View a markdown version of this page

Activation ou désactivation des tables d'annotations - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activation ou désactivation des tables d'annotations

Par défaut, la configuration de votre table de métadonnées contient une table de journal, qui enregistre les événements qui affectent les objets de votre compartiment. La table de journal est requise pour chaque configuration de table de métadonnées.

Vous pouvez éventuellement ajouter une table d'annotations à la configuration de votre table de métadonnées. La table d'annotations suit toutes les annotations sur les objets de votre compartiment afin que vous puissiez interroger les données d'annotation à grande échelle.

Le tableau d'annotations contient les dernières annotations pour tous les objets de votre compartiment. Vous pouvez utiliser ce tableau pour simplifier et accélérer les flux de travail métier et les tâches liées au Big Data en identifiant les objets en fonction de leurs annotations. Par exemple, vous pouvez interroger la table d'annotations pour effectuer les opérations suivantes :

  • Trouvez tous les objets dotés d'une clé ou d'une valeur d'annotation spécifique.

  • Créez une distribution des clés d'annotation entre les objets de votre compartiment.

  • Trouvez tous les objets auxquels des annotations ont été appliquées par un principal spécifique.

Si vous avez choisi d'activer une table d'annotations pour la configuration de votre table de métadonnées, la table est soumise à un processus appelé backfilling, au cours duquel Amazon S3 analyse votre compartiment à usage général pour récupérer et renseigner les annotations de tous les objets présents dans le compartiment. Selon le nombre d'objets contenus dans votre compartiment, ce processus peut prendre de quelques minutes à quelques heures. Lorsque le processus de remblayage est terminé, le statut de votre table d'annotations passe de Remblayage à Actif. Une fois le remblayage terminé, les mises à jour apportées à vos objets sont généralement reflétées dans le tableau d'annotations en moins d'une heure.

Note
  • Le remplissage de votre tableau d'annotations vous est facturé. Pour plus d’informations, consultez Tarification Amazon S3.

  • Vous ne pouvez pas suspendre les mises à jour de votre table d'annotations puis les reprendre. Vous pouvez toutefois désactiver la configuration de la table d'annotations. La désactivation de la table d'annotations ne la supprime pas. La table d'annotations est conservée pour vos enregistrements jusqu'à ce que vous décidiez de la supprimer.

    Si vous avez désactivé votre table d'annotations et souhaitez la réactiver ultérieurement, vous devez d'abord supprimer l'ancienne table d'annotations de votre bucket de tables AWS géré. Lorsque vous réactivez la configuration de la table d'annotations, Amazon S3 crée une nouvelle table d'annotations et vous êtes à nouveau débité pour le remplissage de la nouvelle table d'annotations.

Vous pouvez activer ou désactiver les tables d'annotations à l'aide de la console Amazon S3, du AWS Command Line Interface (AWS CLI), AWS des SDK ou de l'API REST Amazon S3.

Conditions préalables

Si vous avez désactivé votre table d'annotations et que vous souhaitez la réactiver, vous devez d'abord supprimer manuellement l'ancienne table d'annotations de votre bucket de tables AWS géré. Dans le cas contraire, la réactivation de la table d'annotations échoue car une table d'annotations existe déjà dans le compartiment de table. Pour supprimer votre table d'annotations, consultezSuppression d’une table de métadonnées.

Lorsque vous réactivez la configuration de la table d'annotations, Amazon S3 crée une nouvelle table d'annotations et vous êtes à nouveau débité pour le remplissage de la nouvelle table d'annotations.

Rôle IAM de la table d'annotations

La table d'annotations nécessite un rôle IAM qui accorde à Amazon S3 Metadata l'autorisation de lire les annotations de votre compartiment. Utilisez les politiques de confiance et d'autorisation suivantes lorsque vous créez ce rôle.

Politique d’approbation

La politique de confiance suivante identifie Amazon S3 Metadata comme le principal de service habilité à assumer ce rôle.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "metadata.s3.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:s3:::amzn-s3-demo-bucket" } } } ] }
Politique d’autorisations

La politique d'autorisation suivante accorde au rôle IAM les autorisations minimales requises pour lire les annotations.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "PermissionForGetAnnotation", "Effect": "Allow", "Action": [ "s3:GetObjectAnnotation", "s3:GetObjectVersionAnnotation" ], "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"] }, { "Sid": "PermissionsForListBucket", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListBucketVersions" ], "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket"] }, { "Sid": "PermissionsForDecryptAnnotation", "Effect": "Allow", "Action": ["kms:Decrypt"], "Resource": ["*"] } ] }

Si vos objets utilisent le SSE-KMS chiffrement, l'kms:Decryptautorisation couvre le déchiffrement de la AWS KMS clé utilisée pour chiffrer les objets. Vous devez également disposer d'une iam:PassRole autorisation pour attribuer le rôle à la configuration de la table d'annotations.

Activer ou désactiver les tables d'annotations

Pour activer ou désactiver les tables d'annotations
  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation de gauche, choisissez Compartiments à usage général.

  3. Choisissez le compartiment à usage général avec la configuration de table de métadonnées pour laquelle vous souhaitez activer ou désactiver une table d'annotations.

  4. Sur la page de détails du compartiment, sélectionnez l’onglet Métadonnées.

  5. Dans l'onglet Métadonnées, choisissez Modifier, puis Modifier la configuration de la table d'annotations.

  6. Sur la page de configuration Modifier la table d'annotations, choisissez Activé ou Désactivé sous Table d'annotations.

    Note

    Avant de choisir Activée, veillez à consulter et remplir les prérequis.

    • Si vous avez sélectionné Activé, sous Rôle IAM, choisissez l'une des méthodes de sélection des rôles IAM suivantes :

      • Créer un nouveau rôle IAM — Amazon S3 crée un nouveau rôle IAM avec les autorisations requises pour la table d'annotations.

      • Choisissez parmi les rôles IAM existants : sélectionnez un rôle IAM existant dans la liste déroulante des rôles IAM. Le rôle doit disposer des autorisations requises pour lire les annotations de votre compartiment.

      • Entrez l'ARN du rôle IAM : entrez l'ARN d'un rôle IAM existant disposant des autorisations requises.

      Pour plus d'informations sur les autorisations requises pour le rôle IAM de la table d'annotations, consultez la section Rôle IAM de la table d'annotations.

      Vous pouvez également choisir de chiffrer votre table avec un chiffrement côté serveur à l'aide de AWS Key Management Service (AWS KMS) keys (). SSE-KMS Par défaut, les tables d'annotations sont chiffrées par chiffrement côté serveur à l'aide des clés gérées par Amazon S3 ()SSE-S3.

      Si vous choisissez de l'utiliser SSE-KMS, vous devez fournir une clé KMS gérée par le client dans la même région que votre bucket à usage général.

      Important

      Vous pouvez définir le type de chiffrement de vos tables de métadonnées uniquement lors de leur création. Une fois qu'une table AWS gérée est créée, vous ne pouvez pas modifier ses paramètres de chiffrement.

      • Pour chiffrer votre table d'annotations avec SSE-S3 (valeur par défaut), choisissez Ne pas spécifier le type de chiffrement.

      • Pour chiffrer votre table d'annotations SSE-KMS, choisissez Spécifier le type de cryptage. Sous Type de chiffrement, choisissez Server-side le chiffrement à l'aide AWS Key Management Service de clés (SSE-KMS) ().AWS KMS Sous CléAWS KMS , choisissez une clé KMS parmi celles existantes ou saisissez l’ARN de votre clé KMS. Si vous ne possédez pas encore de clé KMS, choisissez Saisir l’ARN de la clé KMS, puis Créer une clé KMS.

    • Si vous avez choisi Désactivé, sous Une fois la table d'annotations désactivée, la table ne sera plus mise à jour et les mises à jour ne pourront pas être reprises, cochez la case.

  7. Sélectionnez Enregistrer les modifications.

Pour exécuter les commandes suivantes, vous devez les avoir AWS CLI installées et configurées. Si ce n'est pas le cas AWS CLI , consultez la section Installer ou mettre à jour vers la dernière version du AWS CLI Guide de l'AWS Command Line Interface utilisateur.

Vous pouvez également exécuter des AWS CLI commandes depuis la console en utilisant AWS CloudShell. AWS CloudShell est un shell pré-authentifié basé sur un navigateur que vous pouvez lancer directement depuis le. AWS Management Console Pour plus d'informations, voir Qu'est-ce que c'est CloudShell ? et Mise en route AWS CloudShell dans le guide de AWS CloudShell l'utilisateur.

Pour activer ou désactiver les tables d'annotations à l'aide du AWS CLI

Pour utiliser les exemples de commandes suivants, remplacez les user input placeholders par vos propres informations.

Note

Avant d'activer une configuration d'annotation, assurez-vous d'avoir passé en revue et de respecter les conditions préalables.

  1. Créez un fichier JSON contenant la configuration de votre table d'annotations et enregistrez-le (par exemple,annotation-config.json). Voici un exemple de configuration permettant d'activer une nouvelle table d'annotations.

    Si vous activez une table d'annotations, vous pouvez éventuellement spécifier une configuration de chiffrement. Par défaut, les tables de métadonnées sont chiffrées par chiffrement côté serveur à l'aide des clés gérées Amazon S3 (SSE-S3), que vous pouvez spécifier en SseAlgorithm configurant sur. AES256

    Pour chiffrer votre table d'annotations avec un chiffrement côté serveur à l'aide de clés AWS Key Management Service (AWS KMS) (SSE-KMS), définissez sur. SseAlgorithm aws:kms Vous devez également définir KmsKeyArn sur l’ARN d’une clé KMS gérée par le client dans la même région que celle où se trouve votre compartiment à usage général.

    { "ConfigurationState": "ENABLED", "Role": "arn:aws:iam::account-id:role/annotation-table-role", "EncryptionConfiguration": { "SseAlgorithm": "aws:kms", "KmsKeyArn": "arn:aws:kms:us-east-2:account-id:key/key-id" } }

    Ce Role champ est obligatoire lorsque vous activez une table d'annotations pour la première fois ou lorsque vous modifiez le rôle IAM. Le rôle doit autoriser Amazon S3 Metadata à lire les annotations de votre compartiment. Pour plus d'informations, consultez la section Rôle IAM de la table d'annotations.

    Si vous souhaitez désactiver une table d'annotations existante, utilisez la configuration suivante :

    { "ConfigurationState": "DISABLED" }
  2. Utilisez la commande suivante pour mettre à jour la configuration de la table d'annotations pour votre bucket à usage général (par exemple,amzn-s3-demo-bucket) :

    aws s3api update-bucket-metadata-annotation-table-configuration \ --bucket amzn-s3-demo-bucket \ --annotation-table-configuration file://./annotation-config.json \ --region us-east-2

Vous pouvez envoyer des requêtes REST pour activer ou désactiver les tables d'annotations. Pour de plus amples informations, veuillez consulter UpdateBucketMetadataAnnotationTableConfiguration.

Vous pouvez utiliser les AWS kits SDK pour activer ou désactiver les tables d'annotations dans Amazon S3. Pour plus d’informations, consultez la liste des kits SDK pris en charge.