Étape 2 : Création d'un bucket de répertoire S3 Express One Zone - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 2 : Création d'un bucket de répertoire S3 Express One Zone

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans la barre de navigation en haut de la page, choisissez le nom du fichier actuellement affiché Région AWS. Choisissez ensuite la région dans laquelle vous souhaitez créer un compartiment.

    Note

    Pour limiter la latence et les coûts, et répondre aux exigences légales, choisissez une région proche de vous. Les objets stockés dans une Région ne la quittent jamais, sauf si vous les transférez explicitement vers une autre Région. Pour obtenir la liste d'Amazon S3 Régions AWS, consultez la section sur les Service AWS points de terminaison dans le Référence générale d'Amazon Web Services.

  3. Dans le volet de navigation de gauche, choisissez Directory buckets.

  4. Choisissez Créer un compartiment. La page Créer un compartiment s’ouvre.

  5. Sous Configuration générale, consultez l' Région AWS endroit où votre bucket sera créé.

    Sous Type de compartiment, choisissez Répertoire.

    Note

    • Si vous avez choisi une région qui ne prend pas en charge les compartiments de répertoires, l’option Type de compartiment disparaît, et le type de compartiment est défini par défaut sur un compartiment à usage général. Pour créer un compartiment de répertoires, vous devez choisir une région prise en charge. Pour obtenir la liste des régions qui prennent en charge les compartiments de répertoires et la classe de stockage Amazon S3 Express One Zone, consultez Régions et zones de disponibilité S3 Express One Zone.

    • Une fois que vous avez créé le compartiment, vous ne pouvez pas modifier son type.

    Note

    La zone de disponibilité ne peut pas être modifiée une fois le compartiment créé.

  6. Pour Zone de disponibilité, choisissez une zone de disponibilité locale pour vos services de calcul. Pour obtenir la liste des zones de disponibilité qui prennent en charge les compartiments de répertoires et la classe de stockage S3 Express One Zone, consultez Régions et zones de disponibilité S3 Express One Zone.

    Sous Zone de disponibilité, cochez la case confirmant que vous comprenez qu’en cas de panne de la zone de disponibilité, vos données pourraient être indisponibles ou perdues.

    Important

    Les compartiments de répertoires sont stockés sur plusieurs appareils au sein d’une même zone de disponibilité, mais ne stockent pas les données de manière redondante entre les zones de disponibilité.

  7. Pour Nom du compartiment, entrez un nom pour votre compartiment de répertoires.

    Les règles suivantes s’appliquent pour nommer les compartiments de répertoires :

    • Soyez unique au sein de la zone choisie (zone de AWS disponibilité ou zone AWS locale).

    • Le nom doit contenir entre 3 (minimum) et 63 caractères (maximum), suffixe inclus.

    • Doit être composé uniquement de lettres minuscules, de chiffres et de traits d’union (-).

    • Il doit commencer et se terminer par une lettre ou un chiffre.

    • Doit inclure le suffixe suivant : --zone-id--x-s3

    • Les noms de compartiment ne doivent pas commencer par le préfixe xn--.

    • Les noms de compartiment ne doivent pas commencer par le préfixe sthree-.

    • Les noms de compartiment ne doivent pas commencer par le préfixe sthree-configurator.

    • Les noms de compartiment ne doivent pas commencer par le préfixe amzn-s3-demo-.

    • Les noms de compartiment ne doivent pas se terminer par le suffixe -s3alias. Ce suffixe est réservé aux noms d’alias de point d’accès. Pour plus d’informations, consultez Point d'accès pour les alias de buckets à usage général.

    • Les noms de compartiment ne doivent pas se terminer par le suffixe --ol-s3. Ce suffixe est réservé aux noms d’alias de point d’accès Object Lambda. Pour de plus amples informations, veuillez consulter Comment utiliser un alias de type compartiment pour votre point d’accès Object Lambda de compartiment S3.

    • Les noms de compartiment ne doivent pas se terminer par le suffixe .mrap. Ce suffixe est réservé aux noms de point d’accès multi-régions. Pour de plus amples informations, veuillez consulter Règles relatives à l'attribution de noms pour les points d'accès multi-Régions Amazon S3.

    Un suffixe est automatiquement ajouté au nom de base que vous fournissez lorsque vous créez un compartiment de répertoires à l’aide de la console. Ce suffixe inclut l’ID de la zone de disponibilité que vous avez choisie.

    Une fois le compartiment créé, vous ne pouvez pas changer son nom. Pour plus d’informations sur l’attribution de noms à des compartiments, consultez Règles de dénomination des compartiments à usage général.

    Important

    N’ajoutez pas d’informations sensibles, notamment des numéros de compte, dans le nom du compartiment. Le nom du compartiment est visible en pointant vers les objets URLs qu'il contient.

  8. Sous Propriété de l'objet, le paramètre imposé au propriétaire du compartiment est automatiquement activé et toutes les listes de contrôle d'accès (ACLs) sont désactivées. Impossible d'activer les ACLs compartiments de répertoire.

    Application par le propriétaire du compartiment (par défaut) : ACLs cette option est désactivée, et le propriétaire du compartiment possède automatiquement tous les objets du compartiment à usage général et en a le contrôle total. ACLs n'affectent plus les autorisations d'accès aux données du compartiment à usage général S3. Le compartiment utilise des stratégies exclusivement pour définir le contrôle des accès.

  9. Sous Paramètres de blocage de l’accès public pour ce compartiment, notez que les paramètres de blocage de l’accès public pour votre compartiment de répertoires sont automatiquement activés. Ces paramètres ne peuvent pas être modifiés pour les compartiments de répertoires. Pour en savoir plus sur le blocage de l’accès public, consultez Blocage de l’accès public à votre stockage Amazon S3.

  10. Pour configurer le chiffrement par défaut, dans Type de chiffrement, choisissez l’une des options suivantes :

    • Chiffrement côté serveur avec clé gérée Amazon S3 (SSE-S3)

    • Chiffrement côté serveur avec AWS Key Management Service clé (SSE-KMS)

    Pour en savoir plus sur l’utilisation du chiffrement côté serveur Amazon S3 pour chiffrer vos données, consultez Protection et chiffrement des données.

    Important

    Si vous utilisez l’option SSE-KMS pour votre configuration de chiffrement par défaut, vous êtes soumis aux quotas RPS (demandes par seconde) de AWS KMS. Pour plus d’informations sur les quotas de AWS KMS et sur la procédure à suivre pour demander une augmentation des quotas, consultez Quotas dans le Guide du développeur AWS Key Management Service .

    Lorsque vous activez le chiffrement par défaut, vous devrez peut-être mettre à jour votre politique de compartiment. Pour de plus amples informations, veuillez consulter Utilisation du chiffrement SSE-KMS pour les opérations intercomptes.

  11. Si vous avez choisi le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3), sous Bucket Key, Enabled apparaît. Les clés de compartiment S3 sont toujours activées lorsque vous configurez votre compartiment d'annuaire pour utiliser le chiffrement par défaut avec SSE-S3. Les clés de compartiment S3 sont toujours activées pour les opérations GET et PUT dans un compartiment de répertoires et ne peuvent pas être désactivées. Les clés de compartiment S3 ne sont pas prises en charge lorsque vous copiez des objets chiffrés avec SSE-KMS depuis des compartiments à usage général vers des compartiments de répertoires, depuis des compartiments de répertoires vers des compartiments à usage général ou entre des compartiments de répertoires, par le biais de CopyObject, d’UploadPartCopy, de l’opération Copy dans les opérations par lot ou des tâches import. Dans ce cas, Amazon S3 effectue un appel à AWS KMS chaque fois qu'une demande de copie est faite pour un objet chiffré par KMS.

    Les clés de compartiment S3 réduisent le coût du chiffrement en diminuant le trafic de demandes d'Amazon S3 vers AWS KMS. Pour de plus amples informations, veuillez consulter Réduction du coût du SSE-KMS avec les clés de compartiment Amazon S3.

  12. Si vous avez choisi le chiffrement côté serveur avec AWS Key Management Service clé (SSE-KMS), sous AWS KMS clé, spécifiez votre AWS Key Management Service clé de l'une des manières suivantes ou créez-en une nouvelle.

    • Pour choisir parmi une liste de clés KMS disponibles, choisissez Choisir parmi vos AWS KMS keys, puis choisissez votre clé KMS dans Disponible AWS KMS keys.

      Seules les clés gérées par vos clients apparaissent dans cette liste. Le Clé gérée par AWS (aws/s3) n'est pas pris en charge dans les compartiments de répertoire. Pour plus d’informations sur les clés gérées par le client, consultez Clés de client et clés AWS dans le Guide du développeur AWS Key Management Service .

    • Pour saisir l'ARN ou l'alias de la clé KMS, choisissez Enter AWS KMS key ARN, puis entrez l'ARN ou l'alias de votre clé KMS dans AWS KMS key ARN.

    • Pour créer une nouvelle clé gérée par le client dans la AWS KMS console, choisissez Create a KMS key.

      Pour plus d'informations sur la création d'un AWS KMS key, consultez la section Création de clés dans le Guide du AWS Key Management Service développeur.

    Important

    • Votre configuration SSE-KMS ne peut prendre en charge qu’une seule clé gérée par le client par compartiment de répertoires pendant toute la durée de vie du compartiment. La Clé gérée par AWS (aws/s3) n’est pas prise en charge. De même, après avoir spécifié une clé gérée par le client pour SSE-KMS, vous ne pouvez pas remplacer la clé gérée par le client pour la configuration SSE-KMS du compartiment.

      Vous pouvez identifier la clé gérée par le client que vous avez spécifiée pour la configuration SSE-KMS du compartiment de la manière suivante :

      • Effectuez une demande d’opération d’API HeadObject pour trouver la valeur de x-amz-server-side-encryption-aws-kms-key-id dans la réponse.

      Pour utiliser une nouvelle clé gérée par le client pour vos données, nous vous recommandons de copier vos objets existants dans un nouveau compartiment de répertoires avec une nouvelle clé gérée par le client.

    • Vous ne pouvez utiliser que les clés KMS disponibles dans le même compartiment Région AWS que le bucket. La console Amazon S3 répertorie uniquement les 100 premières clés KMS dans la même région que le compartiment. Pour utiliser une clé KMS qui n’est pas répertoriée, vous devez saisir l’ARN de votre clé KMS. Si vous souhaitez utiliser une clé KMS qui appartient à un autre compte, vous devez d’abord avoir l’autorisation d’utiliser cette clé, puis vous devez saisir l’ARN de la clé KMS. Pour plus d’informations sur les autorisations entre comptes pour les clés KMS, consultez Création de clés KMS que d’autres comptes peuvent utiliser dans le Guide du développeur AWS Key Management Service . Pour en savoir plus sur SSE-KMS, consultez Spécification du chiffrement côté serveur avec AWS KMS (SSE-KMS) pour les chargements de nouveaux objets dans des compartiments de répertoires.

    • Lorsque vous utilisez un AWS KMS key pour le chiffrement côté serveur dans des compartiments de répertoire, vous devez choisir une clé KMS de chiffrement symétrique. Amazon S3 prend uniquement en charge les clés KMS symétriques de chiffrement et ne prend pas en charge les clés KMS asymétriques. Pour plus d’informations, consultez Identification des clés KMS symétriques et asymétriques dans le Guide du développeur AWS Key Management Service .

    Pour plus d'informations sur l'utilisation AWS KMS avec Amazon S3, consultezUtilisation du chiffrement côté serveur avec des AWS KMS clés (SSE-KMS) dans des compartiments de répertoire.

  13. Choisissez Créer un compartiment. Après avoir créé le compartiment, vous pouvez y ajouter des fichiers et des dossiers. Pour de plus amples informations, veuillez consulter Utilisation d’objets dans un compartiment de répertoires.