Configuration d'une réplication quand les compartiments source et de destination appartiennent à des comptes distincts - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration d'une réplication quand les compartiments source et de destination appartiennent à des comptes distincts

Configuration de la réplication lorsque source and destination les compartiments appartiennent à des personnes différentes Comptes AWS est similaire à la configuration de la réplication lorsque les deux compartiments appartiennent au même compte. La seule différence est que le destination le propriétaire du bucket doit accorder le source autorisation du propriétaire du bucket de répliquer des objets en ajoutant une politique de bucket.

Pour plus d’informations sur la configuration de la réplication utilisant un chiffrement côté serveur avec AWS Key Management Service dans des scénarios entre comptes, consultez Octroi d'autorisations supplémentaires pour les scénarios à plusieurs comptes.

Pour configurer la réplication lorsque les compartiments source et de destination appartiennent à des entités différentes Comptes AWS

  1. Dans cet exemple, vous créez source and destination seaux en deux versions différentes. Comptes AWS Vous devez définir deux profils d'identification pour le AWS CLI (dans cet exemple, nous utilisons acctA et acctB pour les noms de profil). Pour plus d’informations sur la définition de profils d’informations d’identification, consultez Profils nommés dans le Guide de l’utilisateur AWS Command Line Interface .

  2. Suivez les step-by-step instructions en Configuration pour des compartiments dans le même compte apportant les modifications suivantes :

    • Pour toutes les AWS CLI commandes liées à source activités du bucket (pour créer le source bucket, activation du versionnement et création du IAM rôle), utilisez le acctA profil. Utilisez le acctB profil pour créer le destination seau.

    • Assurez-vous que la politique d'autorisation spécifie source and destination compartiments que vous avez créés pour cet exemple.

  3. Dans la console, ajoutez la politique de compartiment suivante sur destination seau pour permettre au propriétaire du source compartiment pour répliquer des objets. Assurez-vous de modifier la politique en fournissant l' Compte AWS ID du source le propriétaire du bucket et le destination nom du bucket.

    Note

    Pour utiliser l'exemple suivant, remplacez user input placeholders par vos propres informations. Remplacez DOC-EXAMPLE-BUCKET avec le nom de votre compartiment de destination. Remplacez source-bucket-acct-ID:role/service-role/source-acct-IAM-role avec le rôle que vous utilisez pour cette configuration de réplication.

    Si vous avez créé le rôle de IAM service manuellement, définissez le chemin du rôle comme indiqué dans l'exemple de politique ci-dessous. role/service-role/ Pour plus d'informations, consultez IAMARNsle guide de IAM l'utilisateur. 

    {
   "Version":"2012-10-17",
   "Id":"",
   "Statement":[
      {
         "Sid":"Set-permissions-for-objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::source-bucket-acct-ID:role/service-role/source-acct-IAM-role"
         },
         "Action":["s3:ReplicateObject", "s3:ReplicateDelete"],
         "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
      },
      {
         "Sid":"Set permissions on bucket",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::source-bucket-acct-ID:role/service-role/source-acct-IAM-role"
         },
         "Action":["s3:GetBucketVersioning", "s3:PutBucketVersioning"],
         "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET"
      }
   ]
}

Choisissez le compartiment et ajoutez la stratégie de compartiment. Pour obtenir des instructions, veuillez consulter Ajout d'une stratégie de compartiment à l'aide de la console Amazon S3.

Dans une réplication, par défaut, le réplica appartient au propriétaire de l'objet source. Lorsque les compartiments source et de destination appartiennent à des propriétaires différents Comptes AWS, vous pouvez ajouter des paramètres de configuration facultatifs pour remplacer la propriété des répliques par le Compte AWS propriétaire des compartiments de destination. Cela comprend l'octroi de l'autorisation ObjectOwnerOverrideToBucketOwner. Pour plus d’informations, consultez Modification du propriétaire d'un réplica.