View a markdown version of this page

Prérequis pour les fichiers S3 - Amazon Simple Storage Service
AWS configuration du compte et du calculClient de fichiers S3Rôles et politiques IAMGroupes de sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prérequis pour les fichiers S3

Avant de commencer à utiliser S3 Files, assurez-vous que vous avez rempli les conditions préalables suivantes.

AWS configuration du compte et du calcul

  • Tu as un AWS compte.

  • Vous disposez d'une ressource de calcul et d'un compartiment S3 à usage général dans AWS la région de votre choix où vous souhaitez créer votre système de fichiers. Pour de plus amples informations, veuillez consulter Création d’un compartiment à usage général.

  • La gestion des versions est activée dans votre compartiment S3. S3 Files nécessite le contrôle de version S3 pour synchroniser les modifications entre votre système de fichiers et votre compartiment S3. Pour de plus amples informations, veuillez consulter Activation de la gestion des versions sur les compartiments.

  • Votre compartiment S3 doit utiliser l'un des types de chiffrement suivants : chiffrement côté serveur avec des clés gérées Amazon S3 (SSE-S3) ou chiffrement côté serveur avec des clés du service de gestion des AWS clés (KMS) (AWS SSE-KMS).

Client de fichiers S3

Pour utiliser S3 Files avec Amazon EC2, vous devez installer le clientamazon-efs-utils, un ensemble d'outils open source partagés pour Amazon EFS et Amazon S3 Files. Pour travailler avec les fichiers S3, vous devez disposer de amazon-efs-utils la version 3.0.0 ou supérieure. Le client inclut un programme d'aide au montage qui simplifie le montage des systèmes de fichiers S3 et active CloudWatch les métriques Amazon pour surveiller l'état de montage de votre système de fichiers.

Étape 1 : Installation du client

  • Accédez au terminal de votre instance Amazon EC2 via Secure Shell (SSH) et connectez-vous avec le nom d'utilisateur approprié. Pour plus d'informations, consultez Connect to your EC2 instance dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.

  • Pour ceux qui utilisent Amazon Linux, procédez comme suit pour installer efs-utils depuis les référentiels d'Amazon :

    sudo yum -y install amazon-efs-utils

  • Si vous utilisez d'autres distributions Linux prises en charge, vous pouvez effectuer les opérations suivantes :

    curl https://amazon-efs-utils.aws.com/efs-utils-installer.sh | sudo sh -s -- --install

  • Pour les autres distributions Linux, voir Sur les autres distributions Linux dans le amazon-efs-utils fichier README activé GitHub.

Étape 2 : installer botocore

Le amazon-efs-utils client utilise le botocore pour interagir avec d'autres AWS services. Par exemple, vous devez installer botocore pour utiliser Amazon CloudWatch afin de surveiller votre système de fichiers. Pour obtenir des instructions sur l'installation et la mise à niveau de botocore, consultez la section Installation de botocore dans le fichier README sur. amazon-efs-utils GitHub

Activation du mode FIPS pour les fichiers S3

Si vous devez vous conformer aux normes fédérales de traitement de l'information (FIPS), vous devez activer le mode FIPS dans le client. L'activation du mode FIPS implique de modifier le s3files-utils.conf fichier sur le système d'exploitation.

Procédez comme suit pour activer le mode FIPS dans le client pour les fichiers S3 :

  1. Dans l’éditeur de texte de votre choix, ouvrez le fichier /etc/amazon/efs/s3files-utils.conf.

  2. Trouvez la ligne contenant le texte suivant :

    fips_mode_enabled = false

  3. Modifiez le texte comme suit :

    fips_mode_enabled = true

  4. Enregistrez vos modifications.

Rôles et politiques IAM

Pour utiliser S3 Files, vous devez configurer les rôles IAM et les politiques associées à deux fins :

  • Accès à votre bucket depuis le système de fichiers

  • Associer votre système de fichiers aux ressources AWS de calcul

Rôle IAM pour accéder à votre bucket depuis le système de fichiers

Lorsque vous créez un système de fichiers S3, vous devez spécifier un rôle IAM que S3 Files est censé lire et écrire dans votre compartiment S3. Ce rôle permet à S3 Files de synchroniser les modifications entre votre système de fichiers et votre compartiment S3. Le rôle accorde également des autorisations pour gérer les EventBridge règles Amazon utilisées par S3 Files pour détecter les modifications apportées à votre compartiment S3 et déclencher la synchronisation. Vous devez également vous assurer que les politiques de compartiment de votre compartiment source ne refusent pas l'accès à vos ressources de calcul.

Note

Lorsque vous créez un système de fichiers à l'aide de la console de AWS gestion, S3 Files crée automatiquement ce rôle IAM avec les autorisations requises.

Ce rôle IAM nécessite les éléments suivants :

  • Une politique en ligne comme suit :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3BucketPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListBucketVersions"
            ],
            "Resource": "arn:aws:s3:::bucket",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "accountId"
                }
            }
        },
        {
            "Sid": "S3ObjectPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject*",
                "s3:GetObject*",
                "s3:List*",
                "s3:PutObject*"
            ],
            "Resource": "arn:aws:s3:::bucket/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "accountId"
                }
            }
        },
        {
            "Sid": "UseKmsKeyWithS3Files",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncryptFrom",
                "kms:ReEncryptTo"
            ],
            "Condition": {
                "StringLike": {
                    "kms:ViaService": "s3.region.amazonaws.com",
                    "kms:EncryptionContext:aws:s3:arn": [
                        "arn:aws:s3:::bucket",
                        "arn:aws:s3:::bucket/*"
                    ]
                }
            },
            "Resource": "arn:aws:kms:region:accountId:*"
        },
        {
            "Sid": "EventBridgeManage",
            "Effect": "Allow",
            "Action": [
                "events:DeleteRule",
                "events:DisableRule",
                "events:EnableRule",
                "events:PutRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Condition": {
                "StringEquals": {
                    "events:ManagedBy": "elasticfilesystem.amazonaws.com"
                }
            },
            "Resource": [
                "arn:aws:events:*:*:rule/DO-NOT-DELETE-S3-Files*"
            ]
        },
        {
            "Sid": "EventBridgeRead",
            "Effect": "Allow",
            "Action": [
                "events:DescribeRule",
                "events:ListRuleNamesByTarget",
                "events:ListRules",
                "events:ListTargetsByRule"
            ],
            "Resource": [
                "arn:aws:events:*:*:rule/*"
            ]
        }
    ]
}

    Remplacez les valeurs de l'espace réservé par vos propres valeurs.

    #PlaceholderDescriptionExemple
    1bucketLe nom de votre compartiment S3mon-seau
    2regionLa AWS région de votre bucketus-east-1
    3accountIdL'identifiant AWS de votre compte123456789012

  • Une politique de confiance qui permet à S3 Files d'assumer le rôle IAM. Ajoutez la politique de confiance suivante au rôle IAM pour permettre au service S3 Files de l'assumer. Remplacez accountId et region par vos valeurs.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowS3FilesAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "elasticfilesystem.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountId"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3files:region:accountId:file-system/*"
                }
            }
        }
    ]
}

Rôle IAM pour associer votre système de fichiers aux AWS ressources de calcul

Les ressources de calcul sur lesquelles vous montez un système de fichiers S3 doivent être associées à un rôle IAM (par exemple, un profil d'instance EC2) avec des politiques qui permettent à votre ressource de calcul d'interagir avec votre système de fichiers S3 et votre compartiment S3 source. Vous devez également vous assurer que les politiques de compartiment de votre compartiment source ne refusent pas l'accès à vos ressources de calcul.

Ajoutez les deux politiques suivantes au rôle IAM associé à votre ressource de calcul :

  • Autorisations permettant à la ressource de calcul de se connecter aux systèmes de fichiers S3 et d'interagir avec eux

    Le rôle IAM doit inclure des autorisations permettant à l'assistant de montage de se connecter aux systèmes de fichiers S3 et d'interagir avec eux. Vous pouvez associer une politique AWS gérée telle qu'une politique AmazonS3FilesClientFullAccess gérée si vous souhaitez accorder à la ressource de calcul un accès complet en lecture et en écriture à votre système de fichiers S3 ou un accès en lecture seule. AmazonS3FilesClientReadOnlyAccess Vous pouvez également joindre la politique AmazonElasticFileSystemUtils gérée si vous souhaitez activer la CloudWatch surveillance d'Amazon. Pour plus d'informations et une liste complète des politiques gérées disponibles pour S3 Files, consultez la section Politiques AWS gérées pour Amazon S3 Files. Vous pouvez également fournir ces autorisations en ajoutant des autorisations IAM individuelles telles que s3files:ClientMount ou s3files:ClientWrite (non requises pour les connexions en lecture seule) au rôle IAM de votre ressource de calcul.

  • Une politique en ligne qui accorde à la ressource de calcul un accès en lecture aux objets S3

    Ajoutez la politique intégrée suivante au rôle IAM. Cette politique accorde aux ressources de calcul les autorisations nécessaires pour lire directement les objets du compartiment S3 lié dans le même compte afin d'optimiser les performances de lecture. bucketRemplacez-le par le nom de votre compartiment S3 ou par le nom du compartiment par un préfixe.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3ObjectReadAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": "arn:aws:s3:::bucket/*"
        },
        {
            "Sid": "S3BucketListAccess",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::bucket"
        }
    ]
}

Groupes de sécurité

Une fois votre système de fichiers et vos cibles de montage créés, vous devez configurer les groupes de sécurité appropriés pour commencer à utiliser votre système de fichiers. Les groupes de sécurité situés à la fois sur la ressource de calcul et sur la cible de montage doivent autoriser le trafic requis, comme indiqué dans le tableau ci-dessous :

Groupe de sécurité Type de règle Protocole Port Source/destination
Instance EC2 Sortant TCP 2049 Monter le groupe de sécurité cible
Cible de montage Entrant TCP 2049 Groupe de sécurité d'instance EC2