Utilisation d'opérations pat lot S3 pour chiffrer des objets avec des clés de compartiment S3 - Amazon Simple Storage Service
PrérequisÉtape 1 : obtenir votre liste d'objets à l'aide d'Amazon S3 InventoryÉtape 2 : Filtrer votre liste d'objets avec S3 SelectÉtape 3 : Configurer et exécuter votre tâche d'opérations par lot S3Récapitulatif

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'opérations pat lot S3 pour chiffrer des objets avec des clés de compartiment S3

Dans cette section, vous allez utiliser l'opération de copie des opérations par lot Amazon S3 pour identifier et activer le chiffrement de clés de compartiment S3 sur des objets existants. Pour de plus amples informations sur les clés de compartiment S3, veuillez consulter Réduction du coût du SSE-KMS avec les clés de compartiment Amazon S3 et Configuration de votre compartiment de sorte qu'il utilise une clé de compartiment S3 avec SSE-KMS pour de nouveaux objets.

Les rubriques abordées dans cet exemple sont les suivantes :

Prérequis

Pour suivre les étapes de cette procédure, vous devez avoir un Compte AWS et au moins un compartiment S3 pour accueillir vos fichiers de travail et vos résultats chiffrés. Il se peut également que vous trouviez des informations utiles dans une grande partie de la documentation existante sur les opérations par lot S3, dont les rubriques suivantes :

Étape 1 : obtenir votre liste d'objets à l'aide d'Amazon S3 Inventory

Pour commencer, identifiez le compartiment S3 contenant les objets à chiffrer, et obtenez la liste de son contenu. Un rapport d'inventaire Amazon S3 est le moyen le plus pratique et le plus abordable de le faire. Le rapport fournit la liste des objets dans un compartiment ainsi que les métadonnées associées. Le compartiment source fait référence au compartiment inventorié, et le compartiment de destination au compartiment dans lequel vous stockez le fichier de rapport d'inventaire. Pour de plus amples informations sur les compartiments sources et de destination de l'inventaire Amazon S3, veuillez consulter Inventaire Simple Storage Service (Amazon S3).

La manière la plus simple de configurer un inventaire consiste à utiliser la AWS Management Console. Vous pouvez également utiliser l'API REST, la AWS Command Line Interface (AWS CLI) ou les kits SDK AWS. Avant de suivre ces étapes, veillez à vous connecter à la console et à ouvrir la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/. Si vous rencontrez des erreurs de refus d'autorisation, ajoutez une stratégie de compartiment à votre compartiment de destination. Pour plus d’informations, consultez Accorder des autorisations pour l'inventaire S3 et les analyses S3..

Pour obtenir une liste d'objets à l'aide d'un inventaire S3

  1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation, choisissez Buckets (Compartiments) et sélectionnez un compartiment contenant des objets à chiffrer.

  3. Sous l'onglet Management (Gestion), accédez à la section Inventory configurations (Configurations d'inventaire), puis choisissez Create inventory configuration (Créer une configuration d'inventaire).

  4. Donnez un nom à votre nouvel inventaire, entrez le nom du compartiment S3 de destination, et créez éventuellement un préfixe de destination pour Amazon S3 afin d'affecter des objets dans ce compartiment.

  5. Pour Output format (Format de sortie), choisissez CSV.

  6. (Facultatif) Dans la section Champs supplémentaires - facultatif, choisissez Chiffrement et les autres champs de rapport qui vous intéressent. Définissez la fréquence de livraison des rapports sur Daily (Quotidienne) afin que le premier rapport soit livré à votre compartiment plus tôt.

  7. Choisissez Create (Créer) pour enregistrer votre configuration.

Amazon S3 peut prendre jusqu'à 48 heures pour livrer le premier rapport. Guettez donc l'arrivée de votre premier rapport. Après avoir reçu votre premier rapport, passez à la section suivante pour filtrer le contenu de votre rapport S3 Inventory. Si vous ne souhaitez plus recevoir de rapports d'inventaire pour ce compartiment, supprimez votre configuration d'inventaire S3. Autrement, S3 livre les rapports à une fréquence quotidienne ou hebdomadaire.

Une liste d'inventaire n'est pas une point-in-time vue unique de tous les objets. Une liste d'inventaire est un instantané évolutif des éléments d'un compartiment, qui sont finalement cohérents (par exemple, il se peut que la liste n'inclue pas certains objets récemment ajoutés ou supprimés). La combinaison de l'inventaire S3 et des opérations par lot S3 fonctionne de façon optimale lorsque vous travaillez avec des objets statiques, ou avec un ensemble d'objets que vous avez créé au moins deux jours auparavant. Pour utiliser des données plus récentes, utilisez l'opération d'API ListObjectsV2 (GET Bucket) pour créer votre liste d'objets manuellement. Si nécessaire, répétez le processus pendant quelques jours ou jusqu'à ce que votre rapport d'inventaire affiche l'état souhaité pour toutes les clés.

Étape 2 : Filtrer votre liste d'objets avec S3 Select

Après avoir reçu votre rapport S3 Inventory, vous pouvez filtrer son contenu pour répertorier uniquement les objets qui ne sont pas chiffrés avec des clés de compartiment S3. Si vous voulez que tous les objets de votre compartiment soient chiffrés avec des clés de compartiment S3, vous pouvez ignorer cette étape. Toutefois, le filtrage de votre rapport d'inventaire S3 à ce stade vous permet d'économiser du temps et de l'argent en lien avec le re-chiffrement d'objets que vous avez chiffrés précédemment.

Bien que les étapes suivantes montrent comment filtrer à l'aide d'Amazon S3 Select, vous pouvez également utiliser Amazon Athena. Pour décider de l'outil à utiliser, consultez le fichier manifest.json de votre rapport d'inventaire S3. Ce fichier répertorie le nombre de fichiers de données associés à ce rapport. Si ce nombre est conséquent, utilisez le service Amazon Athena, car il s'exécute sur plusieurs objets S3, tandis que S3 Select opère sur un objet à la fois. Pour de plus amples informations sur l'utilisation d'Amazon S3 et d'Athena ensemble, veuillez consulter Interrogation d'un inventaire Amazon S3 avec Amazon Athena et Utilisation d'Athena dans le billet de blog Chiffrement d'objets avec des opérations par lot Amazon S3.

Pour filtrer votre rapport d'inventaire S3 en utilisant S3 Select

  1. Ouvrez le fichier manifest.json à partir de votre rapport d'inventaire et consultez la section fileSchema du fichier JSON. Celle-ci informe la requête que vous exécutez sur les données.

    Le JSON suivant est un exemple de fichier manifest.json pour un inventaire au format CSV dans un compartiment pour lequel la gestion des versions est activée. L'aspect de votre manifeste peut varier selon la façon dont vous avez configuré votre rapport d'inventaire.

      {
    "sourceBucket": "batchoperationsdemo",
    "destinationBucket": "arn:aws:s3:::testbucket",
    "version": "2021-05-22",
    "creationTimestamp": "1558656000000",
    "fileFormat": "CSV",
    "fileSchema": "Bucket, Key, VersionId, IsLatest, IsDeleteMarker, BucketKeyStatus",
    "files": [
      {
        "key": "demoinv/batchoperationsdemo/DemoInventory/data/009a40e4-f053-4c16-8c75-6100f8892202.csv.gz",
        "size": 72691,
        "MD5checksum": "c24c831717a099f0ebe4a9d1c5d3935c"
      }
    ]
  }

    Si la gestion des versions n'est pas activée sur le compartiment, ou si vous choisissez d'exécuter le rapport pour les dernières versions, le fileSchema est Bucket, Key et BucketKeyStatus.

    Si la gestion des versions est activée, selon la façon dont vous avez configuré le rapport d'inventaire, le fileSchema peut inclure les éléments suivants : Bucket, Key, VersionId, IsLatest, IsDeleteMarker et BucketKeyStatus. Soyez donc attentif aux colonnes 1, 2, 3 et 6 lorsque vous exécutez votre requête.

    Les opérations par lot S3 ont besoin du compartiment, de la clé et de l'ID de version entrés pour effectuer la tâche, en plus du champ sur lequel effectuer la recherche, qui est BucketKeyStatus. Vous n'avez pas besoin du champ d'ID de version, mais il est utile de le spécifier lorsque vous opérez sur un compartiment avec la gestion des versions. Pour plus d’informations, consultez Utiliser des objets dans un compartiment activé pour la gestion des versions.

  2. Recherchez les fichiers de données pour le rapport d'inventaire. L'objet manifest.json répertorie les fichiers de données sous files.

  3. Après avoir localisé et sélectionné le fichier de données dans la console S3, choisissez Actions, puis Query with S3 Select (Requête avec S3 Select).

  4. Conservez la sélection des champs prédéfinis CSV,Comma, et GZIP, puis choisissez Next (Suivant).

  5. Pour réviser le format de votre rapport d'inventaire avant de poursuivre, choisissez Afficher l'aperçu du fichier.

  6. Saisissez les colonnes à référencer dans la zone d'expression SQL, puis sélectionnez Run SQL (Exécuter SQL). L'expression suivante renvoie les colonnes 1 à 3 pour tous les objets sans clé de compartiment S3 configurée.

    select s._1, s._2, s._3 from s3object s where s._6 = 'DISABLED'

    Voici quelques exemples de résultats.

          batchoperationsdemo,0100059%7Ethumb.jpg,lsrtIxksLu0R0ZkYPL.LhgD5caTYn6vu
      batchoperationsdemo,0100074%7Ethumb.jpg,sd2M60g6Fdazoi6D5kNARIE7KzUibmHR
      batchoperationsdemo,0100075%7Ethumb.jpg,TLYESLnl1mXD5c4BwiOIinqFrktddkoL
      batchoperationsdemo,0200147%7Ethumb.jpg,amufzfMi_fEw0Rs99rxR_HrDFlE.l3Y0
      batchoperationsdemo,0301420%7Ethumb.jpg,9qGU2SEscL.C.c_sK89trmXYIwooABSh
      batchoperationsdemo,0401524%7Ethumb.jpg,ORnEWNuB1QhHrrYAGFsZhbyvEYJ3DUor
      batchoperationsdemo,200907200065HQ%7Ethumb.jpg,d8LgvIVjbDR5mUVwW6pu9ahTfReyn5V4
      batchoperationsdemo,200907200076HQ%7Ethumb.jpg,XUT25d7.gK40u_GmnupdaZg3BVx2jN40
      batchoperationsdemo,201103190002HQ%7Ethumb.jpg,z.2sVRh0myqVi0BuIrngWlsRPQdb7qOS

  7. Téléchargez les résultats, enregistrez-les au format CSV, et chargez-les sur Amazon S3 en tant que liste d'objets pour la tâche d'opérations par lot S3.

  8. Si vous avez plusieurs fichiers manifeste, exécutez une Requête avec S3 Select sur ceux-ci. En fonction de la taille des résultats, vous pouvez combiner les listes et exécuter un seule tâche d'opérations par lot S3, ou exécuter chaque liste en tant que tâche distincte.

    Pour décidez du nombre de tâches à exécuter, considérez le prix d'exécution de chaque tâche d'opérations par lot S3 .

Étape 3 : Configurer et exécuter votre tâche d'opérations par lot S3

À présent que vos listes CSV d'objets S3 sont filtrées, vous pouvez commencer la tâche d'opérations par lot S3 pour chiffrer les objets avec des clés de compartiment S3.

Une tâche fait référence collectivement à la liste (manifeste) d'objets fournis, à l'opération effectuée et aux paramètres spécifiés. La manière la plus simple de chiffrer cet ensemble d'objets consiste à utiliser l'opération de copie PUT en spécifiant le même préfixe de destination que celui des objets répertoriés dans le manifeste. Cela a pour effet, soit de remplacer les objets existants dans un compartiment sans gestion des versions, soit, lorsque la gestion des versions est activée, de créer une version chiffrée plus récente des objets.

Dans le cadre de la copie des objets, spécifiez qu'Amazon S3 doit chiffrer l'objet avec le chiffrement SSE-KMS et S3. Cette tâche copiant les objets, à la fin, tous vos objets présentent une date de création mise à jour, quelle que soit la date à laquelle vous les avez initialement ajoutés à S3. Dans le cadre de la tâche d'opérations par lot S3, spécifiez également les autres propriétés de votre ensemble d'objets, y compris les étiquettes d'objet et la classe de stockage.

Configurer votre stratégie IAM

  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, choisissez Policy (Sratégies), puis Create Policy (Créer une stratégie).

  3. Choisissez l'onglet JSON. Choisissez Edit policy (Modifier une stratégie), puis ajoutez l'exemple de stratégie IAM qui apparaît dans le bloc de code suivant.

    Après avoir copié l'exemple de politique dans votre console IAM, remplacez ce qui suit :

    1. Remplacez SOURCE_BUCKET_FOR_COPY par le nom de votre compartiment source.

    2. Remplacez DESTINATION_BUCKET_FOR_COPY par le nom de votre compartiment de destination.

    3. Remplacez MANIFEST_KEY par le nom de votre objet manifeste.

    4. Remplacez REPORT_BUCKET par le nom du compartiment dans lequel vous voulez enregistrer les rapports.

      {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Sid": "CopyObjectsToEncrypt",
        "Effect": "Allow",
        "Action": [
          "s3:PutObject",
          "s3:PutObjectTagging",
          "s3:PutObjectAcl",
          "s3:PutObjectVersionTagging",
          "s3:PutObjectVersionAcl",
          "s3:GetObject",
          "s3:GetObjectAcl",
          "s3:GetObjectTagging",
          "s3:GetObjectVersion",
          "s3:GetObjectVersionAcl",
          "s3:GetObjectVersionTagging"
        ],
        "Resource": [
          "arn:aws:s3:::SOURCE_BUCKET_FOR_COPY/*",
          "arn:aws:s3:::DESTINATION_BUCKET_FOR_COPY/*"
        ]
      },
      {
        "Sid": "ReadManifest",
        "Effect": "Allow",
        "Action": [
          "s3:GetObject",
          "s3:GetObjectVersion"
        ],
        "Resource": "arn:aws:s3:::MANIFEST_KEY"
      },
      {
        "Sid": "WriteReport",
        "Effect": "Allow",
        "Action": [
          "s3:PutObject"
        ],
        "Resource": "arn:aws:s3:::REPORT_BUCKET/*"
      }
    ]
  }

  4. Choisissez Next: Tags (Suivant : Étiquettes).

  5. Ajoutez les étiquettes de votre choix (facultatif), puis choisissez Next: Review (Suivant : Vérification).

  6. Ajoutez un nom de stratégie et, éventuellement, une description, puis choisissez Create policy (Créer une stratégie).

  7. Choisissez Review policy (Examiner une stratégie), puis Save changes (Enregistrer les modifications).

  8. Une fois votre stratégie d'opérations par lot S3 prête, la console vous renvoie à l'IAM Policies (Stratégies). Filtrez le nom de stratégie, choisissez le bouton situé à gauche du nom de stratégie, choisissez Policy actions (Actions de stratégie), puis Attach (Attacher).

    Pour attacher la stratégie nouvellement créée à un rôle IAM, sélectionnez les utilisateurs, groupes ou rôles appropriés dans votre compte, puis choisissez Attach Policy (Attacher une stratégie). Cela a pour effet de vous ramener à la console IAM.

Configurer votre rôle IAM d'opérations par lot

  1. Sur la console IAM, dans le volet de navigation, sélectionnez Rôles, puis sélectionnez Créer un rôle.

  2. Sélectionnez Service AWS, S3 et Opérations par lots S3. Choisissez ensuite Next: Permissions (Suivant : Autorisations).

  3. Commencer à entrer le nom de la stratégie IAM que vous venez de créer. Activez la case à cocher en regard du nom de stratégie quand il s'affiche, puis choisissez Next: Tags (Suivant : Étiquettes).

  4. (Facultatif) Ajoutez des étiquettes ou gardez les champs de clé et de valeur vides pour cet exercice. Choisissez Next: Review (Suivant : Vérification).

  5. Entrez un nom de rôle, puis acceptez la description par défaut ou ajoutez la vôtre. Sélectionnez Create role (Créer un rôle).

  6. Assurez-vous que l'utilisateur qui crée la tâche dispose des autorisations décrites dans l'exemple suivant.

    Remplacez {ACCOUNT-ID} par l'ID de votre Compte AWS, et {IAM_ROLE_NAME} par le nom que vous envisagez d'appliquer au rôle IAM que vous allez créer ultérieurement à l'étape de création de tâche d'opérations par lot. Pour plus d’informations, consultez Octroi d'autorisations pour les opérations par lot Simple Storage Service (Amazon S3).

                {
            "Sid": "AddIamPermissions",
            "Effect": "Allow",
            "Action": [
            "iam:GetRole",
            "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::ACCOUNT-ID:role/IAM_ROLE_NAME"
            }

Activer les clés de compartiment S3 pour un compartiment existant

  1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

  2. Dans la liste Compartiments, choisissez le compartiment pour lequel vous souhaitez activer une clé de compartiment S3.

  3. Choisissez Propriétés.

  4. Sous Default encryption (Chiffrement par défaut), choisissez Edit (Modifier).

  5. Sous Type de chiffrement, vous avez le choix entre Clés gérées par Amazon S3 (SSE-S3) et Clé AWS Key Management Service (SSE-KMS).

  6. Si vous avez choisi Clé AWS Key Management Service (SSE-KMS), sous AWS KMS key, vous pouvez spécifier la clé AWS KMS via l'une des options suivantes.

    • Pour choisir parmi la liste des clés KMS disponibles, sélectionnez Choisir parmi vos clés AWS KMS. Dans la liste des clés disponibles, choisissez une clé KMS symétrique de chiffrement dans la même région que votre compartiment. La clé gérée par AWS (aws/s3) et votre clé gérée par le client apparaissent toutes deux dans la liste.

    • Pour saisir l'ARN de la clé KMS, choisissez Saisir l'ARN de clé AWS KMS, puis saisissez l'ARN de votre clé KMS dans le champ qui s'affiche.

    • Pour créer une clé gérée par le client dans la console AWS KMS, choisissez Créer une clé KMS.

  7. Sous Bucket Key (Clé de compartiment), choisissez Enable (Activer), puis Save changes (Enregistrer les modifications).

À présent que la clé de compartiment S3 est activée au niveau du compartiment, les objets chargés, modifiés ou copiés dans ce compartiment hériteront de cette configuration de chiffrement par défaut. Cela inclut les objets copiés à l'aide d'opérations par lot Amazon S3.

Créer votre tâche d'opérations par lot

  1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation, choisissez Opérations par lot, puis Créer une tâche.

  3. Choisissez la Région dans laquelle vous stockez vos objets, puis choisissez CSV comme type de manifeste.

  4. Saisissez le chemin d'accès ou accédez au fichier manifeste CSV que vous avez créé précédemment à partir des résultats de S3 Select (ou d'Athena). Si votre manifeste contient des ID de version, cochez cette case. Choisissez Suivant.

  5. Choisissez l'opération Copy (Copier), le compartiment de destination de la copie. Vous pouvez maintenir le chiffrement côté serveur désactivé. Tant que les clés de compartiment S3 sont activées pour la destination du compartiment, l'opération de copie applique ces clés à ce compartiment.

  6. (Facultatif) Choisissez une classe de stockage et les autres paramètres souhaités. Les paramètres que vous spécifiez dans cette étape s'appliquent à toutes les opérations effectuées sur les objets répertoriés dans le manifeste. Choisissez Suivant.

  7. Pour configurer le chiffrement côté serveur, procédez comme suit :

    1. Sous Chiffrement côté serveur, choisissez l'une des options suivantes :

      • Pour conserver les paramètres du compartiment pour le chiffrement côté serveur par défaut des objets lors de leur stockage dans Amazon S3, choisissez Ne pas spécifier de clé de chiffrement. Tant que les clés de compartiment S3 sont activées pour la destination du compartiment, l'opération de copie applique une clé de compartiment S3 au compartiment de destination.

        Note

        Si la politique de compartiment pour la destination spécifiée exige que les objets soient chiffrés avant de les stocker dans Amazon S3, vous devez spécifier une clé de chiffrement. Sinon, la copie des objets vers la destination échouera.

      • Pour chiffrer des objets avant de les stocker dans Amazon S3, choisissez Spécifier une clé de chiffrement.

    2. Dans Paramètres de chiffrement, si vous choisissez Spécifier une clé de chiffrement, vous devez choisir Utiliser les paramètres du compartiment de destination pour le chiffrement par défaut ou Ignorer les paramètres du compartiment de destination pour le chiffrement par défaut.

    3. Si vous choisissez Ignorer les paramètres du compartiment de destination pour le chiffrement par défaut, vous devez configurer les paramètres de chiffrement suivants.

      1. Sous Type de chiffrement, vous devez choisir Clés gérées par Amazon S3 (SSE-S3) ou Clé AWS Key Management Service (SSE-KMS). SSE-S3 utilise l'un des chiffrements par bloc les plus puissants qui existent, Advanced Encryption Standard à 256 bits (AES-256) pour chiffrer chaque objet. SSE-KMS vous permet de mieux contrôler votre clé. Pour plus d’informations, consultez Utilisation du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) et Utilisation du chiffrement côté serveur à l'aide de AWS KMS clés (SSE-KMS).

      2. Si vous choisissez Clé AWS Key Management Service (SSE-KMS), sous AWS KMS key, vous pouvez spécifier votre AWS KMS key via l'une des options suivantes.

        • Pour choisir parmi une liste de clés KMS disponibles, choisissez Choisir parmi vos AWS KMS keys, puis sélectionnez une clé KMS de chiffrement symétrique dans la même région que votre compartiment. La clé gérée par AWS (aws/s3) et votre clé gérée par le client apparaissent toutes deux dans la liste.

        • Pour saisir l'ARN de la clé KMS, choisissez Saisir l'ARN de clé AWS KMS, puis saisissez l'ARN de votre clé KMS dans le champ qui s'affiche.

        • Pour créer une clé gérée par le client dans la console AWS KMS, choisissez Créer une clé KMS.

      3. Sous Clé de compartiment, choisissez Activer. L'opération de copie applique une clé de compartiment S3 au compartiment de destination.

  8. Saisissez une description pour votre tâche (ou conservez la description par défaut), définissez son niveau de priorité, choisissez un type de rapport, puis spécifiez le Path to completion report destination (Chemin d'accès de la destination du rapport de fin de tâche).

  9. Dans la section Permissions (Autorisations), veillez à choisir le rôle IAM d'opérations par lot que vous avez défini précédemment. Choisissez Suivant.

  10. Sous Review (Vérification), vérifiez les paramètres. Si vous voulez apporter des modifications, choisissez Previous (Précédent). Après avoir confirmé les paramètres d'opérations par lot, choisissez Create job (Créer une tâche).

    Pour de plus amples informations, veuillez consulter Création d'une tâche d'opérations par lot S3.

Exécuter votre tâche d'opérations par lot

L'assistant de configuration vous renvoie automatiquement à la section Opérations par lot S3 de la console Amazon S3. Votre nouvelle tâche passe de l'état New (Nouvelle) à l'état Preparing (Préparation) quand S3 commence le processus. Pendant la phase de préparation, S3 lit le manifeste de la tâche, vérifie s'il contient des erreurs, et calcule le nombre d'objets.

  1. Choisissez le bouton d'actualisation dans la console Amazon S3 pour vérifier la progression. Selon la taille du manifeste, la lecture peut prendre des minutes ou des heures.

  2. Quand S3 finit de lire le manifeste de la tâche, la tâche passe à l'état Awaiting your confirmation (En attente de confirmation). Cliquez sur le bouton d'option à gauche de l'ID de tâche, puis choisissez Run job (Exécuter la tâche).

  3. Vérifiez les paramètres de la tâche, puis, dans le coin inférieur droit choisissez Run job (Exécuter la tâche).

    Lorsque la tâche commence à s'exécuter, vous pouvez choisir le bouton d'actualisation pour vérifier sa progression dans l'affichage du tableau de bord de la console ou en sélectionnant la tâche.

  4. Une fois la tâche est terminée, vous pouvez afficher les informationsSuccèsandÉcheccompte pour confirmer que tout a été effectué comme prévu. Si vous avez activé les rapports de tâche, vérifiez dans votre rapport de tâche la cause exacte de toute opération ayant échoué.

    Vous pouvez également effectuer ces étapes en utilisant l'AWS CLI, les kits SDK AWS ou l'API REST Amazon S3. Pour plus d'informations sur le suivi de l'état des tâches et les rapports de fin de tâche, veuillez consulterSuivi de l'état de la tâche et des rapports de fin de tâche.

À savoir

Lorsque vous utilisez les opérations par lot S3 pour chiffrer des objets avec des clés de compartiment S3, tenez compte des points suivants :

  • Vous serez facturé pour les tâches, objets et demandes d'opérations par lot S3 en plus des frais associés à ce que les opérations par lot S3 accomplissent en votre nom, dont les transferts de données, les demandes, ainsi que d'autres frais. Pour de plus amples informations, veuillez consulter Tarification Amazon S3.

  • Si vous utilisez un compartiment avec gestion des versions, chaque tâche d'opérations par lot S3 effectuée crée de nouvelles versions chiffrées de vos objets. Elle conserve également les versions précédentes sans clé de compartiment S3 configurée. Pour supprimer les anciennes versions, configurez une stratégie d'expiration du cycle de vie S3 pour les versions non actuelles, comme décrit dans Éléments de la configuration du cycle de vie.

  • L'opération de copie crée de nouveaux objets avec de nouvelles dates de création, ce qui peut affecter des actions du cycle de vie telles que l'archivage. Si vous copiez tous les objets dans votre compartiment, toutes les nouvelles copies ont des dates de création identiques ou similaires. Pour mieux identifier ces objets et créer différentes règles de cycle de vie pour différents sous-ensembles de données, envisagez d'utiliser des étiquettes d'objet.

Récapitulatif

Dans cette section, vous avez trié les objets existants pour filtrer les données déjà chiffrées. Ensuite, vous avez appliqué la fonction de clé de compartiment S3 sur des objets non chiffrés en utilisant des opérations par lot S3 pour copier les données existantes vers un compartiment avec la clé de compartiment S3 activée. Ce processus peut vous faire gagner du temps et de l'argent tout en vous permettant d'effectuer des opérations telles que le chiffrement de tous les objets existants.

Pour de plus amples informations sur les opérations par lot S3, veuillez consulter Exécution des opérations par lot à grande échelle sur des objets Amazon S3.