Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Répliquer des objets pour S3 sur Outposts
Lorsque la réplication S3 est activée AWS Outposts, vous pouvez configurer Amazon S3 on Outposts pour répliquer automatiquement les objets S3 sur différents Outposts ou entre des compartiments d'un même Outpost. Vous pouvez utiliser la réplication S3 sur Outposts pour gérer plusieurs réplicas de vos données dans le même Outpost ou dans des Outposts différents, ou sur différents comptes, afin de répondre aux besoins en matière de résidence des données. La réplication S3 sur Outposts permet de répondre à vos besoins de stockage conformes et de partager des données entre comptes. Si vous devez vous assurer que vos répliques sont identiques aux données sources, vous pouvez utiliser S3 Replication on Outposts pour créer des répliques de vos objets qui conservent toutes les métadonnées, telles que l'heure de création, les balises et la version de l'objet d'origine. IDs
La réplication S3 sur Outposts fournit également des métriques et des notifications détaillées pour surveiller le statut de la réplication des objets entre les compartiments. Vous pouvez utiliser Amazon CloudWatch pour surveiller la progression de la réplication en suivant les octets en attente de réplication, les opérations en attente de réplication et la latence de réplication entre vos compartiments source et de destination. Pour diagnostiquer et corriger rapidement les problèmes de configuration, vous pouvez également configurer Amazon EventBridge pour recevoir des notifications concernant les défaillances des objets de réplication. Pour en savoir plus, veuillez consulter la section [Gestion de votre réplication](manage-outposts-replication.md).
**Topics**
+ [Configuration de réplication](#outposts-replication-add-config)
+ [Exigences pour la réplication S3 sur Outposts](#outposts-replication-requirements)
+ [Ce qui est répliqué](#outposts-replication-what-is-replicated)
+ [Ce qui n'est pas répliqué](#outposts-replication-what-is-not-replicated)
+ [Qu'est-ce qui n'est pas pris en charge par la réplication S3 sur Outposts ?](#outposts-replication-what-is-not-supported)
+ [Configuration de la réplication](outposts-replication-how-setup.md)
+ [Gestion de votre réplication](manage-outposts-replication.md)
## Configuration de réplication
S3 sur Outposts stocke une configuration de réplication au format XML. Dans le fichier XML de configuration de réplication, vous spécifiez un rôle Gestion des identités et des accès AWS (IAM) et une ou plusieurs règles.
```
IAM-role-ARN
...
...
...
```
S3 sur Outposts ne peut pas répliquer d'objets sans votre autorisation. Vous accordez des autorisations S3 sur Outposts avec le rôle IAM que vous spécifiez dans la configuration de réplication. S3 sur Outposts endosse le rôle IAM pour répliquer des objets en votre nom. Vous devez accorder les autorisations requises au rôle IAM avant de commencer la réplication. Pour plus d'informations sur ces autorisations pour S3 sur Outposts, consultez [Création d’un rôle IAM](outposts-replication-prerequisites-config.md#outposts-rep-pretwo).
Vous ajoutez une règle dans la configuration de réplication pour les scénarios suivants :
+ Vous souhaitez répliquer tous les objets.
+ Vous souhaitez répliquer un sous-ensemble d'objets. Vous identifiez le sous-ensemble d'objets en ajoutant un filtre dans la règle. Dans le filtre, vous spécifiez un préfixe de clé d'objet et/ou des balises pour identifier le sous-ensemble d'objets auquel la règle s'applique.
Vous ajoutez plusieurs règles dans une configuration de réplication si vous souhaitez répliquer un sous-ensemble d'objets distinct. Dans chaque règle, vous spécifiez un filtre qui sélectionne un sous-ensemble d'objets différent. Par exemple, vous pouvez choisir de répliquer des objets qui possèdent les préfixes de clé `tax/` ou `document/`. Pour ce faire, vous ajoutez deux règles, l’une qui spécifie le filtre de préfixe de clé `tax/` et l’autre qui spécifie le préfixe de clé `document/`.
Pour plus d'informations sur la configuration et les règles de réplication de S3 on Outposts, consultez [ ReplicationConfiguration ](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ReplicationConfiguration.html)le manuel *Amazon Simple Storage Service API* Reference.
## Exigences pour la réplication S3 sur Outposts
La réplication exige de respecter les conditions suivantes :
+ La plage d'adresses CIDR Outpost de destination doit être associée à votre table de sous-réseau Outpost source. Pour de plus amples informations, veuillez consulter [Conditions préalables à la création de règles de réplication](outposts-replication-prerequisites-config.md).
+ La gestion des versions S3 doit être activée pour les compartiments source et de destination. Pour plus d’informations sur la gestion des versions, consultez [Gestion de la gestion des versions S3 pour votre compartiment S3 sur Outposts](S3OutpostsManagingVersioning.md).
+ Amazon S3 sur Outposts doit disposer des autorisations adéquates pour répliquer en votre nom les objets issus du compartiment source vers le compartiment de destination. Cela signifie que vous devez créer une fonction du service pour déléguer des autorisations `GET` et`PUT` à S3 sur Outposts.
1. Avant de créer la fonction du service, vous devez disposer d'une autorisation `GET` sur le compartiment source et d'une autorisation `PUT` sur le compartiment de destination.
1. Pour créer la fonction du service permettant de déléguer des autorisations à S3 sur Outposts, vous devez d'abord configurer les autorisations afin de permettre à une entité IAM (utilisateur ou rôle) d'effectuer les actions `iam:CreateRole` et `iam:PassRole`. Enfin, vous autorisez l'entité IAM à créer une fonction du service. Afin de faire endosser à S3 sur Outposts la fonction du service en votre nom et déléguer des autorisations `GET` et `PUT` à S3 sur Outposts, vous devez attribuer les stratégies d'approbation et d'autorisation nécessaires au rôle. Pour plus d'informations sur ces autorisations pour S3 sur Outposts, consultez [Création d’un rôle IAM](outposts-replication-prerequisites-config.md#outposts-rep-pretwo). Pour plus d'informations sur la création d'une fonction du service, consultez [Creating a service role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) (Création d'une fonction du service).
## Ce qui est répliqué
Par défaut, S3 sur Outposts réplique les éléments suivants :
+ Objets créés après l’ajout d’une configuration de réplication.
+ Métadonnées d’objet des objets source vers les réplicas. Pour plus d'informations sur la réplication des métadonnées des réplicas vers les objets source, consultez [Statut de la réplication si la synchronisation des modifications de réplica Amazon S3 sur Outposts est activée](manage-outposts-replication.md#outposts-replication-status-sync).
+ Les balises d’objets, le cas échéant.
### Impact des opérations de suppression sur la réplication
Si vous supprimez un objet du compartiment source, les actions suivantes se produisent par défaut :
+ Si vous effectuez une demande `DELETE` sans spécifier d'ID de version d'objet, S3 sur Outposts ajoute un marqueur de suppression. S3 sur Outposts traite le marqueur de suppression comme suit :
+ S3 sur Outposts ne réplique pas le marqueur de suppression par défaut.
+ Vous pouvez toutefois ajouter la *réplication des marqueurs de suppression* aux non-tag-based règles. Pour plus d'informations sur la façon d'activer la réplication d'un marqueur de suppression dans votre configuration de réplication, consultez [Utilisation de la console S3](replication-between-outposts.md#outposts-enable-replication).
+ Si vous spécifiez un ID de version d'objet à supprimer dans une demande `DELETE`, S3 sur Outposts supprime de façon permanente cette version de l'objet dans le compartiment source. Cependant, le service ne réplique pas la suppression dans les compartiments de destination. En d’autres termes, il ne supprime pas la même version de l’objet dans les compartiments de destination. Ce comportement protège les données des suppressions malveillantes.
## Ce qui n'est pas répliqué
Par défaut, S3 sur Outposts ne réplique pas les éléments suivants :
+ Les objets du compartiment source qui sont des réplicas ayant été créés par une autre règle de réplication. Supposons, par exemple, que vous configurez une réplication où le compartiment A est le compartiment source et le compartiment B celui de destination. Supposons ensuite que vous ajoutez une autre configuration de réplication où le compartiment B est le compartiment source et le compartiment C celui de destination. Dans ce cas, les objets du compartiment B qui sont les réplicas d'objets du compartiment A ne sont pas répliqués dans le compartiment C.
+ Objets du compartiment source qui ont déjà été répliqués vers une autre destination. Par exemple, si vous changez le compartiment de destination dans une configuration de réplication existante, S3 sur Outposts ne procède pas à une nouvelle réplication des objets.
+ Objets créés avec le chiffrement côté serveur à l'aide de clés de chiffrement fournies par le client (SSE-C).
+ Les mises à jour des sous-ressources de niveau compartiment.
Par exemple, si vous modifiez la configuration du cycle de vie ou ajoutez une configuration de notification à votre compartiment source, ces modifications ne sont pas appliquées au compartiment de destination. Cette fonction permet ainsi d'avoir des configurations différentes dans les compartiments source et de destination.
+ Actions effectuées par la configuration du cycle de vie.
Par exemple, si la configuration du cycle de vie est activée uniquement dans votre compartiment source et que vous configurez des actions d'expiration, S3 sur Outposts crée des marqueurs de suppression pour les objets expirés dans le compartiment source, mais ne réplique pas ces marqueurs dans les compartiments de destination. Si vous souhaitez appliquer la même configuration de cycle de vie aux compartiments source et de destination, activez la même configuration de cycle de vie sur les deux. Pour en savoir plus sur la configuration du cycle de vie, consultez [Création et gestion d'une configuration de cycle de vie pour votre compartiment Amazon S3 on Outposts](S3OutpostsLifecycleManaging.md).
## Qu'est-ce qui n'est pas pris en charge par la réplication S3 sur Outposts ?
Les fonctions de réplication S3 suivantes ne sont actuellement pas prises en charge par S3 sur Outposts :
+ Contrôle du temps de réplication S3 (S3 RTC). S3 RTC n'est pas pris en charge car le trafic d'objets dans la réplication S3 sur Outposts passe par votre réseau sur site (la passerelle locale). Pour plus d'informations sur les passerelles locales, consultez [Working with the local gateway](https://docs.aws.amazon.com/outposts/latest/userguide/outposts-local-gateways.html#working-with-lgw) (Utilisation des passerelles locales) dans le *Guide de l'utilisateur AWS Outposts *.
+ Réplication S3 pour les opérations par lot.
# Configuration de la réplication
**Note**
Les objets qui existaient dans votre compartiment avant la configuration de la règle de réplication ne sont pas répliqués automatiquement. En d'autres termes, Amazon S3 sur Outposts ne réplique pas les objets de manière rétroactive. Pour répliquer des objets créés avant la configuration de votre réplication, vous pouvez utiliser l'opération d'API `CopyObject` pour les copier dans le même compartiment. Une fois les objets copiés, ils apparaissent en tant que « nouveaux » objets dans le compartiment et la configuration de réplication s'appliquera à eux. Pour plus d'informations sur la copie d'un objet, consultez [Copier un objet dans un compartiment Amazon S3 on Outposts à l'aide du AWS SDK pour Java](S3OutpostsCopyObject.md) et [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html) dans la *Référence d'API Amazon Simple Storage Service*.
Pour activer la réplication S3 sur Outposts, ajoutez une règle de réplication à votre compartiment Outposts source. La règle de réplication indique à S3 sur Outposts de répliquer les objets comme spécifié. Dans la règle de réplication, vous devez renseigner les éléments suivants :
+ **Point d'accès au compartiment Outposts source** : Amazon Resource Name (ARN) du point d'accès ou alias du point d'accès du compartiment à partir duquel vous souhaitez que S3 sur Outposts réplique les objets S3. Pour plus d'informations sur l'utilisation des alias de point d'accès, consultez [Utilisation d'un alias de type compartiment pour le point d'accès de votre compartiment S3 sur Outposts](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-outposts-access-points-alias.html).
+ **Objets que vous voulez répliquer** : vous pouvez répliquer l'ensemble ou un sous-ensemble des objets du compartiment Outposts source. Vous identifiez un sous-ensemble en fournissant un [préfixe de nom de clé](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html#keyprefix), une ou plusieurs balises d’objets, ou les deux dans la configuration.
Par exemple, si vous configurez une règle de réplication pour ne répliquer que les objets dotés du préfixe de nom de clé `Tax/`, S3 sur Outposts réplique les objets avec des clés `Tax/doc1` et `Tax/doc2`. Mais le service ne réplique pas les objets dotés d’une clé `Legal/doc3`. Si vous spécifiez un préfixe et une ou plusieurs balises, S3 sur Outposts réplique uniquement les objets dotés du préfixe de clé et des balises spécifiques.
+ **Compartiment Outposts de destination** : ARN ou alias de point d'accès du compartiment vers lequel vous souhaitez que S3 sur Outposts réplique les objets.
Vous pouvez configurer la règle de réplication à l'aide de l'API REST AWS SDKs, AWS Command Line Interface (AWS CLI) ou de la console Amazon S3.
S3 sur Outposts fournit également des opérations d'API pour prendre en charge la configuration des règles de réplication. Pour plus d’informations, consultez les rubriques suivantes dans la *Référence d’API Amazon Simple Storage Service* :
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutBucketReplication.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetBucketReplication.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteBucketReplication.html)
**Topics**
+ [Conditions préalables à la création de règles de réplication](outposts-replication-prerequisites-config.md)
+ [Création de règles de réplication sur Outposts](replication-between-outposts.md)
# Conditions préalables à la création de règles de réplication
**Topics**
+ [Connexion de vos sous-réseaux Outpost source et de destination](#outposts-rep-preone)
+ [Création d’un rôle IAM](#outposts-rep-pretwo)
## Connexion de vos sous-réseaux Outpost source et de destination
Pour que votre trafic de réplication passe de votre Outpost source à votre Outpost de destination via votre passerelle locale, vous devez ajouter un nouvel acheminement pour configurer la mise en réseau. Vous devez connecter les plages de réseau de routage inter-domaines sans classe (CIDR) de vos points d'accès. Pour chaque paire de points d'accès, vous ne devez configurer cette connexion qu'une seule fois.
Certaines étapes de configuration de la connexion sont différentes, en fonction du type d'accès de vos points de terminaison Outposts associés à vos points d'accès. Le type d'accès pour les points de terminaison est soit **privé** (routage direct dans le cloud privé virtuel [VPC] AWS Outposts pour), **soit IP appartenant au client** (pool d'adresses IP [pool CoIP] appartenant au client au sein de votre réseau local).
### Étape 1 : Trouver la plage CIDR de votre point de terminaison Outposts source
**Pour trouver la plage CIDR de votre point de terminaison source associé à votre point d'accès source**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans le panneau de navigation de gauche, choisissez **Outposts buckets** (Compartiments Outposts).
1. Dans la liste **Compartiments Outposts**, choisissez le compartiment source à partir duquel vous souhaitez effectuer la réplication.
1. Choisissez l'onglet **Points d'accès Outposts**, puis choisissez le point d'accès Outposts pour le compartiment source de votre règle de réplication.
1. Sélectionnez le point de terminaison Outposts.
1. Copiez l'ID de sous-réseau à utiliser à l'[étape 5](#outposts-pre-step5).
1. La méthode que vous utilisez pour trouver la plage d'adresses CIDR du point de terminaison Outposts source dépend du type d'accès de votre point de terminaison.
Dans la section **Présentation du point de terminaison Outposts**, consultez **Type d'accès**.
+ Si le type d'accès est **Privé**, copiez la valeur **CIDR (Classless Inter-Domain Routing)** à utiliser à l'[étape 6](#outposts-pre-step6).
+ Si le type d'accès est **Adresse IP détenue par le client**, procédez comme suit :
1. Copiez la valeur du ** IPv4 pool appartenant au client** pour l'utiliser ultérieurement comme ID du pool d'adresses.
1. Ouvrez la AWS Outposts console à l'adresse [https://console.aws.amazon.com/outposts/](https://console.aws.amazon.com/outposts/home).
1. Dans le panneau de navigation, choisissez **Tables de routage de passerelle locale**.
1. Choisissez la valeur **ID de table de routage de passerelle locale** de votre Outpost source.
1. Dans le volet des détails, choisissez l'onglet **Groupes CoIP**. Collez la valeur de votre ID de groupe CoIP que vous avez copié précédemment dans le champ de recherche.
1. Pour le pool CoIP correspondant, copiez la **CIDRs**valeur correspondante de votre point de terminaison Outposts source pour l'utiliser [à](#outposts-pre-step6) l'étape 6.
### Étape 2 : Trouver l'ID de sous-réseau et la plage d'adresses CIDR de votre point de terminaison Outposts de destination
Pour trouver l'ID de sous-réseau et la plage d'adresses CIDR de votre point de terminaison de destination associé à votre point d'accès de destination, suivez les mêmes sous-étapes à l'[étape 1](#outposts-pre-step1) et remplacez votre point de terminaison Outposts source par votre point de terminaison Outposts de destination lorsque vous appliquez ces sous-étapes. Copiez la valeur de l'ID de sous-réseau de votre point de terminaison Outposts de destination pour l'utiliser à [l'étape 6](#outposts-pre-step6). Copiez la valeur CIDR de votre point de terminaison Outposts de destination pour l'utiliser à [l'étape 5](#outposts-pre-step5).
### Étape 3 : Trouver l'ID de passerelle local de votre Outpost source
**Pour trouver l'ID de passerelle local de votre Outpost source**
1. Ouvrez la AWS Outposts console à l'adresse [https://console.aws.amazon.com/outposts/](https://console.aws.amazon.com/outposts/home).
1. Dans le volet de navigation de gauche, sélectionnez **Passerelles locales**.
1. Sur la page **Passerelles locales**, trouvez l'ID Outpost de votre Outpost source que vous souhaitez utiliser pour la réplication.
1. Copiez la valeur d'ID de passerelle locale de votre Outpost source pour l'utiliser à [l'étape 5](#outposts-pre-step5).
Pour plus d'informations sur les passerelles locales, consultez [Local gateway](https://docs.aws.amazon.com/outposts/latest/userguide/outposts-local-gateways.html) (Passerelles locales) dans le *Guide de l'utilisateur AWS Outposts *.
### Étape 4 : Trouver l'ID de passerelle local de votre Outpost de destination
Pour trouver l'ID de passerelle locale de votre Outpost de destination, suivez les mêmes sous-étapes qu'à l'[étape 3](#outposts-pre-step3), sauf que vous recherchez l'ID Outpost de votre Outpost de destination. Copiez la valeur d'ID de passerelle locale de votre Outpost de destination pour l'utiliser à [l'étape 6](#outposts-pre-step6).
### Étape 5 : Configurer la connexion entre votre sous-réseau Outpost source et votre sous-réseau Outpost de destination
**Pour connecter votre sous-réseau Outpost source et votre sous-réseau Outpost de destination**
1. Connectez-vous à la console VPC AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Dans le panneau de navigation de gauche, choisissez **Subnets** (Sous-réseaux).
1. Dans la zone de recherche, entrez l'ID de sous-réseau de votre point de terminaison Outposts source que vous avez trouvé à [l'étape 1](#outposts-pre-step1). Choisissez le sous-réseau au sein de l'ID de sous-réseau correspondant.
1. Pour l'élément de sous-réseau correspondant, choisissez la valeur **Table de routage** de ce sous-réseau.
1. Sur la page contenant une table de routage sélectionnée, choisissez **Actions**, puis choisissez **Modifier les routages**.
1. Sur la page **Modifier les routes**, choisissez **Ajouter une route**.
1. Sous **Destination**, saisissez la plage d'adresses CIDR du point de terminaison Outposts de destination que vous avez trouvé à [l'étape 2](#outposts-pre-step2).
1. Sous **Cible**, choisissez **Passerelle locale de l'Outpost** et saisissez l'ID de passerelle locale de votre Outpost source que vous avez trouvé à [l'étape 3](#outposts-pre-step3).
1. Sélectionnez **Enregistrer les modifications**.
1. Assurez-vous que le **Statut** de la route est **Actif**.
### Étape 6 : Configurer la connexion entre votre sous-réseau Outpost de destination et votre sous-réseau Outpost source
1. Connectez-vous à la console VPC AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Dans le panneau de navigation de gauche, choisissez **Subnets** (Sous-réseaux).
1. Dans la zone de recherche, saisissez l'ID de sous-réseau de votre point de terminaison Outposts de destination que vous avez trouvé à [l'étape 2](#outposts-pre-step2). Choisissez le sous-réseau au sein de l'ID de sous-réseau correspondant.
1. Pour l'élément de sous-réseau correspondant, choisissez la valeur **Table de routage** de ce sous-réseau.
1. Sur la page contenant une table de routage sélectionnée, choisissez **Actions**, puis choisissez **Modifier les routages**.
1. Sur la page **Modifier les routes**, choisissez **Ajouter une route**.
1. Sous **Destination**, saisissez la plage d'adresses CIDR du point de terminaison Outposts source que vous avez trouvé à [l'étape 1](#outposts-pre-step1).
1. Sous **Cible**, choisissez **Passerelle locale de l'Outpost** et saisissez l'ID de passerelle locale de votre Outpost de destination que vous avez trouvé à [l'étape 4](#outposts-pre-step4).
1. Sélectionnez **Enregistrer les modifications**.
1. Assurez-vous que le **Statut** de la route est **Actif**.
Après avoir connecté les plages réseau CIDR de vos points d'accès source et de destination, vous devez créer un rôle Gestion des identités et des accès AWS (IAM).
## Création d’un rôle IAM
Par défaut, toutes les ressources S3 sur Outposts (compartiments, objets et sous-ressources liées) sont privées : seul le propriétaire des ressources peut y accéder. S3 sur Outposts a besoin d'autorisations pour lire et répliquer les objets du compartiment Outposts source. Vous accordez ces autorisations en créant une *fonction du service* IAM et en spécifiant ce rôle dans votre configuration de réplication.
Cette section décrit la stratégie d'approbation et la stratégie d'autorisation minimale requise. Les exemples de procédures pas à pas fournissent des step-by-step instructions pour créer un rôle IAM. Pour de plus amples informations, veuillez consulter [Création de règles de réplication sur Outposts](replication-between-outposts.md). Pour plus d'informations sur les rôles IAM, consultez [Rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) dans le manuel *IAM Guide de l'utilisateur*.
+ L'exemple suivant illustre une *politique d'approbation* selon laquelle vous identifiez S3 sur Outposts en tant que principal de service capable d'endosser le rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"s3-outposts.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
+ L'exemple suivant illustre une *stratégie d'accès* selon laquelle vous accordez au rôle les autorisations lui permettant d'effectuer les tâches de réplication en votre nom. Quand S3 sur Outposts endosse le rôle, il dispose des autorisations que vous avez spécifiées dans cette stratégie. Pour utiliser cette politique, remplacez `user input placeholders` par vos propres informations. Assurez-vous de les remplacer par l'Outpost IDs de vos Outposts source et de destination, ainsi que par les noms de bucket et de point d'accès de vos buckets Outposts source et de destination.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3-outposts:GetObjectVersionForReplication",
"s3-outposts:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET/object/*",
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/SOURCE-OUTPOST-ID/accesspoint/SOURCE-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3-outposts:ReplicateObject",
"s3-outposts:ReplicateDelete"
],
"Resource": [
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*",
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
]
}
]
}
```
------
La stratégie d'accès octroie les autorisations pour les actions suivantes :
+ `s3-outposts:GetObjectVersionForReplication` : l'autorisation pour cette action est accordée sur tous les objets afin de permettre à S3 sur Outposts d'obtenir une version d'objet spécifique associée à chaque objet.
+ `s3-outposts:GetObjectVersionTagging` : l'autorisation pour cette action sur des objets du compartiment *`SOURCE-OUTPOSTS-BUCKET`* (compartiment source) permet à S3 sur Outposts de lire les balises d'objets pour la réplication. Pour de plus amples informations, veuillez consulter [Ajout de balises pour les compartiments Amazon S3 on Outposts](S3OutpostsBucketTags.md). Si S3 sur Outposts ne dispose pas de ces autorisations, il réplique les objets mais pas leurs balises.
+ `s3-outposts:ReplicateObject` et `s3-outposts:ReplicateDelete` : les autorisations pour ces actions sur tous les objets du compartiment *`DESTINATION-OUTPOSTS-BUCKET`* (compartiment cible) permettent à S3 sur Outposts de répliquer des objets ou des marqueurs de suppression dans le compartiment Outposts de destination. Pour en savoir plus sur les marqueurs de suppression, consultez [Impact des opérations de suppression sur la réplication](S3OutpostsReplication.md#outposts-replication-delete-op).
**Note**
L'autorisation pour l'action `s3-outposts:ReplicateObject` sur le compartiment *`DESTINATION-OUTPOSTS-BUCKET`* (compartiment de destination) permet également la réplication des balises d'objets. Il n'est donc pas nécessaire d'accorder une autorisation explicite pour l'action `s3-outposts:ReplicateTags`.
Pour la réplication intercompte, le propriétaire du compartiment Outposts de destination doit mettre à jour sa politique de compartiment afin d'autoriser l'action `s3-outposts:ReplicateObject` sur *`DESTINATION-OUTPOSTS-BUCKET`*. L'action `s3-outposts:ReplicateObject`permet à S3 sur Outposts de répliquer des objets et des balises d'objet vers le compartiment Outposts de destination.
Pour obtenir la liste des actions S3 sur Outposts, consultez [Actions définies par Amazon S3 sur Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3onoutposts.html#amazons3onoutposts-actions-as-permissions).
**Important**
Le Compte AWS titulaire du rôle IAM doit disposer des autorisations pour les actions qu'il accorde au rôle IAM.
Supposons, par exemple, que le compartiment Outposts source contient des objets détenus par un autre Compte AWS. Le propriétaire des objets doit explicitement accorder à Compte AWS celui qui détient le rôle IAM les autorisations requises par le biais de la politique de compartiment et de la politique de point d'accès. Dans le cas contraire, S3 sur Outposts ne peut pas accéder aux objets et la réplication des objets échoue.
Les autorisations décrites dans la présente section sont liées à la configuration de réplication minimale. Si vous choisissez d'ajouter des configurations de réplication facultatives, vous devez accorder des autorisations supplémentaires à S3 sur Outposts.
### Octroi d'autorisations lorsque les buckets Outposts source et de destination appartiennent à différents Comptes AWS
Lorsque les compartiments Outposts source et de destination n'appartiennent pas aux mêmes comptes, le propriétaire du compartiment Outposts de destination doit mettre à jour les politiques de compartiment et de point d'accès du compartiment de destination. Ces politiques doivent accorder au propriétaire du compartiment Outposts source et à la fonction du service IAM les autorisations nécessaires pour effectuer des actions de réplication, comme indiqué dans les exemples de politiques suivants, faute de quoi la réplication échouera. Dans ces exemples de politique, *`DESTINATION-OUTPOSTS-BUCKET`* est le compartiment de destination. Pour utiliser ces exemples de politique, remplacez `user input placeholders` par vos propres informations.
Si vous créez la fonction du service IAM manuellement, définissez le chemin du rôle sur `role/service-role/`, comme indiqué dans les exemples de politique suivants. Pour plus d'informations, consultez la section [IAM ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) dans le guide de l'*utilisateur d'IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PolicyForDestinationBucket",
"Statement": [
{
"Sid": "Permissions on objects",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
},
"Action": [
"s3-outposts:ReplicateDelete",
"s3-outposts:ReplicateObject"
],
"Resource": [
"arn:aws:s3-outposts:us-east-1:444455556666:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*"
]
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PolicyForDestinationAccessPoint",
"Statement": [
{
"Sid": "Permissions on objects",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
},
"Action": [
"s3-outposts:ReplicateDelete",
"s3-outposts:ReplicateObject"
],
"Resource": [
"arn:aws:s3-outposts:us-east-1:111122223333:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
]
}
]
}
```
------
**Note**
Si des objets stockés dans le compartiment Outposts source sont balisés, notez les points suivants :
Si le propriétaire du compartiment Outposts source octroie à S3 sur Outposts l'autorisation d'effectuer les actions `s3-outposts:GetObjectVersionTagging` et `s3-outposts:ReplicateTags` en vue de répliquer des balises d'objets (via le rôle IAM), Amazon S3 réplique les balises en même temps que les objets. Pour obtenir des informations sur le rôle IAM, consultez [Création d’un rôle IAM](#outposts-rep-pretwo).
# Création de règles de réplication sur Outposts
La réplication S3 sur Outposts est la réplication automatique et asynchrone d'objets entre des compartiments identiques ou différents. AWS Outposts Elle réplique les objets nouvellement créés et les mises à jour d'objets d'un compartiment Outposts source vers un ou plusieurs compartiments Outposts de destination. Pour de plus amples informations, veuillez consulter [Répliquer des objets pour S3 sur Outposts](S3OutpostsReplication.md).
**Note**
Les objets qui existaient dans votre compartiment Outposts source avant la configuration des règles de réplication ne sont pas répliqués. En d'autres termes, S3 sur Outposts ne réplique pas les objets de manière rétroactive. Pour répliquer des objets créés avant la configuration de votre réplication, vous pouvez utiliser l'opération d'API `CopyObject` pour les copier dans le même compartiment. Une fois les objets copiés, ils apparaissent en tant que « nouveaux » objets dans le compartiment et la configuration de réplication s'appliquera à eux. Pour plus d'informations sur la copie d'un objet, consultez [Copier un objet dans un compartiment Amazon S3 on Outposts à l'aide du AWS SDK pour Java](S3OutpostsCopyObject.md) et [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html) dans la *Référence d'API Amazon Simple Storage Service*.
Lorsque vous configurez la réplication, vous ajoutez des règles de réplication au compartiment Outposts source. Les règles de réplication définissent les objets du compartiment Outposts source à répliquer, ainsi que le ou les compartiments Outposts de destination dans lesquels les objets répliqués seront stockés. Vous pouvez créer une règle pour répliquer tous les objets ou un sous-ensemble d’objets d’un compartiment à l’aide de préfixes de nom de clé ou d’autres balises d’objet, ou les deux. Un compartiment Outposts de destination peut se trouver dans le même Outpost que le compartiment Outposts source, mais il peut également se trouver dans un autre Outpost.
Pour les règles de réplication S3 sur Outposts, vous devez fournir à la fois l'Amazon Resource Name (ARN) du compartiment Outposts source et l'ARN du point d'accès du compartiment Outposts de destination au lieu des noms des compartiments Outposts source et de destination.
Si vous spécifiez un ID de version d'objet à supprimer, S3 sur Outposts supprime cette version de l'objet dans le compartiment Outposts source. Mais il ne réplique pas la suppression dans le compartiment Outposts de destination. En d'autres termes, il ne supprime pas la même version de l'objet dans le compartiment Outposts de destination. Ce comportement protège les données des suppressions malveillantes.
Lorsque vous ajoutez une règle de réplication à un compartiment Outposts, celle-ci est activée par défaut et entre en fonctionnement dès que vous l'enregistrez.
Dans cet exemple, vous configurez la réplication pour les compartiments Outposts source et de destination qui sont sur différents Outposts et appartiennent au même Compte AWS. Des exemples d'utilisation de la console Amazon S3, du AWS Command Line Interface (AWS CLI) et du AWS SDK pour Java and sont fournis AWS SDK pour .NET. Pour plus d'informations sur les autorisations de réplication S3 intercompte sur Outposts, consultez [Octroi d'autorisations lorsque les buckets Outposts source et de destination appartiennent à différents Comptes AWS](outposts-replication-prerequisites-config.md#outposts-rep-prethree).
Pour connaître les conditions préalables aux règles de réplication S3 sur Outposts, consultez [Conditions préalables à la création de règles de réplication](outposts-replication-prerequisites-config.md).
## Utilisation de la console S3
Suivez ces étapes pour configurer une règle de réplication quand le compartiment Amazon S3 sur Outposts de destination se trouve dans un Outpost différent de celui du compartiment Outposts source.
Si le compartiment Outposts de destination se trouve dans un compte différent du compartiment Outposts source, vous devez ajouter une stratégie de compartiment au compartiment Outposts de destination pour accorder au propriétaire du compte du compartiment Outposts source l'autorisation d'effectuer des réplications d'objets dans le compartiment Outposts de destination.
**Pour créer une règle de réplication**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans la liste **Compartiments Outposts**, choisissez le nom du compartiment que vous voulez utiliser comme compartiment source.
1. Sélectionnez **Gestion**, faites défiler jusqu'à la section **Règles de réplication**, puis sélectionnez **Créer une règle de réplication**.
1. Sous **Nom de la règle de réplication**, saisissez un nom pour votre règle afin de l'identifier facilement plus tard. Ce nom est obligatoire et doit être unique dans le compartiment.
1. Sous **Statut**, **Activé** est sélectionné par défaut. Un règle activée entre en fonctionnement dès que l’avez enregistrée. Si vous souhaitez activer la règle ultérieurement, sélectionnez **Désactivé**.
1. Sous **Priorité**, la valeur de priorité de la règle détermine la règle à appliquer en cas de chevauchement de règles. Lorsque des objets sont inclus dans la portée de plusieurs règles de réplication, S3 sur Outposts utilise ces valeurs de priorité pour éviter les conflits. Par défaut, les nouvelles règles sont ajoutées à la configuration de la réplication avec la priorité la plus élevée. Plus le nombre est élevé, plus la priorité est haute.
Pour modifier la priorité de la règle, après l'avoir enregistrée, choisissez le nom de la règle dans la liste des règles de réplication, choisissez **Actions**, puis **Modifier la priorité**.
1. Sous **Compartiment source**, vous disposez des options suivantes pour définir la source de réplication :
+ Pour répliquer l'ensemble du compartiment, choisissez **Appliquer à *tous* les objets du compartiment**.
+ Pour appliquer un filtrage par préfixe ou par balise à la source de réplication, choisissez **Limiter la portée de cette règle en utilisant un ou plusieurs filtres**. Vous pouvez combiner un préfixe et des balises.
+ Pour répliquer tous les objets ayant le même préfixe, sous **Préfixe**, entrez un préfixe dans la zone. Le filtre **Préfixe** permet de limiter la réplication à tous les objets dont le nom commence par la même chaîne (par exemple `pictures`).
Si vous entrez un préfixe correspondant à un nom de dossier, vous devez insérer le caractère **/** (barre oblique) en tant que dernier caractère (par exemple, `pictures/`).
+ Pour répliquer tous les objets avec une ou plusieurs balises d'objet identiques, sélectionnez **Ajouter une balise** et saisissez la paire clé-valeur dans les zones. Pour ajouter une autre étiquette, répétez la procédure. Pour en savoir plus sur les balises d’objet, consultez [Ajout de balises pour les compartiments Amazon S3 on Outposts](S3OutpostsBucketTags.md).
1. Pour accéder à votre compartiment source S3 sur Outposts à des fins de réplication, sous **Nom du point d'accès source**, choisissez un point d'accès attaché au compartiment source.
1. Sous **Destination**, choisissez l'ARN du point d'accès du compartiment Outposts de destination dans lequel vous souhaitez que S3 sur Outposts réplique des objets. Le bucket Outposts de destination peut être identique ou différent Compte AWS du bucket Outposts source.
Si le compartiment de destination se trouve dans un compte différent du compartiment Outposts source, vous devez ajouter une stratégie de compartiment au compartiment Outposts de destination pour accorder au propriétaire du compte du compartiment Outposts source l'autorisation d'effectuer des réplications d'objets dans le compartiment Outposts de destination. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations lorsque les buckets Outposts source et de destination appartiennent à différents Comptes AWS](outposts-replication-prerequisites-config.md#outposts-rep-prethree).
**Note**
Si la gestion des versions n'est pas activée sur le compartiment Outposts de destination, un message d'avertissement avec le bouton **Activer la gestion des versions** s'affiche. Cliquez sur ce bouton pour activer la gestion des versions sur le compartiment.
1. Configurez un rôle de service Gestion des identités et des accès AWS (IAM) que S3 on Outposts peut assumer pour répliquer des objets en votre nom.
Pour configurer un rôle IAM, sous **Rôle IAM**, effectuez l'une des opérations suivantes :
+ Pour que S3 sur Outposts crée un nouveau rôle IAM pour votre configuration de réplication, choisissez **Choisir parmi les rôles IAM existants**, puis **Créer un nouveau rôle**. Lorsque vous enregistrez la règle, une nouvelle stratégie est générée pour le rôle IAM correspondant aux compartiments Outposts source et cible que vous choisissez. Nous vous recommandons de choisir **Créer un nouveau rôle**.
+ Vous pouvez également choisir d'utiliser un rôle IAM existant. Dans ce cas, vous devez choisir un rôle qui octroie à S3 sur Outposts les autorisations nécessaires pour la réplication. La réplication échoue si ce rôle n'accorde pas à S3 sur Outposts des autorisations suffisantes pour suivre votre règle de réplication.
Pour choisir un rôle existant, choisissez **Choisir parmi les rôles IAM existants**, puis choisissez le rôle dans le menu déroulant. Vous pouvez également choisir **Saisir un ARN de rôle IAM**, puis saisir l'Amazon Resource Name (ARN) du rôle.
**Important**
Lorsque vous ajoutez une règle de réplication à un compartiment S3 sur Outposts, vous devez disposer des autorisations `iam:CreateRole` et `iam:PassRole` pour pouvoir créer et transmettre le rôle IAM qui accorde les autorisations de réplication S3 sur Outposts. Pour plus d'informations, consultez [Octroi d'autorisations à un utilisateur pour transférer un rôle à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) dans le *Guide de l'utilisateur IAM*.
1. Tous les objets contenus dans des compartiments Outposts sont chiffrés par défaut. Pour plus d'informations sur le chiffrement S3 sur Outposts, consultez la section [Chiffrement des données dans S3 sur Outposts](s3-outposts-data-encryption.md). Seuls les objets chiffrés à l'aide du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) peuvent être répliqués. La réplication d'objets chiffrés à l'aide du chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS) ou du chiffrement côté serveur avec des clés fournies par le client (SSE-C) n'est pas prise en charge.
1. Au besoin, vous disposez des options supplémentaires suivantes lors de la définition de la configuration de la règle de réplication :
+ Si vous souhaitez activer les métriques de réplication S3 sur Outposts dans votre configuration de réplication, sélectionnez **Métriques de réplication**. Pour de plus amples informations, veuillez consulter [Surveillance de la progression avec des métriques de réplication](manage-outposts-replication.md#outposts-enabling-replication-metrics).
+ Si vous souhaitez activer la réplication de marqueurs de suppression dans votre configuration de réplication, sélectionnez **Réplication des marqueurs de suppression**. Pour de plus amples informations, veuillez consulter [Impact des opérations de suppression sur la réplication](S3OutpostsReplication.md#outposts-replication-delete-op).
+ Si vous souhaitez répliquer les modifications de métadonnées apportées aux réplicas vers les objets sources, sélectionnez **Synchronisation des modifications de réplique**. Pour de plus amples informations, veuillez consulter [Statut de la réplication si la synchronisation des modifications de réplica Amazon S3 sur Outposts est activée](manage-outposts-replication.md#outposts-replication-status-sync).
1. Choisissez **Créer une règle** pour terminer.
Une fois que vous avez enregistré votre règle, vous pouvez la modifier, l'activer, la désactiver ou la supprimer. Pour ce faire, accédez à l'onglet **Gestion** du compartiment Outposts source, faites défiler la page jusqu'à la section **Règles de réplication**, choisissez votre règle, puis choisissez **Modifier la règle**.
## À l'aide du AWS CLI
AWS CLI Pour configurer la réplication lorsque les compartiments Outposts source et de destination appartiennent à la même entité Compte AWS, procédez comme suit :
+ Créez des compartiments Outposts source et de destination.
+ Activez la gestion des versions sur les deux compartiments.
+ Créez un rôle IAM qui octroie à S3 sur Outposts l'autorisation de répliquer des objets.
+ Ajoutez la configuration de réplication au compartiment Outposts source.
Testez votre configuration pour la vérifier.
**Pour configurer la réplication lorsque les compartiments Outposts source et de destination appartiennent à la même entité Compte AWS**
1. Définissez un profil d’informations d’identification pour l’ AWS CLI. Dans cet exemple, nous utilisons le nom de profil `acctA`. Pour plus d'informations sur la définition des profils d'informations d'identification, consultez [Named profiles](https://docs.aws.amazon.com/cli/latest/userguide/cli-multiple-profiles.html) (Profils nommés) dans le *Guide de l'utilisateur AWS Command Line Interface *.
**Important**
Le profil que vous utilisez dans cet exercice doit disposer des autorisations nécessaires. Par exemple, dans la configuration de la réplication, vous spécifiez la fonction du service IAM que S3 sur Outposts peut endosser. Vous ne pouvez effectuer cette tâche que si le profil que vous utilisez dispose des autorisations `iam:CreateRole` et `iam:PassRole`. Pour plus d'informations, consultez [Octroi d'autorisations à un utilisateur pour transférer un rôle à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) dans le *Guide de l'utilisateur IAM*. Si vous utilisez les informations d'identification d'un administrateur pour créer un profil nommé, le profil nommé disposera des autorisations adéquates pour exécuter toutes les tâches.
1. Créez un compartiment *source* et activez le contrôle de version sur ce dernier. La commande `create-bucket` suivante crée un compartiment `SOURCE-OUTPOSTS-BUCKET` dans la région USA Est (Virginie du Nord) (`us-east-1`). Pour utiliser cette commande, remplacez `user input placeholders` par vos propres informations.
```
aws s3control create-bucket --bucket SOURCE-OUTPOSTS-BUCKET --outpost-id SOURCE-OUTPOST-ID --profile acctA --region us-east-1
```
La commande `put-bucket-versioning` suivante active la gestion des versions sur le compartiment `SOURCE-OUTPOSTS-BUCKET`. Pour utiliser cette commande, remplacez `user input placeholders` par vos propres informations.
```
aws s3control put-bucket-versioning --account-id 123456789012 --bucket arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET --versioning-configuration Status=Enabled --profile acctA
```
1. Créez un compartiment de *destination* et activez le contrôle de version sur ce dernier. La commande `create-bucket` suivante crée un compartiment `DESTINATION-OUTPOSTS-BUCKET` dans la région USA Ouest (Oregon) (`us-west-2`). Pour utiliser cette commande, remplacez `user input placeholders` par vos propres informations.
**Note**
Pour configurer une configuration de réplication lorsque les compartiments Outposts source et de destination se trouvent dans le même emplacement Compte AWS, vous devez utiliser le même profil. Cet exemple utilise `acctA`. Pour tester la configuration de réplication lorsque les buckets appartiennent à des propriétaires différents Comptes AWS, vous devez spécifier des profils différents pour chaque compartiment.
```
aws s3control create-bucket --bucket DESTINATION-OUTPOSTS-BUCKET --create-bucket-configuration LocationConstraint=us-west-2 --outpost-id DESTINATION-OUTPOST-ID --profile acctA --region us-west-2
```
La commande `put-bucket-versioning` suivante active la gestion des versions sur le compartiment `DESTINATION-OUTPOSTS-BUCKET`. Pour utiliser cette commande, remplacez `user input placeholders` par vos propres informations.
```
aws s3control put-bucket-versioning --account-id 123456789012 --bucket arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET --versioning-configuration Status=Enabled --profile acctA
```
1. Créez une fonction du service IAM. Vous ajouterez cette fonction du service au compartiment `SOURCE-OUTPOSTS-BUCKET` plus tard dans la configuration de la réplication. S3 sur Outposts endosse ce rôle pour répliquer des objets en votre nom. Vous créez un rôle IAM en deux étapes.
1. Créez un rôle IAM.
1. Copiez la stratégie d'approbation suivante et enregistrez-la dans un fichier nommé `s3-on-outposts-role-trust-policy.json` dans le répertoire actif sur votre ordinateur local. Cette stratégie accorde au principal de service S3 sur Outposts les autorisations pour endosser cette fonction du service.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"s3-outposts.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
1. Exécutez la commande suivante pour créer le rôle. Remplacez les `user input placeholders` par vos propres informations.
```
aws iam create-role --role-name replicationRole --assume-role-policy-document file://s3-on-outposts-role-trust-policy.json --profile acctA
```
1. Attachez une stratégie d'autorisation à la fonction du service.
1. Copiez la politique d’autorisations suivante et enregistrez-la dans un fichier nommé `s3-on-outposts-role-permissions-policy.json` dans le répertoire actuel de votre ordinateur local. Cette stratégie accorde des autorisations pour diverses actions sur les compartiments et les objets S3 sur Outposts. Pour utiliser cette politique, remplacez `user input placeholders` par vos propres informations.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3-outposts:GetObjectVersionForReplication",
"s3-outposts:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET/object/*",
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/SOURCE-OUTPOST-ID/accesspoint/SOURCE-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3-outposts:ReplicateObject",
"s3-outposts:ReplicateDelete"
],
"Resource": [
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*",
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
]
}
]
}
```
------
1. Exécutez la commande suivante pour créer une stratégie et l’attacher au rôle. Remplacez les `user input placeholders` par vos propres informations.
```
aws iam put-role-policy --role-name replicationRole --policy-document file://s3-on-outposts-role-permissions-policy.json --policy-name replicationRolePolicy --profile acctA
```
1. Ajoutez une configuration de réplication au compartiment `SOURCE-OUTPOSTS-BUCKET`.
1. Bien que l'API S3 on Outposts nécessite une configuration de réplication au format XML, vous devez spécifier la AWS CLI configuration de réplication au format JSON. Enregistrez la configuration JSON dans un fichier (`replication.json`) dans le répertoire local de votre ordinateur. Pour utiliser cette configuration, remplacez `user input placeholders` par vos propres informations.
```
{
"Role": "IAM-role-ARN",
"Rules": [
{
"Status": "Enabled",
"Priority": 1,
"DeleteMarkerReplication": { "Status": "Disabled" },
"Filter" : { "Prefix": "Tax"},
"Destination": {
"Bucket":
"arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT"
}
}
]
}
```
1. Pour ajouter la configuration de réplication à votre compartiment Outposts source, exécutez la commande `put-bucket-replication` suivante. Pour utiliser cette commande, remplacez `user input placeholders` par vos propres informations.
```
aws s3control put-bucket-replication --account-id 123456789012 --bucket arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET --replication-configuration file://replication.json --profile acctA
```
1. Pour récupérer la configuration de réplication, utilisez la commande `get-bucket-replication`. Pour utiliser cette commande, remplacez `user input placeholders` par vos propres informations.
```
aws s3control get-bucket-replication --account-id 123456789012 --bucket arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET --profile acctA
```
1. Testez la configuration dans la console Amazon S3 :
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans le compartiment `SOURCE-OUTPOSTS-BUCKET`, créez un dossier nommé `Tax`.
1. Ajoutez les exemples d'objets au dossier `Tax` du compartiment `SOURCE-OUTPOSTS-BUCKET`.
1. Dans le compartiment `DESTINATION-OUTPOSTS-BUCKET`, vérifiez les éléments suivants :
+ S3 sur Outposts a répliqué les objets.
**Note**
Le temps nécessaire à S3 sur Outposts pour répliquer un objet dépend de la taille de ce dernier. Pour obtenir des informations sur la consultation du statut de la réplication, consultez [Obtention d’informations sur le statut de la réplication](manage-outposts-replication.md#outposts-replication-status).
+ Dans l'onglet **Propriétés**, le **Statut de réplication** est défini sur **Réplica** (afin d'indiquer qu'il s'agit d'un objet réplica).
# Gestion de votre réplication
Cette section décrit des options de configuration de réplication supplémentaires disponibles dans S3 sur Outposts, comment déterminer le statut de la réplication et comment résoudre des problèmes de réplication. Pour obtenir des informations sur la configuration de réplication de base, veuillez consulter [Configuration de la réplication](outposts-replication-how-setup.md).
**Topics**
+ [Surveillance de la progression avec des métriques de réplication](#outposts-enabling-replication-metrics)
+ [Obtention d’informations sur le statut de la réplication](#outposts-replication-status)
+ [Résolution des problèmes de réplication](#outposts-replication-troubleshoot)
+ [Utilisation EventBridge pour la réplication S3 sur les Outposts](outposts-replication-eventbridge.md)
## Surveillance de la progression avec des métriques de réplication
La réplication S3 sur Outposts fournit des métriques détaillées pour les règles de réplication dans votre configuration de réplication. Avec les métriques de réplication, vous pouvez surveiller la progression de la réplication par intervalles de 5 minutes en suivant les octets en attente, la latence de réplication et les opérations en attente. Pour aider à résoudre les problèmes de configuration, vous pouvez également configurer Amazon EventBridge pour recevoir des notifications en cas d'échec de réplication.
Lorsque les métriques de réplication sont activées, S3 Replication on Outposts publie les métriques suivantes sur Amazon : CloudWatch
+ **Octets en attente de réplication** : nombre total d'octets d'objets en attente de réplication pour une règle de réplication donnée.
+ **Latence de réplication** : nombre maximal de secondes pendant lesquelles le compartiment de destination de réplication se trouve derrière le compartiment source pour une règle de réplication donnée.
+ **Opérations en attente de réplication** : nombre d'opérations en attente de réplication pour une règle de réplication donnée. Les opérations incluent des objets, des marqueurs de suppression et des balises.
**Note**
Les métriques S3 Replication on Outposts sont facturées au même tarif que CloudWatch les métriques personnalisées. Pour en savoir plus, consultez [PricingCloudWatch](https://aws.amazon.com/cloudwatch/pricing/) (Tarification).
## Obtention d’informations sur le statut de la réplication
Le statut de réplication peut vous aider à déterminer l'état actuel d'un objet répliqué par Amazon S3 sur Outposts. Le statut de réplication d’un objet source renvoie soit `PENDING`, `COMPLETED` ou `FAILED`. Le statut de réplication d’un réplica renvoie `REPLICA`.
### Vue d'ensemble des statuts de réplication
Dans un scénario de réplication, il existe un compartiment source dans lequel vous configurez la réplication et un compartiment de destination dans lequel S3 sur Outposts réplique les objets. Lorsque vous demandez un objet (avec `GetObject`) ou des métadonnées d'objet (avec `HeadObject`) à partir de ces compartiments, S3 sur Outposts renvoie l'en-tête `x-amz-replication-status` dans la réponse, comme suit :
+ Lorsque vous demandez un objet depuis le compartiment source, S3 sur Outposts renvoie l'en-tête `x-amz-replication-status` si l'objet demandé peut être répliqué.
Par exemple, imaginons que vous spécifiez le préfixe d'objet `TaxDocs` dans votre configuration de réplication pour indiquer à S3 sur Outposts de ne répliquer que les objets dotés du préfixe de nom de clé `TaxDocs`. Tous les objets que vous chargez ayant ce préfixe de nom de clé (par exemple, `TaxDocs/document1.pdf`) seront répliqués. Pour les demandes d'objet avec ce préfixe de nom de clé, S3 sur Outposts renvoie l'en-tête `x-amz-replication-status` avec l'une des valeurs suivantes pour le statut de réplication de l'objet : `PENDING`, `COMPLETED` ou `FAILED`.
**Note**
Si la réplication d'objet échoue après avoir chargé un objet, vous ne pouvez pas relancer la réplication. Vous devez recharger l'objet. Les objets passent à l'état `FAILED` en cas de problèmes, par exemple si les autorisations de rôle de réplication ou les autorisations de compartiment sont manquantes. Pour les échecs temporaires, par exemple si un compartiment ou votre Outpost n'est pas disponible, le statut de réplication ne passera pas à `FAILED`, mais restera `PENDING`. Une fois la ressource remise en ligne, S3 sur Outposts reprendra la réplication de ces objets.
+ Lorsque vous demandez un objet à partir du compartiment de destination, si l'objet demandé est un réplica créé par S3 sur Outposts, S3 sur Outposts renvoie l'en-tête `x-amz-replication-status` avec la valeur `REPLICA`.
**Note**
Avant de supprimer un objet d'un compartiment source pour lequel la réplication a été activée, contrôlez le statut de réplication de l'objet pour vérifier qu'il a été répliqué.
### Statut de la réplication si la synchronisation des modifications de réplica Amazon S3 sur Outposts est activée
Lorsque vos règles de réplication activent la synchronisation des modifications de réplica S3 sur Outposts, les statuts des réplicas peuvent être différents de `REPLICA`. Si des modifications de métadonnées sont en cours de réplication, l'en-tête `x-amz-replication-status` du réplica renvoie `PENDING`. Si la synchronisation des modifications du réplica ne parvient pas à répliquer les métadonnées, l'en-tête du réplica renvoie `FAILED`. Si les métadonnées sont répliquées correctement, l'en-tête du réplica renvoie la valeur `REPLICA`.
## Résolution des problèmes de réplication
Si les réplicas d'objets ne figurent pas dans le compartiment Amazon S3 sur Outposts de destination après la configuration de la réplication, utilisez les conseils de dépannage suivants pour identifier les problèmes et les résoudre.
+ Le temps nécessaire à S3 sur Outposts pour répliquer un objet dépend de plusieurs facteurs, y compris de la distance entre la paire de régions source et de destination et de la taille de l'objet.
Vous pouvez vérifier le statut de réplication de l'objet source. Si le statut de réplication de l'objet est `PENDING`, cela signifie que S3 sur Outposts n'a pas terminé la réplication. Si le statut de réplication de l'objet est `FAILED`, vérifiez la configuration de réplication définie sur le compartiment source.
+ Dans la configuration de réplication du compartiment source, procédez aux vérifications suivantes :
+ L'Amazon Resource Name (ARN) du point d'accès du compartiment de destination est correct.
+ Le préfixe de nom de clé est correct. A titre d’exemple, si vous définissez la configuration pour répliquer des objets avec le préfixe `Tax`, seuls les objets dotés de noms de clés `Tax/document1` ou `Tax/document2` seront répliqués. Tout objet avec le nom de clé `document3` n’est pas répliqué.
+ Le statut est `Enabled`.
+ Vérifiez que la gestion des versions n'a pas été suspendue sur aucun compartiment. La gestion des versions doit être activée pour les compartiments source et de destination.
+ Si le compartiment de destination appartient à un autre Compte AWS, vérifiez que le propriétaire du compartiment dispose d'une politique de compartiment sur le compartiment de destination qui autorise le propriétaire du compartiment source à répliquer des objets. Pour obtenir un exemple, consultez [Octroi d'autorisations lorsque les buckets Outposts source et de destination appartiennent à différents Comptes AWS](outposts-replication-prerequisites-config.md#outposts-rep-prethree).
+ Si un réplica d'objet ne figure pas dans le compartiment de destination, les problèmes suivants ont pu empêcher la réplication :
+ S3 sur Outposts ne réplique pas un objet figurant dans un compartiment source qui est lui-même un réplica créé par une autre configuration de réplication. Par exemple, si vous définissez une configuration de réplication à partir du compartiment A vers le compartiment B vers le compartiment C, S3 sur Outposts ne réplique pas les réplicas d'objets dans le compartiment B vers le compartiment C.
Si vous souhaitez répliquer des objets du compartiment A vers le compartiment B et le compartiment C, définissez plusieurs destinations de compartiment selon différentes règles de réplication pour la configuration de la réplication de votre compartiment source. Par exemple, créez deux règles de réplication sur le compartiment source A, l'une pour la réplication vers le compartiment de destination B et l'autre pour la réplication vers le compartiment de destination C.
+ Le propriétaire d'un compartiment source peut accorder d'autres Comptes AWS autorisations pour télécharger des objets. Par défaut, le propriétaire du compartiment source ne possède aucune autorisation pour les objets créés par d’autres comptes. La configuration de réplication réplique uniquement les objets pour lesquels le propriétaire du compartiment source dispose des autorisations d’accès. Pour éviter les problèmes de réplication, le propriétaire du compartiment source peut accorder d'autres Comptes AWS autorisations pour créer des objets de manière conditionnelle, en exigeant des autorisations d'accès explicites sur ces objets.
+ Supposons que vous ajoutiez une règle dans la configuration de réplication pour répliquer un sous-ensemble d'objets dotés d'une balise spécifique. Dans ce cas, vous devez attribuer une clé et une valeur de balise spécifiques au moment de la création de l'objet pour que S3 sur Outposts puisse répliquer l'objet. Si vous commencez par créer un objet, puis ajoutez la balise à l'objet existant, S3 sur Outposts ne réplique pas l'objet.
+ La réplication échoue si la politique de compartiment refuse l’accès au rôle de réplication pour l’une des actions suivantes :
Compartiment source :
```
1. "s3-outposts:GetObjectVersionForReplication",
2. "s3-outposts:GetObjectVersionTagging"
```
Compartiments de destination :
```
1. "s3-outposts:ReplicateObject",
2. "s3-outposts:ReplicateDelete",
3. "s3-outposts:ReplicateTags"
```
+ Amazon EventBridge peut vous avertir lorsque les objets ne se répliquent pas vers leurs Outposts de destination. Pour de plus amples informations, veuillez consulter [Utilisation EventBridge pour la réplication S3 sur les Outposts](outposts-replication-eventbridge.md).
# Utilisation EventBridge pour la réplication S3 sur les Outposts
Amazon S3 on Outposts est intégré à Amazon EventBridge et utilise l'`s3-outposts`espace de noms. EventBridge est un service de bus d'événements sans serveur que vous pouvez utiliser pour connecter vos applications à des données provenant de diverses sources. Pour plus d'informations, consultez [Qu'est-ce qu'Amazon EventBridge ?](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) dans le *guide de EventBridge l'utilisateur Amazon*.
Pour aider à résoudre les problèmes de configuration de réplication, vous pouvez configurer Amazon EventBridge pour qu'il reçoive des notifications en cas d'échec de réplication. EventBridge peut vous avertir lorsque les objets ne se répliquent pas vers leurs Outposts de destination. Pour plus d’informations sur l’état actuel d’un objet répliqué, consultez [Vue d'ensemble des statuts de réplication](manage-outposts-replication.md#outposts-replication-status-overview).
Chaque fois que certains événements se produisent dans votre compartiment Outposts, S3 on Outposts peut envoyer des événements à. EventBridge Contrairement à d’autres destinations, vous n’avez pas besoin de sélectionner les types d’événements que vous souhaitez proposer. Vous pouvez également utiliser des EventBridge règles pour acheminer les événements vers des cibles supplémentaires. Une fois EventBridge activé, S3 on Outposts envoie tous les événements suivants à. EventBridge
| Type d’événement | Description | Namespace |
| --- | --- | --- |
| `OperationFailedReplication` | La réplication d’un objet au sein d’une règle de réplication a échoué. Pour plus d’informations sur les raisons de l’échec de la réplication S3 sur Outposts, consultez [Utilisation EventBridge pour visualiser les raisons de l'échec de la réplication S3 sur les Outposts](#outposts-replication-failure-codes). | `s3-outposts` |
## Utilisation EventBridge pour visualiser les raisons de l'échec de la réplication S3 sur les Outposts
Le tableau suivant répertorie les raisons de l’échecs de la réplication S3 sur Outposts. Vous pouvez configurer une EventBridge règle pour publier et afficher la raison de l'échec via Amazon Simple Queue Service (Amazon SQS), Amazon Simple Notification Service (Amazon AWS Lambda SNS) ou Amazon Logs. CloudWatch Pour plus d'informations sur les autorisations requises pour utiliser ces ressources EventBridge, consultez la section [Utilisation de politiques basées sur les ressources](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-use-resource-based.html) pour. EventBridge
| Raison de l’échec de la réplication | Description |
| --- | --- |
| AssumeRoleNotPermitted | S3 on Outposts ne peut pas assumer le rôle Gestion des identités et des accès AWS (IAM) spécifié dans la configuration de réplication. |
| DstBucketNotFound | S3 sur Outposts n’est pas en mesure de trouver le compartiment de destination spécifié dans la configuration de la réplication. |
| DstBucketUnversioned | La gestion des versions n’est pas activée sur le compartiment de destination Outposts. Pour répliquer des objets avec la réplication S3 sur Outposts, vous devez activer la gestion des versions pour le compartiment de destination. |
| DstDelObjNotPermitted | S3 sur Outposts n’est pas en mesure de répliquer les suppressions vers le compartiment de destination. L’autorisation s3-outposts:ReplicateDelete peut être manquante pour le compartiment de destination. |
| DstMultipartCompleteNotPermitted | S3 sur Outposts n’est pas en mesure de terminer le chargement partitionné des objets dans le compartiment de destination. L’autorisation s3-outposts:ReplicateObject peut être manquante pour le compartiment de destination. |
| DstMultipartInitNotPermitted | S3 sur Outposts n’est pas en mesure de lancer le chargement partitionné des objets vers le compartiment de destination. L’autorisation s3-outposts:ReplicateObject peut être manquante pour le compartiment de destination. |
| DstMultipartPartUploadNotPermitted | S3 sur Outposts n’est pas en mesure de charger des objets de chargement partitionné dans le compartiment de destination. L’autorisation s3-outposts:ReplicateObject peut être manquante pour le compartiment de destination. |
| DstOutOfCapacity | S3 sur Outposts n’est pas en mesure de répliquer l’Outpost de destination car l’Outpost n’est pas compris dans la capacité de stockage de S3. |
| DstPutObjNotPermitted | S3 sur Outposts n’est pas en mesure de répliquer les objets vers le compartiment de destination. L'autorisation s3-outposts:ReplicateObject peut être manquante pour le compartiment de destination. |
| DstPutTaggingNotPermitted | S3 sur Outposts n’est pas en mesure de répliquer les balises d’objets vers le compartiment de destination. L’autorisation s3-outposts:ReplicateObject peut être manquante pour le compartiment de destination. |
| DstVersionNotFound | S3 sur Outposts n’est pas en mesure de trouver la version d’objet requise dans le compartiment de destination pour répliquer les métadonnées de cette version d’objet. |
| SrcBucketReplicationConfigMissing | S3 sur Outposts n’est pas en mesure de trouver une configuration de réplication pour le point d’accès associé au compartiment Outposts source. |
| SrcGetObjNotPermitted | S3 sur Outposts n’est pas en mesure d’accéder à l’objet dans le compartiment source pour la réplication. L’autorisation s3-outposts:GetObjectVersionForReplication peut être manquante pour le compartiment source. |
| SrcGetTaggingNotPermitted | S3 sur Outposts n’est pas en mesure d’accéder aux informations de balises d’objets dans le compartiment source. L'autorisation s3-outposts:GetObjectVersionTagging peut être manquante pour le compartiment source. |
| SrcHeadObjectNotPermitted | S3 sur Outposts n’est pas en mesure de récupérer les métadonnées d’objets du compartiment source. L'autorisation s3-outposts:GetObjectVersionForReplication peut être manquante pour le compartiment source. |
| SrcObjectNotEligible | L’objet n’est pas éligible à la réplication. L’objet ou ses balises d’objet ne correspondent pas à la configuration de réplication. |
Pour plus d’informations sur le dépannage de la réplication, consultez les rubriques suivantes :
+ [Création d’un rôle IAM](outposts-replication-prerequisites-config.md#outposts-rep-pretwo)
+ [Résolution des problèmes de réplication](manage-outposts-replication.md#outposts-replication-troubleshoot)
## Surveillance EventBridge avec CloudWatch
Pour la surveillance, Amazon EventBridge s'intègre à Amazon CloudWatch. EventBridge envoie automatiquement des métriques à CloudWatch chaque minute. Ces mesures incluent le nombre d’[événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) auxquels correspond une [règle](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html) et le nombre de fois qu’une [cible](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) est invoquée par une règle. Lorsqu'une règle s'exécute EventBridge, toutes les cibles associées à la règle sont invoquées. Vous pouvez surveiller votre EventBridge comportement de la CloudWatch manière suivante.
+ Vous pouvez surveiller les [EventBridgeindicateurs](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-monitoring.html#eb-metrics) disponibles pour vos EventBridge règles depuis le CloudWatch tableau de bord. Vous pouvez ensuite utiliser des CloudWatch fonctionnalités, telles que les CloudWatch alarmes, pour définir des alarmes sur certains indicateurs. Si ces métriques atteignent les valeurs de seuil personnalisées que vous avez spécifiées dans les alarmes, vous recevez des notifications et pouvez agir en conséquence.
+ Vous pouvez définir Amazon CloudWatch Logs comme cible de votre EventBridge règle. Il EventBridge crée ensuite des flux de CloudWatch journaux et Logs stocke le texte des événements sous forme d'entrées de journal. Pour plus d'informations, consultez [EventBridge et CloudWatch Logs](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-use-resource-based.html#eb-cloudwatchlogs-permissions).
Pour plus d'informations sur le débogage EventBridge de la diffusion et de l'archivage des événements, consultez les rubriques suivantes :
+ [Politique relative aux nouvelles tentatives d’événements et utilisation de files d’attente de lettres mortes](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rule-dlq.html)
+ [Archivage des événements EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-archive-event.html)