Conditions préalables à la création de règles de réplication - Amazon Simple Storage Service
Connexion de vos sous-réseaux Outpost source et de destinationCréation d'un rôle IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conditions préalables à la création de règles de réplication

Connexion de vos sous-réseaux Outpost source et de destination

Pour que votre trafic de réplication passe de votre Outpost source à votre Outpost de destination via votre passerelle locale, vous devez ajouter un nouvel acheminement pour configurer la mise en réseau. Vous devez connecter les plages de réseau de routage inter-domaines sans classe (CIDR) de vos points d'accès. Pour chaque paire de points d'accès, vous ne devez configurer cette connexion qu'une seule fois.

Certaines étapes de configuration de la connexion sont différentes, en fonction du type d'accès de vos points de terminaison Outposts associés à vos points d'accès. Le type d'accès pour les points de terminaison est soit Privé (acheminement direct dans le cloud privé virtuel [VPC] pourAWS Outposts), soit Adresse IP détenue par le client (groupe d'adresses IP appartenant au client [groupe CoIP] au sein de votre réseau sur site).

Étape 1 : Trouver la plage CIDR de votre point de terminaison Outposts source

Pour trouver la plage CIDR de votre point de terminaison source associé à votre point d'accès source

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le panneau de navigation de gauche, choisissez Outposts buckets (Compartiments Outposts).

  3. Dans la liste Compartiments Outposts, choisissez le compartiment source à partir duquel vous souhaitez effectuer la réplication.

  4. Choisissez l'onglet Points d'accès Outposts, puis choisissez le point d'accès Outposts pour le compartiment source de votre règle de réplication.

  5. Sélectionnez le point de terminaison Outposts.

  6. Copiez l'ID de sous-réseau à utiliser à l'étape 5.

  7. La méthode que vous utilisez pour trouver la plage d'adresses CIDR du point de terminaison Outposts source dépend du type d'accès de votre point de terminaison.

    Dans la section Présentation du point de terminaison Outposts, consultez Type d'accès.

    • Si le type d'accès est Privé, copiez la valeur CIDR (Classless Inter-Domain Routing) à utiliser à l'étape 6.

    • Si le type d'accès est Adresse IP détenue par le client, procédez comme suit :

      1. Copiez la valeur Groupe IPv4 appartenant au client pour l'utiliser ultérieurement comme ID du groupe d'adresses.

      2. Ouvrez la console AWS Outposts à l'adresse https://console.aws.amazon.com/outposts/.

      3. Dans le panneau de navigation, choisissez Tables de routage de passerelle locale.

      4. Choisissez la valeur ID de table de routage de passerelle locale de votre Outpost source.

      5. Dans le volet des détails, choisissez l'onglet Groupes CoIP. Collez la valeur de votre ID de groupe CoIP que vous avez copié précédemment dans le champ de recherche.

      6. Pour le groupe CoIP correspondant, copiez la valeur CIDR correspondante de votre point de terminaison Outposts source à l'utiliser à l'étape 6.

Étape 2 : Trouver l'ID de sous-réseau et la plage d'adresses CIDR de votre point de terminaison Outposts de destination

Pour trouver l'ID de sous-réseau et la plage d'adresses CIDR de votre point de terminaison de destination associé à votre point d'accès de destination, suivez les mêmes sous-étapes à l'étape 1 et remplacez votre point de terminaison Outposts source par votre point de terminaison Outposts de destination lorsque vous appliquez ces sous-étapes. Copiez la valeur de l'ID de sous-réseau de votre point de terminaison Outposts de destination pour l'utiliser à l'étape 6. Copiez la valeur CIDR de votre point de terminaison Outposts de destination pour l'utiliser à l'étape 5.

Étape 3 : Trouver l'ID de passerelle local de votre Outpost source

Pour trouver l'ID de passerelle local de votre Outpost source

  1. Ouvrez la console AWS Outposts à l'adresse https://console.aws.amazon.com/outposts/.

  2. Dans le volet de navigation de gauche, sélectionnez Passerelles locales.

  3. Sur la page Passerelles locales, trouvez l'ID Outpost de votre Outpost source que vous souhaitez utiliser pour la réplication.

  4. Copiez la valeur d'ID de passerelle locale de votre Outpost source pour l'utiliser à l'étape 5.

Pour plus d'informations sur les passerelles locales, consultez Local gateway (Passerelles locales) dans le Guide de l'utilisateur AWS Outposts.

Étape 4 : Trouver l'ID de passerelle local de votre Outpost de destination

Pour trouver l'ID de passerelle locale de votre Outpost de destination, suivez les mêmes sous-étapes qu'à l'étape 3, sauf que vous recherchez l'ID Outpost de votre Outpost de destination. Copiez la valeur d'ID de passerelle locale de votre Outpost de destination pour l'utiliser à l'étape 6.

Étape 5 : Configurer la connexion entre votre sous-réseau Outpost source et votre sous-réseau Outpost de destination

Pour connecter votre sous-réseau Outpost source et votre sous-réseau Outpost de destination

  1. Connectez-vous à la AWS Management Console et ouvrez la console VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation de gauche, choisissez Subnets (Sous-réseaux).

  3. Dans la zone de recherche, entrez l'ID de sous-réseau de votre point de terminaison Outposts source que vous avez trouvé à l'étape 1. Choisissez le sous-réseau au sein de l'ID de sous-réseau correspondant.

  4. Pour l'élément de sous-réseau correspondant, choisissez la valeur Table de routage de ce sous-réseau.

  5. Sur la page contenant une table de routage sélectionnée, choisissez Actions, puis choisissez Modifier les routages.

  6. Sur la page Modifier les routes, choisissez Ajouter une route.

  7. Sous Destination, saisissez la plage d'adresses CIDR du point de terminaison Outposts de destination que vous avez trouvé à l'étape 2.

  8. Sous Cible, choisissez Passerelle locale de l'Outpost et saisissez l'ID de passerelle locale de votre Outpost source que vous avez trouvé à l'étape 3.

  9. Sélectionnez Save Changes (Enregistrer les modifications).

  10. Assurez-vous que le Statut de la route est Actif.

Étape 6 : Configurer la connexion entre votre sous-réseau Outpost de destination et votre sous-réseau Outpost source

  1. Connectez-vous à la AWS Management Console et ouvrez la console VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation de gauche, choisissez Subnets (Sous-réseaux).

  3. Dans la zone de recherche, saisissez l'ID de sous-réseau de votre point de terminaison Outposts de destination que vous avez trouvé à l'étape 2. Choisissez le sous-réseau au sein de l'ID de sous-réseau correspondant.

  4. Pour l'élément de sous-réseau correspondant, choisissez la valeur Table de routage de ce sous-réseau.

  5. Sur la page contenant une table de routage sélectionnée, choisissez Actions, puis choisissez Modifier les routages.

  6. Sur la page Modifier les routes, choisissez Ajouter une route.

  7. Sous Destination, saisissez la plage d'adresses CIDR du point de terminaison Outposts source que vous avez trouvé à l'étape 1.

  8. Sous Cible, choisissez Passerelle locale de l'Outpost et saisissez l'ID de passerelle locale de votre Outpost de destination que vous avez trouvé à l'étape 4.

  9. Sélectionnez Save Changes (Enregistrer les modifications).

  10. Assurez-vous que le Statut de la route est Actif.

Après avoir connecté les plages de réseau CIDR de vos points d'accès source et de destination, vous devez créer un rôleAWS Identity and Access Management (IAM).

Création d'un rôle IAM

Par défaut, toutes les ressources S3 sur Outposts (compartiments, objets et sous-ressources liées) sont privées : seul le propriétaire des ressources peut y accéder. S3 sur Outposts a besoin d'autorisations pour lire et répliquer les objets du compartiment Outposts source. Vous accordez ces autorisations en créant une fonction du service IAM et en spécifiant ce rôle dans votre configuration de réplication.

Cette section décrit la stratégie d'approbation et la stratégie d'autorisation minimale requise. Les exemples de procédure fournissent des instructions étape par étape pour créer un rôle IAM. Pour de plus amples informations, veuillez consulter Création de règles de réplication sur Outposts. Pour plus d'informations sur les rôles IAM, consultez Rôles IAM dans le manuel IAM Guide de l'utilisateur.

  • L'exemple suivant illustre une politique d'approbation selon laquelle vous identifiez S3 sur Outposts en tant que principal de service capable d'endosser le rôle.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"s3-outposts.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

  • L'exemple suivant illustre une stratégie d'accès selon laquelle vous accordez au rôle les autorisations lui permettant d'effectuer les tâches de réplication en votre nom. Quand S3 sur Outposts endosse le rôle, il dispose des autorisations que vous avez spécifiées dans cette stratégie. Pour utiliser cette politique, remplacez user input placeholders par vos propres informations. Assurez-vous de les remplacer par les ID Outpost de vos Outposts source et de destination, ainsi que par les noms des compartiments et des noms de points d'accès de vos compartiments Outposts source et de destination.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3-outposts:GetObjectVersionForReplication",
            "s3-outposts:GetObjectVersionTagging"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET/object/*",
            "arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/accesspoint/SOURCE-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ]        
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3-outposts:ReplicateObject",
            "s3-outposts:ReplicateDelete"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*",
            "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ]  
      }
   ]
}

    La stratégie d'accès octroie les autorisations pour les actions suivantes :

    • s3-outposts:GetObjectVersionForReplication : l'autorisation pour cette action est accordée sur tous les objets afin de permettre à S3 sur Outposts d'obtenir une version d'objet spécifique associée à chaque objet.

    • s3-outposts:GetObjectVersionTagging : l'autorisation pour cette action sur des objets du compartiment SOURCE-OUTPOSTS-BUCKET (compartiment source) permet à S3 sur Outposts de lire les balises d'objets pour la réplication. Pour de plus amples informations, veuillez consulter Ajout de balises pour les compartiments Amazon S3 on Outposts. Si S3 sur Outposts ne dispose pas de ces autorisations, il réplique les objets mais pas leurs balises.

    • s3-outposts:ReplicateObject et s3-outposts:ReplicateDelete  : les autorisations pour ces actions sur tous les objets du compartiment DESTINATION-OUTPOSTS-BUCKET (compartiment cible) permettent à S3 sur Outposts de répliquer des objets ou des marqueurs de suppression dans le compartiment Outposts de destination. Pour de plus amples informations sur les marqueurs de suppression, consultez Impact des opérations de suppression sur la réplication.

      Note

      • L'autorisation pour l'action s3-outposts:ReplicateObject sur le compartiment DESTINATION-OUTPOSTS-BUCKET (compartiment de destination) permet également la réplication des balises d'objets. Il n'est donc pas nécessaire d'accorder une autorisation explicite pour l'action s3-outposts:ReplicateTags.

      • Pour la réplication intercompte, le propriétaire du compartiment Outposts de destination doit mettre à jour sa politique de compartiment afin d'autoriser l'action s3-outposts:ReplicateObject sur DESTINATION-OUTPOSTS-BUCKET. L'action s3-outposts:ReplicateObjectpermet à S3 sur Outposts de répliquer des objets et des balises d'objet vers le compartiment Outposts de destination.

    Pour obtenir la liste des actions S3 sur Outposts, consultez Actions définies par Amazon S3 sur Outposts.

    Important

    Le Compte AWS qui possède le rôle IAM doit avoir des autorisations pour les actions qu'il octroie au rôle IAM.

    Supposons, par exemple, que le compartiment Outposts source contient des objets détenus par un autre Compte AWS. Le propriétaire des objets doit accorder de manière explicite au Compte AWS qui possède le rôle IAM les autorisations requises par l'intermédiaire de la politique de compartiment et de la politique de point d'accès. Dans le cas contraire, S3 sur Outposts ne peut pas accéder aux objets et la réplication des objets échoue.

    Les autorisations décrites dans la présente section sont liées à la configuration de réplication minimale. Si vous choisissez d'ajouter des configurations de réplication facultatives, vous devez accorder des autorisations supplémentaires à S3 sur Outposts.

Octroi d'autorisations lorsque les compartiments Outposts source et destination appartiennent à différents Comptes AWS

Lorsque les compartiments Outposts source et de destination n'appartiennent pas aux mêmes comptes, le propriétaire du compartiment Outposts de destination doit mettre à jour les politiques de compartiment et de point d'accès du compartiment de destination. Ces politiques doivent accorder au propriétaire du compartiment Outposts source et à la fonction du service IAM les autorisations nécessaires pour effectuer des actions de réplication, comme indiqué dans les exemples de politiques suivants, faute de quoi la réplication échouera. Dans ces exemples de politique, DESTINATION-OUTPOSTS-BUCKET est le compartiment de destination. Pour utiliser ces exemples de politique, remplacez user input placeholders par vos propres informations.

Si vous créez la fonction du service IAM manuellement, définissez le chemin du rôle sur role/service-role/, comme indiqué dans les exemples de politique suivants. Pour de plus amples informations, consultez ARN IAM dans le Guide de l'utilisateur IAM. 

{
   "Version":"2012-10-17",
   "Id":"PolicyForDestinationBucket",
   "Statement":[
      {
         "Sid":"Permissions on objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::SourceBucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":[
            "s3-outposts:ReplicateDelete",
            "s3-outposts:ReplicateObject"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:DestinationBucket-account-ID:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*"
         ]  
      }

   ]
}
{
"Version":"2012-10-17",
   "Id":"PolicyForDestinationAccessPoint",
   "Statement":[
      {
         "Sid":"Permissions on objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::SourceBucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":[
            "s3-outposts:ReplicateDelete",
            "s3-outposts:ReplicateObject"
         ],
         "Resource" :[
            "arn:aws:s3-outposts:region:DestinationBucket-account-ID:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ]
      }
   ]              
}
Note

Si des objets stockés dans le compartiment Outposts source sont balisés, notez les points suivants :

Si le propriétaire du compartiment Outposts source octroie à S3 sur Outposts l'autorisation d'effectuer les actions s3-outposts:GetObjectVersionTagging et s3-outposts:ReplicateTags en vue de répliquer des balises d'objets (via le rôle IAM), Amazon S3 réplique les balises en même temps que les objets. Pour obtenir des informations sur le rôle IAM, consultez Création d'un rôle IAM.