Compartiments Amazon S3 - Studio de recherche et d'ingénierie
Monter un compartiment Amazon S3Ajouter un compartiment Amazon S3Modifier un compartiment Amazon S3Supprimer un compartiment Amazon S3Isolation des donnéesAccès au bucket entre comptesEmpêcher l'exfiltration de données dans un VPC privéRésolution des problèmes Activant CloudTrail

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Compartiments Amazon S3

Monter un compartiment Amazon S3

Research and Engineering Studio (RES) prend en charge le montage de buckets Amazon S3 sur des instances VDI (Virtual Desktop Infrastructure) Linux. Les administrateurs RES peuvent intégrer des compartiments S3 à RES, les associer à des projets, modifier leur configuration et supprimer des compartiments dans l'onglet Compartiments S3 sous Gestion de l'environnement.

Le tableau de bord des compartiments S3 fournit une liste des compartiments S3 intégrés mis à votre disposition. Depuis le tableau de bord des compartiments S3, vous pouvez :

  1. Utilisez Ajouter un compartiment pour intégrer un compartiment S3 à RES.

  2. Sélectionnez un compartiment S3 et utilisez le menu Actions pour :

    • Modifier un bucket

    • Supprimer un seau

  3. Utilisez le champ de recherche pour effectuer une recherche par nom de compartiment et trouver des compartiments S3 intégrés.

    La liste des compartiments S3 vous permet d'effectuer une recherche par nom de compartiment et de trouver des compartiments intégrés

Ajouter un compartiment Amazon S3

Pour ajouter un compartiment S3 à votre environnement RES :

  1. Choisissez Add bucket (Ajouter un compartiment).

  2. Entrez les détails du bucket tels que le nom du bucket, l'ARN et le point de montage.

    Important

    • L'ARN du bucket, le point de montage et le mode fournis ne peuvent pas être modifiés après la création.

    • L'ARN du bucket peut contenir un préfixe qui isolera le bucket S3 intégré par rapport à ce préfixe.

  3. Sélectionnez le mode dans lequel vous souhaitez embarquer votre bucket.

    Important

    • Voir Isolation des données pour plus d'informations sur l'isolation des données avec des modes spécifiques.

  4. Sous Options avancées, vous pouvez fournir un ARN de rôle IAM pour monter les buckets pour l'accès entre comptes. Suivez les étapes décrites Accès au bucket entre comptes pour créer le rôle IAM requis pour l'accès entre comptes.

  5. (Facultatif) Associez le bucket à des projets, qui peuvent être modifiés ultérieurement. Toutefois, un compartiment S3 ne peut pas être monté sur les sessions VDI existantes d'un projet. Seules les sessions lancées une fois que le projet a été associé au bucket monteront le bucket.

  6. Sélectionnez Envoyer.

Modifier un compartiment Amazon S3

  1. Sélectionnez un compartiment S3 dans la liste des compartiments S3.

  2. Dans le menu Actions, choisissez Modifier.

  3. Entrez vos mises à jour.

    Important

    • L'association d'un projet à un compartiment S3 ne montera pas le compartiment sur les instances d'infrastructure de bureau virtuel (VDI) existantes de ce projet. Le bucket ne sera monté sur les sessions VDI lancées dans un projet qu'une fois le bucket associé à ce projet.

    • La dissociation d'un projet d'un compartiment S3 n'aura aucun impact sur les données contenues dans le compartiment S3, mais les utilisateurs d'ordinateurs de bureau perdront l'accès à ces données.

  4. Choisissez Enregistrer la configuration du bucket.

    La page Modifier le compartiment S3 avec les champs de nom d'affichage et d'association de projet saisis et le bouton Enregistrer la configuration du compartiment surligné

Supprimer un compartiment Amazon S3

  1. Sélectionnez un compartiment S3 dans la liste des compartiments S3.

  2. Dans le menu Actions, choisissez Supprimer.

    Important

    • Vous devez d'abord supprimer toutes les associations de projets du compartiment.

    • L'opération de suppression n'a aucun impact sur les données du compartiment S3. Il supprime uniquement l'association du compartiment S3 avec RES.

    • La suppression d'un compartiment entraîne la perte de l'accès des sessions VDI existantes au contenu de ce compartiment à l'expiration des informations d'identification de cette session (environ 1 heure).

Isolation des données

Lorsque vous ajoutez un compartiment S3 à RES, vous avez la possibilité d'isoler les données qu'il contient pour des projets et des utilisateurs spécifiques. Sur la page Ajouter un compartiment, vous pouvez choisir un mode Read Only (R) ou Read and Write (R/W).

Lecture seule

Si Read Only (R) cette option est sélectionnée, l'isolation des données est appliquée en fonction du préfixe de l'ARN du bucket (Amazon Resource Name). Par exemple, si un administrateur ajoute un bucket à RES à l'aide de l'ARN arn:aws:s3:::bucket-name/example-data/ et associe ce bucket au projet A et au projet B, les utilisateurs qui lancent VDIs depuis le projet A et le projet B ne peuvent lire que les données situées bucket-name sous le chemin/example-data. Ils n'auront pas accès aux données en dehors de ce chemin. Si aucun préfixe n'est ajouté à l'ARN du bucket, l'intégralité du bucket sera mise à la disposition de tous les projets qui lui sont associés.

Lire et écrire

Si Read and Write (R/W) cette option est sélectionnée, l'isolation des données est toujours appliquée en fonction du préfixe de l'ARN du bucket, comme décrit ci-dessus. Ce mode comporte des options supplémentaires permettant aux administrateurs de fournir un préfixe basé sur des variables pour le compartiment S3. Lorsque cette option Read and Write (R/W) est sélectionnée, une section Préfixe personnalisé devient disponible et propose un menu déroulant avec les options suivantes :

  • Aucun préfixe personnalisé

  • /%p

  • /%p/%u

Aucune isolation personnalisée des données

Lorsque No custom prefix le préfixe personnalisé est sélectionné, le bucket est ajouté sans aucune isolation de données personnalisée. Cela permet à tous les projets associés au bucket d'avoir un accès en lecture et en écriture. Par exemple, si un administrateur ajoute un bucket à RES en utilisant l'ARN arn:aws:s3:::bucket-name avec No custom prefix selected et associe ce bucket au projet A et au projet B, les utilisateurs qui lancent VDIs depuis le projet A et le projet B auront un accès illimité en lecture et en écriture au bucket.

Isolation des données au niveau du projet

Lorsque /%p le préfixe personnalisé est sélectionné, les données du compartiment sont isolées pour chaque projet spécifique qui lui est associé. La %p variable représente le code du projet. Par exemple, si un administrateur ajoute un bucket à RES en utilisant l'ARN arn:aws:s3:::bucket-name avec /%p selected et un point de montage de/bucket, et qu'il associe ce bucket aux projets A et B, l'utilisateur A du projet A peut y écrire un fichier/bucket. L'utilisateur B du projet A peut également voir le fichier dans lequel l'utilisateur A a écrit/bucket. Toutefois, si l'utilisateur B lance un VDI dans le projet B et y jette un /bucket œil, il ne verra pas le fichier écrit par l'utilisateur A, car les données sont isolées par projet. Le fichier écrit par l'utilisateur A se trouve dans le compartiment S3 sous le préfixe, /ProjectA tandis que l'utilisateur B ne peut y accéder que /ProjectB s'il utilise le fichier VDIs depuis le projet B.

Isolation des données au niveau du projet et de l'utilisateur

Lorsque le préfixe personnalisé /%p/%u est sélectionné, les données du compartiment sont isolées pour chaque projet spécifique et pour chaque utilisateur associé à ce projet. La %p variable représente le code du projet et %u le nom d'utilisateur. Par exemple, un administrateur ajoute un bucket à RES en utilisant l'ARN arn:aws:s3:::bucket-name dont le point de montage est /%p/%u sélectionné et le point de montage est égal à/bucket. Ce compartiment est associé au projet A et au projet B. L'utilisateur A du projet A peut y écrire un fichier/bucket. Contrairement au scénario précédent avec uniquement %p l'isolation, l'utilisateur B ne verra pas dans ce cas le fichier écrit par l'utilisateur A dans le projet A/bucket, car les données sont isolées à la fois par le projet et par l'utilisateur. Le fichier écrit par l'utilisateur A se trouve dans le compartiment S3 sous le préfixe, /ProjectA/UserA tandis que l'utilisateur B ne peut y accéder que /ProjectA/UserB s'il l'utilise VDIs dans le projet A.

Accès au bucket entre comptes

RES est capable de monter des buckets à partir d'autres AWS comptes, à condition que ces buckets disposent des autorisations appropriées. Dans le scénario suivant, un environnement RES du compte A souhaite monter un compartiment S3 dans le compte B.

Étape 1 : Créez un rôle IAM dans le compte dans lequel RES est déployé (ce rôle sera appelé compte A) :

  1. Connectez-vous à la console AWS de gestion du compte RES qui doit accéder au compartiment S3 (compte A).

  2. Ouvrez la console IAM :

    1. Accédez au tableau de bord IAM.

    2. Dans le panneau de navigation, sélectionnez Stratégies.

  3. Créez une politique :

    1. Sélectionnez Create Policy (Créer une politique).

    2. Choisissez l’onglet JSON.

    3. Collez la politique JSON suivante (<BUCKET-NAME>remplacez-la par le nom du compartiment S3 situé dans le compte B) :

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:AbortMultipartUpload"
            ],
            "Resource": [
                "arn:aws:s3:::<BUCKET-NAME>",
                "arn:aws:s3:::<BUCKET-NAME>/*"
            ]
        }
    ]
}

    4. Sélectionnez Suivant.

  4. Passez en revue et créez la politique :

    1. Donnez un nom à la politique (par exemple, AccessPolicy « S3 »).

    2. Ajoutez une description facultative pour expliquer l'objectif de la politique.

    3. Passez en revue la politique et sélectionnez Créer une politique.

  5. Ouvrez la console IAM :

    1. Accédez au tableau de bord IAM.

    2. Dans le volet de navigation, sélectionnez Rôles.

  6. Créez un rôle :

    1. Sélectionnez Créer le rôle.

    2. Choisissez Politique de confiance personnalisée comme type d'entité de confiance.

    3. Collez la politique JSON suivante (<ACCOUNT_ID>remplacez-la par l'ID de compte réel du compte A, <ENVIRONMENT_NAME> par le nom de l'environnement du déploiement de RES et <REGION> par la AWS région dans laquelle RES est déployé) :

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<ACCOUNT_ID>:role/<ENVIRONMENT_NAME>-custom-credential-broker-lambda-role-<REGION>"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    4. Sélectionnez « Suivant ».

  7. Joindre des politiques d'autorisation :

    1. Recherchez et sélectionnez la politique que vous avez créée précédemment.

    2. Sélectionnez « Suivant ».

  8. Marquez, révisez et créez le rôle :

    1. Entrez un nom de rôle (par exemple, AccessRole « S3 »).

    2. À l'étape 3, sélectionnez Ajouter une étiquette, puis entrez la clé et la valeur suivantes :

      • Clé : res:Resource

      • Valeur : s3-bucket-iam-role

    3. Vérifiez le rôle et sélectionnez Créer un rôle.

  9. Utilisez le rôle IAM dans RES :

    1. Copiez l'ARN du rôle IAM que vous avez créé.

    2. Connectez-vous à la console RES.

    3. Dans le volet de navigation de gauche, sélectionnez S3 Bucket.

    4. Sélectionnez Ajouter un compartiment et remplissez le formulaire avec l'ARN du compartiment S3 multi-comptes.

    5. Sélectionnez le menu déroulant Paramètres avancés - facultatif.

    6. Entrez l'ARN du rôle dans le champ ARN du rôle IAM.

    7. Sélectionnez Ajouter un compartiment.

Étape 2 : Modifier la politique de compartiment dans le compte B

  1. Connectez-vous à la console AWS de gestion du compte B.

  2. Ouvrez la console S3 :

    1. Accédez au tableau de bord S3.

    2. Sélectionnez le bucket auquel vous souhaitez accorder l'accès.

  3. Modifiez la politique relative aux compartiments :

    1. Choisissez l'onglet Permissions, puis sélectionnez Bucket Policy.

    2. Ajoutez la politique suivante pour accorder au rôle IAM depuis le compte A l'accès au compartiment (remplacez-le <AccountA_ID> par l'ID de compte réel du compte A et <BUCKET-NAME> par le nom du compartiment S3) :

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/S3AccessRole"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:AbortMultipartUpload"
            ],
            "Resource": [
                "arn:aws:s3:::<BUCKET-NAME>",
                "arn:aws:s3:::<BUCKET-NAME>/*"
            ]
        }
    ]
}

    3. Sélectionnez Save.

Empêcher l'exfiltration de données dans un VPC privé

Pour empêcher les utilisateurs d'exfiltrer les données des compartiments S3 sécurisés vers leurs propres compartiments S3 de leur compte, vous pouvez associer un point de terminaison VPC pour sécuriser votre VPC privé. Les étapes suivantes montrent comment créer un point de terminaison VPC pour le service S3 qui prend en charge l'accès aux compartiments S3 au sein de votre compte, ainsi qu'à tout compte supplémentaire doté de compartiments multicomptes.

  1. Ouvrez la console Amazon VPC :

    1. Connectez-vous à la console AWS de gestion.

    2. Ouvrez la console Amazon VPC à l'adresse. https://console.aws.amazon.com/vpc/

  2. Créez un point de terminaison VPC pour S3 :

    1. Dans le volet de navigation de gauche, sélectionnez Endpoints.

    2. Sélectionnez Create Endpoint (Créer un point de terminaison).

    3. Pour Catégorie de service, assurez-vous que l’option services AWS est sélectionnée.

    4. Dans le champ Nom du service, entrez com.amazonaws.<region>.s3 (remplacez <region> par votre AWS région) ou recherchez « S3 ».

    5. Sélectionnez le service S3 dans la liste.

  3. Configurer les paramètres du point de terminaison :

    1. Pour le VPC, sélectionnez le VPC dans lequel vous souhaitez créer le point de terminaison.

    2. Pour les sous-réseaux, sélectionnez les deux sous-réseaux privés utilisés pour les sous-réseaux VDI lors du déploiement.

    3. Pour Activer le nom DNS, assurez-vous que l'option est cochée. Cela permet de résoudre le nom d'hôte DNS privé sur les interfaces réseau du point de terminaison.

  4. Configurez la politique pour restreindre l'accès :

    1. Sous Politique, sélectionnez Personnaliser.

    2. Dans l'éditeur de règles, entrez une politique qui restreint l'accès aux ressources de votre compte ou d'un compte spécifique. Voici un exemple de politique (remplacez-le mybucket par le nom de votre compartiment S3 111122223333 et 444455556666 par le AWS compte approprié IDs auquel vous souhaitez avoir accès) :

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::mybucket",
                "arn:aws:s3:::mybucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalAccount": [
                        "111122223333",   // Your Account ID
                        "444455556666"    // Another Account ID
                    ]
                }
            }
        }
    ]
}

  5. Créez le point de terminaison :

    1. Vérifiez vos paramètres.

    2. Sélectionnez Créer un point de terminaison.

  6. Vérifiez le point de terminaison :

    1. Une fois le point de terminaison créé, accédez à la section Points de terminaison de la console VPC.

    2. Sélectionnez le point de terminaison nouvellement créé.

    3. Vérifiez que l'état est disponible.

En suivant ces étapes, vous créez un point de terminaison VPC qui autorise un accès S3 limité aux ressources de votre compte ou à un ID de compte spécifié.

Résolution des problèmes

Comment vérifier si un bucket ne parvient pas à être monté sur un VDI

Si un bucket ne parvient pas à être monté sur un VDI, vous pouvez vérifier les erreurs à certains endroits. Suivez les étapes ci-dessous.

  1. Vérifiez les journaux VDI :

    1. Connectez-vous à la console AWS de gestion.

    2. Ouvrez la EC2 console et accédez à Instances.

    3. Sélectionnez l'instance VDI que vous avez lancée.

    4. Connectez-vous au VDI via le gestionnaire de session.

    5. Exécutez les commandes suivantes :

      sudo su
cd ~/bootstrap/logs

      Vous trouverez ici les journaux de bootstrap. Les détails de toute défaillance figureront dans le configure.log.{time} fichier.

      Consultez également le /etc/message journal pour plus de détails.

  2. Vérifiez les journaux CloudWatch Lambda de Custom Credential Broker :

    1. Connectez-vous à la console AWS de gestion.

    2. Ouvrez la CloudWatch console et accédez à Log groups.

    3. Recherchez le groupe de journaux/aws/lambda/<stack-name>-vdc-custom-credential-broker-lambda.

    4. Examinez le premier groupe de journaux disponible et repérez les éventuelles erreurs dans les journaux. Ces journaux contiendront des détails concernant les problèmes potentiels liés à la fourniture d'informations d'identification personnalisées temporaires pour le montage de compartiments S3.

  3. Vérifiez les CloudWatch journaux personnalisés de Credential Broker API Gateway :

    1. Connectez-vous à la console AWS de gestion.

    2. Ouvrez la CloudWatch console et accédez à Log groups.

    3. Recherchez le groupe de journaux<stack-name>-vdc-custom-credential-broker-lambdavdccustomcredentialbrokerapigatewayaccesslogs<nonce>.

    4. Examinez le premier groupe de journaux disponible et repérez les éventuelles erreurs dans les journaux. Ces journaux contiendront des détails concernant toutes les demandes et réponses adressées à l'API Gateway concernant les informations d'identification personnalisées nécessaires au montage des compartiments S3.

Comment modifier la configuration du rôle IAM d'un bucket après l'intégration

  1. Connectez-vous à la console AWS DynamoDB.

  2. Sélectionnez le tableau :

    1. Dans le volet de navigation de gauche, sélectionnez Tables.

    2. Recherchez et sélectionnez<stack-name>.cluster-settings.

  3. Scannez le tableau :

    1. Sélectionnez Explorer les éléments de table.

    2. Assurez-vous que Scan est sélectionné.

  4. Ajoutez un filtre :

    1. Sélectionnez Filtres pour ouvrir la section de saisie des filtres.

    2. Réglez le filtre pour qu'il corresponde à votre clé-

      • Attribut : Entrez la clé.

      • État : Choisissez Commence par.

      • Valeur : entrez « shared-storage.<filesystem_id>.s3_bucket.iam_role_arn remplacement <filesystem_id> » par la valeur du système de fichiers à modifier.

  5. Exécutez le scan :

    Sélectionnez Exécuter pour exécuter le scan avec le filtre.

  6. Vérifiez la valeur :

    Si l'entrée existe, assurez-vous que la valeur est correctement définie avec le bon ARN du rôle IAM.

    Si l'entrée n'existe pas :

    1. Sélectionnez Créer un article.

    2. Entrez les détails de l'article :

      • Pour l'attribut clé, entrezshared-storage.<filesystem_id>.s3_bucket.iam_role_arn.

      • Ajoutez le bon ARN du rôle IAM.

    3. Sélectionnez Enregistrer pour ajouter l'article.

  7. Redémarrez les instances VDI :

    Redémarrez l'instance pour vous assurer VDIs que les ARN affectés par le rôle IAM incorrect sont à nouveau montés.

Activant CloudTrail

Pour l'activer CloudTrail dans votre compte à l'aide de la CloudTrail console, suivez les instructions fournies dans la section Création d'un historique avec la CloudTrail console dans le guide de AWS CloudTrail l'utilisateur. CloudTrail enregistrera l'accès aux compartiments S3 en enregistrant le rôle IAM qui y a accédé. Cela peut être lié à un ID d'instance, qui est lié à un projet ou à un utilisateur.