Configuration d'une réplication quand les compartiments source et de destination appartiennent à des comptes distincts - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration d'une réplication quand les compartiments source et de destination appartiennent à des comptes distincts

La configuration de la réplication lorsque les compartiments source et de destination appartiennent à des propriétaires différents Comptes AWS est similaire à la configuration de la réplication lorsque les deux compartiments appartiennent au même compte. La seule différence est que le propriétaire du compartiment de destination doit accorder au propriétaire du compartiment source l'autorisation de répliquer des objets en ajoutant une stratégie de compartiment.

Pour plus d’informations sur la configuration de la réplication utilisant un chiffrement côté serveur avec AWS Key Management Service dans des scénarios entre comptes, consultez Octroi d'autorisations supplémentaires pour les scénarios à plusieurs comptes.

Pour configurer la réplication lorsque les compartiments source et de destination appartiennent à des entités différentes Comptes AWS

  1. Dans cet exemple, vous créez des compartiments source et de destination dans deux compartiments différents Comptes AWS. Vous devez définir deux profils d'identification pour le AWS CLI (dans cet exemple, nous utilisons acctA et acctB pour les noms de profil). Pour plus d’informations sur la définition de profils d’informations d’identification, consultez Profils nommés dans le Guide de l’utilisateur AWS Command Line Interface .

  2. Suivez les step-by-step instructions en Configuration pour des compartiments dans le même compte apportant les modifications suivantes :

    • Pour toutes les AWS CLI commandes liées aux activités du compartiment source (pour créer le compartiment source, activer le versionnement et créer le rôle IAM), utilisez le acctA profil. Utilisez le profil acctB pour créer le compartiment de destination.

    • Assurez-vous que la stratégie d'autorisations spécifie les compartiments source et de destination que vous avez créés pour cet exemple.

  3. Dans la console, ajoutez la stratégie de compartiment suivante au compartiment de destination pour autoriser le propriétaire du compartiment source à répliquer des objets. Veillez à modifier la politique en fournissant l' Compte AWS ID du propriétaire du compartiment source et le nom du compartiment de destination.

    Note

    Pour utiliser l'exemple suivant, remplacez user input placeholders par vos propres informations. Remplacez DOC-EXAMPLE-BUCKET par le nom de votre compartiment de destination. Remplacez source-bucket-acct-ID:role/service-role/source-acct-iam-role par le rôle que vous utilisez pour cette configuration de réplication.

    Si vous avez créé la fonction du service IAM manuellement, définissez le chemin du rôle sur role/service-role/, comme indiqué dans l'exemple de politique ci-dessous. Pour plus d’informations, consultez ARN IAM dans le Guide de l’utilisateur IAM. 

    {
   "Version":"2012-10-17",
   "Id":"",
   "Statement":[
      {
         "Sid":"Set-permissions-for-objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::source-bucket-acct-ID:role/service-role/source-acct-IAM-role"
         },
         "Action":["s3:ReplicateObject", "s3:ReplicateDelete"],
         "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
      },
      {
         "Sid":"Set permissions on bucket",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::source-bucket-acct-ID:role/service-role/source-acct-IAM-role"
         },
         "Action":["s3:List*", "s3:GetBucketVersioning", "s3:PutBucketVersioning"],
         "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET"
      }
   ]
}

Choisissez le compartiment et ajoutez la stratégie de compartiment. Pour obtenir des instructions, veuillez consulter Ajout d'une stratégie de compartiment à l'aide de la console Amazon S3.

Dans une réplication, par défaut, le réplica appartient au propriétaire de l'objet source. Lorsque les compartiments source et de destination appartiennent à des propriétaires différents Comptes AWS, vous pouvez ajouter des paramètres de configuration facultatifs pour remplacer la propriété des répliques par le Compte AWS propriétaire des compartiments de destination. Cela comprend l'octroi de l'autorisation ObjectOwnerOverrideToBucketOwner. Pour plus d’informations, consultez Modification du propriétaire d'un réplica.