Lier votre système de fichiers à un compartiment S3 - FSx pour Lustre
Support des régions et des comptes pour les compartiments S3 liésCréation d'un lien vers un compartiment S3Utilisation de compartiments Amazon S3 chiffrés côté serveur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Lier votre système de fichiers à un compartiment S3

Vous pouvez lier votre système de fichiers Amazon FSx for Lustre aux référentiels de données d'Amazon S3. Vous pouvez créer le lien lors de la création du système de fichiers ou à tout moment après la création du système de fichiers.

Un lien entre un répertoire du système de fichiers et un compartiment ou un préfixe S3 est appelé association de référentiel de données (DRA). Vous pouvez configurer un maximum de 8 associations de référentiels de données sur un système de fichiers FSx for Lustre. Un maximum de 8 demandes DRA peuvent être mises en file d'attente, mais le système de fichiers ne peut traiter qu'une seule demande à la fois. Chaque DRA doit disposer d'un répertoire unique du système de fichiers FSx for Lustre et d'un compartiment ou d'un préfixe S3 unique qui lui est associé.

Note

Les associations de référentiels de données, l'exportation automatique et la prise en charge de plusieurs référentiels de données ne sont pas disponibles sur les systèmes de fichiers ou systèmes Scratch 1 de fichiers FSx for Lustre 2.10.

Pour accéder aux objets du référentiel de données S3 sous forme de fichiers et de répertoires du système de fichiers, les métadonnées des fichiers et des répertoires doivent être chargées dans le système de fichiers. Vous pouvez charger des métadonnées à partir d'un référentiel de données lié lorsque vous créez le DRA ou charger les métadonnées pour des lots de fichiers et de répertoires auxquels vous souhaitez accéder ultérieurement à l'aide du système de fichiers FSx for Lustre à l'aide d'une tâche d'importation de référentiel de données, ou utiliser l'exportation automatique pour charger automatiquement les métadonnées lorsque des objets sont ajoutés, modifiés ou supprimés du référentiel de données.

Vous pouvez configurer un DRA pour l'importation automatique uniquement, pour l'exportation automatique uniquement, ou pour les deux. Une association de référentiel de données configurée à la fois avec une importation et une exportation automatiques propage les données dans les deux sens entre le système de fichiers et le compartiment S3 lié. Lorsque vous modifiez les données de votre référentiel de données S3, FSx for Lustre détecte les modifications puis les importe automatiquement dans votre système de fichiers. Lorsque vous créez, modifiez ou supprimez des fichiers, FSx for Lustre exporte automatiquement les modifications vers Amazon S3 de manière asynchrone une fois que votre application a fini de modifier le fichier.

Important

  • Si vous modifiez le même fichier à la fois dans le système de fichiers et dans le compartiment S3, vous devez garantir la coordination au niveau de l'application afin d'éviter les conflits. FSx for Lustre n'empêche pas les écritures conflictuelles à plusieurs emplacements.

  • Pour les fichiers marqués d'un attribut immuable, FSx for Lustre ne parvient pas à synchroniser les modifications entre votre système de fichiers FSx for Lustre et un compartiment S3 lié au système de fichiers. La définition d'un indicateur immuable pendant une période prolongée peut entraîner une dégradation des performances du transfert de données entre Amazon FSx et S3.

Lorsque vous créez une association de référentiel de données, vous pouvez configurer les propriétés suivantes :

  • Chemin du système de fichiers — Entrez un chemin local sur le système de fichiers qui pointe vers un répertoire (tel que/ns1/) ou un sous-répertoire (tel que/ns1/subdir/) qui sera mappé one-to-one avec le chemin du référentiel de données spécifié ci-dessous. Une barre oblique est requise au début du nom. Deux associations de référentiels de données ne peuvent pas avoir des chemins d'accès de système de fichiers qui se chevauchent. Par exemple, si un référentiel de données est associé au chemin d'accès du système de fichiers /ns1, vous ne pouvez pas lier un autre référentiel de données au chemin d'accès du système de fichiers /ns1/ns2.

    Note

    Si vous spécifiez uniquement une barre oblique (/) comme chemin d'accès du système de fichiers, vous ne pouvez lier qu'un seul référentiel de données au système de fichiers. Vous pouvez uniquement spécifier « / » comme chemin d'accès du système de fichiers pour le premier référentiel de données associé à un système de fichiers.

  • Chemin du référentiel de données — Entrez un chemin dans le référentiel de données S3. Le chemin d'accès peut être un compartiment S3 ou un préfixe au format s3://myBucket/myPrefix/. Cette propriété indique l'endroit depuis lequel les fichiers seront importés ou exportés dans le référentiel de données S3. FSx for Lustre ajoutera un «/» final au chemin de votre référentiel de données si vous n'en fournissez pas un. Par exemple, si vous fournissez un chemin de référentiel de données des3://myBucket/myPrefix, FSx for Lustre l'interprétera s3://myBucket/myPrefix/ comme.

    Deux associations de référentiels de données ne peuvent pas avoir de chemins de référentiel de données qui se chevauchent. Par exemple, si un référentiel de données avec chemin s3://myBucket/myPrefix/ est lié au système de fichiers, vous ne pouvez pas créer une autre association de référentiel de données avec le chemin du référentiel de donnéess3://myBucket/myPrefix/mySubPrefix.

  • Importer des métadonnées depuis le référentiel : vous pouvez sélectionner cette option pour importer les métadonnées de l'ensemble du référentiel de données immédiatement après avoir créé l'association du référentiel de données. Vous pouvez également exécuter une tâche d'importation de référentiel de données pour charger la totalité ou un sous-ensemble des métadonnées du référentiel de données lié dans le système de fichiers à tout moment après la création de l'association de référentiel de données.

  • Paramètres d'importation : choisissez une politique d'importation qui spécifie le type d'objets mis à jour (toute combinaison de nouveaux, de modifiés et de supprimés) qui seront automatiquement importés du compartiment S3 lié vers votre système de fichiers. L'importation automatique (nouvelle, modifiée, supprimée) est activée par défaut lorsque vous ajoutez un référentiel de données depuis la console, mais elle est désactivée par défaut lorsque vous utilisez l' AWS CLI API ou Amazon FSx.

  • Paramètres d'exportation : choisissez une politique d'exportation qui spécifie le type d'objets mis à jour (toute combinaison de nouveaux, de modifiés et de supprimés) qui seront automatiquement exportés vers le compartiment S3. L'exportation automatique (nouvelle, modifiée, supprimée) est activée par défaut lorsque vous ajoutez un référentiel de données depuis la console, mais elle est désactivée par défaut lorsque vous utilisez l' AWS CLI API ou Amazon FSx.

Les paramètres du chemin du système de fichiers et du chemin du référentiel de données fournissent un mappage 1:1 entre les chemins dans Amazon FSx et les clés d'objet dans S3.

Support des régions et des comptes pour les compartiments S3 liés

Lorsque vous créez des liens vers des compartiments S3, gardez à l'esprit les limites de prise en charge des régions et des comptes suivantes :

  • L'exportation automatique prend en charge les configurations interrégionales. Le système de fichiers Amazon FSx et le compartiment S3 lié peuvent être situés dans le même emplacement Région AWS ou dans des emplacements différents. Régions AWS

  • L'importation automatique ne prend pas en charge les configurations interrégionales. Le système de fichiers Amazon FSx et le compartiment S3 lié doivent tous deux se trouver dans le même emplacement. Région AWS

  • L'exportation automatique et l'importation automatique prennent en charge les configurations entre comptes. Le système de fichiers Amazon FSx et le compartiment S3 lié peuvent appartenir au même Compte AWS ou à un autre. Comptes AWS

Création d'un lien vers un compartiment S3

Les procédures suivantes vous guident dans le processus de création d'une association de référentiel de données pour un système de fichiers FSx for Lustre à un compartiment S3 existant, à AWS Management Console l'aide de AWS Command Line Interface and AWS CLI(). Pour plus d'informations sur l'ajout d'autorisations à un compartiment S3 afin de le lier à votre système de fichiers, consultezAjouter des autorisations pour utiliser les référentiels de données dans Amazon S3.

Note

Les référentiels de données ne peuvent pas être liés à des systèmes de fichiers sur lesquels les sauvegardes de systèmes de fichiers sont activées. Désactivez les sauvegardes avant de créer un lien vers un référentiel de données.

  1. Ouvrez la console Amazon FSx à l'adresse https://console.aws.amazon.com/fsx/.

  2. Suivez la procédure de création d'un nouveau système de fichiers décrite Étape 1 : Création de votre système de fichiers FSx for Lustre dans la section Mise en route.

  3. Ouvrez la section Import/Export du référentiel de données - facultative. La fonctionnalité est désactivée par défaut.

  4. Choisissez Importer des données depuis et exporter des données vers S3.

  5. Dans la boîte de dialogue Informations d'association du référentiel de données, fournissez des informations pour les champs suivants.

    • Chemin du système de fichiers : entrez le nom d'un répertoire de haut niveau (tel que/ns1) ou d'un sous-répertoire (tel que/ns1/subdir) au sein du système de fichiers Amazon FSx qui sera associé au référentiel de données S3. La barre oblique principale de la trajectoire est obligatoire. Deux associations de référentiels de données ne peuvent pas avoir des chemins d'accès de système de fichiers qui se chevauchent. Par exemple, si un référentiel de données est associé au chemin d'accès du système de fichiers /ns1, vous ne pouvez pas lier un autre référentiel de données au chemin d'accès du système de fichiers /ns1/ns2. Le paramètre de chemin du système de fichiers doit être unique pour toutes les associations de référentiels de données du système de fichiers.

    • Chemin du référentiel de données : entrez le chemin d'un compartiment ou d'un préfixe S3 existant à associer à votre système de fichiers (par exemple,s3://my-bucket/my-prefix/). Deux associations de référentiels de données ne peuvent pas avoir de chemins de référentiel de données qui se chevauchent. Par exemple, si un référentiel de données dont le chemin s3://myBucket/myPrefix/ est lié au système de fichiers, vous ne pouvez pas créer une autre association de référentiel de données avec le chemin du référentiel de donnéess3://myBucket/myPrefix/mySubPrefix. Le paramètre du chemin du référentiel de données doit être unique pour toutes les associations de référentiels de données du système de fichiers.

    • Importer des métadonnées depuis le référentiel : sélectionnez cette propriété pour éventuellement exécuter une tâche d'importation du référentiel de données afin d'importer les métadonnées immédiatement après la création du lien.

  6. Pour les paramètres d'importation (facultatif), définissez une politique d'importation qui détermine la manière dont vos listes de fichiers et de répertoires sont mises à jour lorsque vous ajoutez, modifiez ou supprimez des objets dans votre compartiment S3. Par exemple, choisissez Nouveau pour importer les métadonnées dans votre système de fichiers pour les nouveaux objets créés dans le compartiment S3. Pour plus d'informations sur les politiques d'importation, consultezImportez automatiquement des mises à jour depuis votre compartiment S3.

  7. Pour la politique d'exportation, définissez une politique d'exportation qui détermine la manière dont vos fichiers sont exportés vers votre compartiment S3 lié lorsque vous ajoutez, modifiez ou supprimez des objets dans votre système de fichiers. Par exemple, choisissez Modifié pour exporter des objets dont le contenu ou les métadonnées ont été modifiés dans votre système de fichiers. Pour plus d'informations sur les politiques d'exportation, consultezExportez automatiquement les mises à jour vers votre compartiment S3.

  8. Passez à la section suivante de l'assistant de création de système de fichiers.

  1. Ouvrez la console Amazon FSx à l'adresse https://console.aws.amazon.com/fsx/.

  2. Dans le tableau de bord, choisissez Systèmes de fichiers, puis sélectionnez le système de fichiers pour lequel vous souhaitez créer une association de référentiel de données.

  3. Choisissez l'onglet Référentiel de données.

  4. Dans le volet Associations de référentiels de données, choisissez Créer une association de référentiel de données.

  5. Dans la boîte de dialogue Informations d'association du référentiel de données, fournissez des informations pour les champs suivants.

    • Chemin du système de fichiers : entrez le nom d'un répertoire de haut niveau (tel que/ns1) ou d'un sous-répertoire (tel que/ns1/subdir) au sein du système de fichiers Amazon FSx qui sera associé au référentiel de données S3. La barre oblique principale de la trajectoire est obligatoire. Deux associations de référentiels de données ne peuvent pas avoir des chemins d'accès de système de fichiers qui se chevauchent. Par exemple, si un référentiel de données est associé au chemin d'accès du système de fichiers /ns1, vous ne pouvez pas lier un autre référentiel de données au chemin d'accès du système de fichiers /ns1/ns2. Le paramètre de chemin du système de fichiers doit être unique pour toutes les associations de référentiels de données du système de fichiers.

    • Chemin du référentiel de données : entrez le chemin d'un compartiment ou d'un préfixe S3 existant à associer à votre système de fichiers (par exemple,s3://my-bucket/my-prefix/). Deux associations de référentiels de données ne peuvent pas avoir de chemins de référentiel de données qui se chevauchent. Par exemple, si un référentiel de données avec chemin s3://myBucket/myPrefix/ est lié au système de fichiers, vous ne pouvez pas créer une autre association de référentiel de données avec le chemin du référentiel de donnéess3://myBucket/myPrefix/mySubPrefix. Le paramètre du chemin du référentiel de données doit être unique pour toutes les associations de référentiels de données du système de fichiers.

    • Importer des métadonnées depuis le référentiel : sélectionnez cette propriété pour éventuellement exécuter une tâche d'importation du référentiel de données afin d'importer les métadonnées immédiatement après la création du lien.

  6. Pour les paramètres d'importation (facultatif), définissez une politique d'importation qui détermine la manière dont vos listes de fichiers et de répertoires sont mises à jour lorsque vous ajoutez, modifiez ou supprimez des objets dans votre compartiment S3. Par exemple, choisissez Nouveau pour importer les métadonnées dans votre système de fichiers pour les nouveaux objets créés dans le compartiment S3. Pour plus d'informations sur les politiques d'importation, consultezImportez automatiquement des mises à jour depuis votre compartiment S3.

  7. Pour la politique d'exportation, définissez une politique d'exportation qui détermine la manière dont vos fichiers sont exportés vers votre compartiment S3 lié lorsque vous ajoutez, modifiez ou supprimez des objets dans votre système de fichiers. Par exemple, choisissez Modifié pour exporter des objets dont le contenu ou les métadonnées ont été modifiés dans votre système de fichiers. Pour plus d'informations sur les politiques d'exportation, consultezExportez automatiquement les mises à jour vers votre compartiment S3.

  8. Choisissez Créer.

L'exemple suivant crée une association de référentiel de données qui lie un système de fichiers Amazon FSx à un compartiment S3, avec une politique d'importation qui importe les fichiers nouveaux ou modifiés dans le système de fichiers et une politique d'exportation qui exporte les fichiers nouveaux, modifiés ou supprimés vers le compartiment S3 lié.

  • Pour créer une association de référentiel de données, utilisez la commande Amazon FSx CLIcreate-data-repository-association, comme indiqué ci-dessous.

    $ aws fsx create-data-repository-association \
      --file-system-id fs-0123456789abcdef0 \
      --file-system-path /ns1/path1/ \
      --data-repository-path s3://mybucket/myprefix/ \
      --s3 "AutoImportPolicy={Events=[NEW,CHANGED,DELETED]},AutoExportPolicy={Events=[NEW,CHANGED,DELETED]}"

Amazon FSx renvoie immédiatement la description JSON du DRA. Le DRA est créé de manière asynchrone.

Vous pouvez utiliser cette commande pour créer une association de référentiel de données avant même que le système de fichiers n'ait terminé sa création. La demande sera mise en file d'attente et l'association du référentiel de données sera créée une fois que le système de fichiers sera disponible.

Mise à jour des paramètres d'association du référentiel de données

Vous pouvez mettre à jour les paramètres d'une association de référentiel de données existante à l' AWS Management Console aide de AWS CLI, de, et de l'API Amazon FSx, comme indiqué dans les procédures suivantes.

Note

Vous ne pouvez pas mettre à jour le File system path ou Data repository path d'un DRA après sa création. Si vous souhaitez modifier le File system path ouData repository path, vous devez supprimer le DRA et le créer à nouveau.

  1. Ouvrez la console Amazon FSx à l'adresse https://console.aws.amazon.com/fsx/.

  2. Dans le tableau de bord, choisissez Systèmes de fichiers, puis sélectionnez le système de fichiers que vous souhaitez gérer.

  3. Choisissez l'onglet Référentiel de données.

  4. Dans le volet Associations de référentiels de données, choisissez l'association de référentiel de données que vous souhaitez modifier.

  5. Choisissez Mettre à jour. Une boîte de dialogue de modification s'affiche pour l'association du référentiel de données.

  6. Pour les paramètres d'importation (facultatif), vous pouvez mettre à jour votre politique d'importation. Pour plus d'informations sur les politiques d'importation, consultezImportez automatiquement des mises à jour depuis votre compartiment S3.

  7. Pour les paramètres d'exportation (facultatif), vous pouvez mettre à jour votre politique d'exportation. Pour plus d'informations sur les politiques d'exportation, consultezExportez automatiquement les mises à jour vers votre compartiment S3.

  8. Choisissez Mettre à jour.

  • Pour mettre à jour une association de référentiel de données, utilisez la commande Amazon FSx CLIupdate-data-repository-association, comme indiqué ci-dessous.

    $ aws fsx update-data-repository-association \
      --association-id 'dra-872abab4b4503bfc2' \
      --s3 "AutoImportPolicy={Events=[NEW,CHANGED,DELETED]},AutoExportPolicy={Events=[NEW,CHANGED,DELETED]}"

Après avoir correctement mis à jour les politiques d'importation et d'exportation de l'association de référentiels de données, Amazon FSx renvoie la description de l'association de référentiel de données mise à jour au format JSON.

Supprimer une association vers un compartiment S3

Les procédures suivantes vous guident dans le processus de suppression d'une association de référentiel de données d'un système de fichiers Amazon FSx existant vers un compartiment S3 existant, à l'aide du AWS Management Console et AWS Command Line Interface ()AWS CLI. La suppression de l'association du référentiel de données dissocie le système de fichiers du compartiment S3.

  1. Ouvrez la console Amazon FSx à l'adresse https://console.aws.amazon.com/fsx/.

  2. Dans le tableau de bord, choisissez Systèmes de fichiers, puis sélectionnez le système de fichiers dont vous souhaitez supprimer une association de référentiel de données.

  3. Choisissez l'onglet Référentiel de données.

  4. Dans le volet Associations de référentiels de données, choisissez l'association de référentiel de données que vous souhaitez supprimer.

  5. Pour Actions, choisissez Supprimer l'association.

  6. (Facultatif) Dans la boîte de dialogue Supprimer, vous pouvez choisir Supprimer les données dans le système de fichiers pour supprimer physiquement les données du système de fichiers correspondant à l'association du référentiel de données.

  7. Choisissez Supprimer pour supprimer l'association du référentiel de données du système de fichiers.

L'exemple suivant supprime une association de référentiel de données qui lie un système de fichiers Amazon FSx à un compartiment S3. Le --association-id paramètre indique l'ID de l'association du référentiel de données à supprimer.

  • Pour supprimer une association de référentiel de données, utilisez la commande Amazon FSx CLIdelete-data-repository-association, comme indiqué ci-dessous.

    $ aws fsx delete-data-repository-association \
      --association-id dra-872abab4b4503bfc \
      --delete-data-in-file-system false

Après avoir correctement supprimé l'association du référentiel de données, Amazon FSx renvoie sa description au format JSON.

Afficher les détails des associations de référentiels de données

Vous pouvez consulter les détails d'une association de référentiels de données à l'aide de la console FSx for Lustre, AWS CLI du, et de l'API. Les détails incluent l'ID d'association du DRA, le chemin du système de fichiers, le chemin du référentiel de données, les paramètres d'importation, les paramètres d'exportation, le statut et l'ID du système de fichiers associé.

  1. Ouvrez la console Amazon FSx à l'adresse https://console.aws.amazon.com/fsx/.

  2. Dans le tableau de bord, choisissez Systèmes de fichiers, puis sélectionnez le système de fichiers pour lequel vous souhaitez consulter les détails de l'association d'un référentiel de données.

  3. Choisissez l'onglet Référentiel de données.

  4. Dans le volet Associations de référentiels de données, choisissez l'association de référentiel de données que vous souhaitez afficher. La page Résumé apparaît, affichant les détails du DRA.

    Page de détails Amazon FSx d'une association de référentiels de données.

  • Pour consulter les détails d'une association de référentiel de données spécifique, utilisez la commande Amazon FSx CLIdescribe-data-repository-associations, comme indiqué ci-dessous.

    $ aws fsx describe-data-repository-associations \
      --association-ids dra-872abab4b4503bfc2

    Amazon FSx renvoie la description de l'association du référentiel de données au format JSON.

État du cycle de vie des associations au référentiel de données

L'état du cycle de vie des associations de référentiels de données fournit des informations sur le statut d'un DRA spécifique. Une association de référentiels de données peut avoir les états de cycle de vie suivants :

  • Création — Amazon FSx crée l'association du référentiel de données entre le système de fichiers et le référentiel de données lié. Le référentiel de données n'est pas disponible.

  • Disponible — L'association du référentiel de données peut être utilisée.

  • Mise à jour : l'association du référentiel de données fait l'objet d'une mise à jour initiée par le client qui pourrait affecter sa disponibilité.

  • Suppression : l'association du référentiel de données est en cours de suppression à l'initiative du client.

  • Configuration incorrecte : Amazon FSx ne peut pas importer automatiquement les mises à jour depuis le compartiment S3 ni exporter automatiquement les mises à jour vers le compartiment S3 tant que la configuration des associations de référentiels de données n'est pas corrigée.

  • Échec : l'association du référentiel de données est dans un état terminal qui ne peut pas être restauré (par exemple, parce que le chemin du système de fichiers est supprimé ou que le compartiment S3 est supprimé).

Vous pouvez consulter l'état du cycle de vie d'une association de référentiels de données à l'aide de la console Amazon FSx, de l' AWS Command Line Interface API Amazon FSx et de l'API Amazon FSx. Pour plus d’informations, consultez Afficher les détails des associations de référentiels de données.

Utilisation de compartiments Amazon S3 chiffrés côté serveur

FSx for Lustre prend en charge les compartiments Amazon S3 qui utilisent le chiffrement côté serveur avec des clés gérées par S3 (SSE-S3) et stockées dans (SSE-KMS). AWS KMS keys AWS Key Management Service

Si vous souhaitez qu'Amazon FSx chiffre les données lors de l'écriture dans votre compartiment S3, vous devez définir le chiffrement par défaut de votre compartiment S3 sur SSE-S3 ou SSE-KMS. Pour plus d'informations, consultez la section Configuration du chiffrement par défaut dans le guide de l'utilisateur Amazon S3. Lorsque vous écrivez des fichiers dans votre compartiment S3, Amazon FSx suit la politique de chiffrement par défaut de votre compartiment S3.

Par défaut, Amazon FSx prend en charge les compartiments S3 chiffrés à l'aide de SSE-S3. Si vous souhaitez lier votre système de fichiers Amazon FSx à un compartiment S3 chiffré à l'aide du chiffrement SSE-KMS, vous devez ajouter une déclaration à votre politique de clé gérée par le client qui autorise Amazon FSx à chiffrer et déchiffrer les objets de votre compartiment S3 à l'aide de votre clé KMS.

L'instruction suivante permet à un système de fichiers Amazon FSx spécifique de chiffrer et de déchiffrer des objets pour un compartiment S3 spécifique, bucket_name.

{
    "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fsx_file_system_id"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "aws_account_id",
            "kms:ViaService": "s3.bucket-region.amazonaws.com"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        }
    }
}
Note

Si vous utilisez un KMS avec une clé CMK pour chiffrer votre compartiment S3 avec les clés de compartiment S3 activées, définissez l'ARN du EncryptionContext compartiment, et non l'ARN de l'objet, comme dans cet exemple :

"StringLike": {
    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name"
}

La déclaration de politique suivante permet à tous les systèmes de fichiers Amazon FSx de votre compte d'être liés à un compartiment S3 spécifique.

{
    "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "aws_account_id",
            "kms:ViaService": "s3.bucket-region.amazonaws.com"
        },
        "StringLike": {
            "aws:userid": "*:FSx",
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
        }
    }
}

Accès aux compartiments Amazon S3 chiffrés côté serveur dans un autre Compte AWS

Après avoir créé un système de fichiers FSx for Lustre lié à un compartiment Amazon S3 chiffré, vous devez accorder au rôle lié AWSServiceRoleForFSxS3Access_fs-01234567890 au service (SLR) l'accès à la clé KMS utilisée pour chiffrer le compartiment S3 avant de lire ou d'écrire des données depuis le compartiment S3 lié. Vous pouvez utiliser un rôle IAM déjà autorisé à accéder à la clé KMS.

Note

Ce rôle IAM doit figurer dans le compte dans lequel le système de fichiers FSx for Lustre a été créé (qui est le même compte que le S3 SLR), et non dans le compte auquel appartiennent la clé KM/le compartiment S3.

Vous utilisez le rôle IAM pour appeler l' AWS KMS API suivante afin de créer une autorisation pour le SLR S3 afin que le SLR obtienne l'autorisation d'accéder aux objets S3. Pour trouver l'ARN associé à votre SLR, recherchez vos rôles IAM en utilisant l'ID de votre système de fichiers comme chaîne de recherche.

$ aws kms create-grant --region fs_account_region \
      --key-id arn:aws:kms:s3_bucket_account_region:s3_bucket_account:key/key_id \
      --grantee-principal arn:aws:iam::fs_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_file-system-id \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"

Pour plus d’informations sur les rôles liés à un service, consultez Utilisation de rôles liés à un service pour Amazon FSx.