Configuration d'un compartiment Amazon S3 pour les exportations de données - Exportations de données AWS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration d'un compartiment Amazon S3 pour les exportations de données

Vous devez disposer d'un compartiment Amazon S3 dans votre AWS compte pour recevoir et stocker vos exportations de données. Lorsque vous créez une exportation dans la console, vous pouvez sélectionner un compartiment S3 existant dont vous êtes le propriétaire ou créer un nouveau compartiment. Dans les deux cas, vous devez vérifier et confirmer l'application de la politique de compartiment S3 par défaut suivante. La modification de cette politique dans la console Amazon S3 ou le changement du propriétaire du compartiment S3 après avoir créé une exportation empêche Data Exports de livrer vos exportations. Le stockage des données d'exportation dans votre compartiment S3 est facturé aux tarifs standard d'Amazon S3. Pour plus d'informations, consultez Quotas d'instances réservées.

Note

Le compte qui crée l'exportation doit également posséder le compartiment S3 auquel les exportations sont AWS envoyées. Évitez de configurer une exportation avec un compartiment S3 appartenant à un autre compte.

La politique suivante est appliquée à chaque compartiment S3 lors de la création d'une exportation de données :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableAWSDataExportsToWriteToS3AndCheckPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "billingreports.amazonaws.com",
                    "bcm-data-exports.amazonaws.com"
                ]
            },
            "Action": [
                "s3:PutObject",
                "s3:GetBucketPolicy"
            ],
            "Resource": [
                "arn:aws:s3:::${bucket_name}/*",
                "arn:aws:s3:::${bucket_name}"
            ],
            "Condition": {
                "StringLike": {
                    "aws:SourceAccount": "${accountId}",
                    "aws:SourceArn": [
                        "arn:aws:cur:us-east-1:${accountId}:definition/*",
                        "arn:aws:bcm-data-exports:us-east-1:${accountId}:export/*"
                    ]
                }
            }
        }
    ]
}

Cette politique de compartiment S3 garantit que Data Exports ne peut fournir des exportations vers le compartiment S3 qu'au nom du compte qui a créé l'exportation. Cela permet également à Data Exports de vérifier que le compartiment S3 appartient toujours au compte qui a créé l'exportation.

  • Pour fournir des exportations vers votre compartiment S3, vous devez AWS disposer d'autorisations d'écriture pour ce compartiment S3. Pour ce faire, la politique du compartiment S3 accorde au service Data Exports (bcm-data-exports.amazonaws.com) l'autorisation de fournir (s3:PutObject) des rapports au compartiment S3 que vous possédez (arn:aws:s3:::<EXAMPLE-BUCKET>/*).

  • Chaque fois que Data Exports demande d'écrire dans le compartiment S3, il doit fournir l'ID de compte du compte qui a créé l'exportation. Les clés de condition aws:SourceArn et aws:SourceAccount les appliquent.

  • Cette politique de compartiment S3 n'autorise AWS pas la lecture ou la suppression d'objets de votre compartiment S3, y compris les rapports sur les coûts et l'utilisation une fois qu'ils ont été livrés.

Pour un compartiment Amazon S3 dont la liste de contrôle d'accès (ACL) est activée, Data Exports applique une BucketOwnerFullControl ACL aux rapports lors de leur remise. Par défaut, les objets Amazon S3, tels que ces rapports, ne peuvent être lus que par l'utilisateur ou le principal de service qui les a rédigés. Pour que vous ou le propriétaire du compartiment S3 puissiez lire les rapports, vous AWS devez appliquer l'BucketOwnerFullControlACL. L'ACL octroie ces rapports au propriétaire Permission.FullControl du compartiment S3. Cependant, il est recommandé de désactiver l'ACL et d'utiliser une politique de compartiment S3 pour contrôler l'accès.

Note

Pour les compartiments S3 nouvellement créés, les ACL sont désactivées par défaut. Pour en savoir plus, consultez Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment.

Si vous voyez une erreur de compartiment non valide sur la page de la console Data Exports, vérifiez que la politique et le propriétaire du compartiment S3 n'ont pas changé depuis la configuration du rapport.