<Destination>`, vous devez fournir le nom du ou des compartiments de destination où vous voulez qu’Amazon S3 réplique les objets. 

L’exemple suivant indique les conditions minimales requises pour une règle V2. Pour assurer la compatibilité descendante, Amazon S3 continue de prendre en charge le format XML V1. Pour plus d’informations, consultez [Considérations relatives à la rétrocompatibilité](#replication-backward-compat-considerations).

```
...
    <Rule>
        <ID>Rule-1</ID>
        <Status>Enabled-or-Disabled</Status>
        <Filter>
            <Prefix></Prefix>   
        </Filter>
        <Priority>integer</Priority>
        <DeleteMarkerReplication>
           <Status>Enabled-or-Disabled</Status>
        </DeleteMarkerReplication>
        <Destination>        
           <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket> 
        </Destination>    
    </Rule>
    <Rule>
         ...
    </Rule>
     ...
...
```

Vous pouvez également spécifier d’autres options de configuration. Par exemple, vous pouvez choisir d’utiliser une classe de stockage pour les réplicas d’objets qui diffèrent de la classe associée à l’objet source. 

## Facultatif : Spécification d’un filtre
<a name="replication-config-optional-filter"></a>

Pour choisir un sous-ensemble d’objets auquel la règle s’applique, ajoutez un filtre facultatif. Vous pouvez filtrer par préfixe de clé d’objet et/ou par balises d’objets. Si vous filtrez par préfixe de clé et par balises d’objet, Amazon S3 combine ces filtres au moyen de l’opérateur logique `AND`. En d’autres termes, la règle s’applique à un sous-ensemble d’objets doté à la fois d’un préfixe de clé et de balises spécifiques. 

**Filtre basé sur un préfixe de clé d’objet**  
Pour spécifier une règle avec un filtre basé sur un préfixe de clé d’objet, utilisez le code XML suivant. Vous ne pouvez spécifier qu’un seul préfixe par règle.

```
<Rule>
    ...
    <Filter>
        <Prefix>key-prefix</Prefix>   
    </Filter>
    ...
</Rule>
...
```

**Filtre basé sur des balises d’objet**  
Pour spécifier une règle avec un filtre basé sur des balises d’objets, utilisez le code XML suivant. Vous pouvez spécifier une ou plusieurs balises d’objets.

```
<Rule>
    ...
    <Filter>
        <And>
            <Tag>
                <Key>key1</Key>
                <Value>value1</Value>
            </Tag>
            <Tag>
                <Key>key2</Key>
                <Value>value2</Value>
            </Tag>
             ...
        </And>
    </Filter>
    ...
</Rule>
...
```

**Filtre basé sur un préfixe de clé et des balises d’objet**  
Pour spécifier un filtre de règle combinant un préfixe de clé et des balises d’objets, utilisez le code XML suivant. Vous enveloppez ces filtres dans un élément parent `<And>`. Amazon S3 effectue une opération logique `AND` pour combiner ces filtres. En d'autres termes, la règle s'applique à un sous-ensemble d'objets doté à la fois d'un préfixe de clé et de balises spécifiques. 

```
<Rule>
    ...
    <Filter>
        <And>
            <Prefix>key-prefix</Prefix>
            <Tag>
                <Key>key1</Key>
                <Value>value1</Value>
            </Tag>
            <Tag>
                <Key>key2</Key>
                <Value>value2</Value>
            </Tag>
             ...
    </Filter>
    ...
</Rule>
...
```

**Note**  
Si vous spécifiez une règle avec un élément `<Filter>` vide, votre règle s’applique à tous les objets de votre compartiment.
Lorsque vous utilisez des règles de réplication basées sur des balises avec la réplication en direct, les nouveaux objets doivent être balisés avec la balise de règle de réplication correspondante dans l’opération `PutObject`. Dans le cas contraire, les objets ne sont pas répliqués. Si des objets sont balisés après l’opération `PutObject`, ils ne sont pas non plus répliqués.   
Pour répliquer des objets balisés après l’opération `PutObject`, vous devez utiliser la réplication par lot S3. Pour en savoir plus sur la réplication par lot, consultez [Réplication d’objets existants](s3-batch-replication-batch.md).

## Configurations de destinations supplémentaires
<a name="replication-config-optional-dest-config"></a>

Dans la configuration de destination, vous spécifiez le ou les compartiments dans lesquels vous voulez qu’Amazon S3 réplique les objets. Vous pouvez définir des configurations pour répliquer des objets d’un compartiment source dans un ou plusieurs compartiments de destination. 

```
...
<Destination>        
    <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
</Destination>
...
```

Vous pouvez ajouter les options suivantes dans l’élément `<Destination>` :

**Topics**
+ [

### Spécifier une classe de stockage
](#storage-class-configuration)
+ [

### Ajouter plusieurs compartiments de destination
](#multiple-destination-buckets-configuration)
+ [

### Spécifier des paramètres différents pour chaque règle de réplication avec plusieurs compartiments de destination
](#replication-rule-configuration)
+ [

### Modification du propriétaire d’un réplica
](#replica-ownership-configuration)
+ [

### Activer le contrôle du délai de réplication S3
](#rtc-configuration)
+ [

### Répliquez les objets créés avec le chiffrement côté serveur en utilisant AWS KMS
](#sse-kms-configuration)

### Spécifier une classe de stockage
<a name="storage-class-configuration"></a>

Vous pouvez spécifier la classe de stockage pour les réplicas d’objets. Par défaut, Amazon S3 utilise la classe de stockage de l’objet source pour créer les réplicas d’objets, comme dans l’exemple ci-dessous.

```
...
<Destination>
       <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
       <StorageClass>storage-class</StorageClass>
</Destination>
...
```

### Ajouter plusieurs compartiments de destination
<a name="multiple-destination-buckets-configuration"></a>

Vous pouvez ajouter plusieurs compartiments de destination dans une configuration de réplication unique, comme suit.

```
...
<Rule>
    <ID>Rule-1</ID>
    <Status>Enabled-or-Disabled</Status>
    <Priority>integer</Priority>
    <DeleteMarkerReplication>
       <Status>Enabled-or-Disabled</Status>
    </DeleteMarkerReplication>
    <Destination>        
       <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket1</Bucket> 
    </Destination>    
</Rule>
<Rule>
    <ID>Rule-2</ID>
    <Status>Enabled-or-Disabled</Status>
    <Priority>integer</Priority>
    <DeleteMarkerReplication>
       <Status>Enabled-or-Disabled</Status>
    </DeleteMarkerReplication>
    <Destination>        
       <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket2</Bucket> 
    </Destination>    
</Rule>
...
```

### Spécifier des paramètres différents pour chaque règle de réplication avec plusieurs compartiments de destination
<a name="replication-rule-configuration"></a>

Lorsque vous ajoutez plusieurs compartiments de destination dans une configuration de réplication unique, vous pouvez spécifier différents paramètres pour chaque règle de réplication, comme suit.

```
...
<Rule>
    <ID>Rule-1</ID>
    <Status>Enabled-or-Disabled</Status>
    <Priority>integer</Priority>
    <DeleteMarkerReplication>
       <Status>Disabled</Status>
    </DeleteMarkerReplication>
      <Metrics>
    <Status>Enabled</Status>
    <EventThreshold>
      <Minutes>15</Minutes> 
    </EventThreshold>
  </Metrics>
    <Destination>        
       <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket1</Bucket> 
    </Destination>    
</Rule>
<Rule>
    <ID>Rule-2</ID>
    <Status>Enabled-or-Disabled</Status>
    <Priority>integer</Priority>
    <DeleteMarkerReplication>
       <Status>Enabled</Status>
    </DeleteMarkerReplication>
      <Metrics>
    <Status>Enabled</Status>
    <EventThreshold>
      <Minutes>15</Minutes> 
    </EventThreshold>
  </Metrics>
  <ReplicationTime>
    <Status>Enabled</Status>
    <Time>
      <Minutes>15</Minutes>
    </Time>
  </ReplicationTime>
    <Destination>        
       <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket2</Bucket> 
    </Destination>    
</Rule>
...
```

### Modification du propriétaire d’un réplica
<a name="replica-ownership-configuration"></a>

Lorsque les compartiments source et de destination ne sont pas détenus par les mêmes comptes, vous pouvez remplacer le propriétaire de la réplique par le Compte AWS propriétaire du compartiment de destination. Pour ce faire, ajoutez l’élément `<AccessControlTranslation>`. Cet élément prend la valeur `Destination`.

```
...
<Destination>
   <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
   <Account>destination-bucket-owner-account-id</Account>
   <AccessControlTranslation>
       <Owner>Destination</Owner>
   </AccessControlTranslation>
</Destination>
...
```

Si vous n'ajoutez pas l'`<AccessControlTranslation>`élément à la configuration de réplication, les répliques appartiennent au même propriétaire Compte AWS que l'objet source. Pour de plus amples informations, veuillez consulter [Modification du propriétaire d’un réplica](replication-change-owner.md).

### Activer le contrôle du délai de réplication S3
<a name="rtc-configuration"></a>

Vous pouvez activer le contrôle du délai de réplication S3 dans votre configuration de réplication. S3 RTC réplique la plupart des objets en quelques secondes et 99,99 % des objets en l’espace de 15 minutes (soutenu par un contrat de niveau de service (SLA)). 

**Note**  
Seule une valeur de `<Minutes>15</Minutes>` est acceptée pour les éléments `<EventThreshold>` et `<Time>`.

```
...
<Destination>
  <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
  <Metrics>
    <Status>Enabled</Status>
    <EventThreshold>
      <Minutes>15</Minutes> 
    </EventThreshold>
  </Metrics>
  <ReplicationTime>
    <Status>Enabled</Status>
    <Time>
      <Minutes>15</Minutes>
    </Time>
  </ReplicationTime>
</Destination>
...
```

Pour de plus amples informations, veuillez consulter [Satisfaction aux exigences de conformité à l’aide du contrôle du temps de réplication S3](replication-time-control.md). Pour obtenir des exemples d’API, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html) dans la *Référence des API Amazon Simple Storage Service*.

### Répliquez les objets créés avec le chiffrement côté serveur en utilisant AWS KMS
<a name="sse-kms-configuration"></a>

Votre compartiment source peut contenir des objets créés avec un chiffrement côté serveur à l'aide de clés AWS Key Management Service (AWS KMS) (SSE-KMS). Par défaut, Simple Storage Service (Amazon S3) ne réplique pas ces objets. Vous pouvez éventuellement demander à Simple Storage Service (Amazon S3) de répliquer ces objets. Pour ce faire, commencez par choisir explicitement cette fonctionnalité en ajoutant l’élément `<SourceSelectionCriteria>`. Indiquez ensuite le AWS KMS key (pour le compartiment Région AWS de destination) à utiliser pour chiffrer les répliques d'objets. Les exemples suivants montrent comment spécifier ces éléments.

```
...
<SourceSelectionCriteria>
  <SseKmsEncryptedObjects>
    <Status>Enabled</Status>
  </SseKmsEncryptedObjects>
</SourceSelectionCriteria>
<Destination>
  <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
  <EncryptionConfiguration>
    <ReplicaKmsKeyID>AWS KMS key ID to use for encrypting object replicas</ReplicaKmsKeyID>
  </EncryptionConfiguration>
</Destination>
...
```

Pour plus d’informations, consultez [Réplication d’objets chiffrés (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).

## Exemples de configuration de réplication
<a name="replication-config-example-configs"></a>

Pour commencer, vous pouvez ajouter les exemples de configuration de réplication suivants à votre compartiment, selon les besoins.

**Important**  
Pour ajouter une configuration de réplication à un compartiment, vous devez disposer de l’autorisation `iam:PassRole`. Cette autorisation vous permet de transmettre le rôle IAM qui accorde les autorisations de réplication à Amazon S3. Vous spécifiez le rôle IAM en fournissant l’Amazon Resource Name (ARN) utilisé dans l’élément `<Role>` du fichier XML de la configuration de réplication. Pour plus d’informations, consultez [Octroi d’autorisations à un utilisateur pour transférer un rôle à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) dans le *Guide de l’utilisateur IAM*.

**Example 1 : Configuration de réplication à une seule règle**  
La configuration de réplication de base suivante indique une règle. Cette règle spécifie un rôle IAM qu’Simple Storage Service (Amazon S3) peut endosser et un compartiment de destination unique pour les réplicas d’objets. La valeur `Enabled` de l’élément `<Status>` indique que la règle est en vigueur.  

```
<?xml version="1.0" encoding="UTF-8"?>
<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
  <Role>arn:aws:iam::account-id:role/role-name</Role>
  <Rule>
    <Status>Enabled</Status>

    <Destination>
      <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
    </Destination>
  </Rule>
</ReplicationConfiguration>
```
Pour choisir un sous-ensemble d’objets à répliquer, vous pouvez ajouter un filtre. Dans la configuration suivante, le filtre spécifie un préfixe de clé d’objet. Cette règle s’applique aux objets dotés du préfixe `Tax/` dans leur nom de clé.   

```
<?xml version="1.0" encoding="UTF-8"?>
<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
  <Role>arn:aws:iam::account-id:role/role-name</Role>
  <Rule>
    <Status>Enabled</Status>
    <Priority>1</Priority>
    <DeleteMarkerReplication>
       <Status>string</Status>
    </DeleteMarkerReplication>

    <Filter>
       <Prefix>Tax/</Prefix>
    </Filter>

    <Destination>
       <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
    </Destination>

  </Rule>
</ReplicationConfiguration>
```
Si vous spécifiez l’élément `<Filter>`, vous devez également inclure les éléments `<Priority>` et `<DeleteMarkerReplication>`. Dans cet exemple, la valeur que vous définissez pour l’élément `<Priority>` n’a aucune importance, car il existe une seule règle.  
Dans la configuration suivante, le filtre spécifie un préfixe et deux balises. La règle s’applique au sous-ensemble d’objets dotés du préfixe de clé et des balises spécifiés. Notamment, elle s’applique aux objets dotés du préfixe `Tax/` dans leur nom de clé et des deux balises d’objets spécifiées. Dans cet exemple, la valeur que vous définissez pour l’élément `<Priority>` n’a aucune importance, car il existe une seule règle.  

```
<?xml version="1.0" encoding="UTF-8"?>
<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
  <Role>arn:aws:iam::account-id:role/role-name</Role>
  <Rule>
    <Status>Enabled</Status>
    <Priority>1</Priority>
    <DeleteMarkerReplication>
       <Status>string</Status>
    </DeleteMarkerReplication>

    <Filter>
        <And>
          <Prefix>Tax/</Prefix>
          <Tag>
             <Tag>
                <Key>tagA</Key>
                <Value>valueA</Value>
             </Tag>
          </Tag>
          <Tag>
             <Tag>
                <Key>tagB</Key>
                <Value>valueB</Value>
             </Tag>
          </Tag>
       </And>

    </Filter>

    <Destination>
        <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
    </Destination>

  </Rule>
</ReplicationConfiguration>
```
Vous pouvez spécifier une classe de stockage pour les réplicas d’objets, comme suit :  

```
<?xml version="1.0" encoding="UTF-8"?>

<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
  <Role>arn:aws:iam::account-id:role/role-name</Role>
  <Rule>
    <Status>Enabled</Status>
    <Destination>
       <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
       <StorageClass>storage-class</StorageClass>
    </Destination>
  </Rule>
</ReplicationConfiguration>
```
Vous pouvez spécifier n’importe quelle classe de stockage prise en charge par Amazon S3.

**Example 2 : Configuration de réplication à deux règles**  

**Example**  
Dans la configuration de réplication suivante, les règles spécifient les éléments suivants :  
+ Chaque règle filtre un préfixe de clé différent afin que chaque règle s’applique à un sous-ensemble distinct d’objets. Dans cet exemple, Simple Storage Service (Amazon S3) réplique les objets avec les noms de clé *`Tax/doc1.pdf`* et *`Project/project1.txt`*, mais ne réplique pas les objets avec le nom de clé *`PersonalDoc/documentA`*. 
+ Bien que les deux règles spécifient une valeur pour l’élément `<Priority>`, la priorité des règles n’a aucune importance car les règles s’appliquent à deux ensembles d’objets distincts. L’exemple suivant décrit ce qui se passe lorsque la priorité des règles est appliquée. 
+ La deuxième règle spécifie la classe de stockage S3 Standard-Accès peu fréquent pour les réplicas d’objets. Simple Storage Service (Amazon S3) utilise la classe de stockage spécifiée pour ces réplicas d’objets.
   

```
<?xml version="1.0" encoding="UTF-8"?>

<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
  <Role>arn:aws:iam::account-id:role/role-name</Role>
  <Rule>
    <Status>Enabled</Status>
    <Priority>1</Priority>
    <DeleteMarkerReplication>
       <Status>string</Status>
    </DeleteMarkerReplication>
    <Filter>
        <Prefix>Tax</Prefix>
    </Filter>
    <Status>Enabled</Status>
    <Destination>
      <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
    </Destination>
     ...
  </Rule>
 <Rule>
    <Status>Enabled</Status>
    <Priority>2</Priority>
    <DeleteMarkerReplication>
       <Status>string</Status>
    </DeleteMarkerReplication>
    <Filter>
        <Prefix>Project</Prefix>
    </Filter>
    <Status>Enabled</Status>
    <Destination>
      <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
     <StorageClass>STANDARD_IA</StorageClass>
    </Destination>
     ...
  </Rule>


</ReplicationConfiguration>
```

**Example 3 : Configuration de réplication à deux règles et avec des préfixes qui se chevauchent**  <a name="overlap-rule-example"></a>
Dans cette configuration, les deux règles indiquent des filtres avec des préfixes de clé se chevauchant, *`star`* et *`starship`*. Les deux règles s’appliquent aux objets portant le nom de clé *`starship-x`*. Dans ce cas, Amazon S3 utilise la priorité des règles pour déterminer la règle à appliquer. Plus le nombre est élevé, plus la priorité est haute.  

```
<ReplicationConfiguration>

  <Role>arn:aws:iam::account-id:role/role-name</Role>

  <Rule>
    <Status>Enabled</Status>
    <Priority>1</Priority>
    <DeleteMarkerReplication>
       <Status>string</Status>
    </DeleteMarkerReplication>
    <Filter>
        <Prefix>star</Prefix>
    </Filter>
    <Destination>
      <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
    </Destination>
  </Rule>
  <Rule>
    <Status>Enabled</Status>
    <Priority>2</Priority>
    <DeleteMarkerReplication>
       <Status>string</Status>
    </DeleteMarkerReplication>
    <Filter>
        <Prefix>starship</Prefix>
    </Filter>    
    <Destination>
      <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
    </Destination>
  </Rule>
</ReplicationConfiguration>
```

**Example 4 : Exemples de procédures**  
Pour afficher des exemples, consultez [Exemples de configuration de la réplication en direct](replication-example-walkthroughs.md).

Pour plus d'informations sur la structure XML de la configuration de réplication, consultez [PutBucketReplication](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketPUTreplication.html)le manuel *Amazon Simple Storage Service API Reference*. 

## Considérations relatives à la rétrocompatibilité
<a name="replication-backward-compat-considerations"></a>

La dernière version du format XML de configuration de réplication est V2. Les configurations de réplication XML V2 sont celles qui contiennent l’élément `<Filter>` pour les règles et les règles qui spécifient le contrôle du délai de réplication S3.

Pour afficher votre version de configuration de réplication, vous pouvez utiliser l’opération d’API `GetBucketReplication`. Pour plus d’informations, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html) dans la *Référence d’API Amazon Simple Storage Service*. 

Pour assurer la rétrocompatibilité, Amazon S3 continue de prendre en charge le format de configuration de réplication XML V1. Si vous avez utilisé la configuration de réplication XML V1, tenez compte des problèmes suivants qui ont un impact sur la rétrocompatibilité :
+ Le format de configuration de réplication XML V2 inclut l’élément `<Filter>` pour les règles. L’élément `<Filter>` vous permet de spécifier des filtres d’objet basés sur le préfixe de clé d’objet et/ou des balises pour définir la portée des objets auxquels la règle s’applique. Le format de configuration de réplication XML V1 prend en charge un filtrage basé uniquement sur le préfixe de la clé. Dans ce cas, vous ajoutez directement l’élément `<Prefix>` en tant qu’élément enfant de l’élément `<Rule>`, comme dans l’exemple suivant :

  ```
  <?xml version="1.0" encoding="UTF-8"?>
  <ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
    <Role>arn:aws:iam::account-id:role/role-name</Role>
    <Rule>
      <Status>Enabled</Status>
      <Prefix>key-prefix</Prefix>
      <Destination>
         <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
      </Destination>
  
    </Rule>
  </ReplicationConfiguration>
  ```
+ Lorsque vous supprimez un objet de votre compartiment source, sans spécifier d’ID de version d’objet, Simple Storage Service (Amazon S3) ajoute un marqueur de suppression. Si vous utilisez le format de configuration de réplication XML V1, Amazon S3 réplique uniquement les marqueurs de suppression créés par les actions utilisateur. En d’autres termes, Amazon S3 réplique le marqueur de suppression uniquement si un utilisateur supprime un objet. Si un objet ayant expiré est supprimé par Amazon S3 (dans le cadre d’une action de cycle de vie), Amazon S3 ne réplique pas le marqueur de suppression. 

  Dans le format XML V2 de configuration de réplication, vous pouvez activer la réplication des marqueurs de suppression pour non-tag-based les règles. Pour de plus amples informations, veuillez consulter [Répliquer des marqueurs de suppression entre les compartiments](delete-marker-replication.md). 

 

# Configuration des autorisations pour la réplication en direct
<a name="setting-repl-config-perm-overview"></a>

Lors de la configuration de la réplication en direct dans Amazon S3, vous devez acquérir les autorisations nécessaires, comme suit :
+ Vous devez accorder au principal Gestion des identités et des accès AWS (IAM) (utilisateur ou rôle) qui créera les règles de réplication un certain ensemble d'autorisations.
+ Simple Storage Service (Amazon S3) a besoin d'autorisations pour répliquer des objets en votre nom. Vous accordez ces autorisations en créant un rôle IAM, puis en spécifiant ce rôle dans votre configuration de réplication.
+ Lorsque les compartiments source et de destination n’appartiennent pas aux mêmes comptes, le propriétaire du compartiment de destination doit accorder au propriétaire du compartiment source les autorisations adéquates pour stocker les réplicas.

**Note**  
Si vous utilisez S3 Batch Operations pour répliquer des objets à la demande au lieu de configurer la réplication en direct, un rôle IAM et des politiques IAM différents sont nécessaires pour la réplication par lot S3. Pour des exemples de politiques et de rôles IAM de réplication par lot, consultez [Configuration d’un rôle IAM pour la réplication par lot S3](s3-batch-replication-policies.md).

**Topics**
+ [

## Étape 1 : octroi d’autorisations au principal IAM qui crée les règles de réplication
](#setting-repl-config-role)
+ [

## Étape 2 : création d’un rôle IAM à assumer par Amazon S3
](#setting-repl-config-same-acctowner)
+ [

## (Facultatif) Étape 3 : Octroi d'autorisations lorsque les compartiments source et de destination appartiennent à des entités différentes Comptes AWS
](#setting-repl-config-crossacct)
+ [

## (Facultatif) Étape 4 : octroi des autorisations pour modifier la propriété de réplica
](#change-replica-ownership)

## Étape 1 : octroi d’autorisations au principal IAM qui crée les règles de réplication
<a name="setting-repl-config-role"></a>

L’utilisateur IAM ou le rôle IAM que vous utiliserez pour créer des règles de réplication a besoin d’autorisations pour créer des règles de réplication pour les réplications unidirectionnelles ou bidirectionnelles. Si l’utilisateur ou le rôle ne dispose pas de ces autorisations, vous ne pourrez pas créer de règles de réplication. Pour plus d’informations, consultez [Identités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) dans le *Guide de l’utilisateur IAM*.

L’utilisateur ou le rôle nécessite les actions suivantes :
+ `iam:AttachRolePolicy`
+ `iam:CreatePolicy`
+ `iam:CreateServiceLinkedRole`
+ `iam:PassRole`
+ `iam:PutRolePolicy`
+ `s3:GetBucketVersioning`
+ `s3:GetObjectVersionAcl`
+ `s3:GetObjectVersionForReplication`
+ `s3:GetReplicationConfiguration`
+ `s3:PutReplicationConfiguration`

Un exemple de politique IAM incluant ces actions est présenté ci-dessous.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetAccessPoint",
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets",
                "s3:PutReplicationConfiguration",
                "s3:GetReplicationConfiguration",
                "s3:GetBucketVersioning",
                "s3:GetObjectVersionForReplication",
                "s3:GetObjectVersionAcl",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:GetObjectVersion",
                "s3:GetBucketOwnershipControls",
                "s3:PutBucketOwnershipControls",
                "s3:GetObjectLegalHold",
                "s3:GetObjectRetention",
                "s3:GetBucketObjectLockConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1-*",
                "arn:aws:s3:::amzn-s3-demo-bucket2-*/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:List*AccessPoint*",
                "s3:GetMultiRegion*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:Get*",
                "iam:CreateServiceLinkedRole",
                "iam:CreateRole",
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/service-role/s3*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:List*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:PutRolePolicy",
                "iam:CreatePolicy"
              ],
            "Resource": [
                "arn:aws:iam::*:policy/service-role/s3*",
                "arn:aws:iam::*:role/service-role/s3*"
            ]
        }
    ]
}
```

------

## Étape 2 : création d’un rôle IAM à assumer par Amazon S3
<a name="setting-repl-config-same-acctowner"></a>



Par défaut, toutes les ressources Simple Storage Service (Amazon S3) (compartiments, objets et sous-ressources liées) sont privées : seul le propriétaire des ressources peut y accéder. Simple Storage Service (Amazon S3) a besoin d’autorisations pour lire et répliquer les objets du compartiment source. Vous accordez ces autorisations en créant un rôle IAM et en spécifiant ce rôle dans votre configuration de réplication. 

Cette section décrit la politique d’approbation et la politique d’autorisations minimales requises qui sont attachées à ce rôle IAM. Les exemples de procédures pas à pas fournissent des step-by-step instructions pour créer un rôle IAM. Pour de plus amples informations, veuillez consulter [Exemples de configuration de la réplication en direct](replication-example-walkthroughs.md).

**Note**  
Si vous utilisez la console pour créer votre configuration de réplication, nous vous recommandons d’ignorer cette section et de laisser la console créer ce rôle IAM ainsi que les politiques d’approbation et d’autorisation nécessaires pour vous.

La *politique d’approbation* identifie les identités de principal qui peuvent endosser le rôle IAM. La *politique d’autorisations* spécifie les actions que peut exécuter le rôle IAM, sur quelles ressources et dans quelles conditions. 
+ L'exemple suivant montre une *politique de confiance* dans laquelle vous identifiez Amazon S3 comme le Service AWS principal habilité à assumer le rôle :

------
#### [ JSON ]

****  

  ```
  {
     "Version":"2012-10-17",		 	 	 
     "Statement":[
        {
           "Effect":"Allow",
           "Principal":{
              "Service":"s3.amazonaws.com"
           },
           "Action":"sts:AssumeRole"
        }
     ]
  }
  ```

------
+ L’exemple suivant illustre une *politique d’approbation* permettant d’identifier Amazon S3 et les opérations par lot S3 en tant que principaux de service capables d’endosser le rôle. utilisez cette approche si vous créez une tâche de réplication par lot. Pour de plus amples informations, veuillez consulter [Créer une tâche de réplication par lot pour de nouvelles destinations ou règles de réplication](s3-batch-replication-new-config.md).

------
#### [ JSON ]

****  

  ```
  {
     "Version":"2012-10-17",		 	 	 
     "Statement":[ 
        {
           "Effect":"Allow",
           "Principal":{
              "Service": [
                "s3.amazonaws.com",
                "batchoperations.s3.amazonaws.com"
             ]
           },
           "Action":"sts:AssumeRole"
        }
     ]
  }
  ```

------

  Pour plus d'informations sur les rôles IAM, consultez [Rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) dans le manuel *IAM Guide de l'utilisateur*.
+ L’exemple suivant illustre une *politique d’autorisations* permettant d’accorder au rôle IAM les autorisations d’effectuer les tâches de réplication en votre nom. Quand Simple Storage Service (Amazon S3) endosse le rôle, il dispose des autorisations que vous avez spécifiées dans cette stratégie. Dans cette politique, `amzn-s3-demo-source-bucket` est le compartiment source et `amzn-s3-demo-destination-bucket`, le compartiment de destination.

------
#### [ JSON ]

****  

  ```
  {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
        {
           "Effect": "Allow",
           "Action": [
              "s3:GetReplicationConfiguration",
              "s3:ListBucket"
           ],
           "Resource": [
              "arn:aws:s3:::amzn-s3-demo-source-bucket"
           ]
        },
        {
           "Effect": "Allow",
           "Action": [
              "s3:GetObjectVersionForReplication",
              "s3:GetObjectVersionAcl",
              "s3:GetObjectVersionTagging"
           ],
           "Resource": [
              "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
           ]
        },
        {
           "Effect": "Allow",
           "Action": [
              "s3:ReplicateObject",
              "s3:ReplicateDelete",
              "s3:ReplicateTags"
           ],
           "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
        }
     ]
  }
  ```

------

  La politique d’autorisations accorde des autorisations pour les actions suivantes :
  +  `s3:GetReplicationConfiguration` et `s3:ListBucket` : les autorisations d’exécuter ces actions sur le compartiment `amzn-s3-demo-source-bucket` permettent à Amazon S3 de récupérer la configuration de réplication et de répertorier le contenu du compartiment. (Le modèle d’autorisations actuel nécessite l’autorisation `s3:ListBucket` pour accéder aux marqueurs de suppression.)
  + `s3:GetObjectVersionForReplication` et `s3:GetObjectVersionAcl` – Les autorisations d’effectuer ces actions accordées sur tous les objets permettent à Simple Storage Service (Amazon S3) d’obtenir une version d’objet particulière et la liste de contrôle d’accès (ACL) associée aux objets. 

    
  + `s3:ReplicateObject` et `s3:ReplicateDelete` – Les autorisations d’effectuer ces actions sur des objets du compartiment `amzn-s3-demo-destination-bucket` permettent à Simple Storage Service (Amazon S3) de répliquer des objets ou des marqueurs de suppression dans le compartiment de destination. Pour de plus amples informations sur les marqueurs de suppression, consultez [Impact des opérations de suppression sur la réplication](replication-what-is-isnot-replicated.md#replication-delete-op). 
**Note**  
Les autorisations relatives à l'`s3:ReplicateObject`action sur le `amzn-s3-demo-destination-bucket` compartiment autorisent également la réplication de métadonnées telles que les balises d'objet et ACLs. Il n’est donc pas nécessaire d’accorder une autorisation explicite pour l’action `s3:ReplicateTags`.
  + `s3:GetObjectVersionTagging` : les autorisations d’exécuter cette action sur des objets du compartiment `amzn-s3-demo-source-bucket` permettent à Amazon S3 de lire les balises d’objets pour la réplication. Pour en savoir plus sur les balises d’objet, consultez [Catégorisation de vos objets à l’aide de balises](object-tagging.md). Si Amazon S3 ne dispose pas de l’autorisation `s3:GetObjectVersionTagging`, il réplique les objets mais pas leurs balises.

  Pour afficher la liste des actions Amazon S3, consultez [Actions, ressources et clés de condition pour Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#list_amazons3-actions-as-permissions) dans la *Référence de l’autorisation de service*.

  Pour plus d’informations sur les autorisations relatives aux opérations d’API S3 par type de ressource S3, consultez [Autorisations requises pour les opérations d’API Amazon S3](using-with-s3-policy-actions.md).
**Important**  
Le Compte AWS titulaire du rôle IAM doit disposer des autorisations pour les actions qu'il accorde au rôle IAM.   
Supposons, par exemple, que le compartiment source contient des objets détenus par un autre Compte AWS. Le propriétaire des objets doit explicitement accorder à Compte AWS celui qui détient le rôle IAM les autorisations requises par le biais des listes de contrôle d'accès des objets ()ACLs. Dans le cas contraire, Amazon S3 ne peut pas accéder aux objets et la réplication des objets échoue. Pour plus d’informations sur les autorisations ACL, consultez [Présentation de la liste de contrôle d’accès (ACL)](acl-overview.md).  
  
Les autorisations décrites dans la présente section sont liées à la configuration de réplication minimale. Si vous choisissez d’ajouter des configurations de réplication facultatives, vous devez accorder des autorisations supplémentaires à Amazon S3 :   
Pour répliquer des objets chiffrés, vous devez également accorder les autorisations de clés AWS Key Management Service (AWS KMS) nécessaires. Pour de plus amples informations, veuillez consulter [Réplication d’objets chiffrés (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
Pour utiliser Object Lock avec la réplication, vous devez accorder deux autorisations supplémentaires sur le compartiment S3 source dans le rôle Gestion des identités et des accès AWS (IAM) que vous utilisez pour configurer la réplication. Les deux autorisations supplémentaires sont `s3:GetObjectRetention` et `s3:GetObjectLegalHold`. Si le rôle dispose d’une déclaration d’autorisation `s3:Get*`, cette déclaration répond à l’exigence. Pour de plus amples informations, veuillez consulter [Utilisation du verrouillage d’objet avec la réplication S3](object-lock-managing.md#object-lock-managing-replication).

## (Facultatif) Étape 3 : Octroi d'autorisations lorsque les compartiments source et de destination appartiennent à des entités différentes Comptes AWS
<a name="setting-repl-config-crossacct"></a>

Lorsque les compartiments source et de destination n’appartiennent pas aux mêmes comptes, le propriétaire du compartiment de destination doit également ajouter une politique de compartiment pour accorder au propriétaire du compartiment source les autorisations adéquates pour effectuer des actions de réplication, comme illustré dans l’exemple suivant. Dans cette exemple de politique, `amzn-s3-demo-destination-bucket` est le compartiment de destination.

Vous pouvez également laisser la console Amazon S3 générer automatiquement cette politique de compartiment à votre place. Pour plus d’informations, consultez [Activer la réception d’objets répliqués à partir d’un compartiment source](#receiving-replicated-objects).

**Note**  
Le format ARN du rôle peut être différent. Si le rôle a été créé à l’aide de la console, le format ARN est `arn:aws:iam::account-ID:role/service-role/role-name`. Si le rôle a été créé à l'aide du AWS CLI, le format ARN est`arn:aws:iam::account-ID:role/role-name`. Pour plus d’informations, consultez [Rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html) dans le *Guide de l’utilisateur IAM*. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "PolicyForDestinationBucket",
    "Statement": [
        {
            "Sid": "Permissions on objects",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
            },
            "Action": [
                "s3:ReplicateDelete",
                "s3:ReplicateObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
        },
        {
            "Sid": "Permissions on bucket",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
            },
            "Action": [
                "s3:List*",
                "s3:GetBucketVersioning",
                "s3:PutBucketVersioning"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
        }
    ]
}
```

------

Pour obtenir un exemple, consultez [Configuration de la réplication pour des compartiments dans des comptes distincts](replication-walkthrough-2.md).

Si des objets stockés dans le compartiment source sont balisés, notez les points suivants :
+ Si le propriétaire du compartiment source octroie à Amazon S3 l’autorisation d’effectuer les actions `s3:GetObjectVersionTagging` et `s3:ReplicateTags` en vue de répliquer des balises d’objets (via le rôle IAM), Amazon S3 réplique les balises en même temps que les objets. Pour obtenir des informations sur le rôle IAM, consultez [Étape 2 : création d’un rôle IAM à assumer par Amazon S3](#setting-repl-config-same-acctowner).
+ Si le propriétaire du compartiment de destination ne souhaite pas répliquer les balises, il peut ajouter l’instruction suivante à la stratégie du compartiment de destination en vue de lui refuser explicitement l’autorisation d’exécuter l’action `s3:ReplicateTags`. Dans cette politique, `amzn-s3-demo-destination-bucket` est le compartiment de destination.

  ```
  ...
     "Statement":[
        {
           "Effect":"Deny",
           "Principal":{
              "AWS":"arn:aws:iam::source-bucket-account-id:role/service-role/source-account-IAM-role"
           },
           "Action":"s3:ReplicateTags",
           "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
        }
     ]
  ...
  ```

**Note**  
Si vous souhaitez répliquer des objets chiffrés, vous devez également accorder les autorisations clés AWS Key Management Service (AWS KMS) nécessaires. Pour de plus amples informations, veuillez consulter [Réplication d’objets chiffrés (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
Pour utiliser Object Lock avec la réplication, vous devez accorder deux autorisations supplémentaires sur le compartiment S3 source dans le rôle Gestion des identités et des accès AWS (IAM) que vous utilisez pour configurer la réplication. Les deux autorisations supplémentaires sont `s3:GetObjectRetention` et `s3:GetObjectLegalHold`. Si le rôle dispose d’une déclaration d’autorisation `s3:Get*`, cette déclaration répond à l’exigence. Pour de plus amples informations, veuillez consulter [Utilisation du verrouillage d’objet avec la réplication S3](object-lock-managing.md#object-lock-managing-replication). 

**Activation de la réception d’objets répliqués à partir d’un compartiment source**  
Au lieu d’ajouter manuellement la politique précédente à votre compartiment de destination, vous pouvez rapidement générer les politiques nécessaires pour activer la réception d’objets répliqués à partir d’un compartiment source via la console Amazon S3. 

1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. Dans le panneau de navigation de gauche, choisissez **Compartiments**.

1. Dans la liste **Compartiments**, choisissez le compartiment que vous souhaitez utiliser comme compartiment de destination.

1. Choisissez l’onglet **Management** (Gestion), puis faites défiler jusqu’à **Replication rules** (Règles de réplication).

1. Pour **Actions**, choisissez **Receive replicated objects** (Recevoir des objets répliqués). 

   Suivez les instructions et entrez l' Compte AWS ID du compte du compartiment source, puis choisissez **Generate policies**. La console génère une politique de compartiment Amazon S3 et une stratégie de clé KMS.

1. Pour ajouter cette politique à votre politique de compartiment existante, choisissez **Apply settings** (Appliquer les paramètres) ou **Copy** (Copier) pour copier manuellement les modifications. 

1. (Facultatif) Copiez la AWS KMS politique dans la politique de clé KMS de votre choix dans la AWS Key Management Service console. 

## (Facultatif) Étape 4 : octroi des autorisations pour modifier la propriété de réplica
<a name="change-replica-ownership"></a>

Si différents Comptes AWS propriétaires des compartiments source et de destination sont propriétaires, vous pouvez demander à Amazon S3 de remplacer le propriétaire de la réplique par Compte AWS celui qui détient le compartiment de destination. Pour annuler la propriété des réplicas, vous devez accorder des autorisations supplémentaires ou ajuster les paramètres de propriété des objets S3 pour le compartiment de destination. Pour plus d’informations sur l’option de substitution du propriétaire, consultez [Modification du propriétaire d’un réplica](replication-change-owner.md).

# Exemples de configuration de la réplication en direct
<a name="replication-example-walkthroughs"></a>

Les exemples suivants fournissent des step-by-step procédures pas à pas qui montrent comment configurer la réplication en direct pour les cas d'utilisation courants. 

**Note**  
La réplication en direct fait référence à la réplication dans une même région (SRR) et une réplication entre régions (CRR). La réplication en direct ne réplique pas les objets qui existaient dans le compartiment avant la configuration de la réplication. Pour répliquer des objets qui existaient avant la configuration de la réplication, utilisez la réplication à la demande. Pour synchroniser des compartiments et répliquer des objets existants à la demande, consultez [Réplication d’objets existants](s3-batch-replication-batch.md).

Ces exemples montrent comment créer une configuration de réplication à l'aide de la console Amazon S3, AWS Command Line Interface (AWS CLI)AWS SDK pour Java et AWS SDKs ( AWS SDK pour .NET des exemples sont présentés). 

Pour plus d'informations sur l'installation et la configuration du AWS CLI, consultez les rubriques suivantes du *Guide de AWS Command Line Interface l'utilisateur* :
+  [Commencez avec le AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) 
+  [Configurer le AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html) — Vous devez configurer au moins un profil. Si vous explorez des scénarios entre comptes, configurez deux profils.

Pour plus d'informations sur le AWS SDKs, reportez-vous [AWS SDK pour Java](https://aws.amazon.com/sdk-for-java/)aux sections et [AWS SDK pour .NET](https://aws.amazon.com/sdk-for-net/).

**Astuce**  
Pour un step-by-step didacticiel expliquant comment utiliser la réplication en direct pour répliquer des données, voir [Tutoriel : Réplication de données dans et entre les deux à Régions AWS l'aide de S3](https://aws.amazon.com/getting-started/hands-on/replicate-data-using-amazon-s3-replication/?ref=docs_gateway/amazons3/replication-example-walkthroughs.html) Replication.

**Topics**
+ [Configuration pour des compartiments dans le même compte](replication-walkthrough1.md)
+ [Configuration pour des compartiments dans des comptes distincts](replication-walkthrough-2.md)
+ [Utiliser le contrôle du délai de réplication S3](replication-time-control.md)
+ [Réplication d’objets chiffrés](replication-config-for-kms-objects.md)
+ [Répliquer les modifications des métadonnées](replication-for-metadata-changes.md)
+ [Répliquer des marqueurs de suppression](delete-marker-replication.md)

# Configuration d’une réplication pour des compartiments dans le même compte
<a name="replication-walkthrough1"></a>

La réplication dynamique est la copie automatique et asynchrone d'objets dans des compartiments à usage général, identiques ou différents. Régions AWS La réplication en direct copie les objets nouvellement créés et les mises à jour d’objets à partir d’un compartiment source vers un ou plusieurs compartiments de destination. Pour de plus amples informations, veuillez consulter [Réplication d’objets au sein des régions et entre elles](replication.md).

Lorsque vous configurez la réplication, vous ajoutez des règles de réplication au compartiment source. Les règles de réplication définissent les objets du compartiment source à répliquer, ainsi que le ou les compartiments de destination dans lesquels les objets répliqués seront stockés. Vous pouvez créer une règle pour répliquer tous les objets ou un sous-ensemble d’objets d’un compartiment à l’aide de préfixes de nom de clé ou d’autres balises d’objet, ou les deux. Un compartiment de destination peut se trouver dans le même compartiment Compte AWS que le compartiment source ou dans un autre compte.

Si vous spécifiez un ID de version d’objet à supprimer, Amazon S3 supprime cette version de l’objet dans le compartiment source. Mais le service ne réplique pas la suppression dans le compartiment de destination. En d’autres termes, il ne supprime pas la même version de l’objet dans le compartiment de destination. Les données sont ainsi protégées contre les suppressions malveillantes.

Lorsque vous ajoutez une règle de réplication à un compartiment, celle-ci est activée par défaut et entre en fonctionnement dès que vous l’enregistrez. 

Dans cet exemple, vous configurez la réplication en direct pour les compartiments source et de destination qui appartiennent au même Compte AWS. Des exemples d'utilisation de la console Amazon S3, du AWS Command Line Interface (AWS CLI) et du AWS SDK pour Java and sont fournis AWS SDK pour .NET.

## Conditions préalables
<a name="replication-prerequisites"></a>

Avant d’utiliser les procédures suivantes, assurez-vous que vous avez configuré les autorisations nécessaires pour la réplication, selon que les compartiments source et de destination sont détenus par des comptes identiques ou différents. Pour de plus amples informations, veuillez consulter [Configuration des autorisations pour la réplication en direct](setting-repl-config-perm-overview.md).

**Note**  
Si vous souhaitez répliquer des objets chiffrés, vous devez également accorder les autorisations clés AWS Key Management Service (AWS KMS) nécessaires. Pour de plus amples informations, veuillez consulter [Réplication d’objets chiffrés (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
Pour utiliser Object Lock avec la réplication, vous devez accorder deux autorisations supplémentaires sur le compartiment S3 source dans le rôle Gestion des identités et des accès AWS (IAM) que vous utilisez pour configurer la réplication. Les deux autorisations supplémentaires sont `s3:GetObjectRetention` et `s3:GetObjectLegalHold`. Si le rôle dispose d’une déclaration d’autorisation `s3:Get*`, cette déclaration répond à l’exigence. Pour de plus amples informations, veuillez consulter [Utilisation du verrouillage d’objet avec la réplication S3](object-lock-managing.md#object-lock-managing-replication). 

## Utilisation de la console S3
<a name="enable-replication"></a>

Pour configurer une règle de réplication lorsque le compartiment de destination se trouve dans le même compartiment Compte AWS que le compartiment source, procédez comme suit.

Si le compartiment de destination se trouve dans un compte différent du compartiment source, vous devez ajouter une politique de compartiment au compartiment de destination pour accorder au propriétaire du compte du compartiment source l’autorisation d’effectuer des réplications d’objets dans le compartiment de destination. Pour de plus amples informations, veuillez consulter [(Facultatif) Étape 3 : Octroi d'autorisations lorsque les compartiments source et de destination appartiennent à des entités différentes Comptes AWS](setting-repl-config-perm-overview.md#setting-repl-config-crossacct).

1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. Dans le volet de navigation de gauche, choisissez **Compartiments à usage général**.

1. Dans la liste de compartiments, choisissez le nom du compartiment que vous souhaitez utiliser.

1. Sélectionnez **Gestion**, faites défiler jusqu’à **Règles de réplication**, puis sélectionnez **Créer une règle de réplication**.

    

1. Dans la section **Configuration de la règle de réplication**, sous **Nom de la règle de réplication**, saisissez un nom pour votre règle afin de l’identifier facilement plus tard. Ce nom est obligatoire et doit être unique dans le compartiment.

1. Sous **Statut**, **Activé** est sélectionné par défaut. Un règle activée entre en fonctionnement dès que l’avez enregistrée. Si vous souhaitez activer la règle ultérieurement, sélectionnez **Désactivé**.

1. Si le compartiment possède des règles de réplication existantes, il vous est demandé de définir une priorité pour la règle. Vous devez définir une priorité pour la règle pour éviter les conflits provoqués par les objets inclus dans l’étendue de plusieurs règles. En cas de chevauchement de règles, Amazon S3 utilise la priorité des règles pour déterminer la règle à appliquer. Plus le nombre est élevé, plus la priorité est haute. Pour plus d’informations sur la priorité des règles, consultez [Éléments du fichier de configuration de réplication](replication-add-config.md).

1. Sous **Compartiment source**, vous disposez des options suivantes pour définir la source de réplication :
   + Pour répliquer l’ensemble du compartiment, choisissez **Apply to all objects in the bucket** (Appliquer à tous les objets du compartiment). 
   + Pour répliquer tous les objets ayant le même préfixe, choisissez **Limit the scope of this rule using one or more filters (Limiter la portée de cette règle en utilisant un ou plusieurs filtres)**. Cela limite la réplication à tous les objets dont les noms commencent par le préfixe que vous spécifiez (par exemple, `pictures`). Saisissez un préfixe dans la zone **Préfixe**. 
**Note**  
Si vous entrez un préfixe correspondant à un nom de dossier, vous devez insérer le caractère **/** (barre oblique) à la fin (par exemple, `pictures/`).
   + Pour répliquer tous les objets avec une ou plusieurs balises d’objet, sélectionnez **Ajouter une balise** et saisissez la paire clé-valeur dans les zones. Répétez la procédure pour ajouter une autre balise. Vous pouvez combiner un préfixe et des balises. Pour en savoir plus sur les balises d'objet, consultez [Catégorisation de vos objets à l’aide de balises](object-tagging.md).

   Le nouveau schéma XML de configuration de la réplication prend en charge le balisage de préfixe et de balise, et la priorité des règles. Pour plus d’informations sur le nouveau schéma, consultez [Considérations relatives à la rétrocompatibilité](replication-add-config.md#replication-backward-compat-considerations). Pour plus d’informations sur le XML utilisé avec l’API Amazon S3 qui fonctionne derrière l’interface utilisateur, reportez-vous à [Éléments du fichier de configuration de réplication](replication-add-config.md). Le nouveau schéma est décrit comme *configuration de réplication XML V2*.

1. Sous **Destination**, sélectionnez le compartiment où vous souhaitez qu’Amazon S3 réplique les objets.
**Note**  
Le nombre de compartiments de destination est limité au nombre de compartiments contenus Régions AWS dans une partition donnée. Une partition est un regroupement de régions. AWS possède actuellement trois partitions : `aws` (Régions standard), `aws-cn` (Régions de Chine) et `aws-us-gov` (AWS GovCloud (US) Régions). Vous pouvez utiliser [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) pour demander une augmentation de votre limite de compartiments de destination.
   + Pour répliquer vers un compartiment ou plusieurs compartiments de votre compte, sélectionnez **Choisir un compartiment dans ce compte** et saisissez ou recherchez le nom du compartiment de destination. 
   + Pour effectuer une réplication vers un ou plusieurs compartiments d'un autre compte Compte AWS, choisissez **Spécifier un compartiment dans un autre compte, puis entrez l'ID du compte** du compartiment de destination et le nom du compartiment. 

     Si la destination se trouve dans un compte différent du compartiment source, vous devez ajouter une politique de compartiment aux compartiments de destination pour accorder au propriétaire du compte du compartiment source l’autorisation d’effectuer des réplications d’objets. Pour plus d’informations, consultez [(Facultatif) Étape 3 : Octroi d'autorisations lorsque les compartiments source et de destination appartiennent à des entités différentes Comptes AWS](setting-repl-config-perm-overview.md#setting-repl-config-crossacct).

     (Facultatif) Si vous souhaitez aider à normaliser la propriété des nouveaux objets dans le compartiment de destination, choisissez **Remplacer la propriété de l’objet par le propriétaire du compartiment de destination**. Pour plus d’informations sur cette option, consultez [Contrôle de la propriété des objets et désactivation ACLs pour votre compartiment](about-object-ownership.md).
**Note**  
Si la gestion des versions n’est pas activée sur le compartiment de destination, un message d’avertissement avec le bouton **Activer la gestion des versions** s’affiche. Cliquez sur ce bouton pour activer la gestion des versions sur le compartiment.

1. Configurez un rôle Gestion des identités et des accès AWS (IAM) qu'Amazon S3 peut assumer pour répliquer des objets en votre nom.

   Pour configurer un rôle IAM, dans la section **Rôle IAM**, sélectionnez l’une des options suivantes dans la liste déroulante des **rôles IAM** :
   + Nous vous recommandons vivement de choisir **Create new role (Créer un nouveau rôle)** pour demander à Amazon S3 de créer nouveau rôle IAM pour vous. Lorsque vous enregistrez la règle, une nouvelle stratégie est générée pour le rôle IAM correspondant aux compartiments source et cible que vous choisissez.
   + Vous pouvez également choisir d’utiliser un rôle IAM existant. Dans ce cas, vous devez choisir un rôle qui octroie à Amazon S3 les autorisations nécessaires pour la réplication. La réplication échoue si ce rôle n’accorde pas à Amazon S3 les autorisations suffisantes pour suivre votre règle de réplication.
**Important**  
Lorsque vous ajoutez une règle de réplication à un compartiment, vous devez disposer de l’autorisation `iam:PassRole` pour pouvoir transmettre le rôle IAM qui accorde les autorisations de réplication Amazon S3. Pour plus d’informations, consultez [Octroi d’autorisations à un utilisateur pour transférer un rôle à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) dans le *Guide de l’utilisateur IAM*.

1. **Pour répliquer les objets du compartiment source chiffrés à l'aide du chiffrement côté serveur à l'aide de clés AWS Key Management Service (AWS KMS) (SSE-KMS), sous **Chiffrement, sélectionnez Répliquer les objets chiffrés** avec. AWS KMS** Sous **Clés AWS KMS pour le chiffrement des objets de destination** se trouvent les clés source que la réplication est autorisée à utiliser. Toutes les clés source KMS sont incluses par défaut. Vous pouvez choisir un alias ou un ID de clé afin de restreindre la sélection des clés KMS. 

   Les objets chiffrés par AWS KMS keys ceux que vous ne sélectionnez pas ne sont pas répliqués. Une clé KMS ou un groupe de clés KMS est sélectionné pour vous, mais vous pouvez choisir les clés KMS que vous souhaitez utiliser si vous le souhaitez. Pour plus d'informations sur l'utilisation AWS KMS avec la réplication, consultez[Réplication d’objets chiffrés (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
**Important**  
Lorsque vous répliquez des objets chiffrés avec AWS KMS, le taux de AWS KMS demandes double dans la région source et augmente d'autant dans la région de destination. Ces taux d'appels accrus AWS KMS sont dus à la manière dont les données sont rechiffrées à l'aide de la clé KMS que vous définissez pour la région de destination de la réplication. AWS KMS dispose d'un quota de taux de demandes par compte d'appel et par région. Pour obtenir des informations sur les quotas par défaut, consultez [Quotas AWS KMS – nombre de demandes par seconde : variable](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html#requests-per-second) dans le *Guide du développeur AWS Key Management Service *.   
Si votre taux actuel de demandes d'`PUT`objets Amazon S3 pendant la réplication est supérieur à la moitié de la limite de AWS KMS débit par défaut de votre compte, nous vous recommandons de demander une augmentation de votre quota de taux de AWS KMS demandes. Pour demander une augmentation, [contactez-nous](https://aws.amazon.com/contact-us/) afin de créer un cas dans le Centre Support . Supposons, par exemple, que votre taux de demandes d'`PUT`objets actuel soit de 1 000 requêtes par seconde et que vous l'utilisiez AWS KMS pour chiffrer vos objets. Dans ce cas, nous vous recommandons de demander Support à augmenter votre limite de AWS KMS débit à 2 500 requêtes par seconde, à la fois dans vos régions source et de destination (si elles sont différentes), afin de garantir qu'il n'y ait pas de limitation. AWS KMS  
Pour connaître le taux de demandes d'`PUT`objets dans le compartiment source, consultez `PutRequests` les métriques des CloudWatch demandes Amazon pour Amazon S3. Pour plus d'informations sur l'affichage CloudWatch des métriques, consultez[Utiliser la console S3.](configure-request-metrics-bucket.md#configure-metrics).

   Si vous avez choisi de répliquer des objets chiffrés avec AWS KMS, procédez comme suit : 

   1. Sous **AWS KMS key pour le chiffrement des objets de destination**, spécifiez votre clé KMS de l’une des manières suivantes :
     + Pour choisir parmi une liste de clés KMS disponibles, choisissez **Choisir parmi vos clés AWS KMS keys**, puis sélectionnez votre **Clé KMS** dans la liste des clés disponibles.

       La clé Clé gérée par AWS (`aws/s3`) et la clé gérée par votre client apparaissent toutes deux dans cette liste. Pour plus d'informations sur les clés gérées par le client, consultez [Clés de client et clés AWS](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) dans le *Guide du développeur AWS Key Management Service *.
     + Pour saisir l’Amazon Resource Name (ARN) de la clé KMS, choisissez **Saisir l’ARN de AWS KMS key **, puis saisissez l’ARN de votre clé KMS dans le champ qui s’affiche. Cela chiffre les réplicas dans le compartiment de destination. Vous trouverez l’ARN de votre clé KMS dans la [console IAM](https://console.aws.amazon.com/iam/), sous **Clés de chiffrement**. 
     + Pour créer une nouvelle clé gérée par le client dans la AWS KMS console, choisissez **Create a KMS key**.

       Pour plus d'informations sur la création d'un AWS KMS key, consultez la section [Création de clés](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html) dans le *Guide du AWS Key Management Service développeur*.
**Important**  
Vous ne pouvez utiliser que les clés KMS activées au même endroit Région AWS que le bucket. Lorsque vous choisissez **Choisir parmi vos clés KMS**, la console S3 ne répertorie que 100 clés KMS par région. Si vous avez plus de 100 clés KMS dans la même Région, vous pourrez uniquement afficher les 100 premières clés KMS dans la console S3. Pour utiliser une clé KMS qui n’est pas répertoriée dans la console, choisissez **Saisir l’ARN de AWS KMS key **, puis saisissez l’ARN de la clé KMS.  
Lorsque vous utilisez un AWS KMS key pour le chiffrement côté serveur dans Amazon S3, vous devez choisir une clé KMS de chiffrement symétrique. Amazon S3 prend uniquement en charge les clés KMS symétriques de chiffrement et ne prend pas en charge les clés KMS asymétriques. Pour plus d’informations, consultez [Identification des clés KMS symétriques et asymétriques](https://docs.aws.amazon.com//kms/latest/developerguide/find-symm-asymm.html) dans le *Guide du développeur AWS Key Management Service *.

     Pour plus d'informations sur la création d'un AWS KMS key, consultez la section [Création de clés](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) dans le *Guide du AWS Key Management Service développeur*. Pour plus d'informations sur l'utilisation AWS KMS avec Amazon S3, consultez[Utilisation du chiffrement côté serveur à l'aide de AWS KMS clés (SSE-KMS)](UsingKMSEncryption.md).

1. Sous **Classe de stockage de destination**, si vous voulez répliquer vos données dans une classe de stockage spécifique dans le compartiment de destination, sélectionnez **Modifier la classe de stockage pour les objets répliqués**. Choisissez ensuite la classe de stockage que vous voulez utiliser pour les objets répliqués dans la destination. Si vous ne sélectionnez pas cette option, la classe de stockage utilisée pour les objets répliqués est identique à celle des objets d’origine.

1. Vous disposez des options supplémentaires suivantes lors de la définition des **Options de réplication supplémentaires** :
   + Si vous souhaitez activer le Contrôle du temps de réplication S3 (S3 RTC) dans votre configuration de réplication, sélectionnez **Contrôle du délai de réplication (RTC)**. Pour plus d’informations sur cette option, consultez [Satisfaction aux exigences de conformité à l’aide du contrôle du temps de réplication S3](replication-time-control.md).
   + Si vous souhaitez activer les métriques de réplication S3 dans votre configuration de réplication, sélectionnez **Replication metrics and events** (Métriques et événements de réplication). Pour de plus amples informations, veuillez consulter [Surveillance de la réplication avec des métriques, des notifications d’événements et des statuts](replication-metrics.md).
   + Si vous souhaitez activer la réplication de marqueurs de suppression dans votre configuration de réplication, sélectionnez **Réplication des marqueurs de suppression**. Pour de plus amples informations, veuillez consulter [Répliquer des marqueurs de suppression entre les compartiments](delete-marker-replication.md).
   + Si vous souhaitez activer la synchronisation des modifications de réplica Amazon S3 dans votre configuration de réplication, sélectionnez **Synchronisation des modifications de réplica**. Pour de plus amples informations, veuillez consulter [Réplication des modifications des métadonnées avec la synchronisation des modifications de réplica](replication-for-metadata-changes.md).
**Note**  
Des frais supplémentaires s’appliquent lorsque vous utilisez des métriques de réplication S3 RTC ou S3.

1. Pour terminer, choisissez **Enregistrer**.

1. Une fois votre règle enregistrée, vous pouvez la modifier, l’activer, la désactiver ou la supprimer en la sélectionnant et en choisissant **Edit rule (Modifier la règle)**. 

## À l'aide du AWS CLI
<a name="replication-ex1-cli"></a>

 AWS CLI Pour configurer la réplication lorsque les compartiments source et de destination appartiennent à la même entité Compte AWS, procédez comme suit :
+ Créez des compartiments source et de destination.
+ Activez la gestion des versions sur ces compartiments.
+ Créez un rôle Gestion des identités et des accès AWS (IAM) qui autorise Amazon S3 à répliquer des objets.
+ Ajoutez la configuration de réplication au compartiment source.

Testez votre configuration pour la vérifier.

**Pour configurer la réplication lorsque les compartiments source et de destination appartiennent à la même entité Compte AWS**

1. Définissez un profil d’informations d’identification pour l’ AWS CLI. Cet exemple utilise le nom de profil `acctA`. Pour obtenir des informations sur la définition des profils d’informations d’identification et l’utilisation de profils nommés, consultez [Paramètres des fichiers de configuration et d’informations d’identification](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) dans le *Guide de l’utilisateur AWS Command Line Interface *. 
**Important**  
Le profil que vous utilisez dans cet exemple doit disposer des autorisations nécessaires. Par exemple, dans la configuration de réplication, vous spécifiez le rôle IAM qu’Amazon S3 peut endosser. Vous ne pouvez effectuer cette tâche que si le profil que vous utilisez dispose de l’autorisation `iam:PassRole`. Pour plus d’informations, consultez [Octroi d’autorisations à un utilisateur pour transférer un rôle à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) dans le *Guide de l’utilisateur IAM*. Si vous utilisez les informations d’identification d’un administrateur pour créer un profil nommé, vous pouvez exécuter toutes les tâches. 

1. Créez un compartiment source et activez la gestion des versions sur celui-ci en utilisant les commandes AWS CLI suivantes. Pour utiliser ces commandes, remplacez *`user input placeholders`* par vos propres informations. 

   La commande `create-bucket` suivante crée un compartiment source nommé `amzn-s3-demo-source-bucket` dans la région USA Est (Virginie du Nord) (`us-east-1`) :

   

   ```
   aws s3api create-bucket \
   --bucket amzn-s3-demo-source-bucket \
   --region us-east-1 \
   --profile acctA
   ```

   La commande `put-bucket-versioning` suivante active la gestion des versions S3 sur le compartiment `amzn-s3-demo-source-bucket` : 

   ```
   aws s3api put-bucket-versioning \
   --bucket amzn-s3-demo-source-bucket \
   --versioning-configuration Status=Enabled \
   --profile acctA
   ```

1. Créez un compartiment de destination et activez le versionnement sur celui-ci à l'aide des AWS CLI commandes suivantes. Pour utiliser ces commandes, remplacez *`user input placeholders`* par vos propres informations. 
**Note**  
Pour configurer une configuration de réplication lorsque les compartiments source et de destination se trouvent dans les mêmes compartiments Compte AWS, vous utilisez le même profil pour les compartiments source et de destination. Cet exemple utilise `acctA`.   
Pour tester une configuration de réplication lorsque les buckets appartiennent à différents propriétaires Comptes AWS, spécifiez des profils différents pour chaque compte. Par exemple, utilisez un profil `acctB` pour le compartiment de destination.

   

   La commande `create-bucket` suivante crée un compartiment de destination nommé `amzn-s3-demo-destination-bucket` dans la région USA Ouest (Oregon) (`us-west-2`) :

   ```
   aws s3api create-bucket \
   --bucket amzn-s3-demo-destination-bucket \
   --region us-west-2 \
   --create-bucket-configuration LocationConstraint=us-west-2 \
   --profile acctA
   ```

   La commande `put-bucket-versioning` suivante active la gestion des versions S3 sur le compartiment `amzn-s3-demo-destination-bucket` : 

   ```
   aws s3api put-bucket-versioning \
   --bucket amzn-s3-demo-destination-bucket \
   --versioning-configuration Status=Enabled \
   --profile acctA
   ```

1. Créez un rôle IAM. Vous précisez ce rôle dans la configuration de réplication que vous ajouterez ultérieurement au compartiment source. Amazon S3 endosse ce rôle pour répliquer des objets en votre nom. Vous créez un rôle IAM en deux étapes.
   + Créez un rôle.
   + Attachez une stratégie d’autorisation au rôle.

   1. Créez le rôle IAM.

      1. Copiez la stratégie d’approbation suivante et enregistrez-la dans un fichier nommé `s3-role-trust-policy.json` dans le répertoire actif sur votre ordinateur local. Cette politique accorde au principal de service Amazon S3 les autorisations permettant d’endosser ce rôle.

------
#### [ JSON ]

****  

         ```
         {
            "Version":"2012-10-17",		 	 	 
            "Statement":[
               {
                  "Effect":"Allow",
                  "Principal":{
                     "Service":"s3.amazonaws.com"
                  },
                  "Action":"sts:AssumeRole"
               }
            ]
         }
         ```

------

      1. Exécutez la commande suivante pour créer un rôle.

         ```
         $ aws iam create-role \
         --role-name replicationRole \
         --assume-role-policy-document file://s3-role-trust-policy.json  \
         --profile acctA
         ```

   1. Attachez une stratégie d'autorisation au rôle.

      1. Copiez la politique d’autorisations suivante et enregistrez-la dans un fichier nommé `s3-role-permissions-policy.json` dans le répertoire actuel de votre ordinateur local. Cette stratégie accorde des autorisations pour diverses actions sur les compartiments et les objets Amazon S3. 

------
#### [ JSON ]

****  

         ```
         {
            "Version":"2012-10-17",		 	 	 
            "Statement":[
               {
                  "Effect":"Allow",
                  "Action":[
                     "s3:GetObjectVersionForReplication",
                     "s3:GetObjectVersionAcl",
                     "s3:GetObjectVersionTagging"
                  ],
                  "Resource":[
                     "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
                  ]
               },
               {
                  "Effect":"Allow",
                  "Action":[
                     "s3:ListBucket",
                     "s3:GetReplicationConfiguration"
                  ],
                  "Resource":[
                     "arn:aws:s3:::amzn-s3-demo-source-bucket"
                  ]
               },
               {
                  "Effect":"Allow",
                  "Action":[
                     "s3:ReplicateObject",
                     "s3:ReplicateDelete",
                     "s3:ReplicateTags"
                  ],
                  "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
               }
            ]
         }
         ```

------
**Note**  
Si vous souhaitez répliquer des objets chiffrés, vous devez également accorder les autorisations clés AWS Key Management Service (AWS KMS) nécessaires. Pour de plus amples informations, veuillez consulter [Réplication d’objets chiffrés (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
Pour utiliser Object Lock avec la réplication, vous devez accorder deux autorisations supplémentaires sur le compartiment S3 source dans le rôle Gestion des identités et des accès AWS (IAM) que vous utilisez pour configurer la réplication. Les deux autorisations supplémentaires sont `s3:GetObjectRetention` et `s3:GetObjectLegalHold`. Si le rôle dispose d’une déclaration d’autorisation `s3:Get*`, cette déclaration répond à l’exigence. Pour de plus amples informations, veuillez consulter [Utilisation du verrouillage d’objet avec la réplication S3](object-lock-managing.md#object-lock-managing-replication). 

      1. Exécutez la commande suivante pour créer une stratégie et l’attacher au rôle. Remplacez les *`user input placeholders`* par vos propres informations.

         ```
         $ aws iam put-role-policy \
         --role-name replicationRole \
         --policy-document file://s3-role-permissions-policy.json \
         --policy-name replicationRolePolicy \
         --profile acctA
         ```

1. Ajoutez une configuration de réplication au compartiment source. 

   1. Bien que l'API Amazon S3 exige que vous spécifiiez la configuration de réplication au format XML, elle AWS CLI exige que vous spécifiiez la configuration de réplication au format JSON. Enregistrez la configuration JSON dans un fichier (`replication.json`) dans le répertoire local de votre ordinateur.

      ```
      {
        "Role": "IAM-role-ARN",
        "Rules": [
          {
            "Status": "Enabled",
            "Priority": 1,
            "DeleteMarkerReplication": { "Status": "Disabled" },
            "Filter" : { "Prefix": "Tax"},
            "Destination": {
              "Bucket": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
            }
          }
        ]
      }
      ```

   1. Mettez à jour le code JSON en remplaçant les valeurs de `amzn-s3-demo-destination-bucket` et `IAM-role-ARN` par vos propres informations. Enregistrez les modifications.

   1. Exécutez la commande `put-bucket-replication` suivante pour ajouter la configuration de réplication à votre compartiment source. Veillez à fournir le nom du compartiment source.

      ```
      $ aws s3api put-bucket-replication \
      --replication-configuration file://replication.json \
      --bucket amzn-s3-demo-source-bucket \
      --profile acctA
      ```

   Pour récupérer la configuration de réplication, utilisez la commande `get-bucket-replication` :

   ```
   $ aws s3api get-bucket-replication \
   --bucket amzn-s3-demo-source-bucket \
   --profile acctA
   ```

1. Testez la configuration dans la console Amazon S3 en procédant comme suit :

   1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

   1. Dans le panneau de navigation de gauche, choisissez **Compartiments**. Dans la liste **Compartiments à usage général**, choisissez le compartiment source.

   1. Dans le compartiment source, créez un dossier nommé `Tax`. 

   1. Ajoutez des exemples d’objets dans le dossier `Tax` du compartiment source. 
**Note**  
Le temps nécessaire à Amazon S3 pour répliquer un objet dépend de la taille de l’objet. Pour obtenir des informations sur la consultation du statut de la réplication, consultez [Obtention d’informations sur le statut de la réplication](replication-status.md).

      Dans le compartiment de destination, vérifiez les éléments suivants :
      + Amazon S3 a répliqué les objets.
      + Les objets sont des réplicas. Dans l’onglet **Propriétés** de vos objets, faites défiler l’affichage vers le bas jusqu’à la section **Présentation de la gestion des objets**. Sous **Configurations de gestion**, lisez la valeur sous **Statut de réplication**. Assurez-vous que cette valeur est définie sur `REPLICA`.
      + Les réplicas appartiennent au compte du compartiment source. Vous pouvez vérifier l’appartenance des objets dans l’onglet **Autorisations** de vos objets. 

        Si les compartiments source et de destination appartiennent à des comptes différents, vous pouvez ajouter une configuration facultative pour indiquer à Amazon S3 de remplacer le propriétaire des réplicas par le compte de destination. Pour obtenir un exemple, consultez [Comment modifier le propriétaire du réplica](replication-change-owner.md#replication-walkthrough-3). 

## À l'aide du AWS SDKs
<a name="replication-ex1-sdk"></a>

Utilisez les exemples de code suivants pour ajouter une configuration de réplication à un compartiment avec le AWS SDK pour Java et AWS SDK pour .NET, respectivement.

**Note**  
Si vous souhaitez répliquer des objets chiffrés, vous devez également accorder les autorisations clés AWS Key Management Service (AWS KMS) nécessaires. Pour de plus amples informations, veuillez consulter [Réplication d’objets chiffrés (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)](replication-config-for-kms-objects.md).
Pour utiliser Object Lock avec la réplication, vous devez accorder deux autorisations supplémentaires sur le compartiment S3 source dans le rôle Gestion des identités et des accès AWS (IAM) que vous utilisez pour configurer la réplication. Les deux autorisations supplémentaires sont `s3:GetObjectRetention` et `s3:GetObjectLegalHold`. Si le rôle dispose d’une déclaration d’autorisation `s3:Get*`, cette déclaration répond à l’exigence. Pour de plus amples informations, veuillez consulter [Utilisation du verrouillage d’objet avec la réplication S3](object-lock-managing.md#object-lock-managing-replication). 

------
#### [ Java ]

Pour ajouter une configuration de réplication à un bucket, puis récupérer et vérifier la configuration à l'aide du AWS SDK for Java, vous pouvez utiliser le S3Client pour gérer les paramètres de réplication par programmation.

Pour des exemples de configuration de la réplication avec le AWS SDK pour Java, [consultez la section Définir la configuration de réplication sur un](https://docs.aws.amazon.com/AmazonS3/latest/API/s3_example_s3_PutBucketReplication_section.html) compartiment dans *le manuel Amazon S3 API* Reference.

------
#### [ C\$1 ]

L'exemple de AWS SDK pour .NET code suivant ajoute une configuration de réplication à un compartiment, puis la récupère. Pour utiliser ce code, fournissez les noms de vos compartiments et l’Amazon Resource Name (ARN) de votre rôle IAM. Pour plus d’informations sur la configuration et l’exécution des exemples de code, consultez [Premiers pas avec le kit AWS SDK pour .NET](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/net-dg-config.html) dans le *Guide du développeur AWS SDK pour .NET *. 

```
using Amazon;
using Amazon.S3;
using Amazon.S3.Model;
using System;
using System.Threading.Tasks;

namespace Amazon.DocSamples.S3
{
    class CrossRegionReplicationTest
    {
        private const string sourceBucket = "*** source bucket ***";
        // Bucket ARN example - arn:aws:s3:::destinationbucket
        private const string destinationBucketArn = "*** destination bucket ARN ***";
        private const string roleArn = "*** IAM Role ARN ***";
        // Specify your bucket region (an example region is shown).
        private static readonly RegionEndpoint sourceBucketRegion = RegionEndpoint.USWest2;
        private static IAmazonS3 s3Client;
        public static void Main()
        {
            s3Client = new AmazonS3Client(sourceBucketRegion);
            EnableReplicationAsync().Wait();
        }
        static async Task EnableReplicationAsync()
        {
            try
            {
                ReplicationConfiguration replConfig = new ReplicationConfiguration
                {
                    Role = roleArn,
                    Rules =
                        {
                            new ReplicationRule
                            {
                                Prefix = "Tax",
                                Status = ReplicationRuleStatus.Enabled,
                                Destination = new ReplicationDestination
                                {
                                    BucketArn = destinationBucketArn
                                }
                            }
                        }
                };

                PutBucketReplicationRequest putRequest = new PutBucketReplicationRequest
                {
                    BucketName = sourceBucket,
                    Configuration = replConfig
                };

                PutBucketReplicationResponse putResponse = await s3Client.PutBucketReplicationAsync(putRequest);

                // Verify configuration by retrieving it.
                await RetrieveReplicationConfigurationAsync(s3Client);
            }
            catch (AmazonS3Exception e)
            {
                Console.WriteLine("Error encountered on server. Message:'{0}' when writing an object", e.Message);
            }
            catch (Exception e)
            {
                Console.WriteLine("Unknown encountered on server. Message:'{0}' when writing an object", e.Message);
            }
        }
        private static async Task RetrieveReplicationConfigurationAsync(IAmazonS3 client)
        {
            // Retrieve the configuration.
            GetBucketReplicationRequest getRequest = new GetBucketReplicationRequest
            {
                BucketName = sourceBucket
            };
            GetBucketReplicationResponse getResponse = await client.GetBucketReplicationAsync(getRequest);
            // Print.
            Console.WriteLine("Printing replication configuration information...");
            Console.WriteLine("Role ARN: {0}", getResponse.Configuration.Role);
            foreach (var rule in getResponse.Configuration.Rules)
            {
                Console.WriteLine("ID: {0}", rule.Id);
                Console.WriteLine("Prefix: {0}", rule.Prefix);
                Console.WriteLine("Status: {0}", rule.Status);
            }
        }
    }
}
```

------

# Configuration de la réplication pour des compartiments dans des comptes distincts
<a name="replication-walkthrough-2"></a>

La réplication dynamique est la copie automatique et asynchrone d'objets dans des compartiments identiques ou différents. Régions AWS La réplication en direct copie les objets nouvellement créés et les mises à jour d’objets à partir d’un compartiment source vers un ou plusieurs compartiments de destination. Pour de plus amples informations, veuillez consulter [Réplication d’objets au sein des régions et entre elles](replication.md).

Lorsque vous configurez la réplication, vous ajoutez des règles de réplication au compartiment source. Les règles de réplication définissent les objets du compartiment source à répliquer, ainsi que le ou les compartiments de destination dans lesquels les objets répliqués seront stockés. Vous pouvez créer une règle pour répliquer tous les objets ou un sous-ensemble d’objets d’un compartiment à l’aide de préfixes de nom de clé ou d’autres balises d’objet, ou les deux. Un compartiment de destination peut se trouver dans le même compartiment Compte AWS que le compartiment source ou dans un autre compte.

Si vous spécifiez un ID de version d’objet à supprimer, Amazon S3 supprime cette version de l’objet dans le compartiment source. Mais le service ne réplique pas la suppression dans le compartiment de destination. En d’autres termes, il ne supprime pas la même version de l’objet dans le compartiment de destination. Les données sont ainsi protégées contre les suppressions malveillantes.

Lorsque vous ajoutez une règle de réplication à un compartiment, celle-ci est activée par défaut et entre en fonctionnement dès que vous l’enregistrez. 

La configuration de la réplication en direct quand les compartiments source et de destination appartiennent à des Comptes AWS différents est similaire à la configuration de la réplication quand les deux compartiments appartiennent au même compte. Toutefois, il existe plusieurs différences lorsque vous configurez la réplication dans un scénario intercompte : 
+ Le propriétaire du compartiment de destination doit accorder au propriétaire du compartiment source l’autorisation de répliquer des objets dans la politique de compartiment de destination. 
+ Si vous répliquez des objets chiffrés à l’aide d’un chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS) dans un scénario intercompte, le propriétaire de la clé KMS doit accorder au propriétaire du compartiment source l’autorisation d’utiliser la clé KMS. Pour de plus amples informations, veuillez consulter [Octroi d’autorisations supplémentaires pour les scénarios à plusieurs comptes](replication-config-for-kms-objects.md#replication-kms-cross-acct-scenario). 
+ Par défaut, les objets répliqués appartiennent au propriétaire du compartiment source. Dans un scénario intercompte, vous pouvez configurer la réplication pour remplacer le propriétaire des objets répliqués par le propriétaire du compartiment de destination. Pour de plus amples informations, veuillez consulter [Modification du propriétaire d’un réplica](replication-change-owner.md).

**Pour configurer la réplication lorsque les compartiments source et de destination appartiennent à des entités différentes Comptes AWS**

1. Dans cet exemple, vous créez les compartiments source et de destination dans deux Comptes AWS différents. Vous devez avoir défini deux profils d’informations d’identification pour l’ AWS CLI. Cet exemple utilise `acctA` et `acctB` pour ces noms de profil. Pour obtenir des informations sur la définition des profils d’informations d’identification et l’utilisation de profils nommés, consultez [Paramètres des fichiers de configuration et d’informations d’identification](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) dans le *Guide de l’utilisateur AWS Command Line Interface *. 

1. Suivez les step-by-step instructions en [Configuration d’une réplication pour des compartiments dans le même compte](replication-walkthrough1.md) apportant les modifications suivantes :
   + Pour toutes les AWS CLI commandes liées aux activités du compartiment source (telles que la création du compartiment source, l'activation du versionnement et la création du rôle IAM), utilisez le `acctA` profil. Utilisez le profil `acctB` pour créer le compartiment de destination. 
   + Assurez-vous que la politique d’autorisations pour le rôle IAM spécifie les compartiments source et de destination que vous avez créés pour cet exemple.

1. Dans la console, ajoutez la politique de compartiment suivante au compartiment de destination pour autoriser le propriétaire du compartiment source à répliquer des objets. Pour obtenir des instructions, veuillez consulter [Ajout d’une stratégie de compartiment à l’aide de la console Amazon S3](add-bucket-policy.md). Veillez à modifier la politique en fournissant l' Compte AWS ID du propriétaire du compartiment source, le nom du rôle IAM et le nom du compartiment de destination. 
**Note**  
Pour utiliser l’exemple suivant, remplacez les `user input placeholders` par vos propres informations. Remplacez `amzn-s3-demo-destination-bucket` par le nom de votre compartiment de destination. Remplacez `source-bucket-account-ID:role/service-role/source-account-IAM-role` dans l’Amazon Resource Name (ARN) IAM par le rôle IAM que vous utilisez pour cette configuration de réplication.  
Si vous avez créé le rôle de service IAM manuellement, définissez le chemin du rôle dans l’ARN IAM sur `role/service-role/`, comme illustré dans l’exemple de politique suivant. Pour plus d'informations, consultez la section [IAM ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) dans le guide de l'*utilisateur d'IAM*. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Id": "",
       "Statement": [
           {
               "Sid": "Set-permissions-for-objects",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
               },
               "Action": [
                   "s3:ReplicateObject",
                   "s3:ReplicateDelete"
               ],
               "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
           },
           {
               "Sid": "Set-permissions-on-bucket",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
               },
               "Action": [
                   "s3:GetBucketVersioning",
                   "s3:PutBucketVersioning"
               ],
               "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
           }
       ]
   }
   ```

------

1. (Facultatif) Si vous répliquez des objets chiffrés par SSE-KMS, le propriétaire de la clé KMS doit accorder au propriétaire du compartiment source l’autorisation d’utiliser la clé KMS. Pour de plus amples informations, veuillez consulter [Octroi d’autorisations supplémentaires pour les scénarios à plusieurs comptes](replication-config-for-kms-objects.md#replication-kms-cross-acct-scenario).

1. (Facultatif) Dans une réplication, par défaut, le réplica appartient au propriétaire de l’objet source. Lorsque les compartiments source et de destination appartiennent à des propriétaires différents Comptes AWS, vous pouvez ajouter des paramètres de configuration facultatifs pour remplacer la propriété des répliques par le Compte AWS propriétaire des compartiments de destination. Cela comprend l’octroi de l’autorisation `ObjectOwnerOverrideToBucketOwner`. Pour de plus amples informations, veuillez consulter [Modification du propriétaire d’un réplica](replication-change-owner.md).

# Modification du propriétaire d’un réplica
<a name="replication-change-owner"></a>

Dans une réplication, par défaut, le réplica appartient également au propriétaire de l’objet source. Toutefois, lorsque les compartiments source et de destination appartiennent à des propriétaires différents Comptes AWS, vous souhaiterez peut-être modifier le propriétaire de la réplique. Par exemple, vous pouvez changer l’appartenance afin de limiter l’accès aux réplicas d’objets. Dans votre configuration de réplication, vous pouvez ajouter des paramètres de configuration facultatifs pour remplacer la propriété des répliques par Compte AWS celle qui détient les compartiments de destination. 

Pour changer le propriétaire des réplicas, procédez comme suit :
+ Ajoutez l’option de *substitution du propriétaire* à la configuration de réplication pour indiquer à Amazon S3 de modifier le propriétaire des réplicas. 
+ Accordez à Amazon S3 l’autorisation `s3:ObjectOwnerOverrideToBucketOwner` de modifier le propriétaire des réplicas. 
+ Ajoutez l’autorisation `s3:ObjectOwnerOverrideToBucketOwner` dans la politique du compartiment de destination pour autoriser la modification du propriétaire des réplicas. L’autorisation `s3:ObjectOwnerOverrideToBucketOwner` permet au propriétaire des compartiments de destination d’accepter la propriété des réplicas d’objet.

Pour plus d’informations, consultez [Considérations relatives à l’option de substitution de propriété](#repl-ownership-considerations) et [Ajout de l’option de substitution du propriétaire à la configuration de réplication](#repl-ownership-owneroverride-option). Pour un exemple pratique avec des step-by-step instructions, voir[Comment modifier le propriétaire du réplica](#replication-walkthrough-3).

**Important**  
Au lieu d’utiliser l’option de substitution du propriétaire, vous pouvez utiliser le paramètre appliqué par le propriétaire du compartiment pour Propriété d’objets. Lorsque vous utilisez la réplication et que les compartiments source et de destination appartiennent à des propriétaires différents Comptes AWS, le propriétaire du compartiment de destination peut utiliser le paramètre imposé par le propriétaire du compartiment pour Object Ownership afin de remplacer la propriété de la réplique par le Compte AWS propriétaire du bucket de destination. Ce paramètre désactive les listes de contrôle d'accès aux objets (ACLs).   
Le paramètre appliqué par le propriétaire du compartiment imite le comportement de substitution de propriétaire existant sans avoir besoin de l’autorisation `s3:ObjectOwnerOverrideToBucketOwner`. Tous les objets répliqués dans le compartiment de destination avec le paramètre Propriétaire du compartiment appliqué appartiennent au propriétaire du compartiment de destination. Pour en savoir plus sur la propriété des objets, consultez [Contrôle de la propriété des objets et désactivation ACLs pour votre compartiment](about-object-ownership.md).

## Considérations relatives à l’option de substitution de propriété
<a name="repl-ownership-considerations"></a>

Lorsque vous configurez l’option de substitution de propriété, les considérations suivantes s’appliquent :
+ Par défaut, le propriétaire de l’objet source possède également le réplica. Amazon S3 réplique la version de l’objet et la liste ACL qui lui est associée.

  Si vous ajoutez l’option de substitution de propriétaire à votre configuration de réplication, Amazon S3 réplique uniquement la version de l’objet, mais pas la liste ACL. En outre, Amazon S3 ne réplique pas les modifications ultérieures de la liste ACL de l’objet source. Amazon S3 définit la liste ACL sur le réplica qui accorde un contrôle total au propriétaire du compartiment de destination. 
+  Lorsque vous mettez à jour une configuration de réplication pour activer ou désactiver la substitution de propriétaire, le comportement suivant intervient :
  + Si vous ajoutez l’option de substitution du propriétaire à la configuration de réplication :

    Quand Amazon S3 réplique une version de l’objet, il supprime la liste ACL associée à l’objet source. Amazon S3 définit à la place la liste ACL sur le réplica et accorde un contrôle total au propriétaire du compartiment de destination. Amazon S3 ne réplique pas les modifications ultérieures de la liste ACL de l’objet source. Toutefois, cette modification de liste de contrôle d’accès (ACL) ne s’applique pas aux versions d’objet répliquées avant la définition de l’option de substitution du propriétaire. Les mises à jour de liste de contrôle d’accès (ACL) pour les objets source répliqués avant la spécification de la substitution du propriétaire continuent donc d’être répliquées (car l’objet et ses réplicas continuent d’avoir le même propriétaire).
  + Si vous supprimez l’option de substitution du propriétaire de la configuration de réplication :

    Amazon S3 réplique les nouveaux objets qui apparaissent dans le compartiment source et dans les compartiments associés ACLs aux compartiments de destination. Pour les objets qui ont été répliqués avant que vous ne supprimiez le remplacement du propriétaire, Amazon S3 ne les réplique pas, ACLs car le changement de propriété de l'objet effectué par Amazon S3 reste en vigueur. En d'autres ACLs termes, la version de l'objet qui a été répliquée lorsque la dérogation par le propriétaire a été définie continue à ne pas être répliquée.

## Ajout de l’option de substitution du propriétaire à la configuration de réplication
<a name="repl-ownership-owneroverride-option"></a>

**Avertissement**  
Ajoutez l'option de remplacement du propriétaire uniquement lorsque les compartiments source et de destination appartiennent à des propriétaires différents. Comptes AWS Amazon S3 ne vérifie pas si les compartiments appartiennent au même compte ou à des comptes différents. Si vous ajoutez le remplacement du propriétaire alors que les deux compartiments appartiennent au même propriétaire Compte AWS, Amazon S3 applique le remplacement du propriétaire. Cette option accorde des autorisations complètes au propriétaire du compartiment de destination et ne reproduit pas les mises à jour ultérieures des listes de contrôle d'accès des objets sources ()ACLs. Le propriétaire du réplica peut procéder directement à des modifications de la liste de contrôle d’accès (ACL) associée à un réplica à l’aide d’une requête `PutObjectAcl`, mais pas par l’intermédiaire de la réplication.

Pour spécifier l’option de substitution du propriétaire, ajoutez les informations suivantes à chaque élément `Destination` : 
+ L’élément `AccessControlTranslation`, qui indique à Amazon S3 de modifier le propriétaire des réplicas
+ L'`Account`élément, qui indique le propriétaire Compte AWS du compartiment de destination 

```
<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
    ...
    <Destination>
      ...
      <AccessControlTranslation>
           <Owner>Destination</Owner>
       </AccessControlTranslation>
      <Account>destination-bucket-owner-account-id</Account>
    </Destination>
  </Rule>
</ReplicationConfiguration>
```

L’exemple de configuration de réplication suivant indique à Amazon S3 de répliquer les objets ayant le préfixe de clé *`Tax`* dans le compartiment de destination `amzn-s3-demo-destination-bucket` et de modifier le propriétaire des réplicas. Pour utiliser cet exemple, remplacez les `user input placeholders` par vos propres informations.

```
<?xml version="1.0" encoding="UTF-8"?>
<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
   <Role>arn:aws:iam::account-id:role/role-name</Role>
   <Rule>
      <ID>Rule-1</ID>
      <Priority>1</Priority>
      <Status>Enabled</Status>
      <DeleteMarkerReplication>
         <Status>Disabled</Status>
      </DeleteMarkerReplication>
      <Filter>
         <Prefix>Tax</Prefix>
      </Filter>
      <Destination>
         <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
         <Account>destination-bucket-owner-account-id</Account>
         <AccessControlTranslation>
            <Owner>Destination</Owner>
         </AccessControlTranslation>
      </Destination>
   </Rule>
</ReplicationConfiguration>
```

## Octroi à Amazon S3 de l’autorisation de modifier le propriétaire des réplicas
<a name="repl-ownership-add-role-permission"></a>

Accordez à Amazon S3 l'autorisation de modifier la propriété de la réplique en ajoutant l'autorisation pour l'`s3:ObjectOwnerOverrideToBucketOwner`action dans la politique d'autorisation associée au rôle Gestion des identités et des accès AWS (IAM). Il s’agit du rôle IAM spécifié dans la configuration de réplication qui autorise Amazon S3 à endosser le rôle et à répliquer les objets en votre nom. Pour utiliser l’exemple suivant, remplacez `amzn-s3-demo-destination-bucket` par le nom du compartiment de destination.

```
...
{
    "Effect":"Allow",
         "Action":[
       "s3:ObjectOwnerOverrideToBucketOwner"
    ],
    "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
}
...
```

## Ajout d’autorisations dans la stratégie du compartiment de destination pour autoriser la modification de propriété du réplica
<a name="repl-ownership-accept-ownership-b-policy"></a>

Le propriétaire du compartiment de destination doit accorder au propriétaire du compartiment source l’autorisation de modifier la propriété du réplica. Le propriétaire du compartiment de destination accorde au propriétaire du compartiment source l’autorisation pour l’action `s3:ObjectOwnerOverrideToBucketOwner`. Cette autorisation permet au propriétaire du compartiment de destination d’accepter la propriété des réplicas d’objet. L’exemple d’instruction de politique de compartiment suivant montre comment procéder. Pour utiliser cet exemple, remplacez les `user input placeholders` par vos propres informations.

```
...
{
    "Sid":"1",
    "Effect":"Allow",
    "Principal":{"AWS":"source-bucket-account-id"},
    "Action":["s3:ObjectOwnerOverrideToBucketOwner"],
    "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
}
...
```

## Comment modifier le propriétaire du réplica
<a name="replication-walkthrough-3"></a>

Lorsque les compartiments source et de destination d'une configuration de réplication appartiennent à des propriétaires différents Comptes AWS, vous pouvez demander à Amazon S3 de remplacer le propriétaire de la réplique par Compte AWS celui qui détient le compartiment de destination. Les exemples suivants montrent comment utiliser la console Amazon S3, le AWS Command Line Interface (AWS CLI) et le AWS SDKs pour modifier le propriétaire de la réplique. 

### Utilisation de la console S3
<a name="replication-ex3-console"></a>

Pour step-by-step obtenir des instructions, voir[Configuration d’une réplication pour des compartiments dans le même compte](replication-walkthrough1.md). Cette rubrique fournit des instructions pour configurer une configuration de réplication lorsque les compartiments source et de destination sont détenus de manière identique et différente Comptes AWS.

### À l'aide du AWS CLI
<a name="replication-ex3-cli"></a>

La procédure suivante explique comment changer l’appartenance du réplica à l’aide de l’ AWS CLI. Dans cette procédure, effectuez les opérations suivantes : 
+ Créez les compartiments source et de destination.
+ Activez la gestion des versions sur ces compartiments.
+ Créez un rôle Gestion des identités et des accès AWS (IAM) qui autorise Amazon S3 à répliquer des objets.
+ Ajoutez la configuration de réplication au compartiment source.
+ Dans la configuration de réplication, vous chargez Amazon S3 de changer l’appartenance du réplica.
+ Vous testez votre configuration de réplication.

**Pour modifier la propriété de la réplique lorsque les compartiments source et de destination appartiennent à des entités différentes Comptes AWS ()AWS CLI**

Pour utiliser les exemples de AWS CLI commandes de cette procédure, remplacez-les `user input placeholders` par vos propres informations. 

1. Dans cet exemple, vous créez les compartiments source et destination dans deux compartiments différents Comptes AWS. Pour utiliser ces deux comptes, configurez l’ AWS CLI avec deux profils nommés. Cet exemple utilise des profils respectivement nommés *`acctA`* et *`acctB`*. Pour obtenir des informations sur la définition des profils d’informations d’identification et l’utilisation de profils nommés, consultez [Paramètres des fichiers de configuration et d’informations d’identification](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) dans le *Guide de l’utilisateur AWS Command Line Interface *. 
**Important**  
Les profils que vous utilisez pour cette procédure doivent disposer des autorisations nécessaires. Par exemple, dans la configuration de réplication, vous spécifiez le rôle IAM qu’Amazon S3 peut endosser. Vous ne pouvez effectuer cette tâche que si le profil que vous utilisez dispose de l’autorisation `iam:PassRole`. Si vous utilisez des informations d’identification d’administrateur pour créer un profil nommé, vous pouvez effectuer toutes les tâches de cette procédure. Pour plus d’informations, consultez [Octroi d’autorisations à un utilisateur pour transférer un rôle à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) dans le *Guide de l’utilisateur IAM*. 

1. Créez le compartiment source et activez la gestion des versions. Cet exemple crée un compartiment source nommé `amzn-s3-demo-source-bucket` dans la région USA Est (Virginie du Nord) (`us-east-1`). 

   ```
   aws s3api create-bucket \
   --bucket amzn-s3-demo-source-bucket \
   --region us-east-1 \
   --profile acctA
   ```

   ```
   aws s3api put-bucket-versioning \
   --bucket amzn-s3-demo-source-bucket \
   --versioning-configuration Status=Enabled \
   --profile acctA
   ```

1. Créez un compartiment de destination et activez la gestion des versions. Cet exemple crée un compartiment de destination nommé `amzn-s3-demo-destination-bucket` dans la région USA Ouest (Oregon) (`us-west-2`). Utilisez un profil de Compte AWS différent de celui utilisé pour le compartiment source.

   ```
   aws s3api create-bucket \
   --bucket amzn-s3-demo-destination-bucket \
   --region us-west-2 \
   --create-bucket-configuration LocationConstraint=us-west-2 \
   --profile acctB
   ```

   ```
   aws s3api put-bucket-versioning \
   --bucket amzn-s3-demo-destination-bucket \
   --versioning-configuration Status=Enabled \
   --profile acctB
   ```

1. Vous devez ajouter des autorisations à la stratégie de votre compartiment de destination pour autoriser la modification de propriété du réplica.

   1.  Enregistrez la politique suivante dans un fichier nommé `destination-bucket-policy.json`. Veillez à remplacer les *`user input placeholders`* par vos propres informations.

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Sid": "destination_bucket_policy_sid",
                  "Principal": {
                      "AWS": "source-bucket-owner-123456789012"
                  },
                  "Action": [
                      "s3:ReplicateObject",
                      "s3:ReplicateDelete",
                      "s3:ObjectOwnerOverrideToBucketOwner",
                      "s3:ReplicateTags",
                      "s3:GetObjectVersionTagging"
                  ],
                  "Effect": "Allow",
                  "Resource": [
                      "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
                  ]
              }
          ]
      }
      ```

------

   1. Ajoutez la politique précédente au compartiment de destination à l’aide de la commande `put-bucket-policy` suivante :

      ```
      aws s3api put-bucket-policy --region $ {destination-region} --bucket $ {amzn-s3-demo-destination-bucket} --policy file://destination_bucket_policy.json
      ```

1. Créez un rôle IAM. Vous précisez ce rôle dans la configuration de réplication que vous ajouterez ultérieurement au compartiment source. Amazon S3 endosse ce rôle pour répliquer des objets en votre nom. Vous créez un rôle IAM en deux étapes.
   + Créez le rôle.
   + Attachez une stratégie d’autorisation au rôle.

   1. Créez le rôle IAM.

      1. Copiez la stratégie d’approbation suivante et enregistrez-la dans un fichier nommé `s3-role-trust-policy.json` dans le répertoire actif sur votre ordinateur local. Cette stratégie octroie à Amazon S3 les autorisations pour endosser le rôle.

------
#### [ JSON ]

****  

         ```
         {
            "Version":"2012-10-17",		 	 	 
            "Statement":[
               {
                  "Effect":"Allow",
                  "Principal":{
                     "Service":"s3.amazonaws.com"
                  },
                  "Action":"sts:AssumeRole"
               }
            ]
         }
         ```

------

      1. Exécutez la AWS CLI `create-role` commande suivante pour créer le rôle IAM :

         ```
         $ aws iam create-role \
         --role-name replicationRole \
         --assume-role-policy-document file://s3-role-trust-policy.json  \
         --profile acctA
         ```

         Notez l’Amazon Resource Name (ARN) du rôle IAM que vous avez créé. Vous aurez besoin de cet ARN dans une étape ultérieure.

   1. Attachez une stratégie d'autorisation au rôle.

      1. Copiez la politique d’autorisations suivante et enregistrez-la dans un fichier nommé `s3-role-perm-pol-changeowner.json` dans le répertoire actuel de votre ordinateur local. Cette stratégie accorde des autorisations pour diverses actions sur les compartiments et les objets Amazon S3. Au cours des étapes suivantes, vous attachez cette politique au rôle IAM que vous avez créé précédemment. 

------
#### [ JSON ]

****  

         ```
         {
            "Version":"2012-10-17",		 	 	 
            "Statement":[
               {
                  "Effect":"Allow",
                  "Action":[
                     "s3:GetObjectVersionForReplication",
                     "s3:GetObjectVersionAcl"
                  ],
                  "Resource":[
                     "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
                  ]
               },
               {
                  "Effect":"Allow",
                  "Action":[
                     "s3:ListBucket",
                     "s3:GetReplicationConfiguration"
                  ],
                  "Resource":[
                     "arn:aws:s3:::amzn-s3-demo-source-bucket"
                  ]
               },
               {
                  "Effect":"Allow",
                  "Action":[
                     "s3:ReplicateObject",
                     "s3:ReplicateDelete",
                     "s3:ObjectOwnerOverrideToBucketOwner",
                     "s3:ReplicateTags",
                     "s3:GetObjectVersionTagging"
                  ],
                  "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
               }
            ]
         }
         ```

------

      1. Pour attacher la politique d’autorisations précédente au rôle, exécutez la commande `put-role-policy` suivante :

         ```
         $ aws iam put-role-policy \
         --role-name replicationRole \
         --policy-document file://s3-role-perm-pol-changeowner.json \
         --policy-name replicationRolechangeownerPolicy \
         --profile acctA
         ```

1. Ajoutez une configuration de réplication à votre compartiment source.

   1.  AWS CLI Nécessite de spécifier la configuration de réplication au format JSON. Enregistrez la configuration JSON suivante dans un fichier nommé `replication.json` dans le répertoire actif sur votre ordinateur local. Dans cette configuration, `AccessControlTranslation` spécifie le changement d’appartenance du réplica du propriétaire du compartiment source au propriétaire du compartiment de destination. 

      ```
      {
         "Role":"IAM-role-ARN",
         "Rules":[
            {
               "Status":"Enabled",
               "Priority":1,
               "DeleteMarkerReplication":{
                  "Status":"Disabled"
               },
               "Filter":{
               },
               "Status":"Enabled",
               "Destination":{
                  "Bucket":"arn:aws:s3:::amzn-s3-demo-destination-bucket",
                  "Account":"destination-bucket-owner-account-id",
                  "AccessControlTranslation":{
                     "Owner":"Destination"
                  }
               }
            }
         ]
      }
      ```

   1. Modifiez le code JSON en fournissant des valeurs pour le nom du compartiment de destination, l’ID de compte du propriétaire du compartiment de destination et `IAM-role-ARN`. Remplacez *`IAM-role-ARN`* par l’ARN du rôle IAM que vous avez créé auparavant. Enregistrez les Modifications.

   1. Pour ajouter la configuration de réplication au compartiment source, exécutez la commande suivante :

      ```
      $ aws s3api put-bucket-replication \
      --replication-configuration file://replication.json \
      --bucket amzn-s3-demo-source-bucket \
      --profile acctA
      ```

1. Testez votre configuration de réplication en vérifiant l’appartenance du réplica dans la console Amazon S3.

   1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

   1. Ajoutez des objets au compartiment source. Vérifiez que le compartiment de destination contient les répliques d'objets et que le propriétaire des répliques a été remplacé par Compte AWS celui qui détient le compartiment de destination.

### À l'aide du AWS SDKs
<a name="replication-ex3-sdk"></a>

 Pour obtenir un exemple de code illustrant l’ajout d’une configuration de réplication, consultez [À l'aide du AWS SDKs](replication-walkthrough1.md#replication-ex1-sdk). Vous devez modifier la configuration de réplication en conséquence. Pour obtenir des informations conceptuelles, consultez [Modification du propriétaire d’un réplica](#replication-change-owner). 

# Satisfaction aux exigences de conformité à l’aide du contrôle du temps de réplication S3
<a name="replication-time-control"></a>

Le contrôle du délai de réplication Amazon S3 vous aide à respecter les règles de conformité et les besoins métier en matière de réplication des données, et améliore la visibilité des délais de réplication Amazon S3. Le contrôle du temps de réplication S3 permet de répliquer la plupart des objets que vous chargez dans Amazon S3 en quelques secondes, et 99,9 % de ces objets en 15 minutes. 

Par défaut, le contrôle du temps de réplication S3 inclut deux méthodes pour suivre la progression de la réplication : 
+ **Métriques de réplication S3** : vous pouvez utiliser les métriques de réplication S3 pour surveiller le nombre total d’opérations d’API S3 en attente de réplication, la taille totale des objets en attente de réplication, la durée maximale de réplication vers la région de destination et le nombre total d’opérations pour lesquelles la réplication a échoué. Vous pouvez ensuite surveiller chaque jeu de données que vous répliquez séparément. Vous pouvez également activer les métriques de réplication S3 indépendamment du contrôle du temps de réplication S3. Pour de plus amples informations, veuillez consulter [Utilisation des métriques de réplication S3](repl-metrics.md).

  Les règles de réplication avec le contrôle du temps de réplication S3 (S3 RTC) activé publient des métriques de réplication S3. Les mesures de réplication sont disponibles dans les 15 minutes suivant l’activation de S3 RTC. Les métriques de réplication sont disponibles via la console Amazon S3, l'API Amazon S3 AWS SDKs, the, AWS Command Line Interface the (AWS CLI) et Amazon CloudWatch. Pour plus d'informations sur CloudWatch les métriques, consultez[Surveillance des métriques avec Amazon CloudWatch](cloudwatch-monitoring.md). Pour plus d’informations sur la consultation des métriques de réplication via la console Amazon S3, consultez [Affichage des métriques de réplication](repl-metrics.md#viewing-replication-metrics).

  Les métriques de réplication S3 sont facturées au même tarif que les métriques CloudWatch personnalisées d'Amazon. Pour plus d'informations, consultez [ CloudWatchles tarifs Amazon](https://aws.amazon.com/cloudwatch/pricing/). 
+ **Notifications d’événement Amazon S3** : le contrôle du temps de réplication S3 fournit des événements `OperationMissedThreshold` et `OperationReplicatedAfterThreshold` qui notifient le propriétaire du compartiment si la réplication d’objet dépasse ou a lieu après le seuil de 15 minutes. Avec le contrôle du temps de réplication S3, les notifications d’événements Amazon S3 peuvent vous avertir dans les rares cas où les objets ne se répliquent pas dans les 15 minutes mais après le seuil de 15 minutes. 

  Les événements de réplication sont disponibles dans les 15 minutes suivant l’activation du contrôle du délai de réplication S3. Les notifications d'événements Amazon S3 sont disponibles via Amazon SQS, Amazon SNS ou. AWS Lambda Pour de plus amples informations, veuillez consulter [Recevoir des événements d’échec de réplication avec des notifications d’événements Amazon S3](replication-metrics-events.md).

 

## Bonnes pratiques et directives pour le contrôle du temps de réplication S3
<a name="rtc-best-practices"></a>

Lorsque vous répliquez des données dans Amazon S3 avec le contrôle du temps de réplication S3 (S3 RTC), suivez les directives de ces bonnes pratiques pour optimiser les performances de réplication pour vos charges de travail. 

**Topics**
+ [

### Directives en matière de performances de réplication et de débit de demandes Amazon S3
](#rtc-request-rate-performance)
+ [

### Estimation de vos débits de demandes de réplication
](#estimating-replication-request-rates)
+ [

### Dépassement des quotas de débit de transfert de données RTC S3
](#exceed-rtc-data-transfer-limits)
+ [

### AWS KMS taux de demandes de réplication d'objets chiffrés
](#kms-object-replication-request-rates)

### Directives en matière de performances de réplication et de débit de demandes Amazon S3
<a name="rtc-request-rate-performance"></a>

Vos applications peuvent exécuter des milliers de transactions par seconde en termes de performances de demande lors du chargement et de la récupération du stockage depuis Amazon S3. Par exemple, une application peut atteindre au moins 3 500 demandes `PUT`/`COPY`/`POST`/`DELETE` ou 5 500 demandes `GET`/`HEAD` par seconde et par préfixe dans un compartiment S3, y compris les demandes que la réplication S3 effectue en votre nom. Il n’existe aucune limite au nombre de préfixes dans un compartiment. Vous pouvez augmenter vos performances de lecture et d’écriture en effectuant une mise en parallèle des lectures. Par exemple, si vous créez 10 préfixes dans un compartiment S3 pour paralléliser les lectures, vous pouvez mettre à l’échelle vos performances de lecture à 55 000 demandes de lecture par seconde. 

Amazon S3 effectue automatiquement une mise à l’échelle en réponse à des débits de demandes soutenus supérieurs à ces directives, ou à des débits de demandes soutenus simultanés à des demandes `LIST`. Tandis qu’Amazon S3 optimise en interne le débit de nouvelles demandes, vous pouvez recevoir temporairement des réponses HTTP 503 jusqu’à ce que l’optimisation soit terminée. Ce comportement peut se produire avec des augmentations des débits de demandes par seconde, ou lorsque vous activez S3 RTC pour la première fois. Au cours de ces périodes, votre latence de réplication peut augmenter. Le contrat de niveau de service (SLA) du contrôle du délai de réplication S3 ne s’applique pas aux périodes où les directives en matière de performances Amazon S3 sur les demandes par seconde sont dépassées. 

Le SLA du contrôle du temps de réplication S3 ne s’applique pas non plus pendant les périodes où votre débit de transfert de données de réplication dépasse le quota par défaut de 1 gigabit par seconde (Gbit/s). Si vous pensez que votre débit de transfert de réplication va dépasser 1 Gbit/s, vous pouvez contacter le [Centre AWS Support](https://console.aws.amazon.com/support/home#/) ou utiliser [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) pour demander une augmentation de votre quota de débit de transfert de réplication. 

### Estimation de vos débits de demandes de réplication
<a name="estimating-replication-request-rates"></a>

Votre débit de demandes total, y compris les demandes que la réplication Amazon S3 effectue en votre nom, doit être conforme aux directives en matière de débit de demandes Amazon S3 pour les compartiments source et de destination de réplication. Pour chaque objet répliqué, la réplication Amazon S3 effectue jusqu’à cinq demandes `GET`/`HEAD` et une demande `PUT` vers le compartiment source, ainsi qu’une demande `PUT` vers chaque compartiment de destination.

Par exemple, si vous envisagez de répliquer 100 objets par seconde, la réplication Amazon S3 peut effectuer 100 demandes `PUT` supplémentaires en votre nom pour un total de 200 demandes `PUT` par seconde vers le compartiment S3 source. La réplication Amazon S3 peut également effectuer jusqu’à 500 demandes `GET`/`HEAD` (5 demandes `GET`/`HEAD` pour chaque objet répliqué). 

**Note**  
Vous n’engagez des coûts que pour une seule demande `PUT` par objet répliqué. Pour plus d'informations, consultez les informations tarifaires [ FAQs sur la réplication dans Amazon S3](https://aws.amazon.com/s3/faqs/#Replication). 

### Dépassement des quotas de débit de transfert de données RTC S3
<a name="exceed-rtc-data-transfer-limits"></a>

Si vous pensez que votre débit de transfert de données RTC S3 va dépasser le quota par défaut de 1 Gbit/s, contactez le [Centre AWS Support](https://console.aws.amazon.com/support/home#/) ou utilisez [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) pour demander une augmentation de votre quota de débit de transfert de réplication. 

### AWS KMS taux de demandes de réplication d'objets chiffrés
<a name="kms-object-replication-request-rates"></a>

Lorsque vous répliquez des objets chiffrés avec un chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS), des quotas de AWS KMS demandes par seconde s'appliquent. AWS KMS peut rejeter une demande par ailleurs valide car votre taux de demandes dépasse le quota du nombre de demandes par seconde. Lorsqu'une demande est limitée, AWS KMS renvoie une `ThrottlingException` erreur. Le quota de taux de AWS KMS demandes s'applique aux demandes que vous effectuez directement et aux demandes effectuées par Amazon S3 Replication en votre nom. 

Par exemple, si vous prévoyez de répliquer 1 000 objets par seconde, vous pouvez soustraire 2 000 demandes de votre quota de taux de AWS KMS demandes. Le taux de requêtes par seconde qui en résulte est disponible pour vos AWS KMS charges de travail, à l'exception de la réplication. Vous pouvez utiliser [les statistiques des AWS KMS demandes sur Amazon CloudWatch](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html) pour surveiller le taux total de AWS KMS demandes sur votre Compte AWS.

Pour demander une augmentation de votre quota de AWS KMS demandes par seconde, contactez [AWS Support Center](https://console.aws.amazon.com/support/home#/) ou utilisez [Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html). 

## Activation du contrôle du délai de réplication S3
<a name="replication-walkthrough-5"></a>

Vous pouvez commencer à utiliser le contrôle du délai de réplication S3 avec une règle de réplication nouvelle ou existante. Vous pouvez choisir d’appliquer votre règle de réplication à un compartiment entier ou à des objets avec un préfixe ou une balise spécifique. Lorsque vous activez S3 RTC, les métriques de réplication S3 sont également activées sur votre règle de réplication. 

Vous pouvez configurer S3 RTC à l'aide de la console Amazon S3, de l'API Amazon S3, du AWS SDKs, et du AWS Command Line Interface (AWS CLI).

**Topics**

### Utilisation de la console S3
<a name="replication-ex5-console"></a>

Pour step-by-step obtenir des instructions, voir[Configuration d’une réplication pour des compartiments dans le même compte](replication-walkthrough1.md). Cette rubrique fournit des instructions pour activer S3 RTC dans votre configuration de réplication lorsque les compartiments source et de destination sont détenus de la même manière et de manière différente. Comptes AWS

### À l'aide du AWS CLI
<a name="replication-ex5-cli"></a>

 AWS CLI Pour répliquer des objets lorsque S3 RTC est activé, vous devez créer des compartiments, activer le contrôle de version sur les compartiments, créer un rôle IAM qui autorise Amazon S3 à répliquer des objets et ajouter la configuration de réplication au compartiment source. La configuration de réplication doit avoir activé S3 RTC, comme illustré dans l’exemple suivant. 

Pour step-by-step obtenir des instructions sur la configuration de votre réplication à l'aide du AWS CLI, consultez[Configuration d’une réplication pour des compartiments dans le même compte](replication-walkthrough1.md).

L’exemple de configuration de réplication suivant active et définit les valeurs `ReplicationTime` et `EventThreshold` pour une règle de réplication. L’activation et la définition de ces valeurs permettent d’activer S3 RTC sur la règle.

```
{
    "Rules": [
        {
            "Status": "Enabled",
            "Filter": {
                "Prefix": "Tax"
            },
            "DeleteMarkerReplication": {
                "Status": "Disabled"
            },
            "Destination": {
                "Bucket": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
                "Metrics": {
                    "Status": "Enabled",
                    "EventThreshold": {
                        "Minutes": 15
                    }
                },
                "ReplicationTime": {
                    "Status": "Enabled",
                    "Time": {
                        "Minutes": 15
                    }
                }
            },
            "Priority": 1
        }
    ],
    "Role": "IAM-Role-ARN"
}
```

**Important**  
 `Metrics:EventThreshold:Minutes` et `ReplicationTime:Time:Minutes` peuvent uniquement avoir `15` comme valeur valide. 

### Utilisation du AWS SDK pour Java
<a name="replication-ex5-sdk"></a>

 Voici un exemple Java permettant d’ajouter une configuration de réplication avec le contrôle du temps de réplication S3 (S3 RTC) activé.

```
import software.amazon.awssdk.auth.credentials.AwsBasicCredentials;
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.s3.model.DeleteMarkerReplication;
import software.amazon.awssdk.services.s3.model.Destination;
import software.amazon.awssdk.services.s3.model.Metrics;
import software.amazon.awssdk.services.s3.model.MetricsStatus;
import software.amazon.awssdk.services.s3.model.PutBucketReplicationRequest;
import software.amazon.awssdk.services.s3.model.ReplicationConfiguration;
import software.amazon.awssdk.services.s3.model.ReplicationRule;
import software.amazon.awssdk.services.s3.model.ReplicationRuleFilter;
import software.amazon.awssdk.services.s3.model.ReplicationTime;
import software.amazon.awssdk.services.s3.model.ReplicationTimeStatus;
import software.amazon.awssdk.services.s3.model.ReplicationTimeValue;

public class Main {

  public static void main(String[] args) {
    S3Client s3 = S3Client.builder()
      .region(Region.US_EAST_1)
      .credentialsProvider(() -> AwsBasicCredentials.create(
          "AWS_ACCESS_KEY_ID",
          "AWS_SECRET_ACCESS_KEY")
      )
      .build();

    ReplicationConfiguration replicationConfig = ReplicationConfiguration
      .builder()
      .rules(
          ReplicationRule
            .builder()
            .status("Enabled")
            .priority(1)
            .deleteMarkerReplication(
                DeleteMarkerReplication
                    .builder()
                    .status("Disabled")
                    .build()
            )
            .destination(
                Destination
                    .builder()
                    .bucket("destination_bucket_arn")
                    .replicationTime(
                        ReplicationTime.builder().time(
                            ReplicationTimeValue.builder().minutes(15).build()
                        ).status(
                            ReplicationTimeStatus.ENABLED
                        ).build()
                    )
                    .metrics(
                        Metrics.builder().eventThreshold(
                            ReplicationTimeValue.builder().minutes(15).build()
                        ).status(
                            MetricsStatus.ENABLED
                        ).build()
                    )
                    .build()
            )
            .filter(
                ReplicationRuleFilter
                    .builder()
                    .prefix("testtest")
                    .build()
            )
        .build())
        .role("role_arn")
        .build();

    // Put replication configuration
    PutBucketReplicationRequest putBucketReplicationRequest = PutBucketReplicationRequest
      .builder()
      .bucket("source_bucket")
      .replicationConfiguration(replicationConfig)
      .build();

    s3.putBucketReplication(putBucketReplicationRequest);
  }
}
```

# Réplication d’objets chiffrés (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)
<a name="replication-config-for-kms-objects"></a>

**Important**  
Amazon S3 applique désormais le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) comme niveau de base du chiffrement pour chaque compartiment d’Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d’objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. L'état du chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour le téléchargement de nouveaux objets est disponible dans CloudTrail les journaux, S3 Inventory, S3 Storage Lens, la console Amazon S3 et sous forme d'en-tête de réponse d'API Amazon S3 supplémentaire dans le AWS CLI et AWS SDKs. Pour plus d’informations, consultez la [FAQ sur le chiffrement par défaut](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html).

Certaines considérations particulières doivent être prises en compte lorsque vous répliquez des objets qui ont été chiffrés à l’aide du chiffrement côté serveur. Amazon S3 prend en charge les types suivants de chiffrement côté serveur :
+ Chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3)
+ Chiffrement côté serveur avec clés AWS Key Management Service (AWS KMS) (SSE-KMS)
+ Chiffrement double couche côté serveur avec AWS KMS clés (DSSE-KMS)
+ Chiffrement côté serveur avec clés fournies par le client (SSE-C)

Pour plus d’informations sur le chiffrement côté serveur, consultez [Protection des données avec le chiffrement côté serveur](serv-side-encryption.md).

Cette rubrique explique les autorisations dont vous avez besoin pour demander à Amazon S3 de répliquer des objets qui ont été chiffrés à l’aide du chiffrement côté serveur. Cette rubrique fournit également des éléments de configuration supplémentaires que vous pouvez ajouter, ainsi que des exemples de politiques Gestion des identités et des accès AWS (IAM) qui accordent les autorisations nécessaires pour répliquer des objets chiffrés. 

Pour un exemple avec des step-by-step instructions, voir[Activation de la réplication pour les objets chiffrés](#replication-walkthrough-4). Pour en savoir plus sur la création d’une configuration de réplication, consultez [Réplication d’objets au sein des régions et entre elles](replication.md). 

**Note**  
Vous pouvez utiliser plusieurs régions AWS KMS keys dans Amazon S3. Cependant, Amazon S3 traite actuellement les clés multi-régions comme s’il s’agissait de clés à région unique et n’utilise pas les fonctions multi-régions de la clé. Pour plus d’informations, consultez [Utilisation des clés multi-régions](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) dans le *Guide du développeur AWS Key Management Service *.

**Topics**
+ [

## Comment le chiffrement par défaut du compartiment a un impact sur la réplication
](#replication-default-encryption)
+ [

## Réplication d’objets chiffrés avec SSE-C
](#replicationSSEC)
+ [

## Réplication d’objets chiffrés avec SSE-S3, SSE-KMS ou DSSE-KMS
](#replications)
+ [

## Activation de la réplication pour les objets chiffrés
](#replication-walkthrough-4)

## Comment le chiffrement par défaut du compartiment a un impact sur la réplication
<a name="replication-default-encryption"></a>

Après avoir activé le chiffrement par défaut pour un compartiment de destination de réplication, le comportement de chiffrement suivant s’applique :
+ Si des objets du compartiment source ne sont pas chiffrés, les objets réplica du compartiment de destination sont chiffrés à l’aide des paramètres de chiffrement par défaut du compartiment de destination. Par conséquent, les étiquettes d'entité (ETags) des objets sources sont différentes de celles ETags des objets répliqués. Si certaines applications l'utilisent ETags, vous devez les mettre à jour pour tenir compte de cette différence.
+ Si les objets du compartiment source sont chiffrés à l'aide d'un chiffrement côté serveur avec des clés gérées Amazon S3 (SSE-S3), d'un chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS) ou d'un chiffrement double couche côté serveur avec AWS KMS clés (DSSE-KMS), les objets répliques du compartiment de destination utilisent le même type de chiffrement que les objets source. Les paramètres de chiffrement par défaut du compartiment de destination ne sont pas utilisés.

## Réplication d’objets chiffrés avec SSE-C
<a name="replicationSSEC"></a>

Vous pouvez gérer vos propres clés propriétaires de chiffrement en utilisant un chiffrement côté serveur avec des clés fournies par le client (SSE-C). Avec le SSE-C, vous gérez les clés tandis qu’Amazon S3 gère le processus de chiffrement et de déchiffrement. Vous devez fournir une clé de chiffrement dans le cadre de votre demande, mais vous n’avez pas besoin d’écrire de code pour effectuer le chiffrement ou le déchiffrement d’objets. Lorsque vous chargez un objet, Amazon S3 chiffre l’objet au moyen de la clé que vous avez fournie. Amazon S3 élimine ensuite cette clé de la mémoire. Lorsque vous récupérez un objet, vous devez fournir la même clé de chiffrement dans la demande. Pour de plus amples informations, veuillez consulter [Utilisation du chiffrement côté serveur avec les clés fournies par le client (SSE-C)](ServerSideEncryptionCustomerKeys.md).

S3 Replication prend en charge les objets chiffrés avec SSE-C. Vous pouvez configurer la réplication d'objets SSE-C dans la console Amazon S3 ou de la AWS SDKs même manière que vous configurez la réplication pour les objets non chiffrés. Il n’existe pas d’autorisations SSE-C supplémentaires au-delà de celles actuellement requises pour la réplication. 

La réplication S3 réplique automatiquement les objets chiffrés par SSE-C nouvellement chargés s’ils sont éligibles, conformément à votre configuration de réplication S3. Pour répliquer des objets existants dans vos compartiments, utilisez la réplication par lot S3. Pour plus d’informations sur la réplication d’objets existants, consultez [Présentation de la configuration de la réplication en direct](replication-how-setup.md) et [Réplication d’objets existants via la réplication par lot](s3-batch-replication-batch.md).

La réplication d’objets SSE-C n’entraîne pas de frais supplémentaires. Pour en savoir plus sur la tarification de la réplication, consultez [Tarification Amazon S3](https://aws.amazon.com/s3/pricing/). 

## Réplication d’objets chiffrés avec SSE-S3, SSE-KMS ou DSSE-KMS
<a name="replications"></a>

Par défaut, Amazon S3 ne réplique pas les objets chiffrés avec SSE-KMS ou DSSE-KMS. Cette section explique les éléments de configuration supplémentaire que vous pouvez ajouter de manière à indiquer à Amazon S3 de répliquer ces objets. 

Pour un exemple avec des step-by-step instructions, voir[Activation de la réplication pour les objets chiffrés](#replication-walkthrough-4). Pour en savoir plus sur la création d’une configuration de réplication, consultez [Réplication d’objets au sein des régions et entre elles](replication.md). 

### Spécification d’informations supplémentaires dans la configuration de la réplication
<a name="replication-kms-extra-config"></a>

Dans la configuration de réplication, procédez comme suit :
+ Dans l'`Destination`élément de votre configuration de réplication, ajoutez l'ID de la clé symétrique gérée par le AWS KMS client que vous souhaitez qu'Amazon S3 utilise pour chiffrer les répliques d'objets, comme illustré dans l'exemple de configuration de réplication suivant. 
+ Validez explicitement votre choix en activant la réplication d’objets chiffrés avec des clés KMS (SSE-KMS ou DSSE-KMS). Pour valider, ajoutez l’élément `SourceSelectionCriteria`, comme illustré dans l’exemple de configuration de réplication suivant.

 

```
<ReplicationConfiguration>
   <Rule>
      ...
      <SourceSelectionCriteria>
         <SseKmsEncryptedObjects>
           <Status>Enabled</Status>
         </SseKmsEncryptedObjects>
      </SourceSelectionCriteria>

      <Destination>
          ...
          <EncryptionConfiguration>
             <ReplicaKmsKeyID>AWS KMS key ARN or Key Alias ARN that's in the same Région AWS as the destination bucket.</ReplicaKmsKeyID>
          </EncryptionConfiguration>
       </Destination>
      ...
   </Rule>
</ReplicationConfiguration>
```

**Important**  
La clé KMS doit avoir été créée dans le même compartiment Région AWS que le compartiment de destination. 
La clé KMS *doit* être valide. L’opération d’API `PutBucketReplication` ne vérifie pas la validité des clés KMS. Si vous utilisez une clé KMS non valide, vous recevez le code de statut HTTP `200 OK` en réponse, mais la réplication échoue.

L’exemple suivant montre une configuration de réplication qui inclut des éléments de configuration facultatifs. Cette configuration de réplication a une règle. Cette règle s’applique aux objets dotés du préfixe de clé `Tax`. Amazon S3 utilise l' AWS KMS key ID spécifié pour chiffrer ces répliques d'objets.

```
<?xml version="1.0" encoding="UTF-8"?>
<ReplicationConfiguration>
   <Role>arn:aws:iam::account-id:role/role-name</Role>
   <Rule>
      <ID>Rule-1</ID>
      <Priority>1</Priority>
      <Status>Enabled</Status>
      <DeleteMarkerReplication>
         <Status>Disabled</Status>
      </DeleteMarkerReplication>
      <Filter>
         <Prefix>Tax</Prefix>
      </Filter>
      <Destination>
         <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
         <EncryptionConfiguration>
            <ReplicaKmsKeyID>AWS KMS key ARN or Key Alias ARN that's in the same Région AWS as the destination bucket.</ReplicaKmsKeyID>
         </EncryptionConfiguration>
      </Destination>
      <SourceSelectionCriteria>
         <SseKmsEncryptedObjects>
            <Status>Enabled</Status>
         </SseKmsEncryptedObjects>
      </SourceSelectionCriteria>
   </Rule>
</ReplicationConfiguration>
```

### Octroi d’autorisations supplémentaires pour le rôle IAM
<a name="replication-kms-permissions"></a>

Pour répliquer des objets chiffrés au repos à l'aide de SSE-S3, SSE-KMS ou DSSE-KMS, accordez les autorisations supplémentaires suivantes au rôle Gestion des identités et des accès AWS (IAM) que vous spécifiez dans la configuration de réplication. Vous octroyez ces autorisations en mettant à jour la stratégie d’autorisations associée au rôle IAM. 
+ **Action `s3:GetObjectVersionForReplication` pour les objets sources** – Cette action permet à Amazon S3 de répliquer les objets non chiffrés et les objets créés avec un chiffrement côté serveur en utilisant une clé SSE-S3, SSE-KMS ou DSSE-KMS.
**Note**  
Nous vous recommandons d’utiliser l’action `s3:GetObjectVersionForReplication` à la place de l’action `s3:GetObjectVersion`, car `s3:GetObjectVersionForReplication` fournit uniquement à Amazon S3 le minimum d’autorisations nécessaires pour la réplication. De plus, l’action `s3:GetObjectVersion` permet la réplication des objets non chiffrés et des objets chiffrés avec SSE-S3, mais pas la réplication des objets chiffrés avec des clés KMS (SSE-KMS ou DSSE-KMS). 
+ **`kms:Decrypt`et `kms:Encrypt` AWS KMS actions pour les clés KMS**
  + Vous devez accorder des autorisations `kms:Decrypt` pour l’ AWS KMS key utilisée pour déchiffrer l’objet source.
  + Vous devez accorder des autorisations `kms:Encrypt` pour la AWS KMS key utilisée pour chiffrer le réplica source.
+ **Action `kms:GenerateDataKey` pour la réplication d’objets en texte brut** – Si vous répliquez des objets en texte brut dans un compartiment avec le chiffrement SSE-KMS ou DSSE-KMS activé par défaut, vous devez inclure l’autorisation `kms:GenerateDataKey` pour le contexte de chiffrement de destination et la clé KMS dans la politique IAM.

**Important**  
Si vous utilisez S3 Batch Replication pour répliquer des ensembles de données entre régions et que le type de chiffrement côté serveur de vos objets a déjà été mis à jour de SSE-S3 à SSE-KMS, vous aurez peut-être besoin d'autorisations supplémentaires. Dans le compartiment de la région source, vous devez disposer `kms:decrypt` d'autorisations. Ensuite, vous aurez besoin des `kms:encrypt` autorisations `kms:decrypt` et pour le compartiment dans la région de destination. 

Nous vous recommandons de limiter ces autorisations uniquement aux compartiments et objets de destination en utilisant des clés de AWS KMS condition. Le Compte AWS titulaire du rôle IAM doit disposer d'autorisations `kms:Encrypt` et d'`kms:Decrypt`actions pour les clés KMS répertoriées dans la politique. Si les clés KMS appartiennent à une autre personne Compte AWS, le propriétaire des clés KMS doit accorder ces autorisations au Compte AWS titulaire du rôle IAM. Pour plus d'informations sur la gestion de l'accès à ces clés KMS, consultez la section [Utilisation des politiques IAM AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) dans le *Guide du AWS Key Management Service développeur*.

### Clés de compartiment S3 et réplication
<a name="bk-replication"></a>

Pour utiliser la réplication avec une clé de compartiment S3, la AWS KMS key politique relative à la clé KMS utilisée pour chiffrer la réplique de l'objet doit inclure l'`kms:Decrypt`autorisation du principal appelant. L’appel à `kms:Decrypt` vérifie l’intégrité de la clé de compartiment S3 avant de l’utiliser. Pour plus d’informations, consultez [Utilisation d’une clé de compartiment S3 avec réplication](bucket-key.md#bucket-key-replication).

Lorsqu’une clé de compartiment S3 est activée pour le compartiment source ou de destination, le contexte de chiffrement est l’Amazon Resource Name (ARN) du compartiment et non l’ARN de l’objet (par exemple, `arn:aws:s3:::bucket_ARN`). Vous devez mettre à jour vos politiques IAM pour utiliser l’ARN du compartiment pour le contexte de chiffrement :

```
"kms:EncryptionContext:aws:s3:arn": [
"arn:aws:s3:::bucket_ARN"
]
```

Pour plus d’informations, consultez [Contexte de chiffrement (`x-amz-server-side-encryption-context`)](specifying-kms-encryption.md#s3-kms-encryption-context) (dans la section « Utilisation de l’API REST ») et [Modifications à prendre en compte avant d’activer une clé de compartiment S3](bucket-key.md#bucket-key-changes).

### Exemples de politiques : utilisation de SSE-S3 et de SSE-KMS avec la réplication
<a name="kms-replication-examples"></a>

L’exemple suivant de politiques IAM montre des instructions pour l’utilisation du SSE-S3 et du SSE-KMS avec la réplication.

**Example : utilisation de SSE-KMS avec des compartiments de destination distincts**  
L’exemple suivant de politique présente des instructions pour l’utilisation du SSE-KMS avec des compartiments de destination distincts. 

**Example : réplication d’objets créés avec SSE-S3 et SSE-KMS**  
Vous trouverez ci-dessous une politique IAM complète qui accorde les autorisations nécessaires pour répliquer des objets non chiffrés, des objets créés avec le SSE-S3 et des objets créés avec le SSE-KMS.    
****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetReplicationConfiguration",
            "s3:ListBucket"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetObjectVersionForReplication",
            "s3:GetObjectVersionAcl"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket/key-prefix1*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:ReplicateObject",
            "s3:ReplicateDelete"
         ],
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/key-prefix1*"
      },
      {
         "Action":[
            "kms:Decrypt"
         ],
         "Effect":"Allow",
         "Condition":{
            "StringLike":{
               "kms:ViaService":"s3.us-east-1.amazonaws.com",
               "kms:EncryptionContext:aws:s3:arn":[
                  "arn:aws:s3:::amzn-s3-demo-source-bucket/key-prefix1*"
               ]
            }
         },
         "Resource":[
           "arn:aws:kms:us-east-1:111122223333:key/key-id"
         ]
      },
      {
         "Action":[
            "kms:Encrypt"
         ],
         "Effect":"Allow",
         "Condition":{
            "StringLike":{
               "kms:ViaService":"s3.us-east-1.amazonaws.com",
               "kms:EncryptionContext:aws:s3:arn":[
                  "arn:aws:s3:::amzn-s3-demo-destination-bucket/prefix1*"
               ]
            }
         },
         "Resource":[
            "arn:aws:kms:us-east-1:111122223333:key/key-id"
         ]
      }
   ]
}
```

**Example : réplication d’objets avec des clés de compartiment S3**  
Voici une politique IAM complète qui accorde les autorisations nécessaires pour répliquer des objets avec des clés de compartiment S3.    
****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetReplicationConfiguration",
            "s3:ListBucket"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetObjectVersionForReplication",
            "s3:GetObjectVersionAcl"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket/key-prefix1*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:ReplicateObject",
            "s3:ReplicateDelete"
         ],
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/key-prefix1*"
      },
      {
         "Action":[
            "kms:Decrypt"
         ],
         "Effect":"Allow",
         "Condition":{
            "StringLike":{
               "kms:ViaService":"s3.us-east-1.amazonaws.com",
               "kms:EncryptionContext:aws:s3:arn":[
                  "arn:aws:s3:::amzn-s3-demo-source-bucket"
               ]
            }
         },
         "Resource":[
           "arn:aws:kms:us-east-1:111122223333:key/key-id"
         ]
      },
      {
         "Action":[
            "kms:Encrypt"
         ],
         "Effect":"Allow",
         "Condition":{
            "StringLike":{
               "kms:ViaService":"s3.us-east-1.amazonaws.com",
               "kms:EncryptionContext:aws:s3:arn":[
                  "arn:aws:s3:::amzn-s3-demo-destination-bucket"
               ]
            }
         },
         "Resource":[
            "arn:aws:kms:us-east-1:111122223333:key/key-id"
         ]
      }
   ]
}
```

### Octroi d’autorisations supplémentaires pour les scénarios à plusieurs comptes
<a name="replication-kms-cross-acct-scenario"></a>

Dans un scénario entre comptes, dans lequel les compartiments source et destination sont détenus par des entités différentes Comptes AWS, vous pouvez utiliser une clé KMS pour chiffrer les répliques d'objets. Le propriétaire de la clé KMS doit accorder au propriétaire du compartiment source l’autorisation d’utiliser la clé KMS. 

**Note**  
Si vous devez répliquer des données SSE-KMS entre comptes, votre règle de réplication doit spécifier une [clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) AWS KMS pour le compte de destination. [Clés gérées par AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)n'autorisent pas l'utilisation entre comptes et ne peuvent donc pas être utilisés pour effectuer une réplication entre comptes.<a name="cross-acct-kms-key-permission"></a>

**Accorder au propriétaire du compartiment source l'autorisation d'utiliser la clé KMS (console AWS KMS )**

1. Connectez-vous à la AWS KMS console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/km.](https://console.aws.amazon.com/kms)

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Pour afficher les clés de votre compte que vous créez et gérez vous-même, dans le volet de navigation, choisissez **Clés gérées par le client**.

1. Sélectionnez la clé KMS.

1. Sous la section **Configuration générale**, choisissez l’onglet **Stratégie de clé**.

1. Faites défiler la page vers le bas jusqu'à **Autre Comptes AWS**.

1. Choisissez **Ajouter un autre Comptes AWS**. 

   La boîte de dialogue **Autres Comptes AWS** s’affiche. 

1. Dans la boîte de dialogue, choisissez **Ajouter un autre Compte AWS**. Pour **arn:aws:iam::**, saisissez l’ID de compte du compartiment source.

1. Sélectionnez **Enregistrer les modifications**.

**Pour octroyer au propriétaire du compartiment source l’autorisation d’utiliser la clé KMS (AWS CLI)**
+ Pour plus d'informations sur la commande `put-key-policy` AWS Command Line Interface (AWS CLI), reportez-vous [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)à la *référence des AWS CLI commandes*. Pour plus d’informations sur l’opération d’API `PutKeyPolicy` sous-jacente, consultez [https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) dans la [Référence d’API AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/APIReference/).

### AWS KMS considérations relatives aux quotas de transactions
<a name="crr-kms-considerations"></a>

Lorsque vous ajoutez de nombreux nouveaux objets AWS KMS chiffrés après avoir activé la réplication entre régions (CRR), vous pouvez rencontrer un ralentissement (erreurs HTTP). `503 Service Unavailable` La limitation survient lorsque le nombre de transactions AWS KMS par seconde dépasse le quota actuel. Pour plus d’informations, consultez [Quotas](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html) dans le *Guide du développeur AWS Key Management Service *.

Pour demander l’augmentation d’un quota, utilisez Service Quotas. Pour plus d’informations, consultez [Demande d’augmentation de quota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html). Si le Service Quotas n'est pas pris en charge dans votre région, [ouvrez un AWS Support dossier](https://console.aws.amazon.com/support/home#/). 

## Activation de la réplication pour les objets chiffrés
<a name="replication-walkthrough-4"></a>

Par défaut, Amazon S3 ne réplique pas les objets chiffrés à l'aide d'un chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS) ou d'un chiffrement double couche côté serveur avec clés (DSSE-KMS). AWS KMS Pour répliquer des objets chiffrés avec SSE-KMS ou DSS-KMS, vous devez modifier la configuration de réplication des compartiments de façon à demander à Amazon S3 de répliquer ces objets. Cet exemple explique comment utiliser la console Amazon S3 et le AWS Command Line Interface (AWS CLI) pour modifier la configuration de réplication du compartiment afin de permettre la réplication d'objets chiffrés.

**Note**  
Lorsqu’une clé de compartiment S3 est activée pour le compartiment source ou de destination, le contexte de chiffrement est l’Amazon Resource Name (ARN) du compartiment et non l’ARN de l’objet. Vous devez mettre à jour vos politiques IAM pour utiliser l’ARN du compartiment pour le contexte de chiffrement. Pour de plus amples informations, veuillez consulter [Clés de compartiment S3 et réplication](#bk-replication).

**Note**  
Vous pouvez utiliser plusieurs régions AWS KMS keys dans Amazon S3. Cependant, Amazon S3 traite actuellement les clés multi-régions comme s’il s’agissait de clés à région unique et n’utilise pas les fonctions multi-régions de la clé. Pour plus d’informations, consultez [Utilisation des clés multi-régions](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) dans le *Guide du développeur AWS Key Management Service *.

### Utilisation de la console S3
<a name="replication-ex4-console"></a>

Pour step-by-step obtenir des instructions, voir[Configuration d’une réplication pour des compartiments dans le même compte](replication-walkthrough1.md). Cette rubrique fournit des instructions pour définir une configuration de réplication lorsque les compartiments source et de destination sont détenus de manière identique et différente Comptes AWS.

### À l'aide du AWS CLI
<a name="replication-ex4-cli"></a>

Pour répliquer des objets chiffrés avec le AWS CLI, procédez comme suit : 
+ Créez les compartiments source et de destination et activez la gestion des versions pour ces mêmes compartiments. 
+ Créez un rôle de service Gestion des identités et des accès AWS (IAM) qui autorise Amazon S3 à répliquer des objets. Les autorisations accordées au rôle IAM incluent les autorisations nécessaires à la réplication des objets chiffrés.
+ Ajoutez une configuration de réplication au compartiment source. La configuration de réplication fournit des informations sur la réplication des objets chiffrés à l’aide de clés KMS.
+ Ajoutez des objets chiffrés au compartiment source. 
+ Testez la configuration pour vérifier que vos objets chiffrés sont répliqués dans le compartiment de destination.

Les procédures suivantes vous guident tout au long de ce processus. 

**Pour répliquer des objets chiffrés côté serveur (AWS CLI)**

Pour utiliser les exemples de cette procédure, remplacez les `user input placeholders` par vos propres informations.

1. Dans cet exemple, vous créez à la fois les compartiments source (*`amzn-s3-demo-source-bucket`*) et de destination (*`amzn-s3-demo-destination-bucket`*) dans le même Compte AWS. Vous allez également définir un profil d’informations d’identification pour l’ AWS CLI. Cet exemple utilise le nom de profil `acctA`. 

   Pour obtenir des informations sur la définition des profils d’informations d’identification et l’utilisation de profils nommés, consultez [Paramètres des fichiers de configuration et d’informations d’identification](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) dans le *Guide de l’utilisateur AWS Command Line Interface *. 

1. Utilisez les commandes suivantes pour créer le compartiment `amzn-s3-demo-source-bucket` et activer la gestion des versions sur celui-ci. Les commandes de l’exemple suivant créent le compartiment `amzn-s3-demo-source-bucket` dans la région USA Est (Virginie du Nord) (`us-east-1`).

   ```
   aws s3api create-bucket \
   --bucket amzn-s3-demo-source-bucket \
   --region us-east-1 \
   --profile acctA
   ```

   ```
   aws s3api put-bucket-versioning \
   --bucket amzn-s3-demo-source-bucket \
   --versioning-configuration Status=Enabled \
   --profile acctA
   ```

1. Utilisez les commandes suivantes pour créer le compartiment `amzn-s3-demo-destination-bucket` et activer la gestion des versions sur celui-ci. Les commandes de l’exemple suivant créent le compartiment `amzn-s3-demo-destination-bucket` dans la région USA Ouest (Oregon) (`us-west-2`). 
**Note**  
Pour définir une configuration de réplication lorsque les compartiments `amzn-s3-demo-source-bucket` et `amzn-s3-demo-destination-bucket` se trouvent dans le même Compte AWS, utilisez le même profil. Cet exemple utilise `acctA`. Pour configurer la réplication lorsque les buckets appartiennent à des propriétaires différents Comptes AWS, vous devez spécifier des profils différents pour chacun d'entre eux. 

   

   ```
   aws s3api create-bucket \
   --bucket amzn-s3-demo-destination-bucket \
   --region us-west-2 \
   --create-bucket-configuration LocationConstraint=us-west-2 \
   --profile acctA
   ```

   ```
   aws s3api put-bucket-versioning \
   --bucket amzn-s3-demo-destination-bucket \
   --versioning-configuration Status=Enabled \
   --profile acctA
   ```

1. Ensuite, créez un rôle de service IAM. Vous allez spécifier ce rôle dans la configuration de réplication que vous ajouterez ultérieurement au compartiment `amzn-s3-demo-source-bucket`. Amazon S3 endosse ce rôle pour répliquer des objets en votre nom. Vous créez un rôle IAM en deux étapes.
   + Créez un rôle de service.
   + Attachez une stratégie d’autorisation au rôle.

   1. Pour créer un rôle de service IAM, procédez comme suit :

      1. Copiez la stratégie d’approbation suivante et enregistrez-la dans un fichier nommé `s3-role-trust-policy-kmsobj.json` dans le répertoire actif sur votre ordinateur local. Cette politique accorde au principal de service Amazon S3 les autorisations nécessaires pour endosser le rôle et permettre ainsi à Amazon S3 d’effectuer des tâches en votre nom.

------
#### [ JSON ]

****  

         ```
         {
            "Version":"2012-10-17",		 	 	 
            "Statement":[
               {
                  "Effect":"Allow",
                  "Principal":{
                     "Service":"s3.amazonaws.com"
                  },
                  "Action":"sts:AssumeRole"
               }
            ]
         }
         ```

------

      1. Utilisez la commande suivante pour créer le rôle :

         ```
         $ aws iam create-role \
         --role-name replicationRolekmsobj \
         --assume-role-policy-document file://s3-role-trust-policy-kmsobj.json  \
         --profile acctA
         ```

   1. Ensuite, attachez une stratégie d’autorisation au rôle. Cette stratégie accorde des autorisations pour diverses actions sur les compartiments et les objets Amazon S3. 

      1. Copiez la politique d'autorisations suivante et enregistrez-la dans un fichier nommé `s3-role-permissions-policykmsobj.json` dans le répertoire actuel de votre ordinateur local. Vous allez créer un rôle IAM et attacherez par la suite la stratégie à celui-ci. 
**Important**  
Dans la politique d'autorisation, vous spécifiez la AWS KMS clé IDs qui sera utilisée pour le chiffrement des `amzn-s3-demo-destination-bucket` compartiments `amzn-s3-demo-source-bucket` et. Vous devez créer deux clés KMS distinctes pour les `amzn-s3-demo-destination-bucket` compartiments `amzn-s3-demo-source-bucket` et. AWS KMS keys ne sont pas partagés en dehors de Région AWS celui dans lequel ils ont été créés. 

------
#### [ JSON ]

****  

         ```
         {
            "Version":"2012-10-17",		 	 	 
            "Statement":[
               {
                  "Action":[
                     "s3:ListBucket",
                     "s3:GetReplicationConfiguration",
                     "s3:GetObjectVersionForReplication",
                     "s3:GetObjectVersionAcl",
                     "s3:GetObjectVersionTagging"
                  ],
                  "Effect":"Allow",
                  "Resource":[
                     "arn:aws:s3:::amzn-s3-demo-source-bucket",
                     "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
                  ]
               },
               {
                  "Action":[
                     "s3:ReplicateObject",
                     "s3:ReplicateDelete",
                     "s3:ReplicateTags"
                  ],
                  "Effect":"Allow",
                  "Condition":{
                     "StringLikeIfExists":{
                        "s3:x-amz-server-side-encryption":[
                           "aws:kms",
                           "AES256",
                           "aws:kms:dsse"
                        ],
                        "s3:x-amz-server-side-encryption-aws-kms-key-id":[
                           "AWS KMS key IDs(in ARN format) to use for encrypting object replicas"  
                        ]
                     }
                  },
                  "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
               },
               {
                  "Action":[
                     "kms:Decrypt"
                  ],
                  "Effect":"Allow",
                  "Condition":{
                     "StringLike":{
                        "kms:ViaService":"s3.us-east-1.amazonaws.com",
                        "kms:EncryptionContext:aws:s3:arn":[
                           "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
                        ]
                     }
                  },
                  "Resource":[
                     "arn:aws:kms:us-east-1:111122223333:key/key-id" 
                  ]
               },
               {
                  "Action":[
                     "kms:Encrypt"
                  ],
                  "Effect":"Allow",
                  "Condition":{
                     "StringLike":{
                        "kms:ViaService":"s3.us-west-2.amazonaws.com",
                        "kms:EncryptionContext:aws:s3:arn":[
                           "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
                        ]
                     }
                  },
                  "Resource":[
                     "arn:aws:kms:us-west-2:111122223333:key/key-id" 
                  ]
               }
            ]
         }
         ```

------

      1. Créez une politique et attachez-la au rôle.

         ```
         $ aws iam put-role-policy \
         --role-name replicationRolekmsobj \
         --policy-document file://s3-role-permissions-policykmsobj.json \
         --policy-name replicationRolechangeownerPolicy \
         --profile acctA
         ```

1. Ensuite, ajoutez la configuration de réplication suivante au compartiment `amzn-s3-demo-source-bucket`. Elle demande à Amazon S3 de répliquer les objets dotés du préfixe `Tax/` dans le compartiment `amzn-s3-demo-destination-bucket`. 
**Important**  
Dans la configuration de réplication, spécifiez le rôle IAM qu’Amazon S3 peut endosser. Vous ne pouvez effectuer cette tâche que si vous disposez de l’autorisation `iam:PassRole`. Le profil que vous spécifiez dans la commande CLI doit disposer de cette autorisation. Pour plus d’informations, consultez [Octroi d’autorisations à un utilisateur pour transférer un rôle à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) dans le *Guide de l’utilisateur IAM*.

   ```
    <ReplicationConfiguration>
     <Role>IAM-Role-ARN</Role>
     <Rule>
       <Priority>1</Priority>
       <DeleteMarkerReplication>
          <Status>Disabled</Status>
       </DeleteMarkerReplication>
       <Filter>
          <Prefix>Tax</Prefix>
       </Filter>
       <Status>Enabled</Status>
       <SourceSelectionCriteria>
         <SseKmsEncryptedObjects>
           <Status>Enabled</Status>
         </SseKmsEncryptedObjects>
       </SourceSelectionCriteria>
       <Destination>
         <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucket</Bucket>
         <EncryptionConfiguration>
           <ReplicaKmsKeyID>AWS KMS key IDs to use for encrypting object replicas</ReplicaKmsKeyID>
         </EncryptionConfiguration>
       </Destination>
     </Rule>
   </ReplicationConfiguration>
   ```

   Pour ajouter une configuration de réplication au compartiment `amzn-s3-demo-source-bucket`, procédez comme suit :

   1. Vous AWS CLI devez spécifier la configuration de réplication au format JSON. Enregistrez la configuration JSON suivante dans un fichier (`replication.json`) dans le répertoire actuel sur votre ordinateur local. 

      ```
      {
         "Role":"IAM-Role-ARN",
         "Rules":[
            {
               "Status":"Enabled",
               "Priority":1,
               "DeleteMarkerReplication":{
                  "Status":"Disabled"
               },
               "Filter":{
                  "Prefix":"Tax"
               },
               "Destination":{
                  "Bucket":"arn:aws:s3:::amzn-s3-demo-destination-bucket",
                  "EncryptionConfiguration":{
                     "ReplicaKmsKeyID":"AWS KMS key IDs (in ARN format) to use for encrypting object replicas"
                  }
               },
               "SourceSelectionCriteria":{
                  "SseKmsEncryptedObjects":{
                     "Status":"Enabled"
                  }
               }
            }
         ]
      }
      ```

   1. Modifiez le JSON pour indiquer les valeurs du compartiment `amzn-s3-demo-destination-bucket`, des `AWS KMS key IDs (in ARN format)` et de l’`IAM-role-ARN`. Enregistrez les Modifications.

   1. Utilisez la commande suivante pour ajouter la configuration de réplication à votre compartiment `amzn-s3-demo-source-bucket`. Veillez à saisir le nom du compartiment `amzn-s3-demo-source-bucket`.

      ```
      $ aws s3api put-bucket-replication \
      --replication-configuration file://replication.json \
      --bucket amzn-s3-demo-source-bucket \
      --profile acctA
      ```

1. Testez la configuration pour vérifier que les objets chiffrés ont été répliqués. Dans la console Amazon S3, procédez comme suit :

   1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

   1. Dans le compartiment `amzn-s3-demo-source-bucket`, créez un dossier nommé `Tax`. 

   1. Ajoutez des exemples d’objet au dossier. Assurez-vous de choisir l’option de chiffrement et de spécifier votre clé KMS pour chiffrer les objets. 

   1. Vérifiez que le compartiment `amzn-s3-demo-destination-bucket` contient les réplicas d’objets et qu’ils ont été chiffrés avec la clé KMS que vous avez spécifiée dans la configuration. Pour de plus amples informations, veuillez consulter [Obtention d’informations sur le statut de la réplication](replication-status.md).

### À l'aide du AWS SDKs
<a name="replication-ex4-sdk"></a>

Pour obtenir un exemple de code montrant comment ajouter une configuration de réplication, consultez [À l'aide du AWS SDKs](replication-walkthrough1.md#replication-ex1-sdk). Vous devez modifier la configuration de réplication en conséquence. 

 

# Réplication des modifications des métadonnées avec la synchronisation des modifications de réplica
<a name="replication-for-metadata-changes"></a>

La synchronisation des modifications des répliques Amazon S3 peut vous aider à conserver les métadonnées des objets telles que les balises, les listes de contrôle d'accès (ACLs) et les paramètres de verrouillage des objets répliquées entre les répliques et les objets source. Par défaut, Amazon S3 réplique les métadonnées des objets source vers les réplicas uniquement. Lorsque la synchronisation des modifications de réplica est activée, Amazon S3 réplique les modifications de métadonnées apportées aux copies de réplica vers l’objet source, ce qui rend la réplication bidirectionnelle.

## Activer de la synchronisation des modifications de réplica
<a name="enabling-replication-for-metadata-changes"></a>

Vous pouvez utiliser la synchronisation des modifications de réplica Amazon S3 avec des règles de réplication nouvelles ou existantes. Vous pouvez l’appliquer à un compartiment entier ou à des objets qui ont un préfixe spécifique.

Pour activer la synchronisation des modifications de réplica à l’aide de la console Amazon S3, consultez [Exemples de configuration de la réplication en direct](replication-example-walkthroughs.md). Cette rubrique fournit des instructions pour activer la synchronisation des modifications des répliques dans votre configuration de réplication lorsque les compartiments source et de destination appartiennent à des entités identiques ou différentes Comptes AWS.

Pour activer la synchronisation des modifications des répliques à l'aide de AWS Command Line Interface (AWS CLI), vous devez ajouter une configuration de réplication au compartiment contenant les répliques `ReplicaModifications` activées. Pour configurer la réplication bidirectionnelle, créez une règle de réplication à partir du compartiment source (`amzn-s3-demo-source-bucket`) vers le compartiment contenant les réplicas (`amzn-s3-demo-destination-bucket`). Ensuite, créez une seconde règle de réplication à partir du compartiment contenant les réplicas (`amzn-s3-demo-destination-bucket`) vers le compartiment source (`amzn-s3-demo-source-bucket`). Les compartiments source et destination peuvent être identiques ou différents Régions AWS.

**Note**  
Vous devez activer la synchronisation des modifications des répliques sur les compartiments source et de destination pour répliquer les modifications des métadonnées des répliques, telles que les listes de contrôle d'accès aux objets (ACLs), les balises d'objets ou les paramètres de verrouillage des objets sur les objets répliqués. Comme toutes les règles de réplication, vous pouvez appliquer ces règles à l’ensemble du compartiment ou à un sous-ensemble d’objets filtrés par un préfixe ou des balises d’objet.

Dans l’exemple de configuration suivant, Amazon S3 réplique les modifications de métadonnées sous le préfixe `Tax` dans le compartiment `amzn-s3-demo-source-bucket`, qui contient les objets sources.

```
{
    "Rules": [
        {
            "Status": "Enabled",
            "Filter": {
                "Prefix": "Tax"
            },
            "SourceSelectionCriteria": {
                "ReplicaModifications":{
                    "Status": "Enabled"
                }
            },
            "Destination": {
                "Bucket": "arn:aws:s3:::amzn-s3-demo-source-bucket"
            },
            "Priority": 1
        }
    ],
    "Role": "IAM-Role-ARN"
}
```

Pour obtenir des instructions complètes sur la création de règles de réplication à l'aide du AWS CLI, voir[Configuration d’une réplication pour des compartiments dans le même compte](replication-walkthrough1.md).

# Répliquer des marqueurs de suppression entre les compartiments
<a name="delete-marker-replication"></a>

Par défaut, lorsque la réplication S3 est activée et qu’un objet est supprimé dans le compartiment source, Amazon S3 ajoute un marqueur de suppression dans le compartiment source uniquement. Cette action aide à protéger les données dans les compartiments de destination contre les suppressions accidentelles ou malveillantes. Si la *réplication des marqueurs de suppression* est activée, ces marqueurs sont copiés dans les compartiments de destination et Amazon S3 se comporte comme si l’objet avait été supprimé dans les compartiments source et de destination. Pour plus d’informations sur le fonctionnement des marqueurs de suppression, consultez [Utilisation des marqueurs de suppression](DeleteMarker.md).

**Note**  
La réplication des marqueurs de suppression n’est pas prise en charge pour les règles de réplication basées sur des balises. La réplication des marqueurs de suppression ne respecte pas non plus le contrat de niveau de service (SLA) de 15 minutes convenu pour l’utilisation du contrôle du temps de réplication S3 (S3 RTC).
Si vous n’utilisez pas la dernière version XML de configuration de réplication, les opérations de suppression affectent la réplication différemment. Pour de plus amples informations, veuillez consulter [Impact des opérations de suppression sur la réplication](replication-what-is-isnot-replicated.md#replication-delete-op).
Si vous activez la réplication des marqueurs de suppression et que votre compartiment source possède une règle d’expiration du cycle de vie S3, les marqueurs de suppression ajoutés par la règle d’expiration du cycle de vie S3 ne seront pas répliqués dans le compartiment de destination.

## Activer la réplication des marqueurs de suppression
<a name="enabling-delete-marker-replication"></a>

Vous pouvez commencer à utiliser la réplication des marqueurs de suppression avec une règle de réplication nouvelle ou existante. Vous pouvez appliquer la réplication des marqueurs de suppression à un compartiment entier ou à des objets dotés d’un préfixe spécifique.

Pour activer la réplication des marqueurs de suppression à l’aide de la console Amazon S3, consultez [Utilisation de la console S3](replication-walkthrough1.md#enable-replication). Cette rubrique fournit des instructions pour activer la réplication des marqueurs de suppression dans votre configuration de réplication lorsque les compartiments source et de destination appartiennent à la même personne ou à des entités différentes Comptes AWS.

Pour activer la réplication des marqueurs de suppression à l'aide de AWS Command Line Interface (AWS CLI), vous devez ajouter une configuration de réplication au compartiment source en `DeleteMarkerReplication` activant, comme indiqué dans l'exemple de configuration suivant. 

Dans l’exemple de configuration de réplication suivant, les marqueurs de suppression sont répliqués dans le compartiment de destination `amzn-s3-demo-destination-bucket` pour les objets sous le préfixe `Tax`.

```
{
    "Rules": [
        {
            "Status": "Enabled",
            "Filter": {
                "Prefix": "Tax"
            },
            "DeleteMarkerReplication": {
                "Status": "Enabled"
            },
            "Destination": {
                "Bucket": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
            },
            "Priority": 1
        }
    ],
    "Role": "IAM-Role-ARN"
}
```

Pour obtenir des instructions complètes sur la création de règles de réplication via le AWS CLI, reportez-vous à[Configuration d’une réplication pour des compartiments dans le même compte](replication-walkthrough1.md).