Configuration de la réplication pour des compartiments dans des comptes distincts - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la réplication pour des compartiments dans des comptes distincts

La réplication dynamique est la copie automatique et asynchrone d'objets dans des compartiments identiques ou différents. Régions AWS La réplication en direct copie les objets nouvellement créés et les mises à jour d’objets à partir d’un compartiment source vers un ou plusieurs compartiments de destination. Pour de plus amples informations, veuillez consulter Réplication d’objets au sein des régions et entre elles.

Lorsque vous configurez la réplication, vous ajoutez des règles de réplication au compartiment source. Les règles de réplication définissent les objets du compartiment source à répliquer, ainsi que le ou les compartiments de destination dans lesquels les objets répliqués seront stockés. Vous pouvez créer une règle pour répliquer tous les objets ou un sous-ensemble d’objets d’un compartiment à l’aide de préfixes de nom de clé ou d’autres balises d’objet, ou les deux. Un compartiment de destination peut se trouver dans le même compartiment Compte AWS que le compartiment source ou dans un autre compte.

Si vous spécifiez un ID de version d’objet à supprimer, Amazon S3 supprime cette version de l’objet dans le compartiment source. Mais le service ne réplique pas la suppression dans le compartiment de destination. En d’autres termes, il ne supprime pas la même version de l’objet dans le compartiment de destination. Les données sont ainsi protégées contre les suppressions malveillantes.

Lorsque vous ajoutez une règle de réplication à un compartiment, celle-ci est activée par défaut et entre en fonctionnement dès que vous l’enregistrez.

La configuration de la réplication en direct quand les compartiments source et de destination appartiennent à des Comptes AWS différents est similaire à la configuration de la réplication quand les deux compartiments appartiennent au même compte. Toutefois, il existe plusieurs différences lorsque vous configurez la réplication dans un scénario intercompte :

  • Le propriétaire du compartiment de destination doit accorder au propriétaire du compartiment source l’autorisation de répliquer des objets dans la politique de compartiment de destination.

  • Si vous répliquez des objets chiffrés à l’aide d’un chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS) dans un scénario intercompte, le propriétaire de la clé KMS doit accorder au propriétaire du compartiment source l’autorisation d’utiliser la clé KMS. Pour de plus amples informations, veuillez consulter Octroi d’autorisations supplémentaires pour les scénarios à plusieurs comptes.

  • Par défaut, les objets répliqués appartiennent au propriétaire du compartiment source. Dans un scénario intercompte, vous pouvez configurer la réplication pour remplacer le propriétaire des objets répliqués par le propriétaire du compartiment de destination. Pour de plus amples informations, veuillez consulter Modification du propriétaire d’un réplica.

Pour configurer la réplication lorsque les compartiments source et de destination appartiennent à des entités différentes Comptes AWS

  1. Dans cet exemple, vous créez les compartiments source et de destination dans deux Comptes AWS différents. Vous devez avoir défini deux profils d’informations d’identification pour l’ AWS CLI. Cet exemple utilise acctA et acctB pour ces noms de profil. Pour obtenir des informations sur la définition des profils d’informations d’identification et l’utilisation de profils nommés, consultez Paramètres des fichiers de configuration et d’informations d’identification dans le Guide de l’utilisateur AWS Command Line Interface .

  2. Suivez les step-by-step instructions en Configuration d’une réplication pour des compartiments dans le même compte apportant les modifications suivantes :

    • Pour toutes les AWS CLI commandes liées aux activités du compartiment source (telles que la création du compartiment source, l'activation du versionnement et la création du rôle IAM), utilisez le acctA profil. Utilisez le profil acctB pour créer le compartiment de destination.

    • Assurez-vous que la politique d’autorisations pour le rôle IAM spécifie les compartiments source et de destination que vous avez créés pour cet exemple.

  3. Dans la console, ajoutez la politique de compartiment suivante au compartiment de destination pour autoriser le propriétaire du compartiment source à répliquer des objets. Pour obtenir des instructions, consultez Ajout d’une politique de compartiment à l’aide de la console Amazon S3. Veillez à modifier la politique en fournissant l' Compte AWS ID du propriétaire du compartiment source, le nom du rôle IAM et le nom du compartiment de destination.

    Note

    Pour utiliser l’exemple suivant, remplacez les user input placeholders par vos propres informations. Remplacez amzn-s3-demo-destination-bucket par le nom de votre compartiment de destination. Remplacez source-bucket-account-ID:role/service-role/source-account-IAM-role dans l’Amazon Resource Name (ARN) IAM par le rôle IAM que vous utilisez pour cette configuration de réplication.

    Si vous avez créé le rôle de service IAM manuellement, définissez le chemin du rôle dans l’ARN IAM sur role/service-role/, comme illustré dans l’exemple de politique suivant. Pour plus d'informations, consultez la section IAM ARNs dans le guide de l'utilisateur d'IAM. 

    {
   "Version":"2012-10-17",
   "Id":"",
   "Statement":[
      {
         "Sid":"Set-permissions-for-objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::source-bucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":["s3:ReplicateObject", "s3:ReplicateDelete"],
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
      },
      {
         "Sid":"Set permissions on bucket",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::source-bucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":["s3:GetBucketVersioning", "s3:PutBucketVersioning"],
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket"
      }
   ]
}

  4. (Facultatif) Si vous répliquez des objets chiffrés par SSE-KMS, le propriétaire de la clé KMS doit accorder au propriétaire du compartiment source l’autorisation d’utiliser la clé KMS. Pour de plus amples informations, veuillez consulter Octroi d’autorisations supplémentaires pour les scénarios à plusieurs comptes.

  5. (Facultatif) Dans une réplication, par défaut, le réplica appartient au propriétaire de l’objet source. Lorsque les compartiments source et de destination appartiennent à des propriétaires différents Comptes AWS, vous pouvez ajouter des paramètres de configuration facultatifs pour remplacer la propriété des répliques par le Compte AWS propriétaire des compartiments de destination. Cela comprend l’octroi de l’autorisation ObjectOwnerOverrideToBucketOwner. Pour de plus amples informations, veuillez consulter Modification du propriétaire d’un réplica.