Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Réplication d’objets chiffrés (SSE-S3, SSE-KMS, DSSE-KMS, SSE-C)
Important
Amazon S3 applique désormais le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) comme niveau de base du chiffrement pour chaque compartiment d’Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d’objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. L'état du chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour le téléchargement de nouveaux objets est disponible dans AWS CloudTrail les journaux, S3 Inventory, S3 Storage Lens, la console Amazon S3 et sous forme d'en-tête de réponse d'API Amazon S3 supplémentaire dans le AWS Command Line Interface et AWS SDKs. Pour plus d’informations, consultez la FAQ sur le chiffrement par défaut.
Certaines considérations particulières doivent être prises en compte lorsque vous répliquez des objets qui ont été chiffrés à l’aide du chiffrement côté serveur. Amazon S3 prend en charge les types suivants de chiffrement côté serveur :
-
Chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3)
-
Chiffrement côté serveur avec clés AWS Key Management Service (AWS KMS) (SSE-KMS)
-
Chiffrement double couche côté serveur avec AWS KMS clés (DSSE-KMS)
-
Chiffrement côté serveur avec clés fournies par le client (SSE-C)
Pour plus d’informations sur le chiffrement côté serveur, consultez Protection des données avec le chiffrement côté serveur.
Cette rubrique explique les autorisations dont vous avez besoin pour demander à Amazon S3 de répliquer des objets qui ont été chiffrés à l’aide du chiffrement côté serveur. Cette rubrique fournit également des éléments de configuration supplémentaires que vous pouvez ajouter, ainsi que des exemples de politiques AWS Identity and Access Management (IAM) qui accordent les autorisations nécessaires pour répliquer des objets chiffrés.
Pour un exemple avec des step-by-step instructions, voirActivation de la réplication pour les objets chiffrés. Pour obtenir des informations sur la création d’une configuration de réplication, consultez Réplication d’objets au sein des régions et entre elles.
Note
Vous pouvez utiliser plusieurs régions AWS KMS keys dans Amazon S3. Cependant, Amazon S3 traite actuellement les clés multi-régions comme s’il s’agissait de clés à région unique et n’utilise pas les fonctions multi-régions de la clé. Pour plus d’informations, consultez Utilisation des clés multi-régions dans le Guide du développeur AWS Key Management Service .
Rubriques
Comment le chiffrement par défaut du compartiment a un impact sur la réplication
Après avoir activé le chiffrement par défaut pour un compartiment de destination de réplication, le comportement de chiffrement suivant s’applique :
-
Si des objets du compartiment source ne sont pas chiffrés, les objets réplica du compartiment de destination sont chiffrés à l’aide des paramètres de chiffrement par défaut du compartiment de destination. Par conséquent, les étiquettes d'entité (ETags) des objets sources sont différentes de celles ETags des objets répliqués. Si certaines de vos applications l'utilisent ETags, vous devez les mettre à jour pour tenir compte de cette différence.
-
Si les objets du compartiment source sont chiffrés à l'aide d'un chiffrement côté serveur avec des clés gérées Amazon S3 (SSE-S3), d'un chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS) ou d'un chiffrement double couche côté serveur avec AWS KMS clés (DSSE-KMS), les objets répliques du compartiment de destination utilisent le même type de chiffrement que les objets source. Les paramètres de chiffrement par défaut du compartiment de destination ne sont pas utilisés.
Réplication d’objets chiffrés avec SSE-C
Vous pouvez gérer vos propres clés propriétaires de chiffrement en utilisant un chiffrement côté serveur avec des clés fournies par le client (SSE-C). Avec le SSE-C, vous gérez les clés tandis qu’Amazon S3 gère le processus de chiffrement et de déchiffrement. Vous devez fournir une clé de chiffrement dans le cadre de votre demande, mais vous n’avez pas besoin d’écrire de code pour effectuer le chiffrement ou le déchiffrement d’objets. Lorsque vous chargez un objet, Amazon S3 chiffre l’objet au moyen de la clé que vous avez fournie. Amazon S3 élimine ensuite cette clé de la mémoire. Lorsque vous récupérez un objet, vous devez fournir la même clé de chiffrement dans la demande. Pour de plus amples informations, veuillez consulter Utilisation du chiffrement côté serveur avec les clés fournies par le client (SSE-C).
S3 Replication prend en charge les objets chiffrés avec SSE-C. Vous pouvez configurer la réplication d'objets SSE-C dans la console Amazon S3 ou de la AWS SDKs même manière que vous configurez la réplication pour les objets non chiffrés. Il n’existe pas d’autorisations SSE-C supplémentaires au-delà de celles actuellement requises pour la réplication.
La réplication S3 réplique automatiquement les objets chiffrés par SSE-C nouvellement chargés s’ils sont éligibles, conformément à votre configuration de réplication S3. Pour répliquer des objets existants dans vos compartiments, utilisez la réplication par lot S3. Pour plus d’informations sur la réplication d’objets existants, consultez Présentation de la configuration de la réplication en direct et Réplication d’objets existants via la réplication par lot.
La réplication d’objets SSE-C n’entraîne pas de frais supplémentaires. Pour en savoir plus sur la tarification de la réplication, consultez Tarification Amazon S3
Réplication d’objets chiffrés avec SSE-S3, SSE-KMS ou DSSE-KMS
Par défaut, Amazon S3 ne réplique pas les objets chiffrés avec SSE-KMS ou DSSE-KMS. Cette section explique les éléments de configuration supplémentaire que vous pouvez ajouter de manière à indiquer à Amazon S3 de répliquer ces objets.
Pour un exemple avec des step-by-step instructions, voirActivation de la réplication pour les objets chiffrés. Pour obtenir des informations sur la création d’une configuration de réplication, consultez Réplication d’objets au sein des régions et entre elles.
Spécification d’informations supplémentaires dans la configuration de la réplication
Dans la configuration de réplication, procédez comme suit :
-
Dans l'
Destinationélément de votre configuration de réplication, ajoutez l'ID de la clé symétrique gérée par le AWS KMS client que vous souhaitez qu'Amazon S3 utilise pour chiffrer les répliques d'objets, comme illustré dans l'exemple de configuration de réplication suivant. -
Validez explicitement votre choix en activant la réplication d’objets chiffrés avec des clés KMS (SSE-KMS ou DSSE-KMS). Pour valider, ajoutez l’élément
SourceSelectionCriteria, comme illustré dans l’exemple de configuration de réplication suivant.
<ReplicationConfiguration> <Rule> ... <SourceSelectionCriteria> <SseKmsEncryptedObjects> <Status>Enabled</Status> </SseKmsEncryptedObjects> </SourceSelectionCriteria> <Destination> ... <EncryptionConfiguration> <ReplicaKmsKeyID>AWS KMS key ARN or Key Alias ARN that's in the same Région AWS as the destination bucket.</ReplicaKmsKeyID> </EncryptionConfiguration> </Destination> ... </Rule> </ReplicationConfiguration>
Important
-
La clé KMS doit avoir été créée dans le même compartiment Région AWS que le compartiment de destination.
-
La clé KMS doit être valide. L’opération d’API
PutBucketReplicationne vérifie pas la validité des clés KMS. Si vous utilisez une clé KMS non valide, vous recevez le code de statut HTTP200 OKen réponse, mais la réplication échoue.
L’exemple suivant montre une configuration de réplication qui inclut des éléments de configuration facultatifs. Cette configuration de réplication a une règle. Cette règle s’applique aux objets dotés du préfixe de clé Tax
<?xml version="1.0" encoding="UTF-8"?> <ReplicationConfiguration> <Role>arn:aws:iam::account-id:role/role-name</Role> <Rule> <ID>Rule-1</ID> <Priority>1</Priority> <Status>Enabled</Status> <DeleteMarkerReplication> <Status>Disabled</Status> </DeleteMarkerReplication> <Filter> <Prefix>Tax</Prefix> </Filter> <Destination> <Bucket>arn:aws:s3:::</Bucket> <EncryptionConfiguration> <ReplicaKmsKeyID>amzn-s3-demo-destination-bucketAWS KMS key ARN or Key Alias ARN that's in the same Région AWS as the destination bucket.</ReplicaKmsKeyID> </EncryptionConfiguration> </Destination> <SourceSelectionCriteria> <SseKmsEncryptedObjects> <Status>Enabled</Status> </SseKmsEncryptedObjects> </SourceSelectionCriteria> </Rule> </ReplicationConfiguration>
Octroi d’autorisations supplémentaires pour le rôle IAM
Pour répliquer des objets chiffrés au repos à l'aide de SSE-S3, SSE-KMS ou DSSE-KMS, accordez les autorisations supplémentaires suivantes au rôle AWS Identity and Access Management (IAM) que vous spécifiez dans la configuration de réplication. Vous octroyez ces autorisations en mettant à jour la stratégie d’autorisations associée au rôle IAM.
-
Action
s3:GetObjectVersionForReplicationpour les objets sources – Cette action permet à Amazon S3 de répliquer les objets non chiffrés et les objets créés avec un chiffrement côté serveur en utilisant une clé SSE-S3, SSE-KMS ou DSSE-KMS.Note
Nous vous recommandons d’utiliser l’action
s3:GetObjectVersionForReplicationà la place de l’actions3:GetObjectVersion, cars3:GetObjectVersionForReplicationfournit uniquement à Amazon S3 le minimum d’autorisations nécessaires pour la réplication. De plus, l’actions3:GetObjectVersionpermet la réplication des objets non chiffrés et des objets chiffrés avec SSE-S3, mais pas la réplication des objets chiffrés avec des clés KMS (SSE-KMS ou DSSE-KMS). -
kms:Decryptetkms:EncryptAWS KMS actions pour les clés KMS-
Vous devez accorder des autorisations
kms:Decryptpour l’ AWS KMS key utilisée pour déchiffrer l’objet source. -
Vous devez accorder des autorisations
kms:Encryptpour la AWS KMS key utilisée pour chiffrer le réplica source.
-
-
Action
kms:GenerateDataKeypour la réplication d’objets en texte brut – Si vous répliquez des objets en texte brut dans un compartiment avec le chiffrement SSE-KMS ou DSSE-KMS activé par défaut, vous devez inclure l’autorisationkms:GenerateDataKeypour le contexte de chiffrement de destination et la clé KMS dans la politique IAM.
Nous vous recommandons de limiter ces autorisations uniquement aux compartiments et objets de destination en utilisant des clés de AWS KMS condition. Le Compte AWS titulaire du rôle IAM doit disposer d'autorisations kms:Encrypt et d'kms:Decryptactions pour les clés KMS répertoriées dans la politique. Si les clés KMS appartiennent à une autre personne Compte AWS, le propriétaire des clés KMS doit accorder ces autorisations au Compte AWS titulaire du rôle IAM. Pour plus d'informations sur la gestion de l'accès à ces clés KMS, consultez la section Utilisation des politiques IAM AWS KMS dans le Guide du AWS Key Management Service développeur.
Clés de compartiment S3 et réplication
Pour utiliser la réplication avec une clé de compartiment S3, la AWS KMS key politique relative à la clé KMS utilisée pour chiffrer la réplique de l'objet doit inclure l'kms:Decryptautorisation du principal appelant. L’appel à kms:Decrypt vérifie l’intégrité de la clé de compartiment S3 avant de l’utiliser. Pour plus d’informations, consultez Utilisation d’une clé de compartiment S3 avec réplication.
Lorsqu’une clé de compartiment S3 est activée pour le compartiment source ou de destination, le contexte de chiffrement est l’Amazon Resource Name (ARN) du compartiment et non l’ARN de l’objet (par exemple, arn:aws:s3:::). Vous devez mettre à jour vos politiques IAM pour utiliser l’ARN du compartiment pour le contexte de chiffrement :bucket_ARN
"kms:EncryptionContext:aws:s3:arn": [ "arn:aws:s3:::bucket_ARN" ]
Pour plus d’informations, consultez Contexte de chiffrement (x-amz-server-side-encryption-context) (dans la section « Utilisation de l’API REST ») et Modifications à prendre en compte avant d’activer une clé de compartiment S3.
Exemples de politiques : utilisation de SSE-S3 et de SSE-KMS avec la réplication
L’exemple suivant de politiques IAM montre des instructions pour l’utilisation du SSE-S3 et du SSE-KMS avec la réplication.
Exemple : utilisation de SSE-KMS avec des compartiments de destination distincts
L’exemple suivant de politique présente des instructions pour l’utilisation du SSE-KMS avec des compartiments de destination distincts.
{ "Version":"2012-10-17", "Statement":[ { "Action": ["kms:Decrypt"], "Effect": "Allow", "Condition": { "StringLike": { "kms:ViaService": "s3.source-bucket-region.amazonaws.com", "kms:EncryptionContext:aws:s3:arn": [ "arn:aws:s3:::/amzn-s3-demo-source-bucketkey-prefix1*" ] } }, "Resource": [ "List of AWS KMS key ARNs that are used to encrypt source objects." ] }, { "Action": ["kms:Encrypt"], "Effect": "Allow", "Condition": { "StringLike": { "kms:ViaService": "s3.destination-bucket-1-region.amazonaws.com", "kms:EncryptionContext:aws:s3:arn": [ "arn:aws:s3:::/amzn-s3-demo-destination-bucket1key-prefix1*" ] } }, "Resource": [ "AWS KMS key ARNs (in the same Région AWS as destination bucket 1). Used to encrypt object replicas created in destination bucket 1." ] }, { "Action": ["kms:Encrypt"], "Effect": "Allow", "Condition": { "StringLike": { "kms:ViaService": "s3.destination-bucket-2-region.amazonaws.com", "kms:EncryptionContext:aws:s3:arn": [ "arn:aws:s3:::/amzn-s3-demo-destination-bucket2key-prefix1*" ] } }, "Resource": [ "AWS KMS key ARNs (in the same Région AWS as destination bucket 2). Used to encrypt object replicas created in destination bucket 2." ] } ] }
Exemple : réplication d’objets créés avec SSE-S3 et SSE-KMS
Vous trouverez ci-dessous une politique IAM complète qui accorde les autorisations nécessaires pour répliquer des objets non chiffrés, des objets créés avec le SSE-S3 et des objets créés avec le SSE-KMS.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:GetReplicationConfiguration", "s3:ListBucket" ], "Resource":[ "arn:aws:s3:::" ] }, { "Effect":"Allow", "Action":[ "s3:GetObjectVersionForReplication", "s3:GetObjectVersionAcl" ], "Resource":[ "arn:aws:s3:::amzn-s3-demo-source-bucket/amzn-s3-demo-source-bucketkey-prefix1*" ] }, { "Effect":"Allow", "Action":[ "s3:ReplicateObject", "s3:ReplicateDelete" ], "Resource":"arn:aws:s3:::/amzn-s3-demo-destination-bucketkey-prefix1*" }, { "Action":[ "kms:Decrypt" ], "Effect":"Allow", "Condition":{ "StringLike":{ "kms:ViaService":"s3.source-bucket-region.amazonaws.com", "kms:EncryptionContext:aws:s3:arn":[ "arn:aws:s3:::/amzn-s3-demo-source-bucketkey-prefix1*" ] } }, "Resource":[ "List of the AWS KMS key ARNs that are used to encrypt source objects." ] }, { "Action":[ "kms:Encrypt" ], "Effect":"Allow", "Condition":{ "StringLike":{ "kms:ViaService":"s3.destination-bucket-region.amazonaws.com", "kms:EncryptionContext:aws:s3:arn":[ "arn:aws:s3:::/amzn-s3-demo-destination-bucketprefix1*" ] } }, "Resource":[ "AWS KMS key ARNs (in the same Région AWS as the destination bucket) to use for encrypting object replicas" ] } ] }
Exemple : réplication d’objets avec des clés de compartiment S3
Voici une politique IAM complète qui accorde les autorisations nécessaires pour répliquer des objets avec des clés de compartiment S3.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:GetReplicationConfiguration", "s3:ListBucket" ], "Resource":[ "arn:aws:s3:::" ] }, { "Effect":"Allow", "Action":[ "s3:GetObjectVersionForReplication", "s3:GetObjectVersionAcl" ], "Resource":[ "arn:aws:s3:::amzn-s3-demo-source-bucket/amzn-s3-demo-source-bucketkey-prefix1*" ] }, { "Effect":"Allow", "Action":[ "s3:ReplicateObject", "s3:ReplicateDelete" ], "Resource":"arn:aws:s3:::/amzn-s3-demo-destination-bucketkey-prefix1*" }, { "Action":[ "kms:Decrypt" ], "Effect":"Allow", "Condition":{ "StringLike":{ "kms:ViaService":"s3.source-bucket-region.amazonaws.com", "kms:EncryptionContext:aws:s3:arn":[ "arn:aws:s3:::" ] } }, "Resource":[ "amzn-s3-demo-source-bucketList of the AWS KMS key ARNs that are used to encrypt source objects." ] }, { "Action":[ "kms:Encrypt" ], "Effect":"Allow", "Condition":{ "StringLike":{ "kms:ViaService":"s3.destination-bucket-region.amazonaws.com", "kms:EncryptionContext:aws:s3:arn":[ "arn:aws:s3:::" ] } }, "Resource":[ "amzn-s3-demo-destination-bucketAWS KMS key ARNs (in the same Région AWS as the destination bucket) to use for encrypting object replicas" ] } ] }
Octroi d’autorisations supplémentaires pour les scénarios à plusieurs comptes
Dans un scénario entre comptes, où les compartiments source et destination sont détenus par des entités différentes Comptes AWS, vous pouvez utiliser une clé KMS pour chiffrer les répliques d'objets. Le propriétaire de la clé KMS doit accorder au propriétaire du compartiment source l’autorisation d’utiliser la clé KMS.
Note
Si vous devez répliquer des données SSE-KMS entre comptes, votre règle de réplication doit spécifier une clé gérée par le client AWS KMS pour le compte de destination. Clés gérées par AWSn'autorisent pas l'utilisation entre comptes et ne peuvent donc pas être utilisés pour effectuer une réplication entre comptes.
Pour accorder au propriétaire du compartiment source l’autorisation d’utiliser la clé KMS (console AWS KMS )
-
Connectez-vous à la AWS KMS console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/km.
-
Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
-
Pour afficher les clés de votre compte que vous créez et gérez vous-même, dans le volet de navigation, choisissez Clés gérées par le client.
-
Sélectionnez la clé KMS.
-
Sous la section Configuration générale, choisissez l’onglet Stratégie de clé.
-
Faites défiler la page vers le bas jusqu'à Autre Comptes AWS.
-
Choisissez Ajouter un autre Comptes AWS.
La boîte de dialogue Autres Comptes AWS s’affiche.
-
Dans la boîte de dialogue, choisissez Ajouter un autre Compte AWS. Pour arn:aws:iam::, saisissez l'ID de compte du compartiment source.
-
Sélectionnez Enregistrer les modifications.
Pour octroyer au propriétaire du compartiment source l’autorisation d’utiliser la clé KMS (AWS CLI)
-
Pour plus d'informations sur la commande
put-key-policyAWS Command Line Interface (AWS CLI), voir put-key-policydans la référence de AWS CLI commande. Pour plus d'informations sur le fonctionnement dePutKeyPolicyl'API sous-jacente, voir PutKeyPolicy dans la Référence d'API AWS Key Management Service
AWS KMS considérations relatives aux quotas de transactions
Lorsque vous ajoutez de nombreux nouveaux objets AWS KMS chiffrés après avoir activé la réplication entre régions (CRR), vous pouvez rencontrer un ralentissement (erreurs HTTP). 503 Service
Unavailable La limitation survient lorsque le nombre de transactions AWS KMS
par seconde dépasse le quota actuel. Pour plus d’informations, consultez Quotas dans le Guide du développeur AWS Key Management Service .
Pour demander l’augmentation d’un quota, utilisez Service Quotas. Pour plus d’informations, consultez Demande d’augmentation de quota. Si le Service Quotas n'est pas pris en charge dans votre région, ouvrez un AWS Support dossier
Activation de la réplication pour les objets chiffrés
Par défaut, Amazon S3 ne réplique pas les objets chiffrés à l'aide d'un chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS) ou d'un chiffrement double couche côté serveur avec clés (DSSE-KMS). AWS KMS Pour répliquer des objets chiffrés avec SSE-KMS ou DSS-KMS, vous devez modifier la configuration de réplication des compartiments de façon à demander à Amazon S3 de répliquer ces objets. Cet exemple explique comment utiliser la console Amazon S3 et le AWS Command Line Interface (AWS CLI) pour modifier la configuration de réplication du compartiment afin de permettre la réplication d'objets chiffrés.
Note
Lorsqu’une clé de compartiment S3 est activée pour le compartiment source ou de destination, le contexte de chiffrement est l’Amazon Resource Name (ARN) du compartiment et non l’ARN de l’objet. Vous devez mettre à jour vos politiques IAM pour utiliser l’ARN du compartiment pour le contexte de chiffrement. Pour de plus amples informations, veuillez consulter Clés de compartiment S3 et réplication.
Note
Vous pouvez utiliser plusieurs régions AWS KMS keys dans Amazon S3. Cependant, Amazon S3 traite actuellement les clés multi-régions comme s’il s’agissait de clés à région unique et n’utilise pas les fonctions multi-régions de la clé. Pour plus d’informations, consultez Utilisation des clés multi-régions dans le Guide du développeur AWS Key Management Service .
Pour step-by-step obtenir des instructions, voirConfiguration d’une réplication pour des compartiments dans le même compte. Cette rubrique fournit des instructions pour définir une configuration de réplication lorsque les compartiments source et de destination sont détenus de manière identique et différente Comptes AWS.
Pour répliquer des objets chiffrés avec le AWS CLI, procédez comme suit :
-
Créez les compartiments source et de destination et activez la gestion des versions pour ces mêmes compartiments.
-
Créez un rôle de service AWS Identity and Access Management (IAM) qui autorise Amazon S3 à répliquer des objets. Les autorisations accordées au rôle IAM incluent les autorisations nécessaires à la réplication des objets chiffrés.
-
Ajoutez une configuration de réplication au compartiment source. La configuration de réplication fournit des informations sur la réplication des objets chiffrés à l’aide de clés KMS.
-
Ajoutez des objets chiffrés au compartiment source.
-
Testez la configuration pour vérifier que vos objets chiffrés sont répliqués dans le compartiment de destination.
Les procédures suivantes vous guident tout au long de ce processus.
Pour répliquer des objets chiffrés côté serveur (AWS CLI)
Pour utiliser les exemples de cette procédure, remplacez les user
input placeholders
-
Dans cet exemple, vous créez à la fois les compartiments source (
amzn-s3-demo-source-bucketamzn-s3-demo-destination-bucketacctAPour obtenir des informations sur la définition des profils d’informations d’identification et l’utilisation de profils nommés, consultez Paramètres des fichiers de configuration et d’informations d’identification dans le Guide de l’utilisateur AWS Command Line Interface .
-
Utilisez les commandes suivantes pour créer le compartiment
amzn-s3-demo-source-bucketamzn-s3-demo-source-bucketus-east-1).aws s3api create-bucket \ --bucketamzn-s3-demo-source-bucket\ --regionus-east-1\ --profileacctAaws s3api put-bucket-versioning \ --bucketamzn-s3-demo-source-bucket\ --versioning-configuration Status=Enabled \ --profileacctA -
Utilisez les commandes suivantes pour créer le compartiment
amzn-s3-demo-destination-bucketamzn-s3-demo-destination-bucketus-west-2).Note
Pour définir une configuration de réplication lorsque les compartiments
amzn-s3-demo-source-bucketamzn-s3-demo-destination-bucketacctAaws s3api create-bucket \ --bucketamzn-s3-demo-destination-bucket\ --regionus-west-2\ --create-bucket-configuration LocationConstraint=us-west-2\ --profileacctAaws s3api put-bucket-versioning \ --bucketamzn-s3-demo-destination-bucket\ --versioning-configuration Status=Enabled \ --profileacctA -
Ensuite, créez un rôle de service IAM. Vous allez spécifier ce rôle dans la configuration de réplication que vous ajouterez ultérieurement au compartiment
amzn-s3-demo-source-bucket-
Créez un rôle de service.
-
Attachez une stratégie d’autorisation au rôle.
-
Pour créer un rôle de service IAM, procédez comme suit :
-
Copiez la stratégie d’approbation suivante et enregistrez-la dans un fichier nommé
s3-role-trust-policy-kmsobj.json{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"s3.amazonaws.com" }, "Action":"sts:AssumeRole" } ] } -
Utilisez la commande suivante pour créer le rôle :
$aws iam create-role \ --role-namereplicationRolekmsobj\ --assume-role-policy-document file://s3-role-trust-policy-kmsobj.json \ --profileacctA
-
-
Ensuite, attachez une stratégie d’autorisation au rôle. Cette stratégie accorde des autorisations pour diverses actions sur les compartiments et les objets Amazon S3.
-
Copiez la politique d'autorisations suivante et enregistrez-la dans un fichier nommé
s3-role-permissions-policykmsobj.jsonImportant
Dans la politique d'autorisation, vous spécifiez la AWS KMS clé IDs qui sera utilisée pour le chiffrement des
amzn-s3-demo-destination-bucketamzn-s3-demo-source-bucketamzn-s3-demo-destination-bucketamzn-s3-demo-source-bucket{ "Version":"2012-10-17", "Statement":[ { "Action":[ "s3:ListBucket", "s3:GetReplicationConfiguration", "s3:GetObjectVersionForReplication", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTagging" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::amzn-s3-demo-source-bucketamzn-s3-demo-source-bucketAWS KMS key IDs(in ARN format) to use for encrypting object replicas" ] } }, "Resource":"arn:aws:s3:::amzn-s3-demo-destination-bucketus-east-1.amazonaws.com", "kms:EncryptionContext:aws:s3:arn":[ "arn:aws:s3:::amzn-s3-demo-source-bucketAWS KMS key IDs(in ARN format) used to encrypt source objects." ] }, { "Action":[ "kms:Encrypt" ], "Effect":"Allow", "Condition":{ "StringLike":{ "kms:ViaService":"s3.us-west-2.amazonaws.com", "kms:EncryptionContext:aws:s3:arn":[ "arn:aws:s3:::amzn-s3-demo-destination-bucketAWS KMS key IDs (in ARN format) to use for encrypting object replicas" ] } ] } -
Créez une politique et attachez-la au rôle.
$aws iam put-role-policy \ --role-namereplicationRolekmsobj\ --policy-document file://s3-role-permissions-policykmsobj.json \ --policy-namereplicationRolechangeownerPolicy\ --profileacctA
-
-
-
Ensuite, ajoutez la configuration de réplication suivante au compartiment
amzn-s3-demo-source-bucketTax/amzn-s3-demo-destination-bucketImportant
Dans la configuration de réplication, spécifiez le rôle IAM qu’Amazon S3 peut endosser. Vous ne pouvez effectuer cette tâche que si vous disposez de l’autorisation
iam:PassRole. Le profil que vous spécifiez dans la commande CLI doit disposer de cette autorisation. Pour plus d’informations, consultez Octroi d’autorisations à un utilisateur pour transférer un rôle à un Service AWS dans le Guide de l’utilisateur IAM.<ReplicationConfiguration> <Role>IAM-Role-ARN</Role> <Rule> <Priority>1</Priority> <DeleteMarkerReplication> <Status>Disabled</Status> </DeleteMarkerReplication> <Filter> <Prefix>Tax</Prefix> </Filter> <Status>Enabled</Status> <SourceSelectionCriteria> <SseKmsEncryptedObjects> <Status>Enabled</Status> </SseKmsEncryptedObjects> </SourceSelectionCriteria> <Destination> <Bucket>arn:aws:s3:::amzn-s3-demo-destination-bucketAWS KMS key IDs to use for encrypting object replicas</ReplicaKmsKeyID> </EncryptionConfiguration> </Destination> </Rule> </ReplicationConfiguration>Pour ajouter une configuration de réplication au compartiment
amzn-s3-demo-source-bucket-
Vous AWS CLI devez spécifier la configuration de réplication au format JSON. Enregistrez la configuration JSON suivante dans un fichier (
replication.json{ "Role":"IAM-Role-ARN", "Rules":[ { "Status":"Enabled", "Priority":1, "DeleteMarkerReplication":{ "Status":"Disabled" }, "Filter":{ "Prefix":"Tax" }, "Destination":{ "Bucket":"arn:aws:s3:::amzn-s3-demo-destination-bucketAWS KMS key IDs (in ARN format) to use for encrypting object replicas" } }, "SourceSelectionCriteria":{ "SseKmsEncryptedObjects":{ "Status":"Enabled" } } } ] } -
Modifiez le JSON pour indiquer les valeurs du compartiment
amzn-s3-demo-destination-bucketAWS KMS key IDs (in ARN format)IAM-role-ARN -
Utilisez la commande suivante pour ajouter la configuration de réplication à votre compartiment
amzn-s3-demo-source-bucketamzn-s3-demo-source-bucket$aws s3api put-bucket-replication \ --replication-configuration file://replication.json \ --bucketamzn-s3-demo-source-bucketacctA
-
-
Testez la configuration pour vérifier que les objets chiffrés ont été répliqués. Dans la console Amazon S3, procédez comme suit :
Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/
. -
Dans le compartiment
amzn-s3-demo-source-bucketTax -
Ajoutez des exemples d’objet au dossier. Assurez-vous de choisir l’option de chiffrement et de spécifier votre clé KMS pour chiffrer les objets.
-
Vérifiez que le compartiment
amzn-s3-demo-destination-bucket
Pour obtenir un exemple de code montrant comment ajouter une configuration de réplication, consultez À l'aide du AWS SDKs. Vous devez modifier la configuration de réplication en conséquence.
