Configuration de la réplication pour des compartiments dans des comptes distincts - Amazon Simple Storage Service

Configuration de la réplication pour des compartiments dans des comptes distincts

La réplication en direct correspond à la copie automatique et asynchrone d’objets entre des compartiments figurant dans la même région ou dans des Régions AWS différentes. La réplication en direct copie les objets nouvellement créés et les mises à jour d’objets à partir d’un compartiment source vers un ou plusieurs compartiments de destination. Pour plus d’informations, consultez Réplication d’objets au sein des régions et entre elles.

Lorsque vous configurez la réplication, vous ajoutez des règles de réplication au compartiment source. Les règles de réplication définissent les objets du compartiment source à répliquer, ainsi que le ou les compartiments de destination dans lesquels les objets répliqués seront stockés. Vous pouvez créer une règle pour répliquer tous les objets ou un sous-ensemble d’objets d’un compartiment à l’aide de préfixes de nom de clé ou d’autres balises d’objet, ou les deux. Un compartiment de destination peut se trouver dans le même Compte AWS que le compartiment source, mais il peut également se trouver dans un autre compte.

Si vous spécifiez un ID de version d’objet à supprimer, Amazon S3 supprime cette version de l’objet dans le compartiment source. Mais le service ne réplique pas la suppression dans le compartiment de destination. En d’autres termes, il ne supprime pas la même version de l’objet dans le compartiment de destination. Les données sont ainsi protégées contre les suppressions malveillantes.

Lorsque vous ajoutez une règle de réplication à un compartiment, celle-ci est activée par défaut et entre en fonctionnement dès que vous l’enregistrez.

La configuration de la réplication en direct quand les compartiments source et de destination appartiennent à des Comptes AWS différents est similaire à la configuration de la réplication quand les deux compartiments appartiennent au même compte. Toutefois, il existe plusieurs différences lorsque vous configurez la réplication dans un scénario intercompte :

  • Le propriétaire du compartiment de destination doit accorder au propriétaire du compartiment source l’autorisation de répliquer des objets dans la politique de compartiment de destination.

  • Si vous répliquez des objets chiffrés à l’aide d’un chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS) dans un scénario intercompte, le propriétaire de la clé KMS doit accorder au propriétaire du compartiment source l’autorisation d’utiliser la clé KMS. Pour plus d’informations, consultez Octroi d’autorisations supplémentaires pour les scénarios à plusieurs comptes.

  • Par défaut, les objets répliqués appartiennent au propriétaire du compartiment source. Dans un scénario intercompte, vous pouvez configurer la réplication pour remplacer le propriétaire des objets répliqués par le propriétaire du compartiment de destination. Pour plus d’informations, consultez Modification du propriétaire d’un réplica.

Pour configurer une réplication quand les compartiments source et de destination appartiennent à des distincts Comptes AWS

  1. Dans cet exemple, vous créez les compartiments source et de destination dans deux Comptes AWS différents. Vous devez avoir défini deux profils d’informations d’identification pour l’AWS CLI. Cet exemple utilise acctA et acctB pour ces noms de profil. Pour obtenir des informations sur la définition des profils d’informations d’identification et l’utilisation de profils nommés, consultez Paramètres des fichiers de configuration et d’informations d’identification dans le Guide de l’utilisateur AWS Command Line Interface.

  2. Suivez les instructions pas à pas de Configuration d’une réplication pour des compartiments dans le même compte en tenant compte des modifications suivantes :

    • Pour toutes les commandes AWS CLI liées aux activités du compartiment source (telles que la création du compartiment source, l’activation de la gestion des versions et la création du rôle IAM), utilisez le profil acctA. Utilisez le profil acctB pour créer le compartiment de destination.

    • Assurez-vous que la politique d’autorisations pour le rôle IAM spécifie les compartiments source et de destination que vous avez créés pour cet exemple.

  3. Dans la console, ajoutez la politique de compartiment suivante au compartiment de destination pour autoriser le propriétaire du compartiment source à répliquer des objets. Pour obtenir des instructions, veuillez consulter Ajout d’une stratégie de compartiment à l’aide de la console Amazon S3. Veillez à modifier la politique en fournissant l’ID de Compte AWS du propriétaire du compartiment source, le nom du rôle IAM et le nom du compartiment de destination.

    Note

    Pour utiliser l’exemple suivant, remplacez user input placeholders par vos propres informations. Remplacez amzn-s3-demo-destination-bucket par le nom de votre compartiment de destination. Remplacez source-bucket-account-ID:role/service-role/source-account-IAM-role dans l’Amazon Resource Name (ARN) IAM par le rôle IAM que vous utilisez pour cette configuration de réplication.

    Si vous avez créé le rôle de service IAM manuellement, définissez le chemin du rôle dans l’ARN IAM sur role/service-role/, comme illustré dans l’exemple de politique suivant. Pour plus d’informations, consultez ARN IAM dans le Guide de l’utilisateur IAM.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Id": "",
    "Statement": [
        {
            "Sid": "Set-permissions-for-objects",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
            },
            "Action": [
                "s3:ReplicateObject",
                "s3:ReplicateDelete"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
        },
        {
            "Sid": "Set-permissions-on-bucket",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/service-role/source-account-IAM-role"
            },
            "Action": [
                "s3:GetBucketVersioning",
                "s3:PutBucketVersioning"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
        }
    ]
}

  4. (Facultatif) Si vous répliquez des objets chiffrés par SSE-KMS, le propriétaire de la clé KMS doit accorder au propriétaire du compartiment source l’autorisation d’utiliser la clé KMS. Pour plus d’informations, consultez Octroi d’autorisations supplémentaires pour les scénarios à plusieurs comptes.

  5. (Facultatif) Dans une réplication, par défaut, le réplica appartient au propriétaire de l’objet source. Si les compartiments source et de destination appartiennent à des Comptes AWS différents, vous pouvez ajouter des paramètres de configuration facultatifs pour changer l’appartenance des réplicas au Compte AWS qui possède les compartiments de destination. Cela comprend l’octroi de l’autorisation ObjectOwnerOverrideToBucketOwner. Pour plus d’informations, consultez Modification du propriétaire d’un réplica.