Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Compartiments Amazon S3
Research and Engineering Studio (RES) prend en charge le montage de [buckets Amazon S3 sur](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) des instances VDI (Virtual Desktop Infrastructure) Linux. **Les administrateurs RES peuvent intégrer des compartiments S3 à RES, les associer à des projets, modifier leur configuration et supprimer des compartiments dans l'onglet Compartiments S3 sous Gestion de l'environnement.**
Le tableau de bord des compartiments S3 fournit une liste des compartiments S3 intégrés mis à votre disposition. Depuis le tableau de bord des compartiments S3, vous pouvez :
1. Utilisez **Ajouter un compartiment** pour intégrer un compartiment S3 à RES.
1. Sélectionnez un compartiment S3 et utilisez le menu **Actions** pour :
+ Modifier un bucket
+ Supprimer un seau
1. Utilisez le champ de recherche pour effectuer une recherche par nom de compartiment et trouver des compartiments S3 intégrés.
![\[La liste des compartiments S3 vous permet d'effectuer une recherche par nom de compartiment et de trouver des compartiments intégrés\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/docs-list-bucket.png)
Les sections suivantes décrivent comment gérer les compartiments Amazon S3 dans vos projets RES.
**Topics**
+ [Conditions requises pour les compartiments Amazon S3 pour les déploiements de VPC isolés](S3-buckets-prereqs.md)
+ [Ajouter un compartiment Amazon S3](S3-buckets-add.md)
+ [Modifier un compartiment Amazon S3](S3-buckets-edit.md)
+ [Supprimer un compartiment Amazon S3](S3-buckets-remove.md)
+ [Isolation des données](S3-buckets-data-isolation.md)
+ [Accès au bucket entre comptes](S3-buckets-cross-account-access.md)
+ [Empêcher l'exfiltration de données dans un VPC privé](S3-buckets-preventing-exfiltration.md)
+ [Résolution des problèmes](S3-buckets-troubleshooting.md)
+ [Activant CloudTrail](S3-buckets-enabling-cloudtrail.md)
# Conditions requises pour les compartiments Amazon S3 pour les déploiements de VPC isolés
Si vous déployez Research and Engineering Studio dans un VPC isolé, suivez ces étapes pour mettre à jour les paramètres de configuration Lambda après avoir déployé RES dans votre compte. AWS
1. Connectez-vous à la console Lambda du AWS compte sur lequel Research and Engineering Studio est déployé.
1. Recherchez et naviguez jusqu'à la fonction Lambda nommée. `-vdc-custom-credential-broker-lambda`
1. Sélectionnez l'onglet **Configuration** de la fonction.
![\[variable d'environnement VPC isolée\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/Isolated-VPC-Env-Variable.png)
1. Dans le volet de navigation, choisissez **Variables d'environnement** pour afficher cette section.
1. Choisissez **Modifier** et ajoutez la nouvelle variable d'environnement suivante à la fonction :
+ Clé : `AWS_STS_REGIONAL_ENDPOINTS`
+ Valeur : `regional`
1. Choisissez **Enregistrer**.
# Ajouter un compartiment Amazon S3
**Pour ajouter un compartiment S3 à votre environnement RES :**
1. Choisissez **Add bucket (Ajouter un compartiment)**.
1. Entrez les détails du bucket tels que le nom du bucket, l'ARN et le point de montage.
**Important**
L'ARN du bucket, le point de montage et le mode fournis ne peuvent pas être modifiés après la création.
L'ARN du bucket peut contenir un préfixe qui isolera le bucket S3 intégré par rapport à ce préfixe.
1. Sélectionnez le mode dans lequel vous souhaitez embarquer votre bucket.
**Important**
Voir [Isolation des données](S3-buckets-data-isolation.md) pour plus d'informations sur l'isolation des données avec des modes spécifiques.
1. Sous **Options avancées**, vous pouvez fournir un ARN de rôle IAM pour monter les buckets pour l'accès entre comptes. Suivez les étapes décrites [Accès au bucket entre comptes](S3-buckets-cross-account-access.md) pour créer le rôle IAM requis pour l'accès entre comptes.
1. (Facultatif) Associez le bucket à des projets, qui peuvent être modifiés ultérieurement. Toutefois, un compartiment S3 ne peut pas être monté sur les sessions VDI existantes d'un projet. Seules les sessions lancées une fois que le projet a été associé au bucket monteront le bucket.
1. Sélectionnez **Soumettre**.
![\[Ajouter une page de bucket indiquant les champs de configuration de bucket disponibles et le bouton d'envoi\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/docs-add-bucket.png)
# Modifier un compartiment Amazon S3
1. Sélectionnez un compartiment S3 dans la liste des compartiments S3.
1. Dans le menu **Actions**, sélectionnez **Modifier**.
1. Entrez vos mises à jour.
**Important**
L'association d'un projet à un compartiment S3 **ne montera pas** le compartiment sur les instances d'infrastructure de bureau virtuel (VDI) existantes de ce projet. Le bucket ne sera monté sur les sessions VDI lancées dans un projet qu'une fois le bucket associé à ce projet.
La dissociation d'un projet d'un compartiment S3 n'aura aucun impact sur les données contenues dans le compartiment S3, mais les utilisateurs d'ordinateurs de bureau perdront l'accès à ces données.
1. Choisissez **Enregistrer la configuration du bucket**.
![\[La page Modifier le compartiment S3 avec les champs de nom d'affichage et d'association de projet saisis et le bouton Enregistrer la configuration du compartiment surligné\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/docs-edit-bucket.png)
# Supprimer un compartiment Amazon S3
1. Sélectionnez un compartiment S3 dans la liste des compartiments S3.
1. Dans le menu **Actions**, sélectionnez **Supprimer**.
**Important**
Vous devez d'abord supprimer toutes les associations de projets du compartiment.
L'opération de suppression n'a aucun impact sur les données du compartiment S3. Il supprime uniquement l'association du compartiment S3 avec RES.
La suppression d'un compartiment entraîne la perte de l'accès des sessions VDI existantes au contenu de ce compartiment à l'expiration des informations d'identification de cette session (environ 1 heure).
# Isolation des données
Lorsque vous ajoutez un compartiment S3 à RES, vous avez la possibilité d'isoler les données qu'il contient pour des projets et des utilisateurs spécifiques. Sur la page **Ajouter un compartiment**, vous pouvez sélectionner un mode Read Only (R) ou Read and Write (R/W).
**Lecture seule**
Si `Read Only (R)` cette option est sélectionnée, l'isolation des données est appliquée en fonction du préfixe de l'ARN du bucket (Amazon Resource Name). Par exemple, si un administrateur ajoute un bucket à RES à l'aide de l'ARN `arn:aws:s3:::bucket-name/example-data/` et associe ce bucket au projet A et au projet B, les utilisateurs qui lancent VDIs depuis le projet A et le projet B ne peuvent lire que les données situées `bucket-name` sous le chemin`/example-data`. Ils n'auront pas accès aux données en dehors de ce chemin. Si aucun préfixe n'est ajouté à l'ARN du bucket, l'intégralité du bucket sera mise à la disposition de tous les projets qui lui sont associés.
**Lisez et écrivez**
Si `Read and Write (R/W)` cette option est sélectionnée, l'isolation des données est toujours appliquée en fonction du préfixe de l'ARN du bucket, comme décrit ci-dessus. Ce mode comporte des options supplémentaires permettant aux administrateurs de fournir un préfixe basé sur des variables pour le compartiment S3. Lorsque cette option `Read and Write (R/W)` est sélectionnée, une section Préfixe personnalisé devient disponible et propose un menu déroulant avec les options suivantes :
+ Aucun préfixe personnalisé
+ /%p
+ /%p/%u
![\[Ajouter une page de bucket avec la liste déroulante des préfixes personnalisés affichée\]](http://docs.aws.amazon.com/fr_fr/res/latest/ug/images/add-bucket-custom-prefix.png)
**Aucune isolation personnalisée des données **
Lorsque `No custom prefix` le **préfixe personnalisé** est sélectionné, le bucket est ajouté sans aucune isolation de données personnalisée. Cela permet à tous les projets associés au bucket d'avoir un accès en lecture et en écriture. Par exemple, si un administrateur ajoute un bucket à RES à l'aide de l'ARN `arn:aws:s3:::bucket-name` avec `No custom prefix` selected et associe ce bucket aux projets A et B, les utilisateurs qui le lancent VDIs depuis le projet A et le projet B auront un accès illimité en lecture et en écriture au bucket.
**Isolation des données au niveau du projet **
Lorsque `/%p` le **préfixe personnalisé est sélectionné, les** données du compartiment sont isolées pour chaque projet spécifique qui lui est associé. La `%p` variable représente le code du projet. Par exemple, si un administrateur ajoute un bucket à RES en utilisant l'ARN `arn:aws:s3:::bucket-name` avec `/%p` selected et un **point de montage** de*/bucket*, et qu'il associe ce bucket aux projets A et B, l'utilisateur A du projet A peut y écrire un fichier*/bucket*. L'utilisateur B du projet A peut également voir le fichier dans lequel l'utilisateur A a écrit*/bucket*. Toutefois, si l'utilisateur B lance un VDI dans le projet B et y jette un */bucket* œil, il ne verra pas le fichier écrit par l'utilisateur A, car les données sont isolées par projet. Le fichier écrit par l'utilisateur A se trouve dans le compartiment S3 sous le préfixe, `/ProjectA` tandis que l'utilisateur B ne peut y accéder que `/ProjectB` s'il utilise le fichier VDIs depuis le projet B.
**Isolation des données au niveau du projet et de l'utilisateur **
Lorsque le **préfixe personnalisé `/%p/%u` est sélectionné, les** données du compartiment sont isolées pour chaque projet spécifique et pour chaque utilisateur associé à ce projet. La `%p` variable représente le code du projet et `%u` le nom d'utilisateur. Par exemple, un administrateur ajoute un bucket à RES en utilisant l'ARN `arn:aws:s3:::bucket-name` dont le point de montage est `/%p/%u` sélectionné et le point de montage est égal à*/bucket*. Ce compartiment est associé au projet A et au projet B. L'utilisateur A du projet A peut y écrire un fichier*/bucket*. Contrairement au scénario précédent avec uniquement `%p` l'isolation, l'utilisateur B ne verra pas dans ce cas le fichier écrit par l'utilisateur A dans le projet A*/bucket*, car les données sont isolées à la fois par le projet et par l'utilisateur. Le fichier écrit par l'utilisateur A se trouve dans le compartiment S3 sous le préfixe, `/ProjectA/UserA` tandis que l'utilisateur B ne peut y accéder que `/ProjectA/UserB` s'il l'utilise VDIs dans le projet A.
# Accès au bucket entre comptes
RES est capable de monter des buckets à partir d'autres AWS comptes, à condition que ces buckets disposent des autorisations appropriées. Dans le scénario suivant, un environnement RES du compte A souhaite monter un compartiment S3 dans le compte B.
**Étape 1 : Créez un rôle IAM dans le compte dans lequel RES est déployé *(ce rôle sera appelé compte A)* :**
1. Connectez-vous à la console AWS de gestion du compte RES qui doit accéder au compartiment S3 (compte A).
1. Ouvrez la console IAM :
1. Accédez au tableau de bord IAM.
1. Dans le panneau de navigation, choisissez **Politiques**.
1. Créez une politique :
1. Choisissez **Create Policy** (Créer une politique).
1. Sélectionnez l’onglet **JSON**.
1. Collez la politique JSON suivante (`amzn-s3-demo-bucket`remplacez-la par le nom du compartiment S3 situé dans le compte B) :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. Choisissez **Suivant**.
1. Passez en revue et créez la politique :
1. Donnez un nom à la politique (par exemple, AccessPolicy « S3 »).
1. Ajoutez une description facultative pour expliquer l'objectif de la politique.
1. Passez en revue la politique et choisissez **Créer une politique**.
1. Ouvrez la console IAM :
1. Accédez au tableau de bord IAM.
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Créez un rôle :
1. Choisissez **Créer un rôle**.
1. Choisissez **Politique de confiance personnalisée** comme type d'entité de confiance.
1. Collez la politique JSON suivante (`111122223333`remplacez-la par l'ID de compte réel du compte A et `{RES_ENVIRONMENT_NAME}` par le nom d'environnement du déploiement RES) :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/-vdc-custom-credential-broker-lambda-role"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Choisissez **Suivant**.
1. Joindre des politiques d'autorisation :
1. Recherchez et sélectionnez la politique que vous avez créée précédemment.
1. Choisissez **Suivant**.
1. Marquez, révisez et créez le rôle :
1. Entrez un nom de rôle (par exemple, AccessRole « S3 »).
1. À l'étape 3, choisissez **Ajouter une étiquette**, puis entrez la clé et la valeur suivantes :
+ Clé : `res:Resource`
+ Valeur : `s3-bucket-iam-role`
1. Passez en revue le rôle et choisissez **Créer un rôle**.
1. Utilisez le rôle IAM dans RES :
1. Copiez l'ARN du rôle IAM que vous avez créé.
1. Connectez-vous à la console RES.
1. Dans le volet de navigation de gauche, choisissez **S3 Bucket**.
1. Choisissez **Ajouter un compartiment** et remplissez le formulaire avec l'ARN du compartiment S3 multi-comptes.
1. Choisissez le menu déroulant **Paramètres avancés - facultatif**.
1. Entrez l'ARN du rôle dans le champ ARN du rôle IAM.
1. Choisissez **Ajouter un compartiment**.
**Étape 2 : Modifier la politique de compartiment dans le compte B**
1. Connectez-vous à la console AWS de gestion du compte B.
1. Ouvrez la console S3 :
1. Accédez au tableau de bord S3.
1. Sélectionnez le bucket auquel vous souhaitez accorder l'accès.
1. Modifiez la politique relative aux compartiments :
1. Sélectionnez l'onglet **Permissions**, puis choisissez **Bucket policy**.
1. Ajoutez la politique suivante pour accorder au rôle IAM depuis le compte A l'accès au compartiment (remplacez-le *111122223333* par l'ID de compte réel du compte A et *amzn-s3-demo-bucket* par le nom du compartiment S3) :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/S3AccessRole"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
------
1. Choisissez **Enregistrer**.
# Empêcher l'exfiltration de données dans un VPC privé
Pour empêcher les utilisateurs d'exfiltrer les données des compartiments S3 sécurisés vers leurs propres compartiments S3 de leur compte, vous pouvez associer un point de terminaison VPC pour sécuriser votre VPC privé. Les étapes suivantes montrent comment créer un point de terminaison VPC pour le service S3 qui prend en charge l'accès aux compartiments S3 au sein de votre compte, ainsi qu'à tout compte supplémentaire doté de compartiments multicomptes.
1. Ouvrez la console Amazon VPC :
1. Connectez-vous à la console AWS de gestion.
1. Ouvrez la console Amazon VPC à l'adresse. [ https://console.aws.amazon.com/vpcconsole/](https://console.aws.amazon.com/vpcconsole)
1. Créez un point de terminaison VPC pour S3 :
1. Dans le panneau de navigation de gauche, sélectionnez **Points de terminaison**.
1. Choisissez **Créer un point de terminaison**.
1. Pour **Catégorie de service**, assurez-vous que l’option **services AWS ** est sélectionnée.
1. Dans le champ **Nom du service**, entrez `com.amazonaws..s3` (remplacez `` par votre AWS région) ou recherchez « S3 ».
1. Sélectionnez le service S3 dans la liste.
1. Configurer les paramètres du point de terminaison :
1. Pour le **VPC**, sélectionnez le VPC dans lequel vous souhaitez créer le point de terminaison.
1. Pour les **sous-réseaux**, sélectionnez les deux sous-réseaux privés utilisés pour les sous-réseaux VDI lors du déploiement.
1. Pour **Activer le nom DNS**, assurez-vous que l'option est cochée. Cela permet de résoudre le nom d'hôte DNS privé sur les interfaces réseau des terminaux.
1. Configurez la politique pour restreindre l'accès :
1. Sous **Politique**, sélectionnez **Personnaliser**.
1. Dans l'éditeur de règles, entrez une politique qui restreint l'accès aux ressources de votre compte ou d'un compte spécifique. Voici un exemple de politique (remplacez-le *amzn-s3-demo-bucket* par le nom de votre compartiment S3 *111122223333* et *444455556666* par le AWS compte approprié IDs auquel vous souhaitez avoir accès) :
**Note**
Cet exemple de politique utilise `s3:*` et ne limite pas les opérations du plan de contrôle S3 telles que la configuration des notifications d'événements, la réplication ou l'inventaire. Ces opérations peuvent permettre l'envoi de métadonnées d'objets (telles que les noms de compartiment et les clés d'objet) vers des destinations multicomptes. Si cela vous pose problème, ajoutez des instructions Deny explicites pour les actions pertinentes du plan de contrôle S3 dans la politique de point de terminaison du VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": [
"111122223333",
"444455556666"
]
}
}
}
]
}
```
------
1. Créez le point de terminaison :
1. Vérifiez vos paramètres.
1. Choisissez **Créer un point de terminaison**.
1. Vérifiez le point de terminaison :
1. Une fois le point de terminaison créé, accédez à la section **Points de terminaison** de la console VPC.
1. Sélectionnez le point de terminaison nouvellement créé.
1. Vérifiez que l'**état** est **disponible**.
En suivant ces étapes, vous créez un point de terminaison VPC qui autorise un accès S3 limité aux ressources de votre compte ou à un ID de compte spécifié.
# Résolution des problèmes
**Comment vérifier si un bucket ne parvient pas à être monté sur un VDI**
Si un bucket ne parvient pas à être monté sur un VDI, vous pouvez vérifier les erreurs à certains endroits. Suivez les étapes ci-dessous.
1. Vérifiez les journaux VDI :
1. Connectez-vous à la console AWS de gestion.
1. Ouvrez la console EC2 et accédez à **Instances**.
1. Sélectionnez l'instance VDI que vous avez lancée.
1. Connectez-vous au VDI via le gestionnaire de session.
1. Exécutez les commandes suivantes :
```
sudo su
cd ~/bootstrap/logs
```
Vous trouverez ici les journaux de bootstrap. Les détails de toute défaillance figureront dans le `configure.log.{time}` fichier.
Consultez également le `/etc/message` journal pour plus de détails.
1. Vérifiez les journaux CloudWatch Lambda de Custom Credential Broker :
1. Connectez-vous à la console AWS de gestion.
1. Ouvrez la CloudWatch console et accédez à **Log groups**.
1. Recherchez le groupe de journaux`/aws/lambda/-vdc-custom-credential-broker-lambda`.
1. Examinez le premier groupe de journaux disponible et repérez les éventuelles erreurs dans les journaux. Ces journaux contiendront des détails concernant les problèmes potentiels liés à la fourniture d'informations d'identification personnalisées temporaires pour le montage de compartiments S3.
1. Vérifiez les CloudWatch journaux personnalisés de Credential Broker API Gateway :
1. Connectez-vous à la console AWS de gestion.
1. Ouvrez la CloudWatch console et accédez à **Log groups**.
1. Recherchez le groupe de journaux`-vdc-custom-credential-broker-lambdavdccustomcredentialbrokerapigatewayaccesslogs`.
1. Examinez le premier groupe de journaux disponible et repérez les éventuelles erreurs dans les journaux. Ces journaux contiendront des détails concernant toutes les demandes et réponses adressées à l'API Gateway concernant les informations d'identification personnalisées nécessaires au montage des compartiments S3.
**Comment modifier la configuration du rôle IAM d'un bucket après l'intégration**
1. Connectez-vous à la console [AWS DynamoDB](https://console.aws.amazon.com/dynamodbv2/home).
1. Sélectionnez le tableau :
1. Dans le volet de navigation de gauche, choisissez **Tables**.
1. Recherchez et sélectionnez`.cluster-settings`.
1. Scannez le tableau :
1. Sélectionnez **Explorer les éléments de table**.
1. Assurez-vous que **Scan** est sélectionné.
1. Ajoutez un filtre :
1. Choisissez **Filtres** pour ouvrir la section de saisie des filtres.
1. Réglez le filtre pour qu'il corresponde à votre clé-
+ **Attribut** : Entrez la clé.
+ **État** : Sélectionnez **Commence par**.
+ **Valeur** : entrez « `shared-storage..s3_bucket.iam_role_arn` remplacement ** » par la valeur du système de fichiers à modifier.
1. Exécutez le scan :
Choisissez **Exécuter** pour exécuter le scan avec le filtre.
1. Vérifiez la valeur :
Si l'entrée existe, assurez-vous que la valeur est correctement définie avec le bon ARN du rôle IAM.
Si l'entrée n'existe pas :
1. Choisissez **Créer un élément**.
1. Entrez les détails de l'article :
+ Pour l'attribut clé, entrez`shared-storage..s3_bucket.iam_role_arn`.
+ Ajoutez le bon ARN du rôle IAM.
1. Choisissez **Enregistrer** pour ajouter l'article.
1. Redémarrez les instances VDI :
Redémarrez l'instance pour vous assurer VDIs que les ARN affectés par le rôle IAM incorrect sont à nouveau montés.
# Activant CloudTrail
Pour l'activer CloudTrail dans votre compte à l'aide de la CloudTrail console, suivez les instructions fournies dans la [section Création d'un historique avec la CloudTrail console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*. CloudTrail enregistrera l'accès aux compartiments S3 en enregistrant le rôle IAM qui y a accédé. Cela peut être lié à un ID d'instance, qui est lié à un projet ou à un utilisateur.