Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Copiez les données d'un compartiment Amazon S3 vers un autre compte ou une autre région à l'aide du AWS CLI
<a name="copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli"></a>

*Appasaheb Bagali et Purushotham GK, Amazon Web Services*

## Résumé
<a name="copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli-summary"></a>

Ce modèle décrit comment migrer les données d'un compartiment Amazon Simple Storage Service (Amazon S3) source d' AWS un compte vers un compartiment Amazon S3 de destination d'un AWS autre compte, dans la Région AWS même région ou dans une autre région.

Le compartiment Amazon S3 source autorise l'accès Gestion des identités et des accès AWS (IAM) à l'aide d'une politique de ressources attachée. Un utilisateur du compte de destination doit assumer un rôle doté `PutObject` d'`GetObject`autorisations pour le compartiment source. Enfin, vous exécutez `copy` des `sync` commandes pour transférer les données du compartiment Amazon S3 source vers le compartiment Amazon S3 de destination.

Les comptes sont propriétaires des objets qu'ils chargent dans les compartiments Amazon S3. Si vous copiez des objets entre comptes et régions, vous accordez au compte de destination la propriété des objets copiés. Vous pouvez modifier le propriétaire d'un objet en remplaçant sa [liste de contrôle d'accès (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/dev/S3_ACLs_UsingACLs.html) par`bucket-owner-full-control`. Cependant, nous vous recommandons d'accorder des autorisations programmatiques entre comptes au compte de destination, car cela ACLs peut être difficile à gérer pour plusieurs objets.

**Avertissement**  
Ce scénario nécessite que les utilisateurs IAM disposent d'un accès programmatique et d'informations d'identification à long terme, ce qui présente un risque de sécurité. Pour atténuer ce risque, nous vous recommandons de ne fournir à ces utilisateurs que les autorisations dont ils ont besoin pour effectuer la tâche et de supprimer ces autorisations lorsqu’elles ne sont plus nécessaires. Les clés d’accès peuvent être mises à jour si nécessaire. Pour plus d'informations, consultez la section [Mise à jour des clés d'accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) dans la documentation IAM.

## Conditions préalables et limitations
<a name="copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli-prereqs"></a>

*Conditions préalables*
+ Deux actifs de Comptes AWS la même manière ou de manière différente Régions AWS.
+ Un compartiment Amazon S3 existant dans le compte source. 
+ Si le [chiffrement par défaut](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) de votre compartiment Amazon S3 source ou de destination est activé, vous devez modifier les autorisations clés AWS Key Management Service (AWS KMS). Pour plus d'informations, consultez l'[article AWS Re:Post](https://repost.aws/knowledge-center/s3-bucket-access-default-encryption) à ce sujet. 
+ Connaissance des autorisations entre comptes.

*Limites*
+ Ce modèle couvre une migration ponctuelle. Pour les scénarios qui nécessitent une migration continue et automatique de nouveaux objets d'un compartiment source vers un compartiment de destination, vous pouvez utiliser [Amazon S3 Batch Replication](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-batch-replication-batch.html).
+ Ce modèle utilise des informations d'identification de session (`AccessKeyId``SecretAccessKey`, et`SessionToken`) qui sont temporaires et non persistantes. L'horodatage d'expiration dans la sortie indique la date d'expiration de ces informations d'identification. Le rôle est configuré avec la durée maximale de session. La tâche de copie sera annulée si la session expire.

## Architecture
<a name="copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli-architecture"></a>

 

![\[Copier des données Amazon S3 vers un autre compte ou une autre région\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/a574c26b-fdd9-4472-842b-b34c3eb2bfe9/images/5e4dec53-dfc8-478b-a7c4-503d63c8ac4e.png)


## Outils
<a name="copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli-tools"></a>
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) est un outil open source qui vous permet d'interagir Services AWS par le biais de commandes dans votre interface de ligne de commande.
+ [Gestion des identités et des accès AWS (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) vous aide à gérer en toute sécurité l'accès à vos AWS ressources en contrôlant qui est authentifié et autorisé à les utiliser.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) est un service de stockage d'objets basé sur le cloud qui vous permet de stocker, de protéger et de récupérer n'importe quel volume de données.

## Bonnes pratiques
<a name="copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli-best-practices"></a>
+ [Bonnes pratiques de sécurité dans l'IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (documentation IAM)
+ [Appliquer les autorisations du moindre privilège (documentation](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) IAM)

## Épopées
<a name="copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli-epics"></a>

### Création d'un utilisateur et d'un rôle IAM dans la destination Compte AWS
<a name="create-an-iam-user-and-role-in-the-destination-aws-account"></a>


| Sous-tâche | Description | Compétences requises | 
| --- | --- | --- | 
| Créez un utilisateur IAM et obtenez la clé d'accès. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli.html) | AWS DevOps | 
| Créez une politique basée sur l'identité IAM. | Créez une politique basée sur l'identité IAM nommée à l'aide `S3MigrationPolicy` des autorisations suivantes. Modifiez les noms des compartiments source et de destination en fonction de votre cas d'utilisation. Cette politique basée sur l'identité permet à l'utilisateur qui assume ce rôle d'accéder au compartiment source et au compartiment de destination. Pour obtenir des instructions détaillées, consultez [la section Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) dans la documentation IAM. <pre>{<br />    "Version": "2012-10-17",		 	 	 <br />    "Statement": [<br />        {<br />            "Effect": "Allow",<br />            "Action": [<br />                "s3:ListBucket",<br />                "s3:ListObjectsV2",<br />                "s3:GetObject",<br />                "s3:GetObjectTagging",<br />                "s3:GetObjectVersion",<br />                "s3:GetObjectVersionTagging"<br />            ],<br />            "Resource": [<br />                "arn:aws:s3:::amazon-s3-demo-source-bucket",<br />                "arn:aws:s3:::amazon-s3-demo-source-bucket/*"<br />            ]<br />        },<br />        {<br />            "Effect": "Allow",<br />            "Action": [<br />                "s3:ListBucket",<br />                "s3:PutObject",<br />                "s3:PutObjectAcl",<br />                "s3:PutObjectTagging",<br />                "s3:GetObjectTagging",<br />                "s3:ListObjectsV2",<br />                "s3:GetObjectVersion",<br />                "s3:GetObjectVersionTagging"<br />            ],<br />            "Resource": [<br />                "arn:aws:s3:::amazon-s3-demo-destination-bucket",<br />                "arn:aws:s3:::amazon-s3-demo-destination-bucket/*"<br />            ]<br />        }<br />    ]<br />}</pre> | AWS DevOps | 
| Créez un rôle IAM. | Créez un rôle IAM nommé `S3MigrationRole` en utilisant la politique de confiance suivante. Modifiez le nom de ressource Amazon (ARN) du rôle IAM ou du nom d'utilisateur de destination dans la politique de confiance en fonction de votre cas d'utilisation. Cette politique de confiance permet à l'utilisateur IAM nouvellement créé d'assumer`S3MigrationRole`. Joignez le fichier créé précédemment`S3MigrationPolicy`. Pour connaître les étapes détaillées, consultez [la section Création d'un rôle pour déléguer des autorisations à un utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) dans la documentation IAM.<pre>{<br />    "Version": "2012-10-17",		 	 	 <br />    "Statement": [<br />        {<br />            "Effect": "Allow",<br />            "Principal": {<br />                "AWS": "arn:aws:iam::<destination_account>:user/<user_name>"<br />            },<br />            "Action": "sts:AssumeRole",<br />            "Condition": {}<br />        }<br />    ]<br />}</pre> | AWS DevOps | 

### Créez et associez la politique de compartiment Amazon S3 au compte source
<a name="create-and-attach-the-s3-bucket-policy-in-the-source-account"></a>


| Sous-tâche | Description | Compétences requises | 
| --- | --- | --- | 
| Créez et attachez une politique de compartiment Amazon S3. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli.html) | Administrateur du cloud | 

### Configuration du compartiment Amazon S3 de destination
<a name="configure-the-destination-s3-bucket"></a>


| Sous-tâche | Description | Compétences requises | 
| --- | --- | --- | 
| Créez un compartiment Amazon S3 de destination. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli.html) | Administrateur du cloud | 

### Copier les données dans le compartiment Amazon S3 de destination
<a name="copy-data-to-the-destination-s3-bucket"></a>


| Sous-tâche | Description | Compétences requises | 
| --- | --- | --- | 
| Configurez le AWS CLI avec les informations d'identification utilisateur nouvellement créées. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli.html) | AWS DevOps | 
| Assumez le rôle de migration Amazon S3. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli.html)Pour plus d'informations, consultez [Comment utiliser le AWS CLI pour assumer un rôle IAM](https://repost.aws/knowledge-center/iam-assume-role-cli) ? | Administrateur AWS | 
| Copiez et synchronisez les données du compartiment source vers le compartiment de destination. | Lorsque vous avez assumé le rôle, `S3MigrationRole` vous pouvez copier les données à l'aide de la commande [copy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3/cp.html) (`cp`) ou de [la](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3/sync.html) commande `sync` sync ().Copie :<pre>aws s3 cp s3://amazon-s3-demo-source-bucket/ \<br />    s3://amazon-s3-demo-destination-bucket/ \<br />    --recursive --source-region SOURCE-REGION-NAME --region DESTINATION-REGION-NAME</pre>Synchroniser :<pre>aws s3 sync s3://amazon-s3-demo-source-bucket/ \<br />    s3://amazon-s3-demo-destination-bucket/ \<br />    --source-region SOURCE-REGION-NAME --region DESTINATION-REGION-NAME</pre> | Administrateur du cloud | 

## Résolution des problèmes
<a name="copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli-troubleshooting"></a>


| Problème | Solution | 
| --- | --- | 
| Une erreur s'est produite (`AccessDenied`) lors de l'appel de l'`ListObjects`opération | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli.html) | 

## Ressources connexes
<a name="copy-data-from-an-s3-bucket-to-another-account-and-region-by-using-the-aws-cli-resources"></a>
+ [Création d'un compartiment Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) (documentation Amazon S3)
+ Politiques relatives aux compartiments [Amazon S3 et politiques utilisateur](https://docs.aws.amazon.com/AmazonS3/latest/dev/using-iam-policies.html) (documentation Amazon S3)
+ [Identités IAM (utilisateurs, groupes et rôles) (documentation](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html?icmpid=docs_iam_console) IAM)
+ [commande cp](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3/cp.html) (AWS CLI documentation)
+ [commande de synchronisation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3/sync.html) (AWS CLI documentation)