Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Configuration des autorisations pour la réplication en direct

PDF
RSS
Mode de mise au point
Configuration des autorisations pour la réplication en direct - Amazon Simple Storage Service
Configuration des autorisations pour créer des règles de réplicationCréation d’un rôle IAMOctroi d'autorisations lorsque les compartiments source et de destination appartiennent à des entités différentes Comptes AWSModification du propriétaire d’un réplicaOctroi d’autorisations pour les opérations par lots S3

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Lors de la configuration de la réplication en direct dans Amazon S3, vous devez acquérir les autorisations nécessaires, comme suit :

  • Simple Storage Service (Amazon S3) a besoin d’autorisations pour répliquer des objets en votre nom. Vous accordez ces autorisations en créant un rôle AWS Identity and Access Management (IAM), puis en spécifiant ce rôle dans votre configuration de réplication.

  • Lorsque les compartiments source et de destination n’appartiennent pas aux mêmes comptes, le propriétaire du compartiment de destination doit accorder au propriétaire du compartiment source les autorisations adéquates pour stocker les réplicas.

Configuration des autorisations pour créer des règles de réplication

L'utilisateur ou le rôle IAM que vous allez utiliser pour créer des règles de réplication a besoin d'autorisations pour créer des règles de réplication pour les réplications unidirectionnelles ou bidirectionnelles. Si l'utilisateur ou le rôle ne dispose pas de ces autorisations, vous ne pourrez pas créer de règles de réplication. Pour plus d'informations, consultez la section Identités IAM dans le guide de l'utilisateur IAM.

L'utilisateur ou le rôle a besoin des actions suivantes :

  • iam:AttachRolePolicy

  • iam:CreatePolicy

  • iam:CreateServiceLinkedRole

  • iam:PassRole

  • iam:PutRolePolicy

  • s3:GetBucketVersioning

  • s3:GetObjectVersionAcl

  • s3:GetObjectVersionForReplication

  • s3:GetReplicationConfiguration

  • s3:PutReplicationConfiguration

Vous trouverez ci-dessous un exemple de politique IAM qui inclut ces actions.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetAccessPoint",
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets",
                "s3:PutReplicationConfiguration",
                "s3:GetReplicationConfiguration",
                "s3:GetBucketVersioning",
                "s3:GetObjectVersionForReplication",
                "s3:GetObjectVersionAcl",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:GetObjectVersion",
                "s3:GetBucketOwnershipControls",
                "s3:PutBucketOwnershipControls",
                "s3:GetObjectLegalHold",
                "s3:GetObjectRetention",
                "s3:GetBucketObjectLockConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1-*",
                "arn:aws:s3:::amzn-s3-demo-bucket2-*/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:List*AccessPoint*",
                "s3:GetMultiRegion*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:Get*",
                "iam:CreateServiceLinkedRole",
                "iam:CreateRole",
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/service-role/s3*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:List*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:PutRolePolicy",
                "iam:CreatePolicy"
              ],
            "Resource": [
                "arn:aws:iam::*:policy/service-role/s3*",
                "arn:aws:iam::*:role/service-role/s3*"
            ]
        }
    ]
}

Création d’un rôle IAM

Par défaut, toutes les ressources Simple Storage Service (Amazon S3) (compartiments, objets et sous-ressources liées) sont privées : seul le propriétaire des ressources peut y accéder. Simple Storage Service (Amazon S3) a besoin d’autorisations pour lire et répliquer les objets du compartiment source. Vous accordez ces autorisations en créant un rôle IAM et en spécifiant ce rôle dans votre configuration de réplication.

Cette section décrit la politique d’approbation et la politique d’autorisations minimales requises qui sont attachées à ce rôle IAM. Les exemples de procédures pas à pas fournissent des step-by-step instructions pour créer un rôle IAM. Pour de plus amples informations, veuillez consulter Exemples de configuration de la réplication en direct.

La politique d’approbation identifie les identités de principal qui peuvent endosser le rôle IAM. La politique d’autorisations spécifie les actions que peut exécuter le rôle IAM, sur quelles ressources et dans quelles conditions.

  • L'exemple suivant montre une politique de confiance dans laquelle vous identifiez Amazon S3 comme le Service AWS principal habilité à assumer le rôle :

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"s3.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

  • L’exemple suivant illustre une politique d’approbation permettant d’identifier Amazon S3 et les opérations par lot S3 en tant que principaux de service capables d’endosser le rôle. utilisez cette approche si vous créez une tâche de réplication par lot. Pour de plus amples informations, veuillez consulter Créer une tâche de réplication par lot pour de nouvelles destinations ou règles de réplication.

    {
   "Version":"2012-10-17",
   "Statement":[ 
      {
         "Effect":"Allow",
         "Principal":{
            "Service": [
              "s3.amazonaws.com",
              "batchoperations.s3.amazonaws.com"
           ]
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

    Pour plus d'informations sur les rôles IAM, consultez Rôles IAM dans le manuel IAM Guide de l'utilisateur.

  • L’exemple suivant illustre une politique d’autorisations permettant d’accorder au rôle IAM les autorisations d’effectuer les tâches de réplication en votre nom. Quand Simple Storage Service (Amazon S3) endosse le rôle, il dispose des autorisations que vous avez spécifiées dans cette stratégie. Dans cette politique, amzn-s3-demo-source-bucket est le compartiment source et amzn-s3-demo-destination-bucket, le compartiment de destination.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetReplicationConfiguration",
            "s3:ListBucket"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetObjectVersionForReplication",
            "s3:GetObjectVersionAcl",
            "s3:GetObjectVersionTagging"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:ReplicateObject",
            "s3:ReplicateDelete",
            "s3:ReplicateTags"
         ],
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
      }
   ]
}

    La politique d’autorisations accorde des autorisations pour les actions suivantes :

    • s3:GetReplicationConfiguration et s3:ListBucket : les autorisations d’exécuter ces actions sur le compartiment amzn-s3-demo-source-bucket permettent à Amazon S3 de récupérer la configuration de réplication et de répertorier le contenu du compartiment. (Le modèle d’autorisations actuel nécessite l’autorisation s3:ListBucket pour accéder aux marqueurs de suppression.)

    • s3:GetObjectVersionForReplication et s3:GetObjectVersionAcl – Les autorisations d’effectuer ces actions accordées sur tous les objets permettent à Simple Storage Service (Amazon S3) d’obtenir une version d’objet particulière et la liste de contrôle d’accès (ACL) associée aux objets.

    • s3:ReplicateObject et s3:ReplicateDelete – Les autorisations d’effectuer ces actions sur des objets du compartiment amzn-s3-demo-destination-bucket permettent à Simple Storage Service (Amazon S3) de répliquer des objets ou des marqueurs de suppression dans le compartiment de destination. Pour de plus amples informations sur les marqueurs de suppression, consultez Impact des opérations de suppression sur la réplication.

      Note

      Les autorisations relatives à l's3:ReplicateObjectaction sur le amzn-s3-demo-destination-bucket compartiment autorisent également la réplication de métadonnées telles que les balises d'objet et ACLs. Il n’est donc pas nécessaire d’accorder une autorisation explicite pour l’action s3:ReplicateTags.

    • s3:GetObjectVersionTagging : les autorisations d’exécuter cette action sur des objets du compartiment amzn-s3-demo-source-bucket permettent à Amazon S3 de lire les balises d’objets pour la réplication. Pour en savoir plus sur les balises d’objet, consultez Catégorisation de votre stockage à l’aide de balises. Si Amazon S3 ne dispose pas de l’autorisation s3:GetObjectVersionTagging, il réplique les objets mais pas leurs balises.

    Pour afficher la liste des actions Amazon S3, consultez Actions, ressources et clés de condition pour Amazon S3 dans la Référence de l’autorisation de service.

    Pour plus d’informations sur les autorisations relatives aux opérations d’API S3 par type de ressource S3, consultez Autorisations requises pour les opérations d’API Amazon S3.

    Important

    Le Compte AWS titulaire du rôle IAM doit disposer des autorisations pour les actions qu'il accorde au rôle IAM.

    Supposons, par exemple, que le compartiment source contient des objets détenus par un autre Compte AWS. Le propriétaire des objets doit explicitement accorder à Compte AWS celui qui détient le rôle IAM les autorisations requises par le biais des listes de contrôle d'accès des objets ()ACLs. Dans le cas contraire, Amazon S3 ne peut pas accéder aux objets et la réplication des objets échoue. Pour plus d’informations sur les autorisations ACL, consultez Présentation de la liste de contrôle d’accès (ACL).

    Les autorisations décrites dans la présente section sont liées à la configuration de réplication minimale. Si vous choisissez d'ajouter des configurations de réplication facultatives, vous devez accorder des autorisations supplémentaires à Amazon S3 :

    • Pour répliquer des objets chiffrés, vous devez également accorder les autorisations clés AWS Key Management Service (AWS KMS) nécessaires. Pour de plus amples informations, veuillez consulter Réplication d’objets chiffrés (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C).

    • Pour utiliser Object Lock avec la réplication, vous devez accorder deux autorisations supplémentaires sur le compartiment S3 source dans le rôle AWS Identity and Access Management (IAM) que vous utilisez pour configurer la réplication. Les deux autorisations supplémentaires sont s3:GetObjectRetention et s3:GetObjectLegalHold. Si le rôle dispose d’une déclaration d’autorisation s3:Get*, cette déclaration répond à l’exigence. Pour de plus amples informations, veuillez consulter Utilisation du verrouillage d’objet avec la réplication S3.

Octroi d'autorisations lorsque les compartiments source et de destination appartiennent à des entités différentes Comptes AWS

Lorsque les compartiments source et de destination n’appartiennent pas aux mêmes comptes, le propriétaire du compartiment de destination doit également ajouter une politique de compartiment pour accorder au propriétaire du compartiment source les autorisations adéquates pour effectuer des actions de réplication, comme illustré dans l’exemple suivant. Dans cette exemple de politique, amzn-s3-demo-destination-bucket est le compartiment de destination.

Vous pouvez également laisser la console Amazon S3 générer automatiquement cette politique de compartiment à votre place. Pour plus d’informations, consultez Activer la réception d’objets répliqués à partir d’un compartiment source.

Note

Le format ARN du rôle peut être différent. Si le rôle a été créé à l’aide de la console, le format ARN est arn:aws:iam::account-ID:role/service-role/role-name. Si le rôle a été créé à l'aide du AWS CLI, le format ARN estarn:aws:iam::account-ID:role/role-name. Pour plus d’informations, consultez Rôles IAM dans le Guide de l’utilisateur IAM. 

{
   "Version":"2012-10-17",
   "Id":"PolicyForDestinationBucket",
   "Statement":[
      {
         "Sid":"Permissions on objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::source-bucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":[
            "s3:ReplicateDelete",
            "s3:ReplicateObject"
         ],
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
      },
      {
         "Sid":"Permissions on bucket",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::source-bucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action": [
            "s3:List*",
            "s3:GetBucketVersioning",
            "s3:PutBucketVersioning"
         ],
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket"
      }
   ]
}

Pour obtenir un exemple, consultez Configuration de la réplication pour des compartiments dans des comptes distincts.

Si des objets stockés dans le compartiment source sont balisés, notez les points suivants :

  • Si le propriétaire du compartiment source octroie à Amazon S3 l’autorisation d’effectuer les actions s3:GetObjectVersionTagging et s3:ReplicateTags en vue de répliquer des balises d’objets (via le rôle IAM), Amazon S3 réplique les balises en même temps que les objets. Pour obtenir des informations sur le rôle IAM, consultez Création d’un rôle IAM.

  • Si le propriétaire du compartiment de destination ne souhaite pas répliquer les balises, il peut ajouter l’instruction suivante à la stratégie du compartiment de destination en vue de lui refuser explicitement l’autorisation d’exécuter l’action s3:ReplicateTags. Dans cette politique, amzn-s3-demo-destination-bucket est le compartiment de destination.

    ...
   "Statement":[
      {
         "Effect":"Deny",
         "Principal":{
            "AWS":"arn:aws:iam::source-bucket-account-id:role/service-role/source-account-IAM-role"
         },
         "Action":"s3:ReplicateTags",
         "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
      }
   ]
...
Note

  • Si vous souhaitez répliquer des objets chiffrés, vous devez également accorder les autorisations clés AWS Key Management Service (AWS KMS) nécessaires. Pour de plus amples informations, veuillez consulter Réplication d’objets chiffrés (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C).

  • Pour utiliser Object Lock avec la réplication, vous devez accorder deux autorisations supplémentaires sur le compartiment S3 source dans le rôle AWS Identity and Access Management (IAM) que vous utilisez pour configurer la réplication. Les deux autorisations supplémentaires sont s3:GetObjectRetention et s3:GetObjectLegalHold. Si le rôle dispose d’une déclaration d’autorisation s3:Get*, cette déclaration répond à l’exigence. Pour de plus amples informations, veuillez consulter Utilisation du verrouillage d’objet avec la réplication S3.

Activation de la réception d’objets répliqués à partir d’un compartiment source

Au lieu d’ajouter manuellement la politique précédente à votre compartiment de destination, vous pouvez rapidement générer les politiques nécessaires pour activer la réception d’objets répliqués à partir d’un compartiment source via la console Amazon S3.

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le panneau de navigation de gauche, choisissez Compartiments.

  3. Dans la liste Compartiments, choisissez le compartiment que vous souhaitez utiliser comme compartiment de destination.

  4. Choisissez l’onglet Management (Gestion), puis faites défiler jusqu’à Replication rules (Règles de réplication).

  5. Pour Actions, choisissez Receive replicated objects (Recevoir des objets répliqués).

    Suivez les instructions et entrez l' Compte AWS ID du compte du compartiment source, puis choisissez Generate policies. La console génère une politique de compartiment Amazon S3 et une stratégie de clé KMS.

  6. Pour ajouter cette politique à votre politique de compartiment existante, choisissez Apply settings (Appliquer les paramètres) ou Copy (Copier) pour copier manuellement les modifications.

  7. (Facultatif) Copiez la AWS KMS politique dans la politique de clé KMS de votre choix dans la AWS Key Management Service console.

Modification du propriétaire d’un réplica

Si différents Comptes AWS propriétaires des compartiments source et de destination sont propriétaires, vous pouvez demander à Amazon S3 de remplacer le propriétaire de la réplique par Compte AWS celui qui détient le compartiment de destination. Pour plus d’informations sur l’option de substitution du propriétaire, consultez Modification du propriétaire d’un réplica.

Octroi d’autorisations pour les opérations par lots S3

La réplication par lot S3 vous permet de répliquer les objets suivants :

  • Objets qui existaient avant la mise en place d’une configuration de réplication

  • Objets qui ont déjà été répliqués

  • Objets dont la réplication a échoué

Vous pouvez créer une tâche de réplication par lot unique lors de la création de la première règle dans une nouvelle configuration de réplication ou de l’ajout d’une nouvelle destination à une configuration existante via la console Amazon S3. Vous pouvez également lancer la réplication par lot pour une configuration de réplication existante en créant une tâche d’opérations par lot.

Pour des exemples de politiques et de rôles IAM de réplication par lot, consultez Configuration d’un rôle IAM pour la réplication par lot S3.

Sur cette page

Related resources

Amazon S3 Référence d'API
AWS CLI commandes pour Amazon S3
SDKs et outils 

Related resources

Amazon S3 Référence d'API
AWS CLI commandes pour Amazon S3
SDKs et outils 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.