Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Lier votre système de fichiers à un compartiment Amazon S3
Vous pouvez lier votre système de fichiers Amazon FSx for Lustre aux référentiels de données d'Amazon S3. Vous pouvez créer le lien lors de la création du système de fichiers ou à tout moment après la création du système de fichiers.
Un lien entre un répertoire du système de fichiers et un compartiment ou un préfixe S3 est appelé *association de référentiel de données (DRA)*. Vous pouvez configurer un maximum de 8 associations de référentiels de données sur un système de fichiers FSx for Lustre. Un maximum de 8 demandes DRA peuvent être mises en file d'attente, mais le système de fichiers ne peut traiter qu'une seule demande à la fois. Chaque DRA doit avoir un répertoire unique FSx pour le système de fichiers Lustre et un compartiment ou un préfixe S3 unique qui lui est associé.
**Note**
Les associations de référentiels de données, l'exportation automatique et la prise en charge de plusieurs référentiels de données ne sont pas disponibles sur FSx les systèmes de fichiers ou `Scratch 1` les systèmes de fichiers Lustre 2.10.
Pour accéder aux objets du référentiel de données S3 sous forme de fichiers et de répertoires du système de fichiers, les métadonnées des fichiers et des répertoires doivent être chargées dans le système de fichiers. Vous pouvez charger des métadonnées à partir d'un référentiel de données lié lorsque vous créez le DRA ou charger des métadonnées pour des lots de fichiers et de répertoires auxquels vous souhaitez accéder ultérieurement à l'aide du système de fichiers FSx for Lustre à l'aide d'une tâche d'importation de référentiel de données, ou utiliser l'exportation automatique pour charger automatiquement les métadonnées lorsque des objets sont ajoutés, modifiés ou supprimés du référentiel de données.
Vous pouvez configurer un DRA pour l'importation automatique uniquement, pour l'exportation automatique uniquement, ou pour les deux. Une association de référentiel de données configurée à la fois avec une importation et une exportation automatiques propage les données dans les deux sens entre le système de fichiers et le compartiment S3 lié. Lorsque vous modifiez les données de votre référentiel de données S3, FSx for Lustre détecte les modifications puis les importe automatiquement dans votre système de fichiers. Lorsque vous créez, modifiez ou supprimez des fichiers, FSx for Lustre exporte automatiquement les modifications vers Amazon S3 de manière asynchrone une fois que votre application a fini de modifier le fichier.
**Important**
Si vous modifiez le même fichier à la fois dans le système de fichiers et dans le compartiment S3, vous devez garantir la coordination au niveau de l'application afin d'éviter les conflits. FSx for Lustre n'empêche pas les écritures conflictuelles à plusieurs endroits.
Pour les fichiers marqués d'un attribut immuable, FSx for Lustre n'est pas en mesure de synchroniser les modifications entre votre système de fichiers FSx for Lustre et un compartiment S3 lié au système de fichiers. La définition d'un indicateur immuable pendant une période prolongée peut entraîner une dégradation des performances du transfert de données entre Amazon FSx et S3.
Lorsque vous créez une association de référentiel de données, vous pouvez configurer les propriétés suivantes :
+ **Chemin du système de fichiers** — Entrez un chemin local sur le système de fichiers qui pointe vers un répertoire (tel que`/ns1/`) ou un sous-répertoire (tel que`/ns1/subdir/`) qui sera mappé one-to-one avec le chemin du référentiel de données spécifié ci-dessous. Une barre oblique est requise au début du nom. Deux associations de référentiels de données ne peuvent pas avoir des chemins d'accès de système de fichiers qui se chevauchent. Par exemple, si un référentiel de données est associé au chemin d'accès du système de fichiers `/ns1`, vous ne pouvez pas lier un autre référentiel de données au chemin d'accès du système de fichiers `/ns1/ns2`.
**Note**
Si vous spécifiez uniquement une barre oblique (`/`) comme chemin d'accès du système de fichiers, vous ne pouvez lier qu'un seul référentiel de données au système de fichiers. Vous pouvez uniquement spécifier « / » comme chemin d'accès du système de fichiers pour le premier référentiel de données associé à un système de fichiers.
+ **Chemin du référentiel de données** — Entrez un chemin dans le référentiel de données S3. Le chemin d'accès peut être un compartiment S3 ou un préfixe au format `s3://bucket-name/prefix/`. Cette propriété indique l'endroit depuis lequel les fichiers seront importés ou exportés dans le référentiel de données S3. FSx for Lustre ajoutera un «/» final au chemin de votre référentiel de données si vous n'en fournissez pas un. Par exemple, si vous fournissez un chemin de référentiel de données de`s3://amzn-s3-demo-bucket/my-prefix`, FSx for Lustre l'interprétera comme`s3://amzn-s3-demo-bucket/my-prefix/`.
Deux associations de référentiels de données ne peuvent pas avoir de chemins de référentiel de données qui se chevauchent. Par exemple, si un référentiel de données avec chemin `s3://amzn-s3-demo-bucket/my-prefix/` est lié au système de fichiers, vous ne pouvez pas créer une autre association de référentiel de données avec le chemin du référentiel de données`s3://amzn-s3-demo-bucket/my-prefix/my-sub-prefix`.
+ **Importer des métadonnées depuis le référentiel** : vous pouvez sélectionner cette option pour importer les métadonnées de l'ensemble du référentiel de données immédiatement après avoir créé l'association du référentiel de données. Vous pouvez également exécuter une tâche d'importation de référentiel de données pour charger la totalité ou un sous-ensemble des métadonnées du référentiel de données lié dans le système de fichiers à tout moment après la création de l'association de référentiel de données.
+ **Paramètres d'importation** : choisissez une politique d'importation qui spécifie le type d'objets mis à jour (toute combinaison de nouveaux, de modifiés et de supprimés) qui seront automatiquement importés du compartiment S3 lié vers votre système de fichiers. L'importation automatique (nouvelle, modifiée, supprimée) est activée par défaut lorsque vous ajoutez un référentiel de données depuis la console, mais elle est désactivée par défaut lorsque vous utilisez l' FSx API AWS CLI ou Amazon.
+ **Paramètres d'exportation** : choisissez une politique d'exportation qui spécifie le type d'objets mis à jour (toute combinaison de nouveaux, de modifiés et de supprimés) qui seront automatiquement exportés vers le compartiment S3. L'exportation automatique (nouvelle, modifiée, supprimée) est activée par défaut lorsque vous ajoutez un référentiel de données depuis la console, mais elle est désactivée par défaut lorsque vous utilisez l' FSx API AWS CLI ou Amazon.
Les paramètres du **chemin du système de fichiers** et **du chemin du référentiel de données** fournissent un mappage 1:1 entre les chemins dans Amazon FSx et les clés d'objet dans S3.
**Topics**
+ [Création d'un lien vers un compartiment S3](create-linked-dra.md)
+ [Mise à jour des paramètres d'association du référentiel de données](update-dra-settings.md)
+ [Supprimer une association vers un compartiment S3](delete-linked-dra.md)
+ [Afficher les détails des associations de référentiels de données](view-dra-details.md)
+ [État du cycle de vie des associations au référentiel de données](dra-lifecycles.md)
+ [Utilisation de compartiments Amazon S3 chiffrés côté serveur](s3-server-side-encryption-support.md)
# Création d'un lien vers un compartiment S3
Les procédures suivantes vous guident dans le processus de création d'une association de référentiel de données pour un système de fichiers FSx for Lustre à un compartiment S3 existant, à l'aide de la AWS Management Console commande and AWS Command Line Interface (AWS CLI). Pour plus d'informations sur l'ajout d'autorisations à un compartiment S3 afin de le lier à votre système de fichiers, consultez[Ajouter des autorisations pour utiliser les référentiels de données dans Amazon S3](setting-up.md#fsx-adding-permissions-s3).
**Note**
Les référentiels de données ne peuvent pas être liés à des systèmes de fichiers sur lesquels les sauvegardes de systèmes de fichiers sont activées. Désactivez les sauvegardes avant de créer un lien vers un référentiel de données.
## Pour lier un compartiment S3 lors de la création d'un système de fichiers (console)
1. Ouvrez la FSx console Amazon à l'adresse [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Suivez la procédure de création d'un nouveau système de fichiers décrite [Étape 1 : Créez votre système de fichiers FSx for Lustre](getting-started.md#getting-started-step1) dans la section Mise en route.
1. Ouvrez le **référentiel de données Import/Export - section *facultative***. La fonctionnalité est désactivée par défaut.
1. Choisissez **Importer des données depuis et exporter des données vers S3**.
1. Dans la boîte de dialogue **Informations d'association du référentiel de données**, fournissez des informations pour les champs suivants.
+ **Chemin du système de fichiers** : entrez le nom d'un répertoire de haut niveau (tel que`/ns1`) ou d'un sous-répertoire (tel que`/ns1/subdir`) dans le système de FSx fichiers Amazon qui sera associé au référentiel de données S3. La barre oblique principale de la trajectoire est obligatoire. Deux associations de référentiels de données ne peuvent pas avoir des chemins d'accès de système de fichiers qui se chevauchent. Par exemple, si un référentiel de données est associé au chemin d'accès du système de fichiers `/ns1`, vous ne pouvez pas lier un autre référentiel de données au chemin d'accès du système de fichiers `/ns1/ns2`. Le paramètre de **chemin du système de fichiers** doit être unique pour toutes les associations de référentiels de données du système de fichiers.
+ **Chemin du référentiel de données** : entrez le chemin d'un compartiment ou d'un préfixe S3 existant à associer à votre système de fichiers (par exemple,`s3://amzn-s3-demo-bucket/my-prefix`). Deux associations de référentiels de données ne peuvent pas avoir de chemins de référentiel de données qui se chevauchent. Le paramètre du **chemin du référentiel de données** doit être unique pour toutes les associations de référentiels de données du système de fichiers.
+ **Importer des métadonnées depuis le référentiel** : sélectionnez cette propriété pour éventuellement exécuter une tâche d'importation du référentiel de données afin d'importer les métadonnées immédiatement après la création du lien.
1. Pour **les paramètres d'importation (facultatif)**, définissez une **politique d'importation** qui détermine la manière dont vos listes de fichiers et de répertoires sont mises à jour lorsque vous ajoutez, modifiez ou supprimez des objets dans votre compartiment S3. Par exemple, choisissez **Nouveau** pour importer les métadonnées dans votre système de fichiers pour les nouveaux objets créés dans le compartiment S3. Pour plus d'informations sur les politiques d'importation, consultez[Importez automatiquement des mises à jour depuis votre compartiment S3](autoimport-data-repo-dra.md).
1. Pour la **politique d'exportation**, définissez une politique d'exportation qui détermine la manière dont vos fichiers sont exportés vers votre compartiment S3 lié lorsque vous ajoutez, modifiez ou supprimez des objets dans votre système de fichiers. Par exemple, choisissez **Modifié** pour exporter des objets dont le contenu ou les métadonnées ont été modifiés dans votre système de fichiers. Pour plus d'informations sur les politiques d'exportation, consultez[Exportez automatiquement les mises à jour vers votre compartiment S3](autoexport-data-repo-dra.md).
1. Passez à la section suivante de l'assistant de création de système de fichiers.
## Pour lier un compartiment S3 à un système de fichiers existant (console)
1. Ouvrez la FSx console Amazon à l'adresse [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Dans le tableau de bord, choisissez **Systèmes de fichiers**, puis sélectionnez le système de fichiers pour lequel vous souhaitez créer une association de référentiel de données.
1. Choisissez l'onglet **Référentiel de données**.
1. Dans le volet **Associations de référentiels de données**, choisissez **Créer une association de référentiel de données**.
1. Dans la boîte de dialogue **Informations d'association du référentiel de données**, fournissez des informations pour les champs suivants.
+ **Chemin du système de fichiers** : entrez le nom d'un répertoire de haut niveau (tel que`/ns1`) ou d'un sous-répertoire (tel que`/ns1/subdir`) dans le système de FSx fichiers Amazon qui sera associé au référentiel de données S3. La barre oblique principale de la trajectoire est obligatoire. Deux associations de référentiels de données ne peuvent pas avoir des chemins d'accès de système de fichiers qui se chevauchent. Par exemple, si un référentiel de données est associé au chemin d'accès du système de fichiers `/ns1`, vous ne pouvez pas lier un autre référentiel de données au chemin d'accès du système de fichiers `/ns1/ns2`. Le paramètre de **chemin du système de fichiers** doit être unique pour toutes les associations de référentiels de données du système de fichiers.
+ **Chemin du référentiel de données** : entrez le chemin d'un compartiment ou d'un préfixe S3 existant à associer à votre système de fichiers (par exemple,`s3://amzn-s3-demo-bucket/my-prefix`). Deux associations de référentiels de données ne peuvent pas avoir de chemins de référentiel de données qui se chevauchent. Le paramètre du **chemin du référentiel de données** doit être unique pour toutes les associations de référentiels de données du système de fichiers.
+ **Importer des métadonnées depuis le référentiel** : sélectionnez cette propriété pour éventuellement exécuter une tâche d'importation du référentiel de données afin d'importer les métadonnées immédiatement après la création du lien.
1. Pour **les paramètres d'importation (facultatif)**, définissez une **politique d'importation** qui détermine la manière dont vos listes de fichiers et de répertoires sont mises à jour lorsque vous ajoutez, modifiez ou supprimez des objets dans votre compartiment S3. Par exemple, choisissez **Nouveau** pour importer les métadonnées dans votre système de fichiers pour les nouveaux objets créés dans le compartiment S3. Pour plus d'informations sur les politiques d'importation, consultez[Importez automatiquement des mises à jour depuis votre compartiment S3](autoimport-data-repo-dra.md).
1. Pour la **politique d'exportation**, définissez une politique d'exportation qui détermine la manière dont vos fichiers sont exportés vers votre compartiment S3 lié lorsque vous ajoutez, modifiez ou supprimez des objets dans votre système de fichiers. Par exemple, choisissez **Modifié** pour exporter des objets dont le contenu ou les métadonnées ont été modifiés dans votre système de fichiers. Pour plus d'informations sur les politiques d'exportation, consultez[Exportez automatiquement les mises à jour vers votre compartiment S3](autoexport-data-repo-dra.md).
1. Choisissez **Créer**.
## Pour lier un système de fichiers à un compartiment S3 (AWS CLI)
L'exemple suivant crée une association de référentiel de données qui lie un système de FSx fichiers Amazon à un compartiment S3, avec une politique d'importation qui importe les fichiers nouveaux ou modifiés dans le système de fichiers et une politique d'exportation qui exporte les fichiers nouveaux, modifiés ou supprimés vers le compartiment S3 lié.
+ Pour créer une association de référentiel de données, utilisez la commande Amazon FSx CLI`create-data-repository-association`, comme indiqué ci-dessous.
```
$ aws fsx create-data-repository-association \
--file-system-id fs-0123456789abcdef0 \
--file-system-path /ns1/path1/ \
--data-repository-path s3://amzn-s3-demo-bucket/myprefix/ \
--s3 "AutoImportPolicy={Events=[NEW,CHANGED,DELETED]},AutoExportPolicy={Events=[NEW,CHANGED,DELETED]}"
```
Amazon FSx renvoie immédiatement la description JSON du DRA. Le DRA est créé de manière asynchrone.
Vous pouvez utiliser cette commande pour créer une association de référentiel de données avant même que le système de fichiers n'ait terminé sa création. La demande sera mise en file d'attente et l'association du référentiel de données sera créée une fois que le système de fichiers sera disponible.
# Mise à jour des paramètres d'association du référentiel de données
Vous pouvez mettre à jour les paramètres d'une association de référentiel de données existante à l' AWS Management Console aide des FSx API AWS CLI, et Amazon, comme indiqué dans les procédures suivantes.
**Note**
Vous ne pouvez pas mettre à jour le `File system path` ou `Data repository path` d'un DRA après sa création. Si vous souhaitez modifier le `File system path` ou`Data repository path`, vous devez supprimer le DRA et le créer à nouveau.
## Pour mettre à jour les paramètres d'une association de référentiels de données existante (console)
1. Ouvrez la FSx console Amazon à l'adresse [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Dans le tableau de bord, choisissez **Systèmes de fichiers**, puis sélectionnez le système de fichiers que vous souhaitez gérer.
1. Choisissez l'onglet **Référentiel de données**.
1. Dans le volet **Associations de référentiels** de données, choisissez l'association de référentiel de données que vous souhaitez modifier.
1. Choisissez **Mettre à jour**. Une boîte de dialogue de modification s'affiche pour l'association du référentiel de données.
1. Pour les **paramètres d'importation (facultatif)**, vous pouvez mettre à jour votre **politique d'importation**. Pour plus d'informations sur les politiques d'importation, consultez[Importez automatiquement des mises à jour depuis votre compartiment S3](autoimport-data-repo-dra.md).
1. Pour les **paramètres d'exportation (facultatif)**, vous pouvez mettre à jour votre politique d'exportation. Pour plus d'informations sur les politiques d'exportation, consultez[Exportez automatiquement les mises à jour vers votre compartiment S3](autoexport-data-repo-dra.md).
1. Choisissez **Mettre à jour**.
## Pour mettre à jour les paramètres d'une association de référentiels de données (CLI) existante
+ Pour mettre à jour une association de référentiel de données, utilisez la commande Amazon FSx CLI`update-data-repository-association`, comme indiqué ci-dessous.
```
$ aws fsx update-data-repository-association \
--association-id 'dra-872abab4b4503bfc2' \
--s3 "AutoImportPolicy={Events=[NEW,CHANGED,DELETED]},AutoExportPolicy={Events=[NEW,CHANGED,DELETED]}"
```
Après avoir correctement mis à jour les politiques d'importation et d'exportation de l'association du référentiel de données, Amazon FSx renvoie la description de l'association du référentiel de données mise à jour au format JSON.
# Supprimer une association vers un compartiment S3
Les procédures suivantes vous guident dans le processus de suppression d'une association de référentiel de données d'un système de FSx fichiers Amazon existant vers un compartiment S3 existant, à l'aide de la AWS Management Console commande and AWS Command Line Interface (AWS CLI). La suppression de l'association du référentiel de données dissocie le système de fichiers du compartiment S3.
## Pour supprimer un lien d'un système de fichiers vers un compartiment S3 (console)
1. Ouvrez la FSx console Amazon à l'adresse [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Dans le tableau de bord, choisissez **Systèmes de fichiers**, puis sélectionnez le système de fichiers dont vous souhaitez supprimer une association de référentiel de données.
1. Choisissez l'onglet **Référentiel de données**.
1. Dans le volet **Associations de référentiels** de données, choisissez l'association de référentiel de données que vous souhaitez supprimer.
1. Pour **Actions**, choisissez **Supprimer l'association**.
1. Dans la boîte de dialogue **Supprimer**, vous pouvez choisir **Supprimer les données dans le système de fichiers** pour supprimer physiquement les données du système de fichiers correspondant à l'association du référentiel de données.
Choisissez cette option si vous envisagez de créer une nouvelle association de référentiel de données en utilisant le même chemin de système de fichiers mais pointant vers un préfixe de compartiment S3 différent, ou si vous n'avez plus besoin des données de votre système de fichiers.
1. Choisissez **Supprimer pour supprimer** l'association du référentiel de données du système de fichiers.
## Pour supprimer un lien d'un système de fichiers vers un compartiment S3 (AWS CLI)
L'exemple suivant supprime une association de référentiel de données qui lie un système de FSx fichiers Amazon à un compartiment S3. Le `--association-id` paramètre indique l'ID de l'association du référentiel de données à supprimer.
+ Pour supprimer une association de référentiel de données, utilisez la commande Amazon FSx CLI`delete-data-repository-association`, comme indiqué ci-dessous.
```
$ aws fsx delete-data-repository-association \
--association-id dra-872abab4b4503bfc \
--delete-data-in-file-system false
```
Après avoir correctement supprimé l'association du référentiel de données, Amazon FSx renvoie sa description au format JSON.
**Recréation DRAs avec le même chemin de système de fichiers**
Il est déconseillé de supprimer et de recréer les associations de référentiels de données qui utilisent le même chemin de système de fichiers. Si vous supprimez un DRA et que vous en créez ultérieurement un nouveau en utilisant le même chemin de système de fichiers, certains fichiers peuvent conserver l'état HSM du DRA précédemment supprimé.
Si vous devez exporter des fichiers à partir d'un DRA recréé qui ont été gérés par un DRA précédemment supprimé, vous devez marquer ces fichiers comme sales à l'aide de la commande ci-dessous, puis exécuter une tâche de référentiel de données d'exportation :
```
sudo lfs hsm_set --dirty file_path
```
# Afficher les détails des associations de référentiels de données
Vous pouvez consulter les détails d'une association de référentiels de données à l'aide de la console FSx for Lustre, du AWS CLI, et de l'API. Les détails incluent l'ID d'association du DRA, le chemin du système de fichiers, le chemin du référentiel de données, les paramètres d'importation, les paramètres d'exportation, le statut et l'ID du système de fichiers associé.
## Pour afficher les détails du DRA (console)
1. Ouvrez la FSx console Amazon à l'adresse [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Dans le tableau de bord, choisissez **Systèmes de fichiers**, puis sélectionnez le système de fichiers pour lequel vous souhaitez consulter les détails de l'association d'un référentiel de données.
1. Choisissez l'onglet **Référentiel de données**.
1. Dans le volet **Associations de référentiels** de données, choisissez l'association de référentiel de données que vous souhaitez afficher. La page **Résumé** apparaît, affichant les détails du DRA.
![\[Page Amazon FSx Details d'une association de référentiels de données.\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/LustreGuide/images/dra-describe.png)
## Pour afficher les détails du DRA (CLI)
+ Pour afficher les détails d'une association de référentiel de données spécifique, utilisez la commande Amazon FSx CLI`describe-data-repository-associations`, comme indiqué ci-dessous.
```
$ aws fsx describe-data-repository-associations \
--association-ids dra-872abab4b4503bfc2
```
Amazon FSx renvoie la description de l'association du référentiel de données au format JSON.
# État du cycle de vie des associations au référentiel de données
L'état du cycle de vie des associations de référentiels de données fournit des informations sur le statut d'un DRA spécifique. Une association de référentiel de données peut avoir les **états de cycle de vie** suivants :
+ **Création** : Amazon crée FSx l'association du référentiel de données entre le système de fichiers et le référentiel de données lié. Le référentiel de données n'est pas disponible.
+ **Disponible** — L'association du référentiel de données peut être utilisée.
+ **Mise à jour** : l'association du référentiel de données fait l'objet d'une mise à jour initiée par le client qui pourrait affecter sa disponibilité.
+ **Suppression** : l'association du référentiel de données est en cours de suppression à l'initiative du client.
+ Configuration **incorrecte** : Amazon FSx ne peut pas importer automatiquement les mises à jour depuis le compartiment S3 ou exporter automatiquement les mises à jour vers le compartiment S3 tant que la configuration des associations de référentiels de données n'est pas corrigée.
Un DRA peut être **mal configuré pour** les raisons suivantes :
+ Amazon FSx ne dispose pas des autorisations IAM nécessaires pour accéder au compartiment S3.
+ La configuration des notifications d' FSx événements sur le compartiment S3 est supprimée ou modifiée.
+ Le compartiment S3 contient des notifications d'événements existantes qui se recoupent avec les types d' FSx événements.
Une fois le problème sous-jacent résolu, le DRA revient automatiquement à l'état **Disponible** dans les 15 minutes, ou vous pouvez immédiatement déclencher le changement d'état à l'aide de la AWS CLI commande [update-data-repository-association](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-data-repository-association.html).
+ **Échec** : l'association du référentiel de données est dans un état terminal qui ne peut pas être restauré (par exemple, parce que le chemin du système de fichiers est supprimé ou que le compartiment S3 est supprimé).
Vous pouvez consulter l'état du cycle de vie d'une association de référentiels de données à l'aide de la FSx console Amazon AWS Command Line Interface, du, et de l' FSx API Amazon. Pour de plus amples informations, veuillez consulter [Afficher les détails des associations de référentiels de données](view-dra-details.md).
# Utilisation de compartiments Amazon S3 chiffrés côté serveur
FSx for Lustre prend en charge les compartiments Amazon S3 qui utilisent le chiffrement côté serveur avec des clés gérées par S3 (SSE-S3) et stockées dans (SSE-KMS). AWS KMS keys AWS Key Management Service
Si vous souhaitez qu'Amazon FSx chiffre les données lorsque vous écrivez dans votre compartiment S3, vous devez définir le chiffrement par défaut de votre compartiment S3 sur SSE-S3 ou SSE-KMS. Pour plus d'informations, consultez [la section Configuration du chiffrement par défaut](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) dans le *guide de l'utilisateur Amazon S3*. Lorsque vous écrivez des fichiers dans votre compartiment S3, Amazon FSx suit la politique de chiffrement par défaut de votre compartiment S3.
Par défaut, Amazon FSx prend en charge les compartiments S3 chiffrés à l'aide du protocole SSE-S3. Si vous souhaitez lier votre système de FSx fichiers Amazon à un compartiment S3 chiffré à l'aide du chiffrement SSE-KMS, vous devez ajouter une déclaration à votre politique de clé gérée par le client qui autorise Amazon FSx à chiffrer et à déchiffrer les objets de votre compartiment S3 à l'aide de votre clé KMS.
L'instruction suivante permet à un système de FSx fichiers Amazon spécifique de chiffrer et de déchiffrer des objets pour un compartiment S3 spécifique,. *bucket\$1name*
```
{
"Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fsx_file_system_id"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "aws_account_id",
"kms:ViaService": "s3.bucket-region.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
}
}
}
```
**Note**
Si vous utilisez un KMS avec une clé CMK pour chiffrer votre compartiment S3 avec les clés de compartiment S3 activées, définissez l'ARN du `EncryptionContext` compartiment, et non l'ARN de l'objet, comme dans cet exemple :
```
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name"
}
```
La déclaration de politique suivante permet à tous les systèmes de FSx fichiers Amazon de votre compte d'être liés à un compartiment S3 spécifique.
```
{
"Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "s3.bucket-region.amazonaws.com",
"kms:CallerAccount": "aws_account_id"
},
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws_partition:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fs-*"
}
}
}
```
## Accès aux compartiments Amazon S3 chiffrés côté serveur dans un autre VPC Compte AWS ou à partir d'un VPC partagé
Après avoir créé un système de fichiers FSx for Lustre lié à un compartiment Amazon S3 chiffré, vous devez accorder au rôle `AWSServiceRoleForFSxS3Access_fs-01234567890` lié au service (SLR) l'accès à la clé KMS utilisée pour chiffrer le compartiment S3 avant de lire ou d'écrire des données depuis le compartiment S3 lié. Vous pouvez utiliser un rôle IAM déjà autorisé à accéder à la clé KMS.
**Note**
Ce rôle IAM doit figurer dans le compte dans lequel le système de fichiers FSx for Lustre a été créé (qui est le même compte que le S3 SLR), et non dans le compte auquel appartient la clé KM/le compartiment S3.
Vous utilisez le rôle IAM pour appeler l' AWS KMS API suivante afin de créer une autorisation pour le SLR S3 afin que le SLR obtienne l'autorisation d'accéder aux objets S3. Pour trouver l'ARN associé à votre SLR, recherchez vos rôles IAM en utilisant l'ID de votre système de fichiers comme chaîne de recherche.
```
$ aws kms create-grant --region fs_account_region \
--key-id arn:aws:kms:s3_bucket_account_region:s3_bucket_account:key/key_id \
--grantee-principal arn:aws:iam::fs_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_file-system-id \
--operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"
```
Pour plus d’informations sur les rôles liés à un service, consultez [Utilisation de rôles liés à un service pour Amazon FSx](using-service-linked-roles.md).