Modification du propriétaire d'un réplica - Amazon Simple Storage Service

Modification du propriétaire d'un réplica

Dans une réplication, par défaut, le réplica appartient également au propriétaire de l'objet source. Si les compartiments source et de destination appartiennent à des Comptes AWS différents et que vous souhaitez transférer la propriété du réplica au Compte AWS qui possède les compartiments de destination, vous pouvez ajouter des paramètres de configuration facultatifs pour attribuer la propriété du réplica au Compte AWS qui possède le compartiment de destination. Vus pouvez choisir de le faire, par exemple, pour limiter l'accès aux réplicas d'objet. C'est ce qu'on appelle l'option de substitution du propriétaire de la configuration de réplication. Pour plus d'informations sur l'option de substitution du propriétaire, consultez Ajout de l'option de substitution du propriétaire à la configuration de réplication. Pour obtenir des informations sur la définition d'une configuration de réplication, consultez Réplication d'objets.

Pour configurer la substitution du propriétaire, effectuez les opérations suivantes :

  • Ajoutez l'option de substitution du propriétaire à la configuration de réplication pour indiquer à Amazon S3 de modifier le propriétaire des réplicas.

  • Accordez à Amazon S3 les autorisations de modifier le propriétaire des réplicas.

  • Ajoutez l'autorisation dans la stratégie des compartiments de destination pour autoriser la modification de propriété du réplica. Cela permet au propriétaire des compartiments de destination d'accepter la propriété des réplicas d'objet.

Pour plus d'informations, consultez Ajout de l'option de substitution du propriétaire à la configuration de réplication. Pour accéder à un exemple avec des instructions pas à pas, consultez Modification du propriétaire d'un réplica lorsque les compartiments source et de destination appartiennent à des comptes différents.

Paramètre de propriétaire du compartiment imposé pour la propriété de l'objet

Lorsque vous utilisez la réplication Simple Storage Service (Amazon S3) et que les compartiments source et de destination appartiennent à des Comptes AWS différents, le propriétaire du compartiment de destination peut désactiver les ACL (avec le paramètre de propriétaire du compartiment imposé pour la propriété de l'objet) pour transférer la propriété du réplica au Compte AWS qui possède le compartiment de destination. Ce paramètre imite le comportement de remplacement du propriétaire existant sans avoir besoin d'une autorisation s3:ObjectOwnerOverrideToBucketOwner. Cela signifie que tous les objets répliqués dans le compartiment de destination avec le paramètre bucket owner enforced (propriétaire du compartiment imposé) appartiennent au propriétaire du compartiment de destination. Pour en savoir plus sur la propriété des objets, veuillez consulter Consultez Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment.

Ajout de l'option de substitution du propriétaire à la configuration de réplication

Avertissement

Ajoutez l'option de substitution du propriétaire uniquement lorsque les compartiments source et de destination appartiennent à des Comptes AWS différents. Amazon S3 ne vérifie pas si les compartiments appartiennent au même compte ou à des comptes différents. Si vous ajoutez la substitution du propriétaire lorsque les deux compartiments appartiennent au même Compte AWS, Amazon S3 applique la substitution du propriétaire. Il accorde les autorisations complètes au propriétaire du compartiment de destination et ne réplique pas les mises à jour ultérieures de la liste de contrôle d'accès (ACL) de l'objet source. Le propriétaire du réplica peut procéder directement à des modifications de la liste de contrôle d'accès (ACL) associée à un réplica à l'aide d'une requête PUT ACL, mais pas par l'intermédiaire de la réplication.

Pour spécifier l'option de substitution du propriétaire, ajoutez les informations suivantes à chaque élément Destination :

  • L'élément AccessControlTranslation, qui indique à Amazon S3 de modifier le propriétaire des réplicas

  • L'élément Account, qui spécifie le Compte AWS du propriétaire du compartiment de destination

<ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> ... <Destination> ... <AccessControlTranslation> <Owner>Destination</Owner> </AccessControlTranslation> <Account>destination-bucket-owner-account-id</Account> </Destination> </Rule> </ReplicationConfiguration>

L'exemple de configuration de réplication suivant indique à Amazon S3 de répliquer les objets ayant le préfixe de clé Tax dans le compartiment de destination et de modifier le propriétaire des réplicas.

<?xml version="1.0" encoding="UTF-8"?> <ReplicationConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Role>arn:aws:iam::account-id:role/role-name</Role> <Rule> <ID>Rule-1</ID> <Priority>1</Priority> <Status>Enabled</Status> <DeleteMarkerReplication> <Status>Disabled</Status> </DeleteMarkerReplication> <Filter> <Prefix>Tax</Prefix> </Filter> <Destination> <Bucket>arn:aws:s3:::destination-bucket</Bucket> <Account>destination-bucket-owner-account-id</Account> <AccessControlTranslation> <Owner>Destination</Owner> </AccessControlTranslation> </Destination> </Rule> </ReplicationConfiguration>

Octroi à Amazon S3 de l'autorisation de modifier le propriétaire des réplicas

Accordez à Amazon S3 les autorisations de modifier le propriétaire des réplicas en ajoutant une autorisation pour l'action s3:ObjectOwnerOverrideToBucketOwner dans la stratégie d'autorisations associée au rôle IAM. Il s'agit du rôle IAM spécifié dans la configuration de réplication qui autorise Amazon S3 à endosser le rôle et à répliquer les objets en votre nom.

... { "Effect":"Allow", "Action":[ "s3:ObjectOwnerOverrideToBucketOwner" ], "Resource":"arn:aws:s3:::destination-bucket/*" } ...

Ajout d'autorisations dans la stratégie du compartiment de destination pour autoriser la modification de propriété du réplica

Le propriétaire du compartiment de destination doit accorder au propriétaire du compartiment source l'autorisation de modifier la propriété du réplica. Le propriétaire du compartiment de destination accorde au propriétaire du compartiment source l'autorisation pour l'action s3:ObjectOwnerOverrideToBucketOwner. Cela permet au propriétaire du compartiment de destination d'accepter la propriété des réplicas d'objet. L'exemple d'instruction de stratégie de compartiment suivant montre comment procéder.

... { "Sid":"1", "Effect":"Allow", "Principal":{"AWS":"source-bucket-account-id"}, "Action":["s3:ObjectOwnerOverrideToBucketOwner"], "Resource":"arn:aws:s3:::destination-bucket/*" } ...

Considérations supplémentaires

Lorsque vous configurez l'option de substitution de propriété, les considérations suivantes s'appliquent :

  • Par défaut, le propriétaire de l'objet source possède également le réplica. Amazon S3 réplique la version de l'objet et la liste ACL qui lui est associée.

    Si vous ajoutez la substitution de propriétaire, Amazon S3 réplique uniquement la version de l'objet, mais pas la liste ACL. En outre, Amazon S3 ne réplique pas les modifications ultérieures de la liste ACL de l'objet source. Amazon S3 définit la liste ACL sur le réplica qui accorde un contrôle total au propriétaire du compartiment de destination.

  • Lorsque vous mettez à jour une configuration de réplication pour activer ou désactiver la substitution de propriétaire, les événements suivants se produisent.

     

    • Si vous ajoutez l'option de substitution du propriétaire à la configuration de réplication :

      Quand Amazon S3 réplique une version de l'objet, il supprime la liste ACL associée à l'objet source. Il définit à la place la liste de contrôle d'accès (ACL) sur le réplica et accorde un contrôle total au propriétaire du compartiment de destination. Il ne réplique pas les modifications ultérieures de la liste de contrôle d'accès (ACL) de l'objet source. Toutefois, cette modification de liste de contrôle d'accès (ACL) ne s'applique pas aux versions d'objet répliquées avant la définition de l'option de substitution du propriétaire. Les mises à jour de liste de contrôle d'accès (ACL) pour les objets source répliqués avant la spécification de la substitution du propriétaire continuent donc d'être répliquées (car l'objet et ses réplicas continuent d'avoir le même propriétaire).

    • Si vous supprimez l'option de substitution du propriétaire de la configuration de réplication :

      Amazon S3 réplique les nouveaux objets qui apparaissent dans le compartiment source et les listes ACL associées dans les compartiments de destination. Pour les objets répliqués avant la suppression de la substitution de propriétaire, Amazon S3 ne réplique pas les listes ACL car la modification de propriétaire des objets effectuée par Amazon S3 est toujours en vigueur. Les listes de contrôle d'accès (ACL) mises sur les versions d'objets qui étaient répliquées lorsque la substitution du propriétaire a été définie ne sont toujours pas répliquées.