Configuration des autorisations pour la réplication en direct - Amazon Simple Storage Service
Création d'un IAM rôleOctroi d'autorisations lorsque les compartiments source et de destination appartiennent à des entités différentes Comptes AWSModification du propriétaire d'un réplicaOctroi d'autorisations pour les opérations par lots S3

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des autorisations pour la réplication en direct

Lorsque vous configurez la réplication en direct dans Amazon S3, vous devez obtenir les autorisations nécessaires comme suit :

  • Simple Storage Service (Amazon S3) a besoin d'autorisations pour répliquer des objets en votre nom. Vous accordez ces autorisations en créant un rôle AWS Identity and Access Management (IAM), puis en spécifiant ce rôle dans votre configuration de réplication.

  • Lorsque les compartiments source et de destination ne sont pas détenus par les mêmes comptes, le propriétaire du compartiment de destination doit également accorder au propriétaire du compartiment source les autorisations nécessaires pour stocker les répliques.

Création d'un IAM rôle

Par défaut, toutes les ressources Simple Storage Service (Amazon S3) (compartiments, objets et sous-ressources liées) sont privées : seul le propriétaire des ressources peut y accéder. Simple Storage Service (Amazon S3) a besoin d'autorisations pour lire et répliquer les objets du compartiment source. Vous accordez ces autorisations en créant un IAM rôle et en spécifiant ce rôle dans votre configuration de réplication.

Cette section explique la politique de confiance et la politique d'autorisations minimales requises associées à ce IAM rôle. Les exemples de procédures pas à pas fournissent des step-by-step instructions pour créer un IAM rôle. Pour de plus amples informations, veuillez consulter Exemples de configuration de la réplication en direct.

La politique de confiance identifie les identités principales qui peuvent assumer le IAM rôle. La politique d'autorisations spécifie les actions que le IAM rôle peut effectuer, sur quelles ressources et dans quelles conditions.

  • L'exemple suivant montre une politique de confiance dans laquelle vous identifiez Amazon S3 comme le Service AWS principal habilité à assumer le rôle :

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"s3.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

  • L'exemple suivant montre une politique de confiance dans laquelle vous identifiez Amazon S3 et S3 Batch Operations en tant que principaux de service pouvant assumer ce rôle. Utilisez cette approche si vous créez une tâche de réplication par lots. Pour de plus amples informations, veuillez consulter Création d'une tâche de réplication par lots pour de nouvelles règles ou destinations de réplication.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service": [
              "s3.amazonaws.com",
              "batchoperations.s3.amazonaws.com"
           ]
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

    Pour plus d'informations sur IAM les rôles, voir IAMles rôles dans le Guide de IAM l'utilisateur.

  • L'exemple suivant illustre la politique d'autorisation, dans laquelle vous accordez au IAM rôle les autorisations nécessaires pour effectuer des tâches de réplication en votre nom. Quand Simple Storage Service (Amazon S3) endosse le rôle, il dispose des autorisations que vous avez spécifiées dans cette stratégie. Dans cette politique, amzn-s3-demo-source-bucket est le compartiment source et amzn-s3-demo-destination-bucket, le compartiment de destination.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetReplicationConfiguration",
            "s3:ListBucket"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetObjectVersionForReplication",
            "s3:GetObjectVersionAcl",
            "s3:GetObjectVersionTagging"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:ReplicateObject",
            "s3:ReplicateDelete",
            "s3:ReplicateTags"
         ],
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
      }
   ]
}

    La politique d'autorisations octroie des autorisations pour les actions suivantes :

    • s3:GetReplicationConfigurationet s3:ListBucket — Les autorisations associées à ces actions sur le amzn-s3-demo-source-bucket compartiment permettent à Amazon S3 de récupérer la configuration de réplication et de répertorier le contenu du compartiment. (Le modèle d'autorisations actuel nécessite l'autorisation s3:ListBucket pour accéder aux marqueurs de suppression.)

    • s3:GetObjectVersionForReplicationet s3:GetObjectVersionAcl — Des autorisations pour ces actions sont accordées sur tous les objets afin de permettre à Amazon S3 d'obtenir une version d'objet spécifique et une liste de contrôle d'accès (ACL) associée aux objets.

    • s3:ReplicateObject et s3:ReplicateDelete – Les autorisations d'effectuer ces actions sur des objets du compartiment amzn-s3-demo-destination-bucket permettent à Simple Storage Service (Amazon S3) de répliquer des objets ou des marqueurs de suppression dans le compartiment de destination. Pour de plus amples informations sur les marqueurs de suppression, consultez Impact des opérations de suppression sur la réplication.

      Note

      Les autorisations relatives à l's3:ReplicateObjectaction sur le amzn-s3-demo-destination-bucket compartiment autorisent également la réplication de métadonnées telles que les balises d'objet etACLs. Il n'est donc pas nécessaire d'accorder une autorisation explicite pour l'action s3:ReplicateTags.

    • s3:GetObjectVersionTagging— Les autorisations associées à cette action sur les objets du amzn-s3-demo-source-bucket compartiment permettent à Amazon S3 de lire les balises des objets à des fins de réplication. Pour en savoir plus sur les balises d'objet, consultez Catégorisation de votre stockage à l'aide de balises. Si Amazon S3 n'a pas l's3:GetObjectVersionTaggingautorisation, il réplique les objets, mais pas les balises des objets.

    Pour obtenir la liste des actions Amazon S3, consultez la section Actions, ressources et clés de condition pour Amazon S3 dans le Service Authorization Reference.

    Pour plus d'informations sur les autorisations relatives aux API opérations S3 par type de ressource S3, consultezAutorisations requises pour les API opérations Amazon S3.

    Important

    Le Compte AWS propriétaire du IAM rôle doit disposer d'autorisations pour les actions qu'il accorde au IAM rôle.

    Supposons, par exemple, que le compartiment source contient des objets détenus par un autre Compte AWS. Le propriétaire des objets doit explicitement accorder à Compte AWS celui qui détient le IAM rôle les autorisations requises par le biais des listes de contrôle d'accès des objets (ACLs). Dans le cas contraire, Amazon S3 ne peut pas accéder aux objets et la réplication des objets échoue. Pour plus d'informations sur ACL les autorisations, consultezVue d'ensemble de la liste de contrôle d'accès (ACL).

    Les autorisations décrites dans la présente section sont liées à la configuration de réplication minimale. Si vous choisissez d'ajouter des configurations de réplication facultatives, vous devez accorder des autorisations supplémentaires à Simple Storage Service (Amazon S3). Par exemple, si vous souhaitez répliquer des objets chiffrés, vous devez également accorder les autorisations clés AWS Key Management Service (AWS KMS) nécessaires. Pour de plus amples informations, veuillez consulter Réplication d'objets chiffrés (SSE-S3, SSE -, DSSE - KMSKMS, SSE -C).

Octroi d'autorisations lorsque les compartiments source et de destination appartiennent à des entités différentes Comptes AWS

Lorsque les compartiments source et de destination ne sont pas détenus par les mêmes comptes, le propriétaire du compartiment de destination doit également ajouter une politique de compartiment pour autoriser le propriétaire du compartiment source à effectuer des actions de réplication, comme illustré dans l'exemple suivant. Dans cet exemple de politique, amzn-s3-demo-destination-bucket il s'agit du compartiment de destination.

Vous pouvez également utiliser la console Amazon S3 pour générer automatiquement cette politique de compartiment pour vous. Pour plus d'informations, voir Activer la réception d'objets répliqués depuis un compartiment source.

Note

Le ARN format du rôle peut sembler différent. Si le rôle a été créé à l'aide de la console, le ARN format estarn:aws:iam::account-ID:role/service-role/role-name. Si le rôle a été créé à l'aide du AWS CLI, le ARN format estarn:aws:iam::account-ID:role/role-name. Pour plus d'informations, consultez la section sur IAMles rôles dans le guide de IAM l'utilisateur. 

{
   "Version":"2012-10-17",
   "Id":"PolicyForDestinationBucket",
   "Statement":[
      {
         "Sid":"Permissions on objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::source-bucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":[
            "s3:ReplicateDelete",
            "s3:ReplicateObject"
         ],
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
      },
      {
         "Sid":"Permissions on bucket",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::source-bucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action": [
            "s3:List*",
            "s3:GetBucketVersioning",
            "s3:PutBucketVersioning"
         ],
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket"
      }
   ]
}

Pour voir un exemple, consultez Configuration de la réplication pour les buckets de différents comptes.

Si des objets stockés dans le compartiment source sont balisés, notez les points suivants :

  • Si le propriétaire du compartiment source autorise Amazon S3 à effectuer les s3:ReplicateTags actions s3:GetObjectVersionTagging et à répliquer les balises d'objets (via le IAM rôle), Amazon S3 réplique les balises en même temps que les objets. Pour plus d'informations sur le IAM rôle, consultezCréation d'un IAM rôle.

  • Si le propriétaire du compartiment de destination ne souhaite pas répliquer les balises, il peut ajouter l'instruction suivante à la stratégie du compartiment de destination en vue de lui refuser explicitement l'autorisation d'exécuter l'action s3:ReplicateTags. Dans cette politique, amzn-s3-demo-destination-bucket est le compartiment de destination.

    ...
   "Statement":[
      {
         "Effect":"Deny",
         "Principal":{
            "AWS":"arn:aws:iam::source-bucket-account-id:role/service-role/source-account-IAM-role"
         },
         "Action":"s3:ReplicateTags",
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
      }
   ]
...
Note

Si vous souhaitez répliquer des objets chiffrés, vous devez également accorder les autorisations clés AWS Key Management Service (AWS KMS) nécessaires. Pour de plus amples informations, veuillez consulter Réplication d'objets chiffrés (SSE-S3, SSE -, DSSE - KMSKMS, SSE -C).

Activer la réception d'objets répliqués à partir d'un compartiment source

Au lieu d'ajouter manuellement la politique précédente à votre compartiment de destination, vous pouvez rapidement générer les politiques nécessaires pour permettre la réception d'objets répliqués depuis un compartiment source via la console Amazon S3.

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le panneau de navigation de gauche, choisissez Compartiments.

  3. Dans la liste Buckets (Compartiments), choisissez le compartiment que vous souhaitez utiliser comme compartiment de destination.

  4. Choisissez l'onglet Management (Gestion), puis faites défiler jusqu'à Replication rules (Règles de réplication).

  5. Pour Actions, choisissez Receive replicated objects (Recevoir des objets répliqués).

    Suivez les instructions et entrez l' Compte AWS ID du compte du compartiment source, puis choisissez Generate policies. La console génère une politique de compartiment Amazon S3 et une politique KMS clé.

  6. Pour ajouter cette politique à votre politique de compartiment existante, choisissez Apply settings (Appliquer les paramètres) ou Copy (Copier) pour copier manuellement les modifications.

  7. (Facultatif) Copiez la AWS KMS politique dans la politique KMS clé de votre choix dans la AWS Key Management Service console.

Modification du propriétaire d'un réplica

Si différents Comptes AWS propriétaires des compartiments source et de destination sont propriétaires, vous pouvez demander à Amazon S3 de remplacer le propriétaire de la réplique par Compte AWS celui qui détient le compartiment de destination. Pour plus d'informations sur l'option de substitution du propriétaire, consultez Modification du propriétaire d'un réplica.

Octroi d'autorisations pour les opérations par lots S3

S3 Batch Replication vous permet de répliquer les objets suivants :

  • Objets qui existaient avant la mise en place d'une configuration de réplication

  • Objets qui ont déjà été répliqués

  • Objets dont la réplication a échoué

Vous pouvez créer une tâche de réplication par lots unique lors de la création de la première règle dans une nouvelle configuration de réplication ou lors de l'ajout d'une nouvelle destination à une configuration existante via la console Amazon S3. Vous pouvez également lancer la réplication par lots pour une configuration de réplication existante en créant une tâche Batch Operations.

Pour un IAM rôle de réplication par lots et des exemples de politique, voirConfiguration d'un IAM rôle pour S3 Batch Replication.