Utilisation d'un manifeste CSV stocké dans le compte source pour copier des objets dans des Comptes AWS - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'un manifeste CSV stocké dans le compte source pour copier des objets dans des Comptes AWS

Vous pouvez utiliser un fichier CSV stocké dans un autre Compte AWS en tant que manifeste pour une tâche d'opérations par lot S3. Pour utiliser un rapport d'inventaire S3, veuillez consulter Utilisation d'un rapport d'inventaire livré au compte de destination pour copier des objets dans des Comptes AWS.

La procédure suivante montre comment configurer des autorisations lors de l'utilisation d'une tâche d'opérations par lot S3 pour copier des objets d'un compte source vers un compte de destination avec le fichier manifeste CSV stocké dans le compte source.

Pour configurer un manifeste CSV stocké dans un autre Compte AWS

  1. Créez un rôle dans le compte de destination basé sur la stratégie d'approbation de la fonctionnalité d'opérations par lot S3. Dans cette procédure, le compte de destination est le compte dans lequel les objets sont copiés.

    Pour de plus amples informations sur la stratégie d'approbation, veuillez consulter Stratégie d'approbation.

    Pour de plus amples informations sur la création d'un rôle, veuillez consulter la section Création d'un rôle pour la délégation d'autorisations à un service AWS du Guide de l'utilisateur IAM.

    Si vous créez le rôle au moyen de la console, saisissez un nom pour le rôle (l’exemple de rôle utilise le nom BatchOperationsDestinationRoleCOPY). Choisissez le service S3, puis choisissez le cas d’utilisation Opérations par lot pour le compartiment S3, lequel applique la stratégie d’approbation au rôle.

    Ensuite, choisissez Create policy (Créer une stratégie) pour attacher la stratégie suivante au rôle.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowBatchOperationsDestinationObjectCOPY",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:PutObjectVersionAcl",
        "s3:PutObjectAcl",
        "s3:PutObjectVersionTagging",
        "s3:PutObjectTagging",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetObjectAcl",
        "s3:GetObjectTagging",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectVersionTagging"
      ],
      "Resource": [
        "arn:aws:s3:::ObjectDestinationBucket/*",
        "arn:aws:s3:::ObjectSourceBucket/*",
        "arn:aws:s3:::ObjectSourceManifestBucket/*"
      ]
    }
  ]
}

    Au moyen de la stratégie, le rôle octroie à batchoperations.s3.amazonaws.com l’autorisation de lire le manifeste dans le compartiment manifeste source. Il octroie des autorisations pour obtenir (GET) des objets, des listes de contrôle d’accès (ACL), des étiquettes et des versions dans le compartiment d’objet source. Enfin, il octroie des autorisations pour placer (PUT) des objets, des listes de contrôle d’accès (ACL), des étiquettes et des versions dans le compartiment d’objet de destination.

  2. Dans le compte source, créez une stratégie de compartiment pour le compartiment qui contient le manifeste afin d’octroyer au rôle créé à l’étape précédente l’autorisation d’obtenir (GET) des objets et des versions dans le compartiment manifeste source.

    Cette étape permet à la fonctionnalité d'opérations par lot S3 de lire le manifeste au moyen du rôle approuvé. Appliquez la stratégie de compartiment au compartiment qui contient le manifeste.

    Vous trouverez, ci-après, un exemple de stratégie de compartiment à appliquer au compartiment manifeste source.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowBatchOperationsSourceManfiestRead",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::DestinationAccountNumber:user/ConsoleUserCreatingJob",
          "arn:aws:iam::DestinationAccountNumber:role/BatchOperationsDestinationRoleCOPY"
        ]
      },
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": "arn:aws:s3:::ObjectSourceManifestBucket/*"
    }
  ]
}

    Cette stratégie octroie également à un utilisateur de la console qui est en train de créer une tâche dans le compte de destination les mêmes autorisations dans le compartiment manifeste source au moyen de la même stratégie de compartiment.

  3. Dans le compte source, créez une stratégie de compartiment pour le compartiment source qui octroie au rôle créé l'autorisation de récupérer (paramètre GET) des objets, des listes de contrôle d'accès, des étiquettes et des versions dans le compartiment d'objet source. La fonctionnalité d'opérations par lot S3 peut ensuite récupérer des objets du compartiment source via le rôle approuvé.

    Vous trouverez, ci-après, un exemple de stratégie de compartiment pour le compartiment qui contient les objets source.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowBatchOperationsSourceObjectCOPY",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DestinationAccountNumber:role/BatchOperationsDestinationRoleCOPY"
      },
      "Action": [
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetObjectAcl",
        "s3:GetObjectTagging",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectVersionTagging"
      ],
      "Resource": "arn:aws:s3:::ObjectSourceBucket/*"
    }
  ]
}

  4. Créez une tâche d'opérations par lot S3 dans le compte de destination. Vous avez besoin de l’ARN (Amazon Resource Name) pour le rôle que vous avez créé dans le compte de destination.

    Pour obtenir des informations générales sur la création d'une tâche, veuillez consulter Création d'une tâche d'opérations par lot S3.

    Pour en savoir plus sur la création d’une tâche à l’aide de la console, veuillez consulter Création d'une tâche d'opérations par lot S3.