View a markdown version of this page

Mise en place d’un compartiment Amazon S3 pour l’exportation de données - Exportations de données AWS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mise en place d’un compartiment Amazon S3 pour l’exportation de données

Pour recevoir et stocker vos exportations de données, vous devez disposer d'un compartiment Amazon S3 dans votre AWS compte ou dans un AWS compte de destination désigné. Lorsque vous créez une exportation dans la console, si vous souhaitez l'exporter dans votre propre compartiment, vous pouvez sélectionner un compartiment S3 existant dont vous êtes le propriétaire ou créer un nouveau compartiment. Dans les deux cas, vous devez vérifier et confirmer l'application de la politique de compartiment S3 par défaut suivante. Si vous souhaitez que votre exportation soit envoyée vers un bucket appartenant à un autre AWS compte, vous pouvez spécifier le propriétaire du bucket et le nom du bucket lors du processus de création des exportations de données. La modification de la politique du compartiment ou le changement du propriétaire du compartiment S3 après avoir créé une exportation peut empêcher Data Exports de livrer vos exportations. Le stockage des données d'exportation dans n'importe quel compartiment S3 est facturé aux tarifs standard d'Amazon S3. Pour plus d'informations, consultez Quotas d'instances réservées.

La politique suivante doit être appliquée à chaque compartiment S3, qu'il vous appartienne ou qu'il s'agisse d'un AWS compte différent, lors de la création d'une exportation de données :

{
    "Version":"2012-10-17",
    "Statement": [
    {
      "Sid": "EnableAWSDataExportsToWriteToS3",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "bcm-data-exports.amazonaws.com"
        ]
      },
      "Action": [
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::{bucket-name}/*",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:bcm-data-exports:us-east-1:{source-account-id}:export/*"
        },
        "StringEquals": {
          "aws:SourceAccount": "{source-account-id}"
          }
      }
    }
  ]
   }

Cette politique de compartiment S3 garantit que Data Exports ne peut fournir des exportations vers le compartiment S3 qu'au nom du compte qui a créé l'exportation. Cela permet également à Data Exports de vérifier que le compartiment S3 appartient toujours au compte spécifié lors de la création de l'exportation.

  • Pour fournir des exportations vers votre compartiment S3, vous devez AWS disposer d'autorisations d'écriture pour ce compartiment S3. Pour ce faire, la politique du compartiment S3 accorde au service Data Exports (bcm-data-exports.amazonaws.com) l'autorisation de fournir (s3:PutObject) des rapports au compartiment S3 que vous possédez (arn:aws:s3:::<EXAMPLE-BUCKET>/*).

  • Chaque fois que Data Exports demande d'écrire dans le compartiment S3, il doit fournir l'ID de compte du compte qui a créé l'exportation. Les clés de condition aws:SourceArn et aws:SourceAccount les appliquent.

  • Cette politique de compartiment S3 n'autorise AWS pas la lecture ou la suppression d'objets de votre compartiment S3, y compris les rapports sur les coûts et l'utilisation une fois qu'ils ont été livrés.

Pour un compartiment Amazon S3 sur lequel la liste de contrôle d'accès (ACL) est activée, Data Exports applique une BucketOwnerFullControl ACL aux rapports lors de leur remise. Par défaut, les objets Amazon S3, tels que ces rapports, ne peuvent être lus que par l'utilisateur ou le principal de service qui les a rédigés. Pour que vous ou le propriétaire du compartiment S3 puissiez lire les rapports, vous AWS devez appliquer l'BucketOwnerFullControlACL. L'ACL octroie ces rapports au propriétaire Permission.FullControl du compartiment S3. Cependant, il est recommandé de désactiver l'ACL et d'utiliser une politique de compartiment S3 pour contrôler l'accès.

Note

Pour les compartiments S3 nouvellement créés, ACLs ils sont désactivés par défaut. Pour plus d'informations, consultez les sections Contrôle de la propriété des objets et désactivation ACLs de votre compartiment.

Si vous voyez une erreur de compartiment non valide sur la page de la console Data Exports, vérifiez que la politique et le propriétaire du compartiment S3 n'ont pas changé depuis la configuration du rapport.