Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Copie d’objets à l’aide de S3 Batch Operations
Vous pouvez utiliser les opérations par lot Amazon S3 pour effectuer des opérations par lot à grande échelle au niveau d’objets Amazon S3. Vous pouvez utiliser la fonctionnalité d’opérations par lot S3 pour créer une **tâche de copie** (`CopyObject`) dans le but de copier des objets dans un même compte ou dans un autre compte de destination.
Les sections suivantes montrent comment stocker et utiliser un manifeste qui se trouve dans un compte différent. Le premier exemple présente comment utiliser l’inventaire Amazon S3 pour remettre le rapport d’inventaire au compte de destination afin de l’utiliser lors de la création de la tâche. Le deuxième exemple montre comment utiliser un manifeste de valeurs séparées par des virgules (CSV) dans le compte source ou de destination. Le troisième exemple montre comment utiliser l’opération **Copier** pour activer les clés de compartiment S3 pour des objets existants qui ont été chiffrés à l’aide du chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS).
**Topics**
+ [Utilisation d'un rapport d'inventaire pour copier des objets Comptes AWS](specify-batchjob-manifest-xaccount-inventory.md)
+ [Utilisation d'un manifeste CSV pour copier des objets Comptes AWS](specify-batchjob-manifest-xaccount-csv.md)
+ [Utilisation de Batch Operations pour activer les clés de compartiment S3 pour SSE-KMS](batch-ops-copy-example-bucket-key.md)
# Utilisation d'un rapport d'inventaire pour copier des objets Comptes AWS
Vous pouvez utiliser les opérations par lot Amazon S3 pour effectuer des opérations par lot à grande échelle au niveau d’objets Amazon S3. Vous pouvez utiliser la fonctionnalité d’opérations par lot S3 pour créer une **tâche de copie** (`CopyObject`) dans le but de copier des objets dans un même compte ou dans un autre compte de destination.
Vous pouvez utiliser Amazon S3 Inventory pour créer un rapport d’inventaire, et utiliser ce rapport pour créer une liste, ou un manifeste, des objets à copier avec S3 Batch Operations. Pour de plus amples informations sur l’utilisation d’un manifeste CSV dans le compte source ou de destination, consultez [Utilisation d'un manifeste CSV pour copier des objets Comptes AWS](specify-batchjob-manifest-xaccount-csv.md).
L’inventaire Amazon S3 génère des inventaires des objets dans un compartiment. La liste générée est publiée dans un fichier de sortie. Le compartiment qui est inventorié est appelé le compartiment source et le compartiment où le fichier de rapport d’inventaire est stocké est appelé le compartiment de destination.
Le rapport d'inventaire Amazon S3 peut être configuré pour être envoyé à un autre Compte AWS. Cela permet à S3 Batch Operations de lire le rapport d’inventaire lorsque la tâche a été créée dans le compte de destination.
Pour de plus amples informations sur les compartiments sources et de destination de l’inventaire Amazon S3, consultez [Compartiments source et de destination](storage-inventory.md#storage-inventory-buckets).
Le moyen le plus simple de configurer un inventaire est d'utiliser la console Amazon S3, mais vous pouvez également utiliser l'API REST Amazon S3, AWS Command Line Interface (AWS CLI) ou AWS SDKs.
La procédure de console suivante contient les étapes de haut niveau permettant de configurer des autorisations pour une tâche S3 Batch Operations. Dans cette procédure, vous copiez des objets d’un compte source vers un compte de destination, avec le rapport d’inventaire stocké dans le compte de destination.
**Pour configurer Amazon S3 Inventory pour des compartiments source et de destination détenus par des comptes différents**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans le panneau de navigation de gauche, choisissez **Compartiments**.
1. Définissez (ou créez) un compartiment de manifeste de destination dans lequel stocker le rapport d’inventaire. Dans cette procédure, le *compte de destination* est le compte qui possède à la fois le compartiment de manifeste de destination et le compartiment où les objets sont copiés.
1. Configurez un rapport d’inventaire pour un compartiment source. Pour plus d’informations sur l’utilisation de la console pour configurer un inventaire ou sur le chiffrement d’un fichier de liste d’inventaire, consultez [Configuration d’Amazon S3 Inventory](configure-inventory.md).
Lorsque vous configurez un rapport d’inventaire, vous spécifiez le compartiment de destination dans lequel vous souhaitez stocker la liste. Le rapport d’inventaire pour le compartiment source est publié dans le compartiment de destination. Dans cette procédure, le *compte source* est le compte qui possède le compartiment source.
Choisissez **CSV** comme format de sortie.
Lorsque vous saisissez des informations pour le compartiment de destination, choisissez **Compartiments d’un autre compte**. Ensuite, saisissez le nom du compartiment de manifeste de destination. Éventuellement, vous pouvez saisir l’ID du compte de destination.
Une fois que la configuration d’inventaire a été enregistrée, la console affiche un message similaire au message suivant :
Amazon S3 n’a pas pu créer une stratégie sur le compartiment de destination. Demandez au propriétaire du compartiment de destination d’ajouter la politique de compartiment suivante pour permettre à Amazon S3 d’ajouter des données dans ce compartiment.
Ensuite, la console affiche une politique de compartiment que vous pouvez utiliser pour le compartiment de destination.
1. Copiez la politique de compartiment de destination qui apparaît sur la console.
1. Dans le compte de destination, ajoutez la politique de compartiment copiée dans le compartiment de manifeste de destination où le rapport d’inventaire est stocké.
1. Créez un rôle dans le compte de destination basé sur la stratégie d’approbation S3 Batch Operations. Pour plus d’informations sur la politique d’approbation, consultez [Stratégie d’approbation](batch-ops-iam-role-policies.md#batch-ops-iam-role-policies-trust).
Pour plus d’informations sur la création d’un rôle, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l’utilisateur IAM*.
Saisissez un nom pour le rôle (l’exemple de rôle suivant utilise le nom *`BatchOperationsDestinationRoleCOPY`*). Choisissez le service **S3**, puis choisissez le cas d’utilisation **Opérations par lot S3**, lequel appliquera la politique d’approbation au rôle.
Ensuite, choisissez **Create policy (Créer une stratégie)** pour attacher la stratégie suivante au rôle. Pour utiliser cette stratégie, remplacez *`user input placeholders`* par vos propres informations.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowBatchOperationsDestinationObjectCOPY",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectVersionAcl",
"s3:PutObjectAcl",
"s3:PutObjectVersionTagging",
"s3:PutObjectTagging",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:GetObjectVersionAcl",
"s3:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket/*",
"arn:aws:s3:::amzn-s3-demo-source-bucket/*",
"arn:aws:s3:::amzn-s3-demo-manifest-bucket/*"
]
}
]
}
```
------
Le rôle utilise la stratégie pour autoriser `batchoperations.s3.amazonaws.com` à lire le manifeste dans le compartiment de destination. Il accorde également des autorisations aux `GET` objets, aux listes de contrôle d'accès (ACLs), aux balises et aux versions du compartiment d'objets source. Il accorde également des autorisations aux `PUT` objets ACLs, aux balises et aux versions dans le compartiment d'objets de destination.
1. Dans le compte source, créez une politique de compartiment pour le compartiment source qui accorde au rôle que vous avez créé à l'étape précédente des autorisations sur les `GET` objets ACLs, les balises et les versions du compartiment source. Cette étape permet à S3 Batch Operations de récupérer des objets du compartiment source au moyen du rôle approuvé.
Vous trouverez, ci-après, un exemple de politique de compartiment pour le compte source. Pour utiliser cette stratégie, remplacez *`user input placeholders`* par vos propres informations.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowBatchOperationsSourceObjectCOPY",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/BatchOperationsDestinationRoleCOPY"
},
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:GetObjectVersionAcl",
"s3:GetObjectVersionTagging"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
}
]
}
```
------
1. Une fois le rapport d’inventaire disponible, créez une tâche S3 Batch Operations **Copier** (`CopyObject`) dans le compte de destination, en choisissant le rapport d’inventaire dans le compartiment du manifeste de destination. Vous aurez besoin de l’ARN du rôle IAM que vous avez créé dans le compte de destination.
Pour obtenir des informations générales sur la création d’une tâche, consultez [Création d’une tâche d’opérations par lot S3](batch-ops-create-job.md).
Pour plus d’informations sur la création d’une tâche à l’aide de la console, consultez [Création d’une tâche d’opérations par lot S3](batch-ops-create-job.md).
# Utilisation d'un manifeste CSV pour copier des objets Comptes AWS
Vous pouvez utiliser les opérations par lot Amazon S3 pour effectuer des opérations par lot à grande échelle au niveau d’objets Amazon S3. Vous pouvez utiliser la fonctionnalité d’opérations par lot S3 pour créer une **tâche de copie** (`CopyObject`) dans le but de copier des objets dans un même compte ou dans un autre compte de destination.
Vous pouvez utiliser un manifeste CSV stocké dans le compte source pour copier des objets dans des Comptes AWS avec S3 Batch Operations. Pour utiliser un rapport S3 Inventory en tant que manifeste, consultez [Utilisation d'un rapport d'inventaire pour copier des objets Comptes AWS](specify-batchjob-manifest-xaccount-inventory.md).
Pour obtenir un exemple du format CSV pour les fichiers manifestes, consultez [Création d’un fichier manifeste](batch-ops-create-job.md#create-manifest-file).
La procédure suivante montre comment configurer des autorisations lors de l’utilisation d’une tâche S3 Batch Operations pour copier des objets d’un compte source vers un compte de destination avec un fichier manifeste CSV stocké dans le compte source.
**Pour utiliser un manifeste CSV pour copier des objets Comptes AWS**
1. Créez un rôle Gestion des identités et des accès AWS (IAM) dans le compte de destination basé sur la politique de confiance de S3 Batch Operations. Dans cette procédure, le *compte de destination* est le compte dans lequel les objets sont copiés.
Pour de plus amples informations sur la stratégie d’approbation, consultez [Stratégie d’approbation](batch-ops-iam-role-policies.md#batch-ops-iam-role-policies-trust).
Pour plus d’informations sur la création d’un rôle, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l’utilisateur IAM*.
Si vous créez le rôle au moyen de la console, saisissez un nom pour ce rôle (l’exemple de rôle suivant utilise le nom `BatchOperationsDestinationRoleCOPY`). Choisissez le service **S3**, puis choisissez le cas d’utilisation **Opérations par lot S3**, lequel appliquera la politique d’approbation au rôle.
Ensuite, choisissez **Create policy (Créer une stratégie)** pour attacher la stratégie suivante au rôle. Pour utiliser cette stratégie, remplacez *`user input placeholders`* par vos propres informations.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowBatchOperationsDestinationObjectCOPY",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectVersionAcl",
"s3:PutObjectAcl",
"s3:PutObjectVersionTagging",
"s3:PutObjectTagging",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:GetObjectVersionAcl",
"s3:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket/*",
"arn:aws:s3:::amzn-s3-demo-source-bucket/*",
"arn:aws:s3:::amzn-s3-demo-manifest-bucket/*"
]
}
]
}
```
------
Au moyen de la stratégie, le rôle octroie à `batchoperations.s3.amazonaws.com` l’autorisation de lire le manifeste dans le compartiment manifeste source. Il accorde des autorisations aux `GET` objets, aux listes de contrôle d'accès (ACLs), aux balises et aux versions du compartiment d'objets source. Il accorde également des autorisations aux `PUT` objets ACLs, aux balises et aux versions dans le compartiment d'objets de destination.
1. Dans le compte source, créez une politique pour le compartiment, qui contient le manifeste afin d’octroyer au rôle créé à l’étape précédente l’autorisation d’obtenir (`GET`) des objets et des versions dans le compartiment manifeste source.
Cette étape permet à S3 Batch Operations de lire le manifeste au moyen du rôle approuvé. Appliquez la politique de compartiment au compartiment qui contient le manifeste.
Vous trouverez, ci-après, un exemple de politique de compartiment à appliquer au compartiment manifeste source. Pour utiliser cette stratégie, remplacez *`user input placeholders`* par vos propres informations.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowBatchOperationsSourceManifestRead",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:user/ConsoleUserCreatingJob",
"arn:aws:iam::111122223333:role/BatchOperationsDestinationRoleCOPY"
]
},
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-manifest-bucket/*"
}
]
}
```
------
Cette stratégie octroie également à un utilisateur de la console qui est en train de créer une tâche dans le compte de destination les mêmes autorisations dans le compartiment manifeste source au moyen de la même politique de compartiment.
1. Dans le compte source, créez une politique de compartiment pour le compartiment source qui accorde au rôle dans lequel vous avez créé des autorisations sur les `GET` objets ACLs, les balises et les versions du compartiment d'objets source. S3 Batch Operations peut ensuite récupérer des objets du compartiment source via le rôle approuvé.
Vous trouverez, ci-après, un exemple de politique de compartiment pour le compartiment qui contient les objets source. Pour utiliser cette stratégie, remplacez *`user input placeholders`* par vos propres informations.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowBatchOperationsSourceObjectCOPY",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/BatchOperationsDestinationRoleCOPY"
},
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:GetObjectVersionAcl",
"s3:GetObjectVersionTagging"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
}
]
}
```
------
1. Créez une tâche S3 Batch Operations dans le compte de destination. Vous avez besoin de l’ARN (Amazon Resource Name) pour le rôle que vous avez créé dans le compte de destination. Pour de plus amples informations sur la création d’une tâche, consultez [Création d’une tâche d’opérations par lot S3](batch-ops-create-job.md).
# Utilisation de Batch Operations pour activer les clés de compartiment S3 pour SSE-KMS
Les clés de compartiment S3 réduisent le coût du chiffrement côté serveur avec AWS Key Management Service (AWS KMS) (SSE-KMS) en diminuant le trafic de requêtes d'Amazon S3 vers. AWS KMS Pour plus d’informations, consultez [Réduction du coût du SSE-KMS avec les clés de compartiment Amazon S3](bucket-key.md) et [Configuration de votre compartiment de sorte qu’il utilise une clé de compartiment S3 avec SSE-KMS pour de nouveaux objets](configuring-bucket-key.md). Lorsque vous effectuez une `CopyObject` opération à l'aide de l'API REST AWS SDKs, ou AWS CLI, vous pouvez activer ou désactiver une clé de compartiment S3 au niveau de l'objet en ajoutant l'en-tête de `x-amz-server-side-encryption-bucket-key-enabled` demande avec une `false` valeur `true` ou.
Lorsque vous configurez une clé de compartiment S3 pour un objet à l’aide d’une opération `CopyObject`, Amazon S3 met à jour uniquement les paramètres de cet objet. Les paramètres de clé de compartiment S3 pour le compartiment de destination ne changent pas. Si vous soumettez une demande `CopyObject` pour un objet chiffré par AWS KMS dans un compartiment avec les clés de compartiment S3 activées, votre opération au niveau de l’objet utilisera automatiquement cette option à moins que vous ne désactiviez les clés dans l’en-tête de la demande. Si vous ne spécifiez pas de clé de compartiment S3 pour votre objet, Amazon S3 applique les paramètres de clé de compartiment S3 du compartiment de destination à l’objet.
Pour chiffrer vos objets Amazon S3 existants, vous pouvez utiliser S3 Batch Operations. Vous pouvez utiliser l’**opération de copie** de Batch Operations pour copier des objets non chiffrés et les réécrire dans le même compartiment en tant qu’objets chiffrés. Pour plus d'informations, consultez la section [Chiffrement d'objets avec Amazon S3 Batch Operations](https://aws.amazon.com/blogs/storage/encrypting-objects-with-amazon-s3-batch-operations/) sur le blog AWS de stockage.
Dans l’exemple suivant, vous utilisez la tâche **Copier** de Batch Operations pour activer les clés de compartiment S3 sur des objets existants. Pour de plus amples informations, veuillez consulter [Configuration d’une clé de compartiment S3 au niveau d’un objet](configuring-bucket-key-object.md).
**Topics**
+ [Considérations pour l’utilisation d’opérations pat lot S3 pour chiffrer des objets avec des clés de compartiment S3](#bucket-key-ex-things-to-note)
+ [Conditions préalables](#bucket-key-ex-prerequisites)
+ [Étape 1 : obtenir votre liste d’objets à l’aide d’Amazon S3 Inventory](#bucket-key-ex-get-list-of-objects)
+ [Étape 2 : filtrer votre liste d’objets avec S3 Select](#bucket-key-ex-filter-object-list-with-s3-select)
+ [Étape 3 : configurer et exécuter votre tâche S3 Batch Operations](#bucket-key-ex-setup-and-run-job)
## Considérations pour l’utilisation d’opérations pat lot S3 pour chiffrer des objets avec des clés de compartiment S3
Lorsque vous utilisez S3 Batch Operations pour chiffrer des objets avec les clés de compartiment S3 activées, tenez compte des points suivants :
+ Vous serez facturé pour les tâches, objets et demandes S3 Batch Operations en plus des frais associés à ce que S3 Batch Operations accomplit en votre nom, dont les transferts de données, les demandes, ainsi que d’autres frais. Pour de plus amples informations, veuillez consulter [Tarification Amazon S3](https://aws.amazon.com/s3/pricing).
+ Si vous utilisez un compartiment avec gestion des versions, chaque tâche S3 Batch Operations effectuée crée de nouvelles versions chiffrées de vos objets. Elle conserve également les versions précédentes sans clé de compartiment S3 configurée. Pour supprimer les anciennes versions, configurez une stratégie d’expiration du cycle de vie S3 pour les versions non actuelles, comme décrit dans [Éléments de la configuration du cycle de vie](intro-lifecycle-rules.md).
+ L’opération de copie crée de nouveaux objets avec de nouvelles dates de création, ce qui peut affecter des actions du cycle de vie telles que l’archivage. Si vous copiez tous les objets dans votre compartiment, toutes les nouvelles copies ont des dates de création identiques ou similaires. Pour mieux identifier ces objets et créer différentes règles de cycle de vie pour différents sous-ensembles de données, envisagez d’utiliser des étiquettes d’objet.
## Conditions préalables
Avant de configurer les objets de sorte qu’ils utilisent une clé de compartiment S3, consultez [Modifications à prendre en compte avant d’activer une clé de compartiment S3](bucket-key.md#bucket-key-changes).
Pour utiliser cet exemple, vous devez disposer d'un compartiment S3 Compte AWS et d'au moins un compartiment S3 pour contenir vos fichiers de travail et vos résultats chiffrés. Il se peut également que vous trouviez des informations utiles dans une grande partie de la documentation existante sur S3 Batch Operations, dont les rubriques suivantes :
+ [Principes de base de S3 Batch Operations](batch-ops.md#batch-ops-basics)
+ [Création d’une tâche d’opérations par lot S3](batch-ops-create-job.md)
+ [Opérations prises en charge par les opérations par lot S3](batch-ops-operations.md)
+ [Gestion des tâches d’opérations par lot S3](batch-ops-managing-jobs.md)
## Étape 1 : obtenir votre liste d’objets à l’aide d’Amazon S3 Inventory
Pour commencer, identifiez le compartiment S3 contenant les objets à chiffrer, et obtenez la liste de son contenu. Un rapport Amazon S3 Inventory est le moyen le plus pratique et le plus abordable de le faire. Le rapport fournit la liste des objets dans un compartiment ainsi que les métadonnées associées. Dans cette étape, le compartiment source fait référence au compartiment inventorié, et le compartiment de destination au compartiment dans lequel vous stockez le fichier de rapport d’inventaire. Pour de plus amples informations sur les compartiments sources et de destination de l’inventaire Amazon S3, consultez [Catalogage et analyse de vos données avec S3 Inventory](storage-inventory.md).
La manière la plus simple de configurer un inventaire consiste à utiliser la AWS Management Console. Mais vous pouvez également utiliser l'API REST, AWS Command Line Interface (AWS CLI) ou AWS SDKs. Avant de suivre ces étapes, assurez-vous de vous connecter à la console et d'ouvrir la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/). Si vous rencontrez des erreurs de refus d’autorisation, ajoutez une politique de compartiment à votre compartiment de destination. Pour de plus amples informations, veuillez consulter [Accorder des autorisations pour S3 Inventory et les analyses S3.](example-bucket-policies.md#example-bucket-policies-s3-inventory-1).
**Pour obtenir une liste d’objets à l’aide de S3 Inventory**
1. Ouvrez la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans le volet de navigation de gauche, choisissez **Compartiments** et sélectionnez un compartiment contenant des objets à chiffrer.
1. Sous l’onglet **Management (Gestion)**, accédez à la section **Inventory configurations (Configurations d’inventaire)**, puis choisissez **Create inventory configuration (Créer une configuration d’inventaire)**.
1. Donnez un nom à votre nouvel inventaire, entrez le nom du compartiment S3 de destination, et créez éventuellement un préfixe de destination pour Amazon S3 afin d’affecter des objets dans ce compartiment.
1. Pour **Output format (Format de sortie)**, choisissez **CSV**.
1. (Facultatif) Dans la section **Champs supplémentaires - *facultatif***, choisissez **Chiffrement** et les autres champs de rapport qui vous intéressent. Définissez la fréquence de livraison des rapports sur **Daily (Quotidienne)** afin que le premier rapport soit livré à votre compartiment plus tôt.
1. Choisissez **Create (Créer)** pour enregistrer votre configuration.
Amazon S3 peut prendre jusqu’à 48 heures pour livrer le premier rapport. Guettez donc l’arrivée de votre premier rapport. Après avoir reçu votre premier rapport, passez à la section suivante pour filtrer le contenu de votre rapport S3 Inventory. Si vous ne souhaitez plus recevoir de rapports d’inventaire pour ce compartiment, supprimez votre configuration S3 Inventory. Autrement, S3 continue de livrer les rapports à une fréquence quotidienne ou hebdomadaire.
Une liste d'inventaire n'est pas une point-in-time vue unique de tous les objets. Une liste d’inventaire est un instantané évolutif des éléments d’un compartiment, qui sont finalement cohérents (par exemple, il se peut que la liste n’inclue pas certains objets récemment ajoutés ou supprimés). La combinaison de S3 Inventory et de S3 Batch Operations fonctionne de façon optimale lorsque vous travaillez avec des objets statiques, ou avec un ensemble d’objets que vous avez créé au moins deux jours auparavant. Pour travailler avec des données plus récentes, utilisez l’opération d’API [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) (compartiment `GET`) pour établir manuellement votre liste d’objets. Si nécessaire, répétez le processus pendant quelques jours ou jusqu’à ce que le rapport d’inventaire affiche le statut souhaité pour tous les objets.
## Étape 2 : filtrer votre liste d’objets avec S3 Select
Après avoir reçu votre rapport S3 Inventory, vous pouvez filtrer son contenu pour répertorier uniquement les objets qui ne sont pas chiffrés avec des clés de compartiment S3 activées. Si vous voulez que tous les objets de votre compartiment soient chiffrés avec des clés de compartiment S3, vous pouvez ignorer cette étape. Toutefois, le filtrage du rapport S3 Inventory à ce stade vous permet d’économiser du temps et de l’argent en lien avec le re-chiffrement des objets que vous avez chiffrés précédemment avec les clés de compartiment S3 activées.
Bien que les étapes suivantes montrent comment filtrer le rapport à l’aide d’[Amazon S3 Select](https://aws.amazon.com/blogs/aws/s3-glacier-select/), vous pouvez également utiliser [Amazon Athena](https://aws.amazon.com/athena). Pour décider de l’outil à utiliser, consultez le fichier `manifest.json` de votre rapport S3 Inventory. Ce fichier répertorie le nombre de fichiers de données associés à ce rapport. Si ce nombre est conséquent, utilisez le service Amazon Athena, car il s’exécute sur plusieurs objets S3, tandis que S3 Select opère sur un objet à la fois. Pour plus d'informations sur l'utilisation conjointe d'Amazon S3 et Athena, consultez [Interrogation d’Amazon S3 Inventory avec Amazon Athena](storage-inventory-athena-query.md) « Utilisation d'Athena » dans le billet de blog sur le AWS stockage [Encrypting objects with Amazon S3](https://aws.amazon.com/blogs/storage/encrypting-objects-with-amazon-s3-batch-operations) Batch Operations.
**Pour filtrer votre rapport S3 Inventory avec S3 Select**
1. Ouvrez le fichier `manifest.json` à partir de votre rapport d’inventaire et consultez la section `fileSchema` du fichier JSON. Celle-ci informe la requête que vous exécutez sur les données.
Le JSON suivant est un exemple de fichier `manifest.json` pour un inventaire au format CSV dans un compartiment pour lequel la gestion des versions est activée. L’aspect de votre manifeste peut varier selon la façon dont vous avez configuré votre rapport d’inventaire.
```
{
"sourceBucket": "batchoperationsdemo",
"destinationBucket": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
"version": "2021-05-22",
"creationTimestamp": "1558656000000",
"fileFormat": "CSV",
"fileSchema": "Bucket, Key, VersionId, IsLatest, IsDeleteMarker, BucketKeyStatus",
"files": [
{
"key": "demoinv/batchoperationsdemo/DemoInventory/data/009a40e4-f053-4c16-8c75-6100f8892202.csv.gz",
"size": 72691,
"MD5checksum": "c24c831717a099f0ebe4a9d1c5d3935c"
}
]
}
```
Si la gestion des versions n’est pas activée sur le compartiment, ou si vous choisissez d’exécuter le rapport pour les dernières versions, le `fileSchema` est `Bucket`, `Key` et `BucketKeyStatus`.
Si la gestion des versions *est* activée, selon la façon dont vous avez configuré le rapport d’inventaire, le `fileSchema` peut inclure les éléments suivants : `Bucket`, `Key`, `VersionId`, `IsLatest`, `IsDeleteMarker` et `BucketKeyStatus`. Soyez donc attentif aux colonnes 1, 2, 3 et 6 lorsque vous exécutez votre requête.
Les opérations par lot S3 ont besoin du compartiment, de la clé et de l’ID de version entrés pour effectuer la tâche, en plus du champ sur lequel effectuer la recherche, qui est `BucketKeyStatus`. Vous n’avez pas besoin du champ `VersionID`, mais il est utile de spécifier `VersionID`lorsque vous opérez sur un compartiment pour lequel la gestion des versions est activée. Pour de plus amples informations, veuillez consulter [Utiliser des objets dans un compartiment activé pour la gestion des versions](manage-objects-versioned-bucket.md).
1. Recherchez les fichiers de données pour le rapport d’inventaire. L’objet `manifest.json` répertorie les fichiers de données sous **files**.
1. Après avoir localisé et sélectionné le fichier de données dans la console S3, choisissez **Actions**, puis **Query with S3 Select (Requête avec S3 Select)**.
1. Conservez la sélection des champs prédéfinis **CSV**,**Comma**, et **GZIP**, puis choisissez **Next (Suivant)**.
1. Pour réviser le format de votre rapport d’inventaire avant de poursuivre, choisissez **Afficher l’aperçu du fichier**.
1. Saisissez les colonnes à référencer dans la zone d’expression SQL, puis sélectionnez **Run SQL** (Exécuter SQL). L’expression suivante renvoie les colonnes 1 à 3 pour tous les objets sans clé de compartiment S3 configurée.
`select s._1, s._2, s._3 from s3object s where s._6 = 'DISABLED'`
Voici quelques exemples de résultats.
```
batchoperationsdemo,0100059%7Ethumb.jpg,lsrtIxksLu0R0ZkYPL.LhgD5caTYn6vu
batchoperationsdemo,0100074%7Ethumb.jpg,sd2M60g6Fdazoi6D5kNARIE7KzUibmHR
batchoperationsdemo,0100075%7Ethumb.jpg,TLYESLnl1mXD5c4BwiOIinqFrktddkoL
batchoperationsdemo,0200147%7Ethumb.jpg,amufzfMi_fEw0Rs99rxR_HrDFlE.l3Y0
batchoperationsdemo,0301420%7Ethumb.jpg,9qGU2SEscL.C.c_sK89trmXYIwooABSh
batchoperationsdemo,0401524%7Ethumb.jpg,ORnEWNuB1QhHrrYAGFsZhbyvEYJ3DUor
batchoperationsdemo,200907200065HQ%7Ethumb.jpg,d8LgvIVjbDR5mUVwW6pu9ahTfReyn5V4
batchoperationsdemo,200907200076HQ%7Ethumb.jpg,XUT25d7.gK40u_GmnupdaZg3BVx2jN40
batchoperationsdemo,201103190002HQ%7Ethumb.jpg,z.2sVRh0myqVi0BuIrngWlsRPQdb7qOS
```
1. Téléchargez les résultats, enregistrez-les au format CSV, et chargez-les sur Amazon S3 en tant que liste d’objets pour la tâche S3 Batch Operations.
1. Si vous avez plusieurs fichiers manifeste, exécutez une **Requête avec S3 Select** sur ceux-ci. En fonction de la taille des résultats, vous pouvez combiner les listes et exécuter un seule tâche S3 Batch Operations, ou exécuter chaque liste en tant que tâche distincte. Pour décider du nombre de tâches à exécuter, considérez le [tarif](https://aws.amazon.com/s3/pricing/) d’exécution de chaque tâche S3 Batch Operations.
## Étape 3 : configurer et exécuter votre tâche S3 Batch Operations
À présent que vos listes CSV d’objets S3 sont filtrées, vous pouvez commencer la tâche S3 Batch Operations pour chiffrer les objets avec les clés de compartiment S3 activées.
Une *tâche* fait référence collectivement à la liste (manifeste) d’objets fournis, à l’opération effectuée et aux paramètres spécifiés. La manière la plus simple de chiffrer cet ensemble d’objets avec les clés de compartiment S3 activées consiste à utiliser l’opération **Copier** en spécifiant le même préfixe de destination que celui des objets répertoriés dans le manifeste. Dans un compartiment sans gestion des versions, cette opération remplace les objets existants. Dans un compartiment pour lequel la gestion des versions est activée, cette opération crée une version chiffrée plus récente des objets.
Dans le cadre de la copie des objets, spécifiez qu’Amazon S3 doit chiffrer les objets avec le chiffrement SSE-KMS. Cette tâche copie les objets. À la fin, tous vos objets présenteront donc une date de création mise à jour, quelle que soit la date à laquelle vous les avez initialement ajoutés à Amazon S3. Dans le cadre de la tâche S3 Batch Operations, spécifiez également les autres propriétés de votre ensemble d’objets, y compris les étiquettes d’objet et la classe de stockage.
**Topics**
+ [Configurer votre politique IAM](#bucket-key-ex-set-up-iam-policy)
+ [Configurer votre rôle IAM d’opérations par lot](#bucket-key-ex-set-up-iam-role)
+ [Activation des clés de compartiment S3 pour un compartiment existant](#bucket-key-ex-enable-s3-bucket-key-on-a-bucket)
+ [Créer votre tâche Batch Operations](#bucket-key-ex-create-job)
+ [Exécuter votre tâche d’opérations par lot](#bucket-key-ex-run-job)
### Configurer votre politique IAM
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation de gauche, choisissez **Politique**, puis **Créer une politique**.
1. Choisissez l’onglet **JSON**. Choisissez **Modifier la stratégie**, puis ajoutez l’exemple de politique IAM qui apparaît dans le bloc de code suivant.
Après avoir copié l’exemple de politique dans votre [console IAM](https://console.aws.amazon.com/iam/), effectuez les remplacements suivants :
1. Remplacez `amzn-s3-demo-source-bucket` par le nom du compartiment source à partir duquel copier les objets.
1. Remplacez `amzn-s3-demo-destination-bucket` par le nom du compartiment de destination dans lequel copier les objets.
1. Remplacez `amzn-s3-demo-manifest-bucket/manifest-key` par le nom de votre objet manifeste.
1. Remplacez `amzn-s3-demo-completion-report-bucket` par le nom du compartiment dans lequel vous voulez enregistrer les rapports de fin de tâche.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CopyObjectsToEncrypt",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectTagging",
"s3:PutObjectAcl",
"s3:PutObjectVersionTagging",
"s3:PutObjectVersionAcl",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionAcl",
"s3:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-source-bucket/*",
"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
]
},
{
"Sid": "ReadManifest",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-manifest-bucket/manifest-key"
},
{
"Sid": "WriteReport",
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-completion-report-bucket/*"
}
]
}
```
------
1. Choisissez **Next: Tags (Suivant : Étiquettes)**.
1. Ajoutez les étiquettes de votre choix (facultatif), puis choisissez **Next: Review (Suivant : Vérification)**.
1. Ajoutez un nom de stratégie et, éventuellement, une description, puis choisissez **Create policy (Créer une stratégie)**.
1. Choisissez **Review policy (Examiner une stratégie)**, puis **Save changes (Enregistrer les modifications)**.
1. Une fois votre stratégie S3 Batch Operations prête, la console vous renvoie à l’IAM **Policies (Stratégies)**. Filtrez le nom de stratégie, choisissez le bouton situé à gauche du nom de stratégie, choisissez **Policy actions (Actions de stratégie)**, puis **Attach (Attacher)**.
Pour attacher la stratégie nouvellement créée à un rôle IAM, sélectionnez les utilisateurs, groupes ou rôles appropriés dans votre compte, puis choisissez **Attach Policy (Attacher une stratégie)**. Cela a pour effet de vous ramener à la console IAM.
### Configurer votre rôle IAM d’opérations par lot
1. Dans le volet de navigation de la [console IAM](https://console.aws.amazon.com/iam/), choisissez **Rôles**, puis **Créer un rôle**.
1. Sélectionnez **Service AWS**, **S3** et **Opérations par lots S3**. Choisissez ensuite **Next: Permissions (Suivant : Autorisations)**.
1. Commencer à entrer le nom de la **politique IAM** que vous venez de créer. Activez la case à cocher en regard du nom de stratégie quand il s’affiche, puis choisissez **Next: Tags (Suivant : Étiquettes)**.
1. (Facultatif) Ajoutez des étiquettes ou gardez les champs de clé et de valeur vides pour cet exercice. Choisissez **Next: Review (Suivant : Vérification)**.
1. Entrez un nom de rôle, puis acceptez la description par défaut ou ajoutez la vôtre. Sélectionnez **Create role (Créer un rôle)**.
1. Assurez-vous que l’utilisateur qui crée la tâche dispose des autorisations décrites dans l’exemple suivant.
Remplacez `account-id` par l’ID de votre Compte AWS , et `IAM-role-name` par le nom que vous envisagez d’appliquer au rôle IAM que vous allez créer ultérieurement à l’étape de création de tâche d’opérations par lot. Pour de plus amples informations, veuillez consulter [Octroi d’autorisations pour Batch Operations](batch-ops-iam-role-policies.md).
```
{
"Sid": "AddIamPermissions",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::account-id:role/IAM-role-name"
}
```
### Activation des clés de compartiment S3 pour un compartiment existant
1. Ouvrez la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans la liste **Compartiments**, choisissez le compartiment pour lequel vous souhaitez activer une clé de compartiment S3.
1. Choisissez **Propriétés**.
1. Sous **Default encryption (Chiffrement par défaut)**, choisissez **Edit (Modifier)**.
1. Sous **Type de chiffrement**, vous avez le choix entre **Clés gérées par Amazon S3 (SSE-S3)** et **CléAWS Key Management Service (SSE-KMS)**.
1. Si vous avez choisi **AWS Key Management Service clé (SSE-KMS)**, sous **AWS KMS key**, vous pouvez spécifier la AWS KMS clé à l'aide de l'une des options suivantes.
+ Pour choisir parmi la liste des clés KMS disponibles, sélectionnez **Choisir parmi vos clés AWS KMS **. Dans la liste des clés disponibles, choisissez une clé KMS symétrique de chiffrement dans la même région que votre compartiment. La clé AWS gérée (`aws/s3`) et les clés gérées par votre client apparaissent toutes deux dans la liste.
+ Pour saisir l'ARN de la clé KMS, choisissez **Enter AWS KMS key ARN**, puis entrez l'ARN de votre clé KMS dans le champ qui apparaît.
+ Pour créer une nouvelle clé gérée par le client dans la AWS KMS console, choisissez **Create a KMS key**.
1. Sous **Clé de compartiment**, choisissez **Activer**, puis **Enregistrer les modifications**.
À présent qu’une clé de compartiment S3 est activée au niveau du compartiment, les objets chargés, modifiés ou copiés dans ce compartiment héritent de cette configuration de chiffrement par défaut. Cela inclut les objets copiés à l’aide d’Amazon S3 Batch Operations.
### Créer votre tâche Batch Operations
1. Ouvrez la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans le volet de navigation, choisissez **Opérations par lot**, puis **Créer une tâche**.
1. Choisissez la **Région** dans laquelle vous stockez vos objets, puis choisissez **CSV** comme type de manifeste.
1. Saisissez le chemin d’accès ou accédez au fichier manifeste CSV que vous avez créé précédemment à partir des résultats de S3 Select (ou d’Athena). Si votre manifeste contient une version IDs, cochez cette case. Choisissez **Suivant**.
1. Choisissez l’opération **Copy (Copier)**, le compartiment de destination de la copie. Vous pouvez maintenir le chiffrement côté serveur désactivé. Tant que les clés de compartiment S3 sont activées pour la destination du compartiment, l’opération de copie applique ces clés à ce compartiment.
1. (Facultatif) Choisissez une classe de stockage et les autres paramètres souhaités. Les paramètres que vous spécifiez dans cette étape s’appliquent à toutes les opérations effectuées sur les objets répertoriés dans le manifeste. Choisissez **Suivant**.
1. Pour configurer le chiffrement côté serveur, procédez comme suit :
1. Sous **Chiffrement côté serveur**, choisissez l’une des options suivantes :
+ Pour conserver les paramètres du compartiment pour le chiffrement côté serveur par défaut des objets lors de leur stockage dans Amazon S3, choisissez **Ne pas spécifier de clé de chiffrement**. Tant que les clés de compartiment S3 sont activées pour la destination du compartiment, l’opération de copie applique une clé de compartiment S3 au compartiment de destination.
**Note**
Si la politique de compartiment pour la destination spécifiée exige que les objets soient chiffrés avant de les stocker dans Amazon S3, vous devez spécifier une clé de chiffrement. Sinon, la copie des objets vers la destination échouera.
+ Pour chiffrer des objets avant de les stocker dans Amazon S3, choisissez **Spécifier une clé de chiffrement**.
1. Dans **Paramètres de chiffrement**, si vous choisissez **Spécifier une clé de chiffrement**, vous devez choisir **Utiliser les paramètres du compartiment de destination pour le chiffrement par défaut** ou **Ignorer les paramètres du compartiment de destination pour le chiffrement par défaut**.
1. Si vous choisissez **Ignorer les paramètres du compartiment de destination pour le chiffrement par défaut**, vous devez configurer les paramètres de chiffrement suivants.
1. Sous **Type de chiffrement**, vous devez choisir **Clés gérées par Amazon S3 (SSE-S3)** ou **CléAWS Key Management Service (SSE-KMS)**. SSE-S3 utilise l’un des chiffrements par bloc les plus puissants qui existent, Advanced Encryption Standard à 256 bits (AES-256) pour chiffrer chaque objet. SSE-KMS vous permet de mieux contrôler votre clé. Pour plus d’informations, consultez [Utilisation du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3)](UsingServerSideEncryption.md) et [Utilisation du chiffrement côté serveur à l'aide de AWS KMS clés (SSE-KMS)](UsingKMSEncryption.md).
1. Si vous choisissez **CléAWS Key Management Service (SSE-KMS)**, sous **AWS KMS key**, vous pouvez spécifier votre AWS KMS key via l’une des options suivantes.
+ Pour choisir parmi la liste des clés KMS disponibles, **choisissez Choose from your AWS KMS keys**, puis choisissez une clé KMS de chiffrement symétrique dans la même région que votre bucket. La clé AWS gérée (`aws/s3`) et les clés gérées par votre client apparaissent toutes deux dans la liste.
+ Pour saisir l'ARN de la clé KMS, choisissez **Enter AWS KMS key ARN**, puis saisissez l'ARN de votre clé KMS dans le champ qui apparaît.
+ Pour créer une nouvelle clé gérée par le client dans la AWS KMS console, choisissez **Create a KMS key**.
1. Sous **Clé de compartiment**, choisissez **Activer**. L’opération de copie applique une clé de compartiment S3 au compartiment de destination.
1. Saisissez une description pour votre tâche (ou conservez la description par défaut), définissez son niveau de priorité, choisissez un type de rapport, puis spécifiez le **Path to completion report destination (Chemin d’accès de la destination du rapport de fin de tâche)**.
1. Dans la section **Permissions (Autorisations)**, veillez à choisir le rôle IAM Batch Operations que vous avez défini précédemment. Choisissez **Suivant**.
1. Sous **Review (Vérification)**, vérifiez les paramètres. Si vous voulez apporter des modifications, choisissez **Previous (Précédent)**. Après avoir confirmé les paramètres d’opérations par lot, choisissez **Create job (Créer une tâche)**.
Pour de plus amples informations, veuillez consulter [Création d’une tâche d’opérations par lot S3](batch-ops-create-job.md).
### Exécuter votre tâche d’opérations par lot
L’assistant de configuration vous renvoie automatiquement à la section Opérations par lot S3 de la console Amazon S3. Votre nouvelle tâche passe de l’état **New (Nouvelle)** à l’état **Preparing (Préparation)** quand S3 commence le processus. Pendant la phase de préparation, S3 lit le manifeste de la tâche, vérifie s’il contient des erreurs, et calcule le nombre d’objets.
1. Choisissez le bouton d’actualisation dans la console Amazon S3 pour vérifier la progression. Selon la taille du manifeste, la lecture peut prendre des minutes ou des heures.
1. Quand S3 finit de lire le manifeste de la tâche, la tâche passe à l’état **Awaiting your confirmation (En attente de confirmation)**. Cliquez sur le bouton d’option à gauche de l’ID de tâche, puis choisissez **Run job (Exécuter la tâche)**.
1. Vérifiez les paramètres de la tâche, puis, dans le coin inférieur droit choisissez **Run job (Exécuter la tâche)**.
Lorsque la tâche commence à s’exécuter, vous pouvez choisir le bouton d’actualisation pour vérifier sa progression dans l’affichage du tableau de bord de la console ou en sélectionnant la tâche.
1. Une fois la tâche est terminée, vous pouvez afficher le nombre d’objets **Succès** et **Échec** pour confirmer que tout a été effectué comme prévu. Si vous avez activé les rapports de tâche, vérifiez dans votre rapport de tâche la cause exacte de toute opération ayant échoué.
Vous pouvez également effectuer ces étapes à l'aide de l'API REST AWS CLI AWS SDKs, ou Amazon S3. Pour plus d’informations sur le suivi de l’état des tâches et les rapports d’achèvement, consultez [Suivi de l’état de la tâche et des rapports d’achèvement](batch-ops-job-status.md).
Pour des exemples illustrant l'opération de copie avec des balises utilisant le AWS CLI et AWS SDK pour Java, voir[Création d’une tâche d’opérations par lot avec des étiquettes de tâche utilisées pour l’étiquetage](batch-ops-tags-create.md).