Configuration de l’inventaire Amazon S3 - Amazon Simple Storage Service
Configuration d’Amazon S3 InventoryStratégie du compartiment de destinationOctroi à Amazon S3 d’utiliser votre clé gérée par le client pour le chiffrementConfiguration de l’inventaire à l’aide de la console S3Utilisation de l’API REST pour travailler avec l’inventaire S3

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de l’inventaire Amazon S3

L’inventaire Amazon S3 fournit une liste de fichiers plats de vos objets et métadonnées, selon un calendrier que vous définissez. Vous pouvez utiliser S3 Inventory comme une autre solution planifiée de l’opération d’API List synchrone d’Amazon S3. S3 Inventory fournit des fichiers de sortie au format CSV (valeurs séparées par une virgule), ORC (Apache Optimized Row Columnar) ou Apache Parquet (Parquet) qui répertorient vos objets et leurs métadonnées correspondantes.

Vous pouvez configurer S3 Inventory afin de créer des listes d’inventaire de façon quotidienne ou hebdomadaire pour un compartiment S3 ou pour des objets qui partagent un préfixe (c’est-à-dire des objets dont le nom commence avec la même chaîne). Pour de plus amples informations, veuillez consulter Catalogage et analyse de vos données avec l’inventaire S3.

Cette section explique comment configurer un inventaire, avec notamment des détails sur les compartiments source et de destination.

Présentation

Amazon S3 Inventory vous aide à gérer votre stockage en créant des listes d’objets dans un compartiment S3 selon une planification définie. Vous pouvez configurer plusieurs listes d’inventaire d’un compartiment. Les listes d’inventaire sont publiées dans des fichiers CSV, ORC, ou Parquet au sein d’un compartiment de destination.

Le moyen le plus simple de configurer un inventaire est d'utiliser la console Amazon S3, mais vous pouvez également utiliser l'API REST Amazon S3, AWS Command Line Interface (AWS CLI) ou AWS SDKs. La console effectue la première étape de la procédure suivante pour vous : ajouter une politique de compartiment au compartiment de destination.

Pour configure Amazon S3 Inventory pour un compartiment S3

  1. Ajoutez une politique de compartiment pour le compartiment de destination.

    Vous devez créer une politique de compartiment au niveau du compartiment de destination pour accorder à Amazon S3 l’autorisation d’écrire des objets dans le compartiment à l’emplacement défini. Pour un exemple de politique, consultez Accorder des autorisations pour l’inventaire S3 et les analyses S3..

  2. Configurez un inventaire pour répertorier les objets dans un compartiment source et publier la liste dans un compartiment de destination.

    Lorsque vous configurez une liste d’inventaire pour un compartiment source, vous spécifiez le compartiment de destination dans lequel vous voulez stocker la liste et la fréquence de génération de la liste (quotidienne ou hebdomadaire). Vous pouvez également choisir de répertorier toutes les versions d’objet ou uniquement les versions actuelles, ainsi que les métadonnées à inclure.

    Certains champs de métadonnées d’objet dans les configurations des rapports d’inventaire S3 sont facultatifs. En d’autres termes, ils sont disponibles par défaut, mais ils peuvent être restreints lorsque vous accordez l’autorisation s3:PutInventoryConfiguration à un utilisateur. Vous pouvez contrôler si les utilisateurs peuvent inclure ces champs de métadonnées facultatifs dans leurs rapports à l’aide de la clé de condition s3:InventoryAccessibleOptionalFields.

    Pour plus d’informations sur les champs de métadonnées facultatifs disponibles dans l’inventaire S3, consultez OptionalFields dans la Référence d’API Amazon Simple Storage Service. Pour plus d’informations sur la restriction de l’accès à certains champs de métadonnées facultatifs dans une configuration d’inventaire, consultez Création de la configuration des rapports d’inventaire S3.

    Vous pouvez spécifier que le fichier de liste d'inventaire doit être chiffré en utilisant le chiffrement côté serveur avec une clé gérée Amazon S3 (SSE-S3) ou une clé gérée par le client AWS Key Management Service (SSE-KMS AWS KMS).

    Note

    Le Clé gérée par AWS (aws/s3) n'est pas pris en charge pour le chiffrement SSE-KMS avec S3 Inventory.

    Pour en savoir plus sur SSE-S3 et SSE-KMS, consultez Protection des données avec le chiffrement côté serveur. Si vous prévoyez d’utiliser le chiffrement SSE-KMS, consultez l’étape 3.

  3. Pour chiffrer le fichier de liste d’inventaire avec SSE-KMS, autorisez Amazon S3 à utiliser la AWS KMS key.

    Vous pouvez configurer le chiffrement du fichier de liste d'inventaire à l'aide de la console Amazon S3, de l'API REST Amazon S3 ou AWS SDKs. AWS CLI Quelle que soit la méthode que vous choisissez, vous devez autoriser Amazon S3 à utiliser la clé gérée par le client pour chiffrer le fichier d’inventaire. Vous accordez l’autorisation à Amazon S3 en modifiant la politique de la clé gérée par le client que vous souhaitez utiliser pour chiffrer le fichier d’inventaire. Pour de plus amples informations, veuillez consulter Octroi à Amazon S3 d’utiliser votre clé gérée par le client pour le chiffrement.

    Le compartiment de destination qui stocke le fichier de liste d’inventaire peut appartenir à un autre  Compte AWS  que le compte propriétaire du compartiment source. Si vous utilisez le chiffrement SSE-KMS pour les opérations intercomptes de l’inventaire Amazon S3, lorsque vous configurez l’inventaire S3, nous vous recommandons d’utiliser un ARN de clé KMS complet. Pour plus d'informations, consultez Utilisation du chiffrement SSE-KMS pour les opérations intercomptes et ServerSideEncryptionByDefault dans la référence de l'API Amazon Simple Storage Service.

Création d’une politique de compartiment de destination

Si vous créez votre configuration d’inventaire via la console Amazon S3, Amazon S3 crée automatiquement une politique de compartiment sur le compartiment de destination qui accorde une autorisation d’écriture Amazon S3 au compartiment. Toutefois, si vous créez votre configuration d'inventaire par le biais de AWS CLI AWS SDKs, ou de l'API REST Amazon S3, vous devez ajouter manuellement une politique de compartiment sur le compartiment de destination. La politique de compartiment de destination de l’inventaire Amazon S3 autorise Amazon S3 à écrire des données pour les rapports d’inventaire dans ce compartiment.

Voici un exemple de politique de compartiment. 

{  
      "Version": "2012-10-17",
      "Statement": [
        {
            "Sid": "InventoryExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-DESTINATION-BUCKET/*"
            ],
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3:::DOC-EXAMPLE-SOURCE-BUCKET"
                },
                "StringEquals": {
                    "aws:SourceAccount": "source-account-id",
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

Pour de plus amples informations, veuillez consulter Accorder des autorisations pour l’inventaire S3 et les analyses S3..

Si une erreur se produit lorsque vous tentez de créer la politique de compartiment, des instructions s’affichent pour vous indiquer comment la résoudre. Par exemple, si vous choisissez un compartiment de destination dans un autre Compte AWS et que vous n'êtes pas autorisé à lire et à écrire dans la politique du compartiment, un message d'erreur s'affiche.

Dans ce cas, le propriétaire du compartiment de destination doit ajouter la politique de compartiment affichée au compartiment de destination. Si la politique n’est pas ajoutée au compartiment de destination, vous ne recevez pas de rapport d’inventaire, car Amazon S3 n’est pas autorisé à écrire dans le compartiment de destination. Si le compartiment source est détenu par un compte autre que celui de l’utilisateur actuel, l’ID de compte correct du propriétaire du compartiment source doit être remplacé dans la politique.

Note

Assurez-vous qu’aucune instruction Deny n’est ajoutée à la politique du compartiment de destination. Cela empêcherait la livraison des rapports d’inventaire dans ce compartiment. Pour plus d’informations, consultez Pourquoi ne puis-je pas générer un rapport d’inventaire Amazon S3 ?.

Octroi à Amazon S3 d’utiliser votre clé gérée par le client pour le chiffrement

Pour autoriser Amazon S3 à utiliser votre clé gérée par le client AWS Key Management Service (AWS KMS) pour le chiffrement côté serveur, vous devez utiliser une politique de clé. Pour mettre à jour votre stratégie de clé et pouvoir utiliser votre clé gérée par le client, suivez la procédure suivante.

Pour accorder les autorisations Amazon S3 pour le chiffrement à l’aide de votre clé gérée par le client

  1. À l'aide du Compte AWS propriétaire de la clé gérée par le client, connectez-vous au AWS Management Console.

  2. Ouvrez la AWS KMS console à l'adresse https://console.aws.amazon.com/kms.

  3. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  4. Dans le panneau de navigation de gauche, choisissez Clés gérées par le client.

  5. Sous Clés gérées par le client, choisissez la clé gérée par le client que vous souhaitez utiliser pour chiffrer vos fichiers d’inventaire.

  6. Dans la section Key policy (Politique de clé), sélectionnez Switch to policy view (Passer à la vue de politique).

  7. Pour mettre à jour la politique de clé, choisissez Modifier.

  8. Sous Modifier la stratégie de clé, ajoutez les lignes suivantes à la stratégie de clé existante. Pour source-account-id et amzn-s3-demo-source-bucket, fournissez les valeurs appropriées pour votre cas d’utilisation.

    {
    "Sid": "Allow Amazon S3 use of the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "s3.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition":{
      "StringEquals":{
         "aws:SourceAccount":"source-account-id"
     },
      "ArnLike":{
        "aws:SourceARN": "arn:aws:s3:::amzn-s3-demo-source-bucket"
     }
   }
}

  9. Sélectionnez Enregistrer les modifications.

Pour en savoir plus amples sur la création de clés gérées par le client et l’utilisation de politiques de clé, cliquez sur les liens suivants dans le guide du développeur AWS Key Management Service  :

Note

Assurez-vous qu’aucune instruction Deny n’est ajoutée à la politique du compartiment de destination. Cela empêcherait la livraison des rapports d’inventaire dans ce compartiment. Pour plus d’informations, consultez Pourquoi ne puis-je pas générer un rapport d’inventaire Amazon S3 ?.

Configuration de l’inventaire à l’aide de la console S3

Suivez ces instructions pour configurer l’inventaire à l’aide de la console S3.

Note

La distribution du premier rapport d'inventaire pour Amazon S3 peut prendre jusqu'à 48 heures.

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation de gauche, choisissez Compartiments à usage général.

  3. Dans la liste des compartiments, choisissez le nom du compartiment pour lequel vous souhaitez configurer Amazon S3 Inventory.

  4. Choisissez l'onglet Gestion.

  5. Sous Configurations d’inventaire, choisissez Créer une configuration d’inventaire.

  6. Dans Nom de la configuration d’inventaire, saisissez un nom.

  7. Pour Portée de l’inventaire, procédez comme suit :

    • Entrez un préfixe facultatif.

    • Choisissez les versions d’objet à inclure, soit Versions actuelles uniquement, soit Inclure toutes les versions.

  8. Sous Report details (Détails du rapport), choisissez l’emplacement du Compte AWS où vous souhaitez enregistrer les rapports : This account (Ce compte) ou A different account (Un compte différent).

  9. Sous Destination, choisissez le compartiment de destination dans lequel vous souhaitez que les rapports d’inventaire soient enregistrés.

    Le compartiment de destination doit se trouver dans le même compartiment Région AWS que celui pour lequel vous configurez l'inventaire. Le compartiment de destination peut se trouver dans un autre Compte AWS. Lorsque vous spécifiez le compartiment de destination, vous pouvez également inclure un préfixe facultatif pour regrouper vos rapports d’inventaire.

    Sous le champ de compartiment Destination vous voyez la déclaration Autorisation de compartiment de destination qui est ajoutée à la politique de compartiment de destination pour permettre à Amazon S3 de placer des données dans ce compartiment. Pour de plus amples informations, veuillez consulter Création d’une politique de compartiment de destination.

  10. Sous Fréquence, choisissez la fréquence à laquelle le rapport sera généré : Quotidien ou Hebdomadaire.

  11. Dans Format de sortie, choisissez l’un des formats suivants pour le rapport :

    • CSV : si vous prévoyez d’utiliser ce rapport d’inventaire avec S3 Batch Operations ou si vous souhaitez analyser ce rapport dans un autre outil, tel que Microsoft Excel, choisissez CSV.

    • Apache ORC

    • Apache Parquet

  12. Sous Status (Statut), choisissez Enable (Activer) ou Disable (Désactiver).

  13. Pour configurer le chiffrement côté serveur, sous Chiffrement des rapports d’inventaire, procédez comme suit :

    1. Sous Chiffrement côté serveur, choisissez Ne pas spécifier de clé de chiffrement ou Spécifier une clé de chiffrement pour chiffrer les données.

      • Pour conserver les paramètres du compartiment pour le chiffrement côté serveur par défaut des objets lors de leur stockage dans Amazon S3, choisissez Ne pas spécifier de clé de chiffrement. Tant que les clés de compartiment S3 sont activées pour la destination du compartiment, l’opération de copie applique une clé de compartiment S3 au compartiment de destination.

        Note

        Si la politique de compartiment pour la destination spécifiée exige que les objets soient chiffrés avant de les stocker dans Amazon S3, vous devez choisir Spécifier une clé de chiffrement. Sinon, la copie des objets vers la destination échouera.

      • Pour chiffrer des objets avant de les stocker dans Amazon S3, choisissez Spécifier une clé de chiffrement.

    2. Si vous avez choisi Spécifier une clé de chiffrement, sous Type de chiffrement, vous devez choisir Clé gérée par Amazon S3 (SSE-S3) ou CléAWS Key Management Service (SSE-KMS).

      SSE-S3 utilise l’un des chiffrements par bloc les plus puissants qui existent, Advanced Encryption Standard à 256 bits (AES-256) pour chiffrer chaque objet. SSE-KMS vous permet de mieux contrôler votre clé. Pour en savoir plus sur SSE-S3, consultez Utilisation du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3). Pour en savoir plus sur SSE-KMS, consultez Utilisation du chiffrement côté serveur à l'aide de AWS KMS clés (SSE-KMS).

      Note

      Pour chiffrer le fichier de liste d’inventaire avec SSE-KMS, vous devez autoriser Amazon S3 à utiliser la clé gérée par le client. Pour obtenir des instructions, consultez Octroyer à Amazon S3 l’autorisation d’utiliser vos clés KMS pour le chiffrement.

    3. Si vous avez choisi AWS Key Management Service clé (SSE-KMS), sous AWS KMS key, vous pouvez spécifier votre AWS KMS clé à l'aide de l'une des options suivantes.

      Note

      Si le compartiment de destination qui stocke le fichier de liste d'inventaire appartient à un autre Compte AWS utilisateur, assurez-vous d'utiliser un ARN de clé KMS complet pour spécifier votre clé KMS.

      • Pour choisir parmi une liste de clés KMS disponibles, choisissez Choisir parmi vos AWS KMS clés, puis choisissez une clé KMS de chiffrement symétrique dans la liste des clés disponibles. Vérifiez que la clé KMS se situe dans la même région que votre compartiment.

        Note

        La clé Clé gérée par AWS (aws/s3) et la clé gérée par votre client apparaissent toutes deux dans la liste. Cependant, le Clé gérée par AWS (aws/s3) n'est pas pris en charge pour le chiffrement SSE-KMS avec S3 Inventory.

      • Pour saisir l'ARN de la clé KMS, choisissez Enter AWS KMS key ARN, puis saisissez l'ARN de votre clé KMS dans le champ qui apparaît.

      • Pour créer une nouvelle clé gérée par le client dans la AWS KMS console, choisissez Create a KMS key.

  14. Pour Champs de métadonnées supplémentaires, sélectionnez un ou plusieurs des éléments suivants à ajouter au rapport d’inventaire :

    • Taille : la taille de l’objet en octets, à l’exclusion de la taille des chargements partitionnés incomplets, des métadonnées de l’objet et des marqueurs de suppression.

    • Date de la dernière modification – Date de création de l’objet ou date de la dernière modification, la plus récente étant retenue.

    • Multipart upload (Chargement partitionné) – Spécifie que l’objet a été chargé dans un chargement partitionné. Pour de plus amples informations, veuillez consulter Chargement et copie d’objets à l’aide du chargement partitionné dans Amazon S3.

    • Replication status (Statut de réplication) – Statut de réplication de l’objet. Pour de plus amples informations, veuillez consulter Obtention d’informations sur le statut de la réplication.

    • Statut de chiffrement : chiffrement côté serveur utilisé pour chiffrer l’objet. Pour de plus amples informations, veuillez consulter Protection des données avec le chiffrement côté serveur.

    • État de la clé du compartiment : indique si une clé au niveau du compartiment générée par AWS KMS s'applique à l'objet. Pour de plus amples informations, veuillez consulter Réduction du coût du SSE-KMS avec les clés de compartiment Amazon S3.

    • Liste de contrôle d'accès aux objets : liste de contrôle d'accès (ACL) pour chaque objet qui définit le Comptes AWS ou les groupes autorisés à accéder à cet objet et le type d'accès accordé. Pour plus d’informations sur ce champ, consultez Utiliser le champ Liste ACL d’objet. Pour plus d'informations sur ACLs, voirPrésentation de la liste de contrôle d’accès (ACL).

    • Propriétaire de l’objet : le propriétaire de l’objet.

    • Classe de stockage : classe de stockage utilisée pour stocker l'objet.

    • Niveau d’accès Intelligent-Tiering : niveau d’accès (fréquent ou peu fréquent) de l’objet si celui-ci est stocké dans la classe de stockage S3 Intelligent-Tiering. Pour de plus amples informations, veuillez consulter Classe de stockage pour l’optimisation automatique des données avec des modèles d’accès inconnus ou irréguliers.

    • ETag— La balise d'entité (ETag) est un hachage de l'objet. Le ETag reflète les modifications apportées uniquement au contenu d'un objet, et non à ses métadonnées. ETag Il peut s'agir ou non d'un MD5 résumé des données de l'objet. Cela dépend de la façon dont l’objet a été créé et de la manière dont il est chiffré. Pour plus d’informations, consultez Object dans la Référence d’API Amazon Simple Storage Service.

    • Algorithme de total de contrôle : algorithme utilisé pour créer le total de contrôle de l’objet. Pour de plus amples informations, veuillez consulter Utilisation des algorithmes de total de contrôle pris en charge.

    • Configurations du verrouillage de tous les objets : statut du verrouillage des objets, y compris les paramètres suivants :

      • Verrouillage d’objet : mode de rétention : niveau de protection appliqué à l’objet, Gouvernance ou Conformité.

      • Verrouillage d’objet : conserver jusqu’à la date : date jusqu’à laquelle l’objet verrouillé ne peut pas être supprimé.

      • Verrouillage d’objet : statut de la conservation légale : statut de la conservation légale de l’objet verrouillé.

      Pour de plus amples informations sur la fonctionnalité de verrouillage des objets S3, consultez Fonctionnement du verrouillage d’objets S3.

    Pour plus d’informations sur le contenu d’un rapport d’inventaire, consultez Liste d’inventaire Amazon S3.

    Pour plus d’informations sur la restriction de l’accès à certains champs de métadonnées facultatifs dans une configuration d’inventaire, consultez Création de la configuration des rapports d’inventaire S3.

  15. Choisissez Créer.

Utilisation de l’API REST pour travailler avec l’inventaire S3

Les opérations REST utilisées pour travailler avec l’inventaire Amazon S3 sont les suivantes.