Comprendre les configurations stockées dans Amazon S3 - AWS AppConfig
Configuration des autorisations pour une configuration stockée en tant qu'objet Amazon S3

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre les configurations stockées dans Amazon S3

Vous pouvez stocker les configurations dans un bucket Amazon Simple Storage Service (Amazon S3). Lorsque vous créez le profil de configuration, vous le spécifiez URI à un seul objet S3 dans un compartiment. Vous spécifiez également le nom de ressource Amazon (ARN) d'un rôle AWS Identity and Access Management (IAM) qui donne AWS AppConfig l'autorisation d'obtenir l'objet. Avant de créer un profil de configuration pour un objet Amazon S3, tenez compte des restrictions suivantes.

Restriction Détails

Size

La taille maximale des configurations stockées en tant qu'objets S3 est de 1 Mo.

Chiffrement de l'objet

Un profil de configuration peut cibler les objets SSE KMS chiffrés -S3 et SSE -.

Classes de stockage

AWS AppConfig prend en charge les classes de stockage S3 suivantes : STANDARDINTELLIGENT_TIERING,REDUCED_REDUNDANCY,STANDARD_IA, etONEZONE_IA. Les classes suivantes ne sont pas prises en charge : toutes les classes S3 Glacier (GLACIER et DEEP_ARCHIVE).

Gestion des versions

AWS AppConfig nécessite que l'objet S3 utilise le versionnement.

Configuration des autorisations pour une configuration stockée en tant qu'objet Amazon S3

Lorsque vous créez un profil de configuration pour une configuration stockée en tant qu'objet S3, vous devez spécifier un profil ARN pour un IAM rôle qui AWS AppConfig autorise l'accès à l'objet. Votre rôle doit inclure les autorisations suivantes :

Autorisations pour accéder à l'objet S3

  • s3 : GetObject

  • s3 : GetObjectVersion

Autorisations pour répertorier les compartiments S3

s3 : ListAllMyBuckets

Autorisations pour accéder au compartiment S3 où l'objet est stocké

  • s3 : GetBucketLocation

  • s3 : GetBucketVersioning

  • s3 : ListBucket

  • s3 : ListBucketVersions

Complétez la procédure suivante pour créer un rôle qui permet d' AWS AppConfig obtenir une configuration stockée dans un objet S3.

Création de la IAM politique d'accès à un objet S3

Utilisez la procédure suivante pour créer une IAM politique qui permet AWS AppConfig d'obtenir une configuration stockée dans un objet S3.

Pour créer une IAM politique d'accès à un objet S3

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, sélectionnez Politiques, puis Créer une politique.

  3. Sur la page Créer une politique, choisissez l'JSONonglet.

  4. Mettez à jour l'exemple de stratégie suivant avec les informations sur votre compartiment S3 et votre objet de configuration. Collez ensuite la politique dans le champ de texte de l'JSONonglet. Remplacez le placeholder values avec vos propres informations.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/my-configurations/my-configuration.json"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:GetBucketVersioning",
        "s3:ListBucketVersions",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket"
      ]
    },
    {
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "*"
    } 
  ]
}

  5. Choisissez Review policy (Examiner une politique).

  6. Sur la page Review policy (Examiner une stratégie), saisissez un nom dans la zone Name (Nom), puis saisissez une description.

  7. Choisissez Create Policy (Créer une politique). Le système vous renvoie à la page Rôles.

Création du IAM rôle pour accéder à un objet S3

Utilisez la procédure suivante pour créer un IAM rôle qui permet AWS AppConfig d'obtenir une configuration stockée dans un objet S3.

Pour créer un IAM rôle permettant d'accéder à un objet Amazon S3

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, sélectionnez Rôles, puis Créer un rôle.

  3. Dans la section Sélectionner le type d'entité de confiance, sélectionnez AWS service.

  4. Dans la section Choisir un cas d'utilisation, sous Cas d'utilisation courants, sélectionnez EC2, puis cliquez sur Suivant : Autorisations.

  5. Dans la page Attach permissions policy (Attacher des stratégies d’autorisations) dans la zone de recherche, saisissez le nom de la stratégie que vous avez créée lors de la procédure précédente.

  6. Choisissez la stratégie, puis sélectionnez Next: Tags (Suivant : Balises).

  7. Sur la page Ajouter des balises (facultatif), entrez une clé et une valeur facultative, puis choisissez Suivant : Révision.

  8. Sur la page Review (Vérification), saisissez un nom dans le champ Role name (Nom du rôle), puis saisissez une description.

  9. Sélectionnez Créer un rôle. Le système vous renvoie à la page Rôles.

  10. Sur la page Rôles, sélectionnez le rôle que vous venez de créer pour ouvrir la page Récapitulatif. Notez le nom et le rôle du rôle ARN. Vous spécifierez le rôle ARN lorsque vous créerez le profil de configuration plus loin dans cette rubrique.

Création d'une relation d'approbation

Utilisez la procédure suivante pour configurer le rôle que vous venez de créer pour approuver AWS AppConfig.

Pour ajouter une relation d'approbation

  1. Dans la page Récapitulatif du rôle que vous venez de créer, choisissez l'onglet Relations d'approbation, puis choisissez Modifier la relation d'approbation.

  2. Supprimez "ec2.amazonaws.com" et ajoutez "appconfig.amazonaws.com" comme le montre l'exemple suivant.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "appconfig.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  3. Choisissez Mettre à jour la politique d'approbation.