Didacticiel : bien démarrer avec S3 Express One Zone - Amazon Simple Storage Service
PrérequisÉtapes suivantes

Didacticiel : bien démarrer avec S3 Express One Zone

Amazon S3 Express One Zone est la première classe de stockage S3 dans laquelle vous pouvez sélectionner une zone de disponibilité unique avec la possibilité de regrouper le stockage d’objets et les ressources de calcul, ce qui assure la vitesse d’accès la plus élevée possible. Les données figurant dans S3 Express One Zone sont stockées dans des compartiments de répertoires situés dans des zones de disponibilité. Pour plus d’informations sur les compartiments de répertoires, consultez Compartiments de répertoires.

S3 Express One Zone est idéal pour toute application où il est crucial de réduire au maximum la latence des demandes. Il peut s’agir de flux de travail impliquant des interactions avec des utilisateurs, tels que le montage vidéo, où les créatifs ont besoin d’un accès réactif au contenu à partir de leur interface utilisateur. S3 Express One Zone profite également aux charges de travail d’analytique et de machine learning qui ont des exigences similaires en matière de réactivité de leurs données, notamment aux charges de travail présentant de nombreux petits accès ou un grand nombre d’accès aléatoires. S3 Express One Zone peut être utilisé avec d’autres services AWS tels qu’Amazon EMR, Amazon Athena, le catalogue de données AWS Glue et l’entraînement de modèles Amazon SageMaker pour prendre en charge des charges de travail d’analytique, d’intelligence artificielle et de machine learning (IA/ML). Vous pouvez utiliser la classe de stockage S3 Express One Zone et les compartiments de répertoires à l’aide de la console Amazon S3, des kits AWS SDK, de l’interface de ligne de commande AWS (AWS CLI) et de l’API REST Amazon S3. Pour plus d’informations, consultez les sections Qu’est-ce que S3 Express One Zone ? et En quoi S3 Express One Zone est-il différent ?

Voici le schéma d’un flux de travail S3 Express One Zone.
Objectif

Dans ce didacticiel, vous apprendrez à créer un point de terminaison de passerelle, à créer et à joindre une politique IAM, à créer un compartiment de répertoires, puis à utiliser l’action d’importation pour remplir votre compartiment de répertoires avec des objets stockés dans un compartiment à usage général. Vous pouvez également charger des objets manuellement dans votre compartiment de répertoires.

Rubriques

Prérequis

Avant de commencer ce didacticiel, vous devez disposer d’un Compte AWS auquel vous pouvez vous connecter en tant qu’utilisateur (IAM) AWS Identity and Access Management avec les autorisations correctes.

Créer un Compte AWS

Pour suivre ce didacticiel, vous devez disposer d’un Compte AWS. Lorsque vous vous inscrivez à AWS, votre Compte AWS est automatiquement inscrit pour tous les services d’AWS, y compris dans Amazon S3. Seuls les services que vous utilisez vous sont facturés. Pour plus d’informations sur la tarification, consultez Tarification S3.

Création d’un utilisateur IAM dans votre Compte AWS (console)

AWS Identity and Access Management (IAM) est un Service AWS qui aide les administrateurs à contrôler en toute sécurité l’accès aux ressources AWS. Les administrateurs IAM contrôlent qui peut être authentifié (connecté) et autorisé (via les autorisations nécessaires) à accéder aux objets et à utiliser les compartiments de répertoires dans S3 Express One Zone. Vous pouvez utiliser IAM sans frais supplémentaires.

Par défaut, les utilisateurs ne disposent pas d’autorisations pour accéder aux compartiments de répertoires ni aux opérations S3 Express One Zone. Pour accorder des autorisations d’accès pour les compartiments de répertoires et les opérations S3 Express One Zone, vous pouvez utiliser IAM pour créer des utilisateurs ou des rôles et associer des autorisations à ces identités. Pour en savoir plus sur la création d’un utilisateur IAM, consultez Créer votre premier groupe d’utilisateurs et d’administrateurs IAM dans le guide de l’utilisateur IAM. Pour plus d’informations sur la création d’un rôle IAM, consultez Création d’un rôle pour la délégation d’autorisations à un utilisateur IAM dans le Guide de l’utilisateur IAM.

Pour des raisons de simplicité, ce didacticiel crée et utilise un utilisateur IAM. Après avoir terminé ce didacticiel, n’oubliez pas de Supprimer l’utilisateur IAM. Pour une utilisation en production, nous vous recommandons de suivre les Bonnes pratiques de sécurité dans IAM dans le Guide de l’utilisateur IAM. Une bonne pratique requiert que les utilisateurs humains utilisent une fédération avec un fournisseur d’identité pour accéder à AWS avec des informations d’identification temporaires. Une autre bonne pratique consiste à exiger que les charges de travail utilisent des informations d’identification temporaires avec des rôles IAM pour accéder à AWS. Pour plus d’informations sur l’utilisation d’AWS IAM Identity Center pour créer des utilisateurs avec des informations d’identification temporaires, consultez Mise en route dans le Guide de l’utilisateur AWS IAM Identity Center.

Avertissement

Les utilisateurs IAM disposent d’informations d’identification à long terme, ce qui présente un risque de sécurité. Pour atténuer ce risque, nous vous recommandons de ne fournir à ces utilisateurs que les autorisations dont ils ont besoin pour effectuer la tâche et de supprimer ces autorisations lorsqu’elles ne sont plus nécessaires.

Création d’une politique IAM et association de cette politique à un utilisateur ou rôle IAM (console)

Par défaut, les utilisateurs ne disposent pas d’autorisations pour les compartiments de répertoires et les opérations S3 Express One Zone. Pour accorder des autorisations d’accès pour les compartiments de répertoires, vous pouvez utiliser IAM pour créer des utilisateurs, des groupes ou des rôles, et attacher des autorisations à ces identités. Les compartiments de répertoires sont la seule ressource que vous pouvez inclure dans les stratégies de compartiment ou les politiques d’identité IAM pour accéder à S3 Express One Zone.

Pour utiliser les opérations d’API de point de terminaison régional (opérations au niveau des compartiments ou du plan de contrôle) avec S3 Express One Zone, vous utilisez le modèle d’autorisation IAM, qui n’implique aucune gestion des sessions. Les autorisations sont accordées pour les actions, de façon individuelle. Pour utiliser les opérations d’API de point de terminaison zonal (opérations au niveau des objets ou du plan de données), vous utilisez l’opération d’API CreateSession pour créer et gérer des sessions optimisées afin d’autoriser les demandes de données à faible latence. Pour récupérer et utiliser un jeton de session, vous devez autoriser l’action s3express:CreateSession pour votre compartiment de répertoires dans une politique basée sur l’identité ou une stratégie de compartiment. Si vous accédez à S3 Express One Zone dans la console Amazon S3, via l’interface de ligne de commande AWS (AWS CLI) ou à l’aide des kits AWS SDK, S3 Express One Zone crée une session en votre nom. Pour plus d’informations, consultez Autorisation CreateSession et Gestion des identités et des accès AWS (AWS IAM) pour S3 Express One Zone.

Pour créer une politique IAM et l’associer à un utilisateur ou rôle IAM (console)

  1. Connectez-vous à la console de gestion AWS et ouvrez la console de gestion IAM.

  2. Dans le volet de navigation, choisissez Politiques.

  3. Choisissez Create Policy (Créer une politique).

  4. Sélectionnez JSON.

  5. Copiez la politique ci-dessous dans la fenêtre de l’éditeur de politique. Avant de créer des compartiments de répertoires ou d’utiliser la classe de stockage S3 Express One Zone, vous devez accorder les autorisations nécessaires à votre rôle ou à vos utilisateurs AWS Identity and Access Management (IAM). Cet exemple de politique autorise l’accès à l’opération d’API CreateSession (à utiliser avec d’autres opérations d’API de point de terminaison zonal ou au niveau des objets) et à toutes les opérations d’API de point de terminaison régional (au niveau des compartiments). Cette politique autorise l’utilisation de l’opération d’API CreateSession avec tous les compartiments de répertoires, mais les opérations d’API de point de terminaison régional sont autorisées à être utilisées uniquement avec le compartiment de répertoires spécifié. Pour utiliser cet exemple de politique, remplacez user input placeholders par vos propres informations.

    JSON
    {
     "Version":"2012-10-17",		 	 	 
     "Statement": [ 
         {
             "Sid": "AllowAccessRegionalEndpointAPIs",
             "Effect": "Allow",
             "Action": [
                 "s3express:DeleteBucket",
                 "s3express:DeleteBucketPolicy",
                 "s3express:CreateBucket",
                 "s3express:PutBucketPolicy",
                 "s3express:GetBucketPolicy",
                 "s3express:ListAllMyDirectoryBuckets"
             ],

             "Resource": "arn:aws:s3express:us-east-1:111122223333:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3/*"
         },
         {
             "Sid": "AllowCreateSession",
             "Effect": "Allow",
             "Action": "s3express:CreateSession",
             "Resource": "*"
         }
     ]
 }

  6. Choisissez Suivant.

  7. Nommez la politique.

    Note

    Les balises de compartiment ne sont pas prises en charge pour S3 Express One Zone.

  8. Sélectionnez Create Policy (Créer une politique).

  9. Maintenant que vous avez créé une politique IAM, vous pouvez l’attacher à un utilisateur IAM. Dans le volet de navigation, choisissez Politiques.

  10. Dans la barre de recherche, saisissez le nom de la politique.

  11. Dans le menu Actions, sélectionnez Attacher.

  12. Sous Filtrer par type d’entité, sélectionnez Utilisateurs IAM ou Rôles.

  13. Dans le champ de recherche, saisissez le nom de l’utilisateur ou du rôle que vous souhaitez utiliser.

  14. Choisissez Attach Policy (Attacher une politique).

Rubriques

    Étapes suivantes

    Dans ce didacticiel, vous avez appris à créer un compartiment de répertoires et à utiliser la classe de stockage S3 Express One Zone. Au terme ce didacticiel, vous pourrez explorer les services AWS connexes à utiliser avec la classe de stockage S3 Express One Zone.

    Vous pouvez utiliser les Services AWS suivants avec la classe de stockage S3 Express One Zone pour prendre en charge votre cas d’utilisation spécifique à faible latence.

    • Amazon Elastic Compute Cloud (Amazon EC2) : Amazon EC2 offre une capacité de calcul sécurisée et évolutive dans le AWS Cloud. En utilisant Amazon EC2, vous n’avez pas besoin d’investir dans du matériel au départ, ce qui vous permet de développer et de déployer des applications plus rapidement. Vous pouvez utiliser Amazon EC2 pour lancer autant de serveurs virtuels que nécessaire, configurer la sécurité et les réseaux, et gérer le stockage.

    • AWS Lambda – Lambda est un service de calcul qui vous permet d’exécuter du code sans provisionner ni gérer de serveurs. Vous configurez des paramètres de notification sur un compartiment et accordez à Amazon S3 l’autorisation d’invoquer une fonction sur la stratégie d’autorisations basée sur une ressource de la fonction.

    • Amazon Elastic Kubernetes Service (Amazon EKS) : Amazon EKS est un service géré qui évite d’avoir à installer, exploiter et gérer votre propre plan de contrôle Kubernetes sur AWS. Kubernetes est un système open source qui automatise la gestion, la mise à l’échelle et le déploiement des applications conteneurisées.

    • Amazon Elastic Container Service (Amazon ECS) : Amazon ECS est un service d’orchestration de conteneurs entièrement géré qui vous permet de déployer, de gérer et de mettre à l’échelle aisément des applications conteneurisées.

    • Amazon EMR : Amazon EMR est une plateforme de cluster gérée qui simplifie l’exécution des infrastructures de big data, telles qu’Apache Hadoop et Apache Spark sur AWS pour traiter et analyser de grandes quantités de données.

    • Amazon Athena : Amazon Athena est un service de requête interactif qui facilite l’analyse des données directement dans Amazon S3 à l’aide du langage SQL standard. Vous pouvez également utiliser Athena pour exécuter de façon interactive l’analytique des données à l’aide d’Apache Spark sans avoir à planifier, configurer ni gérer de ressources. Lorsque vous exécutez des applications Apache Spark sur Athena, vous soumettez du code Spark pour traitement et recevez directement les résultats.

    • Catalogue de données AWS Glue  : AWS Glue service d’intégration de données sans serveur qui facilite la découverte, la préparation, le déplacement et l’intégration de données de plusieurs sources pour les utilisateurs d’analytique. Vous pouvez utiliser AWS Glue pour l’analytique, le machine learning et le développement d’applications. AWS Le catalogue de données Glue est un référentiel centralisé qui stocke les métadonnées relatives aux jeux de données de votre organisation. Il sert d’index pour l’emplacement, le schéma et les métriques d’exécution de vos sources de données.

    • Entraînement de modèle Amazon SageMaker Runtime : Amazon SageMaker Runtime est un service de machine learning entièrement géré. Avec SageMaker Runtime, les scientifiques des données et les développeurs peuvent développer et entraîner des modèles de machine learning rapidement et facilement, puis les déployer directement dans un environnement hébergé prêt pour la production.

    Pour plus d’informations sur S3 Express One Zone, consultez les sections Qu’est-ce que S3 Express One Zone ? et En quoi S3 Express One Zone est-il différent ?