Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pour transférer des données vers ou depuis votre système de fichiers Amazon EFS, vous devez créer un emplacement AWS DataSync de transfert. DataSync peut utiliser cet emplacement comme source ou destination pour le transfert de données.
Fournir un DataSync accès aux systèmes de fichiers Amazon EFS
La création d'un emplacement implique de comprendre comment DataSync accéder à votre espace de stockage. Pour Amazon EFS, DataSync monte votre système de fichiers en tant qu'utilisateur root depuis votre cloud privé virtuel (VPC) à l'aide d'interfaces réseau.
Table des matières
Déterminer le sous-réseau et les groupes de sécurité pour votre cible de montage
Lorsque vous créez votre emplacement, vous spécifiez le sous-réseau et les groupes de sécurité qui permettent de vous connecter DataSync à l'une des cibles de montage de votre système de fichiers Amazon EFS.
Le sous-réseau que vous spécifiez doit être situé :
-
Dans le même VPC que votre système de fichiers.
-
Dans la même zone de disponibilité qu'au moins une cible de montage pour votre système de fichiers.
Note
Vous n'avez pas besoin de spécifier un sous-réseau incluant une cible de montage de système de fichiers.
Les groupes de sécurité que vous spécifiez doivent autoriser le trafic entrant sur le port 2049 du système de fichiers réseau (NFS). Pour plus d'informations sur la création et la mise à jour de groupes de sécurité pour vos cibles de montage, consultez le guide de l'utilisateur Amazon EFS.
- Spécification des groupes de sécurité associés à une cible de montage
-
Vous pouvez spécifier un groupe de sécurité associé à l'une des cibles de montage de votre système de fichiers. Nous recommandons cette approche du point de vue de la gestion du réseau.
- Spécifier les groupes de sécurité qui ne sont pas associés à une cible de montage
-
Vous pouvez également spécifier un groupe de sécurité qui n'est pas associé à l'une des cibles de montage de votre système de fichiers. Toutefois, ce groupe de sécurité doit être en mesure de communiquer avec le groupe de sécurité d'une cible de montage.
Par exemple, voici comment créer une relation entre le groupe de sécurité D (pour DataSync) et le groupe de sécurité M (pour la cible de montage) :
-
Le groupe de sécurité D, que vous spécifiez lors de la création de votre position, doit disposer d'une règle autorisant les connexions sortantes sur le port NFS 2049 vers le groupe de sécurité M.
-
Le groupe de sécurité M, que vous associez à la cible de montage, doit autoriser l'accès entrant sur le port NFS 2049 à partir du groupe de sécurité S.
-
Pour trouver le groupe de sécurité d'une cible de montage
Les instructions suivantes peuvent vous aider à identifier le groupe de sécurité d'une cible de montage du système de fichiers Amazon EFS que vous DataSync souhaitez utiliser pour votre transfert.
-
Dans le AWS CLI, exécutez la
describe-mount-targetscommande suivante.aws efs describe-mount-targets \ --regionfile-system-region\ --file-system-idfile-system-idCette commande renvoie des informations sur les cibles de montage de votre système de fichiers (comme dans l'exemple de sortie suivant).
{ "MountTargets": [ { "OwnerId": "111222333444", "MountTargetId": "fsmt-22334a10", "FileSystemId": "fs-123456ab", "SubnetId": "subnet-f12a0e34", "LifeCycleState": "available", "IpAddress": "11.222.0.123", "NetworkInterfaceId": "eni-1234a044" } ] } -
Prenez note de la
MountTargetIdvaleur que vous souhaitez utiliser. -
Exécutez la
describe-mount-target-security-groupscommande suivante en utilisant leMountTargetIdpour voir le groupe de sécurité de votre cible de montage.aws efs describe-mount-target-security-groups \ --regionfile-system-region\ --mount-target-idmount-target-id
Vous spécifiez ce groupe de sécurité lors de la création de votre position.
Accès aux systèmes de fichiers restreints
DataSync peut être transféré vers ou depuis les systèmes de fichiers Amazon EFS qui limitent l'accès via des points d'accès et des politiques IAM.
Note
Si vous DataSync accédez à un système de fichiers de destination via un point d'accès qui applique l'identité de l'utilisateur, l'utilisateur et le groupe POSIX de vos données sources ne sont pas préservés si vous configurez votre DataSync tâche IDs pour en copier la propriété. Au lieu de cela, les fichiers et dossiers transférés sont définis en fonction de l'utilisateur et du groupe du point d'accès IDs. Dans ce cas, la vérification des tâches échoue car elle DataSync détecte une incompatibilité entre les métadonnées des emplacements source et de destination.
Table des matières
Création d'un rôle DataSync IAM pour l'accès au système de fichiers
Si votre système de fichiers Amazon EFS restreint l'accès par le biais d'une politique IAM, vous pouvez créer un rôle IAM qui DataSync autorise la lecture ou l'écriture de données dans le système de fichiers. Il se peut que vous deviez ensuite spécifier ce rôle dans la politique de votre système de fichiers.
Pour créer le rôle DataSync IAM
Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le volet de navigation de gauche, sous Gestion des accès, sélectionnez Rôles, puis sélectionnez Créer un rôle.
-
Sur la page Sélectionner une entité de confiance, pour Type d'entité de confiance, choisissez Politique de confiance personnalisée.
-
Collez le code JSON suivant dans l'éditeur de règles :
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole" }] } -
Choisissez Suivant. Sur la page Add permissions (Ajouter des autorisations), sélectionnez Next (Suivant).
-
Donnez un nom à votre rôle et choisissez Créer un rôle.
Vous spécifiez ce rôle lors de la création de votre position.
Exemple de politique de système de fichiers autorisant DataSync l'accès
L'exemple de politique de système de fichiers suivant montre comment l'accès à un système de fichiers Amazon EFS (identifié dans la politique commefs-) est restreint tout en autorisant l'accès DataSync via un rôle IAM nommé 1234567890abcdef0MyDataSyncRole
{
"Version": "2012-10-17",
"Id": "ExampleEFSFileSystemPolicy",
"Statement": [{
"Sid": "AccessEFSFileSystem",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyDataSyncRole"
},
"Action": [
"elasticfilesystem:ClientMount",
"elasticfilesystem:ClientWrite",
"elasticfilesystem:ClientRootAccess"
],
"Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-1234567890abcdef0",
"Condition": {
"Bool": {
"aws:SecureTransport": "true"
},
"StringEquals": {
"elasticfilesystem:AccessPointArn": "arn:aws:elasticfilesystem:us-east-1:111122223333:access-point/fsap-abcdef01234567890"
}
}
}]
}-
Principal— Spécifie un rôle IAM qui donne DataSync l'autorisation d'accéder au système de fichiers. -
Action— Donne un accès DataSync root et lui permet de lire et d'écrire dans le système de fichiers. -
aws:SecureTransport— Nécessite que les clients NFS utilisent le protocole TLS lors de la connexion au système de fichiers. -
elasticfilesystem:AccessPointArn— Autorise l'accès au système de fichiers uniquement via un point d'accès spécifique.
Considérations relatives au réseau liées aux transferts Amazon EFS
VPCs que vous utilisez avec DataSync doit avoir une location par défaut. VPCs avec location dédiée ne sont pas pris en charge.
Considérations relatives aux performances liées aux transferts Amazon EFS
Le mode de débit de votre système de fichiers Amazon EFS peut affecter la durée du transfert et les performances du système de fichiers pendant le transfert. Éléments à prendre en compte :
-
Pour de meilleurs résultats, nous vous recommandons d'utiliser le mode débit élastique. Si vous n'utilisez pas le mode débit élastique, votre transfert peut prendre plus de temps.
-
Si vous utilisez le mode débit en rafale, les performances des applications de votre système de fichiers peuvent être affectées en raison de la consommation de crédits en rafale DataSync du système de fichiers.
-
La façon dont vous configurez DataSync pour vérifier les données transférées peut affecter les performances du système de fichiers et les coûts d'accès aux données.
Pour plus d'informations, consultez les performances d'Amazon EFS dans le guide de l'utilisateur d'Amazon Elastic File System et sur la page de tarification d'Amazon EFS
Création de votre lieu de transfert Amazon EFS
Pour créer le lieu de transfert, vous avez besoin d'un système de fichiers Amazon EFS existant. Si vous n'en avez pas, consultez Getting started with Amazon EFS dans le manuel Amazon Elastic File System User Guide.
Ouvrez la AWS DataSync console à l'adresse https://console.aws.amazon.com/datasync/
. Dans le volet de navigation de gauche, développez Transfert de données, puis choisissez Locations et Create location.
-
Pour le type d'emplacement, choisissez le système de fichiers Amazon EFS.
Vous configurerez cet emplacement comme source ou destination plus tard.
-
Pour Système de fichiers, choisissez le système de fichiers Amazon EFS que vous souhaitez utiliser comme emplacement.
-
Pour Chemin de montage, entrez un chemin de montage pour votre système de fichiers Amazon EFS.
Cela DataSync indique où les données sont lues ou écrites (selon qu'il s'agit d'un emplacement source ou de destination) sur votre système de fichiers.
Par défaut, DataSync utilise le répertoire racine (ou le point d'accès si vous en fournissez un pour le paramètre du point d'accès EFS). Vous pouvez également spécifier des sous-répertoires à l'aide de barres obliques (par exemple,).
/path/to/directory -
Pour Sous-réseau, choisissez un sous-réseau dans lequel vous souhaitez DataSync créer les interfaces réseau pour gérer votre trafic de transfert de données.
Le sous-réseau doit être situé :
-
Dans le même VPC que votre système de fichiers.
-
Dans la même zone de disponibilité qu'au moins une cible de montage du système de fichiers.
Note
Vous n'avez pas besoin de spécifier un sous-réseau incluant une cible de montage de système de fichiers.
-
-
Pour les groupes de sécurité, choisissez le groupe de sécurité associé à la cible de montage de votre système de fichiers Amazon EFS. Vous pouvez choisir plusieurs groupes de sécurité.
Note
Les groupes de sécurité que vous spécifiez doivent autoriser le trafic entrant sur le port NFS 2049. Pour de plus amples informations, veuillez consulter Déterminer le sous-réseau et les groupes de sécurité pour votre cible de montage.
-
Pour le chiffrement en transit, indiquez si vous DataSync souhaitez utiliser le chiffrement TLS (Transport Layer Security) lors du transfert de données vers ou depuis votre système de fichiers.
Note
Vous devez activer ce paramètre pour configurer un point d'accès, un rôle IAM ou les deux avec votre emplacement Amazon EFS.
-
(Facultatif) Pour le point d'accès EFS, choisissez un point d'accès qui DataSync peut être utilisé pour monter votre système de fichiers.
Pour de plus amples informations, veuillez consulter Accès aux systèmes de fichiers restreints.
-
(Facultatif) Pour le rôle IAM, spécifiez un rôle qui permet d'accéder DataSync à votre système de fichiers.
Pour plus d'informations sur la création de ce rôle, consultez Création d'un rôle DataSync IAM pour l'accès au système de fichiers.
-
(Facultatif) Sélectionnez Ajouter une balise pour étiqueter votre système de fichiers.
Une balise est une paire clé-valeur qui vous aide à gérer, filtrer et rechercher vos emplacements.
-
Choisissez Créer un emplacement.
-
Copiez la
create-location-efscommande suivante :aws datasync create-location-efs \ --efs-filesystem-arn 'arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id' \ --subdirectory/path/to/your/subdirectory\ --ec2-config SecurityGroupArns='arn:aws:ec2:region:account-id:security-group/security-group-id',SubnetArn='arn:aws:ec2:region:account-id:subnet/subnet-id' \ --in-transit-encryption TLS1_2 \ --access-point-arn 'arn:aws:elasticfilesystem:region:account-id:access-point/access-point-id' \ --file-system-access-role-arn 'arn:aws:iam::account-id:role/datasync-efs-access-role -
Pour
--efs-filesystem-arn, spécifiez le nom de ressource Amazon (ARN) du système de fichiers Amazon EFS vers ou depuis lequel vous effectuez le transfert. -
Pour
--subdirectory, spécifiez un chemin de montage pour votre système de fichiers.C'est là que les données sont DataSync lues ou écrites (selon qu'il s'agit d'un emplacement source ou de destination) sur votre système de fichiers.
Par défaut, DataSync utilise le répertoire racine (ou le point d'accès si vous en fournissez un
--access-point-arn). Vous pouvez également spécifier des sous-répertoires à l'aide de barres obliques (par exemple,)./path/to/directory -
Pour
--ec2-config, procédez comme suit :-
Pour
SecurityGroupArnsNote
Les groupes de sécurité que vous spécifiez doivent autoriser le trafic entrant sur le port NFS 2049. Pour de plus amples informations, veuillez consulter Déterminer le sous-réseau et les groupes de sécurité pour votre cible de montage.
-
Pour
SubnetArn, spécifiez l'ARN du sous-réseau dans lequel vous souhaitez DataSync créer les interfaces réseau pour gérer votre trafic de transfert de données.Le sous-réseau doit être situé :
-
Dans le même VPC que votre système de fichiers.
-
Dans la même zone de disponibilité qu'au moins une cible de montage du système de fichiers.
Note
Vous n'avez pas besoin de spécifier un sous-réseau incluant une cible de montage de système de fichiers.
-
-
-
Pour
--in-transit-encryption, indiquez si vous DataSync souhaitez utiliser le chiffrement TLS (Transport Layer Security) lors du transfert de données vers ou depuis votre système de fichiers.Note
Vous devez le définir
TLS1_2pour configurer un point d'accès, un rôle IAM ou les deux avec votre emplacement Amazon EFS. -
(Facultatif) Pour
--access-point-arn, spécifiez l'ARN d'un point d'accès qui DataSync peut être utilisé pour monter votre système de fichiers.Pour de plus amples informations, veuillez consulter Accès aux systèmes de fichiers restreints.
-
(Facultatif) Pour
--file-system-access-role-arn, spécifiez l'ARN d'un rôle IAM qui permet d'accéder DataSync à votre système de fichiers.Pour plus d'informations sur la création de ce rôle, consultez Création d'un rôle DataSync IAM pour l'accès au système de fichiers.
-
Exécutez la commande
create-location-efs.Si la commande aboutit, vous obtenez une réponse indiquant l'ARN de l'emplacement que vous avez créé. Par exemple :
{ "LocationArn": "arn:aws:datasync:us-east-1:111222333444:location/loc-0b3017fc4ba4a2d8d" }
