Utilisation des opérations par lots pour activer les clés de compartiment S3 pour SSE - KMS - Amazon Simple Storage Service
Considérations relatives à l'utilisation des opérations par lots S3 pour chiffrer des objets lorsque les clés de compartiment S3 sont activéesPrérequisÉtape 1 : obtenir votre liste d'objets à l'aide d'Amazon S3 InventoryÉtape 2 : Filtrer votre liste d'objets avec S3 SelectÉtape 3 : Configurer et exécuter votre tâche d'opérations par lot S3

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des opérations par lots pour activer les clés de compartiment S3 pour SSE - KMS

Les clés de compartiment S3 réduisent le coût du chiffrement côté serveur grâce à AWS Key Management Service (AWS KMS) (SSE-KMS) en diminuant le trafic de requêtes d'Amazon S3 vers. AWS KMS Pour plus d’informations, consultez Réduction du coût de SSE : KMS avec les clés de compartiment Amazon S3 et Configuration de votre compartiment pour utiliser une clé de compartiment S3 avec SSE : KMS pour les nouveaux objets. Lorsque vous effectuez une CopyObject opération à l'aide du ou REST API AWS SDKs AWS CLI, vous pouvez activer ou désactiver une clé de compartiment S3 au niveau de l'objet en ajoutant l'en-tête de x-amz-server-side-encryption-bucket-key-enabled demande avec une false valeur true ou.

Lorsque vous configurez une clé de compartiment S3 pour un objet à l'aide d'une CopyObject opération, Amazon S3 met à jour uniquement les paramètres de cet objet. Les paramètres de la clé de compartiment S3 pour le compartiment de destination ne changent pas. Si vous soumettez une CopyObject demande pour un objet AWS KMS chiffré à un compartiment dans lequel les clés de compartiment S3 sont activées, votre opération au niveau de l'objet utilisera automatiquement les clés de compartiment S3, sauf si vous désactivez les clés dans l'en-tête de la demande. Si vous ne spécifiez pas de clé de compartiment S3 pour votre objet, Amazon S3 applique les paramètres de clé de compartiment S3 du compartiment de destination à l'objet.

Pour chiffrer vos objets Amazon S3 existants, vous pouvez utiliser S3 Batch Operations. Vous pouvez utiliser l'opération de copie des opérations par lot pour copier des objets non chiffrés et les réécrire dans le même compartiment en tant qu'objets chiffrés. Pour plus d'informations, consultez la section Chiffrement d'objets avec Amazon S3 Batch Operations sur le blog AWS de stockage.

Dans l'exemple suivant, vous utilisez l'opération Batch Operations Copy pour activer les clés de compartiment S3 sur des objets existants. Pour de plus amples informations, veuillez consulter Configuration d'une clé de compartiment S3 au niveau d'un objet .

Considérations relatives à l'utilisation des opérations par lots S3 pour chiffrer des objets lorsque les clés de compartiment S3 sont activées

Tenez compte des problèmes suivants lorsque vous utilisez S3 Batch Operations pour chiffrer des objets lorsque les clés de compartiment S3 sont activées :

  • Vous serez facturé pour les tâches, objets et demandes d'opérations par lot S3 en plus des frais associés à ce que les opérations par lot S3 accomplissent en votre nom, dont les transferts de données, les demandes, ainsi que d'autres frais. Pour de plus amples informations, veuillez consulter Tarification Amazon S3.

  • Si vous utilisez un compartiment avec gestion des versions, chaque tâche d'opérations par lot S3 effectuée crée de nouvelles versions chiffrées de vos objets. Elle conserve également les versions précédentes sans clé de compartiment S3 configurée. Pour supprimer les anciennes versions, configurez une stratégie d'expiration du cycle de vie S3 pour les versions non actuelles, comme décrit dans Éléments de la configuration du cycle de vie.

  • L'opération de copie crée de nouveaux objets avec de nouvelles dates de création, ce qui peut affecter des actions du cycle de vie telles que l'archivage. Si vous copiez tous les objets dans votre compartiment, toutes les nouvelles copies ont des dates de création identiques ou similaires. Pour mieux identifier ces objets et créer différentes règles de cycle de vie pour différents sous-ensembles de données, envisagez d'utiliser des étiquettes d'objet.

Prérequis

Avant de configurer vos objets pour qu'ils utilisent une clé de compartiment S3, vérifiezModifications à prendre en compte avant d'activer une clé de compartiment S3.

Pour utiliser cet exemple, vous devez disposer d'un compartiment S3 Compte AWS et d'au moins un compartiment S3 pour contenir vos fichiers de travail et vos résultats chiffrés. Il se peut également que vous trouviez des informations utiles dans une grande partie de la documentation existante sur les opérations par lot S3, dont les rubriques suivantes :

Étape 1 : obtenir votre liste d'objets à l'aide d'Amazon S3 Inventory

Pour commencer, identifiez le compartiment S3 contenant les objets à chiffrer, et obtenez la liste de son contenu. Un rapport d'inventaire Amazon S3 est le moyen le plus pratique et le plus abordable de le faire. Le rapport fournit la liste des objets d'un bucket ainsi que leurs métadonnées associées. Dans cette étape, le compartiment source est le compartiment inventorié, et le compartiment de destination est le compartiment dans lequel vous stockez le fichier de rapport d'inventaire. Pour de plus amples informations sur les compartiments sources et de destination de l'inventaire Amazon S3, veuillez consulter Catalogage et analyse de vos données avec S3 Inventory.

La manière la plus simple de configurer un inventaire consiste à utiliser la AWS Management Console. Mais vous pouvez également utiliser le RESTAPI, AWS Command Line Interface (AWS CLI) ou AWS SDKs. Avant de suivre ces étapes, assurez-vous de vous connecter à la console et d'ouvrir la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/. Si vous rencontrez des erreurs de refus d'autorisation, ajoutez une stratégie de compartiment à votre compartiment de destination. Pour de plus amples informations, veuillez consulter Accorder des autorisations pour l'inventaire S3 et les analyses S3..

Pour obtenir une liste d'objets à l'aide d'un inventaire S3

  1. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation de gauche, choisissez Buckets, puis choisissez un bucket contenant des objets à chiffrer.

  3. Sous l'onglet Management (Gestion), accédez à la section Inventory configurations (Configurations d'inventaire), puis choisissez Create inventory configuration (Créer une configuration d'inventaire).

  4. Donnez un nom à votre nouvel inventaire, entrez le nom du compartiment S3 de destination, et créez éventuellement un préfixe de destination pour Amazon S3 afin d'affecter des objets dans ce compartiment.

  5. Pour Format de sortie, choisissez CSV.

  6. (Facultatif) Dans la section Champs supplémentaires - facultatif, choisissez Chiffrement et les autres champs de rapport qui vous intéressent. Définissez la fréquence de livraison des rapports sur Daily (Quotidienne) afin que le premier rapport soit livré à votre compartiment plus tôt.

  7. Choisissez Create (Créer) pour enregistrer votre configuration.

Amazon S3 peut prendre jusqu'à 48 heures pour livrer le premier rapport. Guettez donc l'arrivée de votre premier rapport. Après avoir reçu votre premier rapport, passez à l'étape suivante pour filtrer le contenu de votre rapport d'inventaire S3. Si vous ne souhaitez plus recevoir de rapports d'inventaire pour ce compartiment, supprimez votre configuration d'inventaire S3. Dans le cas contraire, Amazon S3 continue de fournir des rapports selon un calendrier quotidien ou hebdomadaire.

Une liste d'inventaire n'est pas une point-in-time vue unique de tous les objets. Une liste d'inventaire est un instantané évolutif des éléments d'un compartiment, qui sont finalement cohérents (par exemple, il se peut que la liste n'inclue pas certains objets récemment ajoutés ou supprimés). La combinaison de l'inventaire S3 et des opérations par lot S3 fonctionne de façon optimale lorsque vous travaillez avec des objets statiques, ou avec un ensemble d'objets que vous avez créé au moins deux jours auparavant. Pour travailler avec des données plus récentes, utilisez le ListObjectsV2APIopération (GETbucket) pour créer votre liste d'objets manuellement. Si nécessaire, répétez le processus au cours des prochains jours ou jusqu'à ce que votre rapport d'inventaire indique le statut souhaité pour tous les objets.

Étape 2 : Filtrer votre liste d'objets avec S3 Select

Après avoir reçu votre rapport d'inventaire S3, vous pouvez filtrer le contenu du rapport pour répertorier uniquement les objets qui ne sont pas chiffrés lorsque les clés de compartiment S3 sont activées. Si vous souhaitez que tous les objets de votre compartiment soient chiffrés avec les clés de compartiment S3 activées, vous pouvez ignorer cette étape. Toutefois, le filtrage de votre rapport d'inventaire S3 à ce stade vous permet d'économiser du temps et de l'argent en rechiffrant les objets que vous avez précédemment chiffrés avec les clés de compartiment S3 activées.

Bien que les étapes suivantes indiquent comment filtrer à l'aide d'Amazon S3 Select, vous pouvez également utiliser Amazon Athena. Pour décider de l'outil à utiliser, consultez le fichier manifest.json de votre rapport d'inventaire S3. Ce fichier répertorie le nombre de fichiers de données associés à ce rapport. Si ce nombre est conséquent, utilisez le service Amazon Athena, car il s'exécute sur plusieurs objets S3, tandis que S3 Select opère sur un objet à la fois. Pour plus d'informations sur l'utilisation conjointe d'Amazon S3 et Athena, consultez Interrogation d'un inventaire Amazon S3 avec Amazon Athena la section « Utilisation d'Athena » dans le billet de blog sur le AWS stockage Encrypting objects with Amazon S3 Batch Operations.

Pour filtrer votre rapport d'inventaire S3 à l'aide de S3 Select

  1. Ouvrez le manifest.json fichier à partir de votre rapport d'inventaire et consultez la fileSchema section duJSON. Celle-ci informe la requête que vous exécutez sur les données.

    JSONVoici un exemple de manifest.json fichier d'inventaire CSV formaté sur un compartiment avec le contrôle des versions activé. L'aspect de votre manifeste peut varier selon la façon dont vous avez configuré votre rapport d'inventaire.

      {
    "sourceBucket": "batchoperationsdemo",
    "destinationBucket": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
    "version": "2021-05-22",
    "creationTimestamp": "1558656000000",
    "fileFormat": "CSV",
    "fileSchema": "Bucket, Key, VersionId, IsLatest, IsDeleteMarker, BucketKeyStatus",
    "files": [
      {
        "key": "demoinv/batchoperationsdemo/DemoInventory/data/009a40e4-f053-4c16-8c75-6100f8892202.csv.gz",
        "size": 72691,
        "MD5checksum": "c24c831717a099f0ebe4a9d1c5d3935c"
      }
    ]
  }

    Si la gestion des versions n'est pas activée sur le compartiment, ou si vous choisissez d'exécuter le rapport pour les dernières versions, le fileSchema est Bucket, Key et BucketKeyStatus.

    Si la gestion des versions est activée, selon la façon dont vous avez configuré le rapport d'inventaire, le fileSchema peut inclure les éléments suivants : Bucket, Key, VersionId, IsLatest, IsDeleteMarker et BucketKeyStatus. Soyez donc attentif aux colonnes 1, 2, 3 et 6 lorsque vous exécutez votre requête.

    Les opérations par lot S3 ont besoin du compartiment, de la clé et de l'ID de version entrés pour effectuer la tâche, en plus du champ sur lequel effectuer la recherche, qui est BucketKeyStatus. Vous n'avez pas besoin du VersionID champ, mais il est utile de le VersionID spécifier lorsque vous utilisez un bucket versionné. Pour de plus amples informations, veuillez consulter Utiliser des objets dans un compartiment activé pour la gestion des versions.

  2. Recherchez les fichiers de données pour le rapport d'inventaire. L'objet manifest.json répertorie les fichiers de données sous files.

  3. Après avoir localisé et sélectionné le fichier de données dans la console S3, choisissez Actions, puis Query with S3 Select (Requête avec S3 Select).

  4. Conservez le préréglage CSV, la virgule et GZIPles champs sélectionnés, puis choisissez Next.

  5. Pour réviser le format de votre rapport d'inventaire avant de poursuivre, choisissez Afficher l'aperçu du fichier.

  6. Entrez les colonnes à référencer dans le champ SQL d'expression, puis choisissez Exécuter SQL. L'expression suivante renvoie les colonnes 1 à 3 pour tous les objets sans clé de compartiment S3 configurée.

    select s._1, s._2, s._3 from s3object s where s._6 = 'DISABLED'

    Voici quelques exemples de résultats.

          batchoperationsdemo,0100059%7Ethumb.jpg,lsrtIxksLu0R0ZkYPL.LhgD5caTYn6vu
      batchoperationsdemo,0100074%7Ethumb.jpg,sd2M60g6Fdazoi6D5kNARIE7KzUibmHR
      batchoperationsdemo,0100075%7Ethumb.jpg,TLYESLnl1mXD5c4BwiOIinqFrktddkoL
      batchoperationsdemo,0200147%7Ethumb.jpg,amufzfMi_fEw0Rs99rxR_HrDFlE.l3Y0
      batchoperationsdemo,0301420%7Ethumb.jpg,9qGU2SEscL.C.c_sK89trmXYIwooABSh
      batchoperationsdemo,0401524%7Ethumb.jpg,ORnEWNuB1QhHrrYAGFsZhbyvEYJ3DUor
      batchoperationsdemo,200907200065HQ%7Ethumb.jpg,d8LgvIVjbDR5mUVwW6pu9ahTfReyn5V4
      batchoperationsdemo,200907200076HQ%7Ethumb.jpg,XUT25d7.gK40u_GmnupdaZg3BVx2jN40
      batchoperationsdemo,201103190002HQ%7Ethumb.jpg,z.2sVRh0myqVi0BuIrngWlsRPQdb7qOS

  7. Téléchargez les résultats, enregistrez-les dans un CSV format et chargez-les sur Amazon S3 sous forme de liste d'objets pour la tâche S3 Batch Operations.

  8. Si vous avez plusieurs fichiers manifeste, exécutez une Requête avec S3 Select sur ceux-ci. En fonction de la taille des résultats, vous pouvez combiner les listes et exécuter un seule tâche d'opérations par lot S3, ou exécuter chaque liste en tant que tâche distincte. Pour décider du nombre de tâches à exécuter, considérez le coût de l'exécution de chaque tâche S3 Batch Operations.

Étape 3 : Configurer et exécuter votre tâche d'opérations par lot S3

Maintenant que vous avez filtré vos CSV listes d'objets S3, vous pouvez commencer la tâche S3 Batch Operations pour chiffrer les objets avec les clés de compartiment S3 activées.

Une tâche fait référence collectivement à la liste (manifeste) d'objets fournis, à l'opération effectuée et aux paramètres spécifiés. Le moyen le plus simple de chiffrer cet ensemble d'objets avec les clés de compartiment S3 activées consiste à utiliser l'opération Copy et à spécifier le même préfixe de destination que les objets répertoriés dans le manifeste. Dans un compartiment non versionné, cette opération remplace les objets existants. Dans un compartiment dont la gestion des versions est activée, cette opération crée une version cryptée plus récente des objets.

Dans le cadre de la copie des objets, spécifiez qu'Amazon S3 doit chiffrer les objets avec le KMS chiffrement SSE -. Cette tâche copie les objets, de sorte que tous vos objets afficheront une date de création mise à jour une fois terminés, quelle que soit la date à laquelle vous les avez initialement ajoutés à Amazon S3. Dans le cadre de la tâche d'opérations par lot S3, spécifiez également les autres propriétés de votre ensemble d'objets, y compris les étiquettes d'objet et la classe de stockage.

Configurez votre IAM politique

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation de gauche, choisissez Policy, puis Create policy.

  3. Choisissez l'JSONonglet. Choisissez Modifier la politique et ajoutez l'exemple IAM de politique qui apparaît dans le bloc de code suivant.

    Après avoir copié l'exemple de politique dans votre IAMconsole, remplacez ce qui suit :

    1. amzn-s3-demo-source-bucketRemplacez-le par le nom du compartiment source à partir duquel copier les objets.

    2. amzn-s3-demo-destination-bucketRemplacez-le par le nom du compartiment de destination dans lequel vous souhaitez copier les objets.

    3. Remplacez amzn-s3-demo-manifest-bucket/manifest-key par le nom de votre objet manifeste.

    4. amzn-s3-demo-completion-report-bucketRemplacez-le par le nom du compartiment dans lequel vous souhaitez enregistrer vos rapports d'achèvement.

      {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Sid": "CopyObjectsToEncrypt",
        "Effect": "Allow",
        "Action": [
          "s3:PutObject",
          "s3:PutObjectTagging",
          "s3:PutObjectAcl",
          "s3:PutObjectVersionTagging",
          "s3:PutObjectVersionAcl",
          "s3:GetObject",
          "s3:GetObjectAcl",
          "s3:GetObjectTagging",
          "s3:GetObjectVersion",
          "s3:GetObjectVersionAcl",
          "s3:GetObjectVersionTagging"
        ],
        "Resource": [
          "arn:aws:s3:::amzn-s3-demo-source-bucket/*",
          "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
        ]
      },
      {
        "Sid": "ReadManifest",
        "Effect": "Allow",
        "Action": [
          "s3:GetObject",
          "s3:GetObjectVersion"
        ],
        "Resource": "arn:aws:s3:::amzn-s3-demo-manifest-bucket/manifest-key"
      },
      {
        "Sid": "WriteReport",
        "Effect": "Allow",
        "Action": [
          "s3:PutObject"
        ],
        "Resource": "arn:aws:s3:::amzn-s3-demo-completion-report-bucket/*"
      }
    ]
  }

  4. Choisissez Next: Tags (Suivant : Étiquettes).

  5. Ajoutez les étiquettes de votre choix (facultatif), puis choisissez Next: Review (Suivant : Vérification).

  6. Ajoutez un nom de stratégie et, éventuellement, une description, puis choisissez Create policy (Créer une stratégie).

  7. Choisissez Review policy (Examiner une stratégie), puis Save changes (Enregistrer les modifications).

  8. Votre politique S3 Batch Operations étant maintenant terminée, la console vous renvoie à la page IAM Politiques. Filtrez le nom de stratégie, choisissez le bouton situé à gauche du nom de stratégie, choisissez Policy actions (Actions de stratégie), puis Attach (Attacher).

    Pour associer la politique nouvellement créée à un IAM rôle, sélectionnez les utilisateurs, groupes ou rôles appropriés dans votre compte, puis choisissez Attacher une politique. Cela vous ramène à la IAM console.

Configurer votre IAM rôle Batch Operations

  1. Sur la IAMconsole, dans le volet de navigation, sélectionnez Rôles, puis sélectionnez Créer un rôle.

  2. Sélectionnez Service AWS, S3 et Opérations par lots S3. Choisissez ensuite Suivant : Autorisations.

  3. Commencez à saisir le nom de la IAM politique que vous venez de créer. Activez la case à cocher en regard du nom de stratégie quand il s'affiche, puis choisissez Next: Tags (Suivant : Étiquettes).

  4. (Facultatif) Ajoutez des étiquettes ou gardez les champs de clé et de valeur vides pour cet exercice. Choisissez Next: Review (Suivant : Vérification).

  5. Entrez un nom de rôle, puis acceptez la description par défaut ou ajoutez la vôtre. Sélectionnez Create role (Créer un rôle).

  6. Assurez-vous que l'utilisateur qui crée la tâche dispose des autorisations décrites dans l'exemple suivant.

    account-idRemplacez-le par votre Compte AWS identifiant et IAM-role-name par le nom que vous prévoyez d'appliquer au IAM rôle que vous allez créer ultérieurement lors de l'étape de création de la tâche Batch Operations. Pour de plus amples informations, veuillez consulter Octroi d'autorisations pour les opérations par lots.

                {
            "Sid": "AddIamPermissions",
            "Effect": "Allow",
            "Action": [
            "iam:GetRole",
            "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::account-id:role/IAM-role-name"
            }

Activer les clés de compartiment S3 pour un compartiment existant

  1. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans la liste Compartiments, choisissez le compartiment pour lequel vous souhaitez activer une clé de compartiment S3.

  3. Choisissez Propriétés.

  4. Sous Default encryption (Chiffrement par défaut), choisissez Edit (Modifier).

  5. Sous Type de chiffrement, vous pouvez choisir entre les clés gérées par Amazon S3 (SSE-S3) et la AWS Key Management Service clé (SSE-KMS).

  6. Si vous avez choisi AWS Key Management Service la touche (SSE-KMS), sous AWS KMS key, vous pouvez spécifier la AWS KMS clé à l'aide de l'une des options suivantes.

    • Pour choisir parmi la liste des KMS touches disponibles, choisissez Choisir parmi vos AWS KMS clés. Dans la liste des clés disponibles, choisissez une KMS clé de chiffrement symétrique dans la même région que votre bucket. La clé AWS gérée (aws/s3) et les clés gérées par votre client apparaissent toutes deux dans la liste.

    • Pour saisir la KMS cléARN, choisissez la AWS KMS touche Entrée ARN, puis entrez votre KMS clé ARN dans le champ qui apparaît.

    • Pour créer une nouvelle clé gérée par le client dans la AWS KMS console, choisissez Create a KMS key.

  7. Sous Bucket Key (Clé de compartiment), choisissez Enable (Activer), puis Save changes (Enregistrer les modifications).

Maintenant qu'une clé de compartiment S3 est activée au niveau du compartiment, les objets chargés, modifiés ou copiés dans ce compartiment hériteront de cette configuration de chiffrement par défaut. Cela inclut les objets copiés à l'aide d'opérations par lot Amazon S3.

Créer votre tâche d'opérations par lot

  1. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation, choisissez Opérations par lot, puis Créer une tâche.

  3. Choisissez la région dans laquelle vous stockez vos objets et CSVchoisissez-la comme type de manifeste.

  4. Entrez le chemin ou accédez au fichier CSV manifeste que vous avez créé précédemment à partir des résultats de S3 Select (ou Athena). Si votre manifeste contient une versionIDs, cochez cette case. Choisissez Suivant.

  5. Choisissez l'opération Copy (Copier), le compartiment de destination de la copie. Vous pouvez maintenir le chiffrement côté serveur désactivé. Tant que les clés de compartiment S3 sont activées pour la destination du compartiment, l'opération de copie applique ces clés à ce compartiment.

  6. (Facultatif) Choisissez une classe de stockage et les autres paramètres souhaités. Les paramètres que vous spécifiez dans cette étape s'appliquent à toutes les opérations effectuées sur les objets répertoriés dans le manifeste. Choisissez Suivant.

  7. Pour configurer le chiffrement côté serveur, procédez comme suit :

    1. Sous Chiffrement côté serveur, choisissez l'une des options suivantes :

      • Pour conserver les paramètres du compartiment pour le chiffrement côté serveur par défaut des objets lors de leur stockage dans Amazon S3, choisissez Ne pas spécifier de clé de chiffrement. Tant que les clés de compartiment S3 sont activées pour la destination du compartiment, l'opération de copie applique une clé de compartiment S3 au compartiment de destination.

        Note

        Si la politique de compartiment pour la destination spécifiée exige que les objets soient chiffrés avant de les stocker dans Amazon S3, vous devez spécifier une clé de chiffrement. Sinon, la copie des objets vers la destination échouera.

      • Pour chiffrer des objets avant de les stocker dans Amazon S3, choisissez Spécifier une clé de chiffrement.

    2. Dans Paramètres de chiffrement, si vous choisissez Spécifier une clé de chiffrement, vous devez choisir Utiliser les paramètres du compartiment de destination pour le chiffrement par défaut ou Ignorer les paramètres du compartiment de destination pour le chiffrement par défaut.

    3. Si vous choisissez Ignorer les paramètres du compartiment de destination pour le chiffrement par défaut, vous devez configurer les paramètres de chiffrement suivants.

      1. Sous Type de chiffrement, vous devez choisir les clés gérées par Amazon S3 (SSE-S3) ou la AWS Key Management Service clé (SSE-KMS). SSE-S3 utilise l'un des chiffrements par blocs les plus puissants : la norme de chiffrement avancée 256 bits (AES-256) pour chiffrer chaque objet. SSE- vous KMS permet de mieux contrôler votre clé. Pour plus d’informations, consultez Utilisation du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) et Utilisation du chiffrement côté serveur avec des AWS KMS clés (SSE-) KMS.

      2. Si vous choisissez la AWS Key Management Service touche (SSE-KMS), sous AWS KMS key, vous pouvez le spécifier AWS KMS key à l'aide de l'une des options suivantes.

        • Pour choisir parmi la liste des KMS clés disponibles, choisissez Choisir parmi vos AWS KMS keys, puis choisissez une KMS clé de chiffrement symétrique dans la même région que votre compartiment. La clé AWS gérée (aws/s3) et les clés gérées par votre client apparaissent toutes deux dans la liste.

        • Pour saisir la KMS cléARN, choisissez la AWS KMS touche Entrée ARN, puis entrez votre KMS clé ARN dans le champ qui apparaît.

        • Pour créer une nouvelle clé gérée par le client dans la AWS KMS console, choisissez Create a KMS key.

      3. Sous Clé de compartiment, choisissez Activer. L'opération de copie applique une clé de compartiment S3 au compartiment de destination.

  8. Saisissez une description pour votre tâche (ou conservez la description par défaut), définissez son niveau de priorité, choisissez un type de rapport, puis spécifiez le Path to completion report destination (Chemin d'accès de la destination du rapport de fin de tâche).

  9. Dans la section Autorisations, veillez à choisir le IAM rôle Batch Operations que vous avez défini précédemment. Choisissez Suivant.

  10. Sous Review (Vérification), vérifiez les paramètres. Si vous voulez apporter des modifications, choisissez Previous (Précédent). Après avoir confirmé les paramètres d'opérations par lot, choisissez Create job (Créer une tâche).

    Pour de plus amples informations, veuillez consulter Création d'une tâche d'opérations par lot S3.

Exécuter votre tâche d'opérations par lot

L'assistant de configuration vous renvoie automatiquement à la section Opérations par lot S3 de la console Amazon S3. Votre nouvelle tâche passe de l'état New (Nouvelle) à l'état Preparing (Préparation) quand S3 commence le processus. Pendant la phase de préparation, S3 lit le manifeste de la tâche, vérifie s'il contient des erreurs, et calcule le nombre d'objets.

  1. Choisissez le bouton d'actualisation dans la console Amazon S3 pour vérifier la progression. Selon la taille du manifeste, la lecture peut prendre des minutes ou des heures.

  2. Quand S3 finit de lire le manifeste de la tâche, la tâche passe à l'état Awaiting your confirmation (En attente de confirmation). Cliquez sur le bouton d'option à gauche de l'ID de tâche, puis choisissez Run job (Exécuter la tâche).

  3. Vérifiez les paramètres de la tâche, puis, dans le coin inférieur droit choisissez Run job (Exécuter la tâche).

    Lorsque la tâche commence à s'exécuter, vous pouvez choisir le bouton d'actualisation pour vérifier sa progression dans l'affichage du tableau de bord de la console ou en sélectionnant la tâche.

  4. Une fois la tâche est terminée, vous pouvez afficher les informationsSuccèsandÉcheccompte pour confirmer que tout a été effectué comme prévu. Si vous avez activé les rapports de tâche, vérifiez dans votre rapport de tâche la cause exacte de toute opération ayant échoué.

    Vous pouvez également effectuer ces étapes en utilisant le AWS CLI AWS SDKs, ou Amazon S3 RESTAPI. Pour plus d'informations sur le suivi de l'état des tâches et les rapports de fin de tâche, veuillez consulterSuivi de l'état de la tâche et des rapports de fin de tâche.