Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWSSupport-ConfigureS3ReplicationSameAndCrossAccount
Description
Le manuel AWSSupport-ConfigureS3ReplicationSameAndCrossAccount d'automatisation configure la réplication du bucket Amazon Simple Storage Service (Amazon S3) entre un bucket source et un bucket de destination pour des comptes identiques ou intercomptes. Cette automatisation prend en charge la réplication des buckets chiffrés avec le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) et le chiffrement côté serveur avec (SSE-KMS). AWS Key Management Service Il prend également en charge le filtrage de réplication sélectif basé sur des préfixes et des balises, le contrôle du temps de réplication Amazon S3 (Amazon S3 RTC) avec un SLA de 15 minutes et la réplication par marqueurs de suppression. L'automatisation exécute les actions suivantes :
Valide la compatibilité des paramètres d'entrée et des configurations de compartiment.
Vérifie les paramètres de chiffrement sur les compartiments source et de destination.
Crée un nouveau rôle Gestion des identités et des accès AWS (IAM) avec les autorisations appropriées pour la réplication s'il n'est pas fourni en entrée.
Configure les règles de réplication en fonction de paramètres spécifiés (préfixe, balises ou compartiment entier).
Active le versionnement des compartiments s'il n'est pas déjà activé.
Configure la configuration de réplication avec des fonctionnalités optionnelles telles que le contrôle du temps de réplication (RTC) et la réplication des marqueurs de suppression.
Important
-
Cette automatisation ne prend pas en charge les buckets dotés de règles de réplication existantes. Le compartiment source ne doit pas avoir de configuration de réplication existante.
-
Cette automatisation crée un nouveau rôle IAM avec les autorisations appropriées pour la réplication si aucune ReplicationRole entrée S3 n'est fournie.
-
Cette automatisation ne reproduit pas les objets existants. La réplication Amazon S3 ne s'applique aux objets qu'une uploaded/created fois la configuration de réplication activée.
-
Pour la réplication entre comptes, vous devez fournir un rôle IAM dans le compte de destination avec les autorisations appropriées pour les opérations Amazon S3 et les AWS KMS opérations (si le bucket utilise le AWS KMS chiffrement).
-
Cette automatisation utilise l'
aws:approveaction, qui suspend temporairement l'exécution jusqu'à ce que les principaux désignés approuvent les modifications de configuration. Voir Exécution d'une automatisation avec des approbateurs pour plus d'informations.
Fonctionnement
Le runbook exécute les étapes suivantes :
ValidateInputParameters: valide l'exactitude et la compatibilité de tous les paramètres d'entrée afin de garantir une configuration de réplication correcte.
PrepareApprovalMessage: prépare un message d'approbation contenant tous les paramètres de configuration de réplication pour examen par l'utilisateur.
RequestApproval: demande l'approbation des utilisateurs autorisés avant d'ajouter la configuration de réplication Amazon S3 dans le compartiment source.
CheckBucketEncryption: Vérifie la configuration de chiffrement pour les compartiments Amazon S3 source et de destination afin de déterminer les paramètres de réplication compatibles.
BranchOnEncryptionType: Exécution de branches basée sur le type de chiffrement des compartiments Amazon S3 afin d'appliquer une configuration de réplication appropriée aux compartiments chiffrés SSE-S3 ou SSE-KMS.
Configurer SSES3 la réplication : configure la réplication Amazon S3 pour les compartiments chiffrés avec le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3), y compris les rôles IAM et les règles de réplication.
Configurer SSEKMSReplication : configure la réplication Amazon S3 pour les compartiments chiffrés avec le chiffrement côté serveur avec AWS KMS (SSE-KMS), y compris les rôles IAM, les autorisations clés KMS et les règles de réplication.
CleanupResources: Nettoie le rôle IAM créé lors de l'échec de la configuration de réplication lorsque S3 n'ReplicationRole est pas fourni en entrée.
Exécuter cette automatisation (console)
Autorisations IAM requises
Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.
s3 : ListBucket
s3 : GetBucketVersioning
s3 : GetEncryptionConfiguration
s3 : GetBucketLocation
s3 : GetReplicationConfiguration
s3 : PutBucketVersioning
s3 : PutReplicationConfiguration
iam : ListRoles
iam : GetRole
iam : GetRolePolicy
iam : ListRoleTags
iam : ListAttachedRolePolicies
iam : ListRolePolicies
iam : SimulatePrincipalPolicy
iam : CreateRole
iam : TagRole
iam : PassRole
iam : DeleteRole
iam : DeleteRolePolicy
iam : DetachRolePolicy
iam : PutRolePolicy
sets : GetCallerIdentity
sns:Publish
kms : GetKeyPolicy (lorsque les buckets utilisent SSE-KMS, réplication sur le même compte)
kms : DescribeKey (lorsque les buckets utilisent SSE-KMS, réplication sur le même compte)
kms : PutKeyPolicy (lorsque les buckets utilisent SSE-KMS, réplication sur le même compte)
sts : AssumeRole (pour la réplication entre comptes)
CrossAccountReplicationRole (pour les scénarios entre comptes) :
Pour la réplication entre comptes, vous devez fournir un compte CrossAccountReplicationRole dans le compte de destination avec les autorisations suivantes :
s3 : ListBucket
s3 : GetBucketVersioning
s3 : GetBucketLocation
s3 : GetBucketPolicy
s3 : GetEncryptionConfiguration
s3 : PutBucketVersioning
s3 : PutBucketPolicy
kms : GetKeyPolicy (lorsque le bucket de destination entre comptes utilise SSE-KMS)
kms : DescribeKey (lorsque le bucket de destination entre comptes utilise SSE-KMS)
kms : PutKeyPolicy (lorsque le bucket de destination entre comptes utilise SSE-KMS)
S3 ReplicationRole (rôle fourni par le client) :
Si vous fournissez un S3 existantReplicationRole, il doit disposer des autorisations suivantes :
s3 : ListBucket
s3 : GetBucketLocation
s3 : GetReplicationConfiguration
s3 : GetObjectVersionAcl
s3 : GetObjectVersionTagging
s3 : GetObjectVersionForReplication
s3 : GetObjectTagging
s3 : ReplicateObject
s3 : ReplicateDelete
s3 : ReplicateTags
s3 : ObjectOwnerOverrideToBucketOwner
KMS:Decrypt (pour les scénarios SSE-KMS, clé KMS source)
KMS:Encrypt (pour les scénarios SSE-KMS, clé KMS de destination)
kms : GenerateDataKey (pour les scénarios SSE-KMS, clé KMS de destination)
kms : ReEncrypt * (pour les scénarios SSE-KMS, clé KMS de destination)
Exemple AutomationAssumeRolede politique pour la réplication sur un même compte :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Permissions", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetEncryptionConfiguration", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutReplicationConfiguration" ], "Resource": [ "arn:aws:s3:::SOURCE_BUCKET", "arn:aws:s3:::DESTINATION_BUCKET" ] }, { "Sid": "IAMReadOperations", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetRolePolicy", "iam:ListRoleTags", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:SimulatePrincipalPolicy" ], "Resource": "*" }, { "Sid": "IAMListRolesForCleanup", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMCreateAndTagRole", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:TagRole" ], "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:RequestTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "IAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringEquals": { "iam:PassedToService": "s3.amazonaws.com" } } }, { "Sid": "TaggedIAMRoleModifyAndDeleteOperations", "Effect": "Allow", "Action": [ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:ResourceTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "STSGetCallerIdentity", "Effect": "Allow", "Action": "sts:GetCallerIdentity", "Resource": "*" }, { "Sid": "SNSPublish", "Effect": "Allow", "Action": "sns:Publish", "Resource": "SNS_TOPIC_ARN" }, { "Sid": "KMSKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:REGION:ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "arn:aws:kms:REGION:ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" ] }, { "Sid": "KMSKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": [ "arn:aws:kms:REGION:ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "arn:aws:kms:REGION:ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" ], "Condition": { "StringEquals": { "kms:CallerAccount": "ACCOUNT_ID" } } } ] }
Note
Les déclarations de politique (KMSKeyReadOperations et KMSKeyMutatingOperations) ne sont requises que lorsque les compartiments utilisent le chiffrement SSE-KMS.
Exemple AutomationAssumeRolede politique pour la réplication entre comptes :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3SourceBucketOperations", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetEncryptionConfiguration", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutReplicationConfiguration" ], "Resource": "arn:aws:s3:::SOURCE_BUCKET" }, { "Sid": "IAMReadOperations", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:GetRolePolicy", "iam:ListRoleTags", "iam:ListAttachedRolePolicies", "iam:ListRolePolicies", "iam:SimulatePrincipalPolicy" ], "Resource": "*" }, { "Sid": "IAMListRolesForCleanup", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMCreateAndTagRole", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:TagRole" ], "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:RequestTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "IAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringEquals": { "iam:PassedToService": "s3.amazonaws.com" } } }, { "Sid": "TaggedIAMRoleModifyAndDeleteOperations", "Effect": "Allow", "Action": [ "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::SOURCE_ACCOUNT_ID:role/S3RepRole-*", "Condition": { "StringLike": { "aws:ResourceTag/AWSSupport-ConfigureS3ReplicationSameAndCrossAccount": "*" } } }, { "Sid": "CrossAccountRoleAssumption", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "CROSS_ACCOUNT_REPLICATION_ROLE_ARN" }, { "Sid": "STSGetCallerIdentity", "Effect": "Allow", "Action": "sts:GetCallerIdentity", "Resource": "*" }, { "Sid": "SNSPublish", "Effect": "Allow", "Action": "sns:Publish", "Resource": "SNS_TOPIC_ARN" }, { "Sid": "KMSSourceKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID" }, { "Sid": "KMSSourceKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID", "Condition": { "StringEquals": { "kms:CallerAccount": "SOURCE_ACCOUNT_ID" } } } ] }
Note
Les déclarations de politique (KMSSourceKeyReadOperations et KMSSourceKeyMutatingOperations) ne sont requises que lorsque le compartiment source utilise le chiffrement SSE-KMS.
Remplacez CROSS_ACCOUNT_REPLICATION_ROLE_ARN par la valeur de paramètre réelle que vous fournissez à l'automatisation. CrossAccountReplicationRole
Exemple CrossAccountReplicationRolede politique :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3DestinationBucketReadOperations", "Effect": "Allow", "Action": [ "s3:GetBucketVersioning", "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:GetEncryptionConfiguration", "s3:ListBucket", "s3:PutBucketVersioning", "s3:PutBucketPolicy" ], "Resource": "arn:aws:s3:::DESTINATION_BUCKET" }, { "Sid": "KMSDestinationKeyReadOperations", "Effect": "Allow", "Action": [ "kms:GetKeyPolicy", "kms:DescribeKey" ], "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" }, { "Sid": "KMSDestinationKeyMutatingOperations", "Effect": "Allow", "Action": "kms:PutKeyPolicy", "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID", "Condition": { "StringEquals": { "kms:CallerAccount": "DESTINATION_ACCOUNT_ID" } } } ] }
Note
Les instructions KMS (KMSDestinationKeyReadOperations et KMSDestinationKeyMutatingOperations) ne sont requises que lorsque le compartiment de destination utilise le chiffrement SSE-KMS. Supprimez ces instructions pour les scénarios SSE-S3.
Exemple de politique de CrossAccountReplicationRole confiance :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "AUTOMATION_ASSUME_ROLE_ARN" }, "Action": "sts:AssumeRole" } ] }
Note
Remplacez AUTOMATION_ASSUME_ROLE_ARN par la valeur de paramètre réelle que vous fournissez à l'automatisation. AutomationAssumeRole
Exemple de ReplicationRole politique S3 :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3SourceBucketPermissions", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:GetReplicationConfiguration", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTagging", "s3:GetObjectVersionForReplication", "s3:GetObjectTagging" ], "Resource": [ "arn:aws:s3:::SOURCE_BUCKET", "arn:aws:s3:::SOURCE_BUCKET/*" ] }, { "Sid": "S3DestinationBucketPermissions", "Effect": "Allow", "Action": [ "s3:ReplicateObject", "s3:ReplicateDelete", "s3:ReplicateTags" ], "Resource": "arn:aws:s3:::DESTINATION_BUCKET/*" }, { "Sid": "S3CrossAccountPermissions", "Effect": "Allow", "Action": "s3:ObjectOwnerOverrideToBucketOwner", "Resource": "arn:aws:s3:::DESTINATION_BUCKET/*" }, { "Sid": "KMSSourceKeyPermissions", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:SOURCE_REGION:SOURCE_ACCOUNT_ID:key/SOURCE_KMS_KEY_ID" }, { "Sid": "KMSDestinationKeyPermissions", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey", "kms:ReEncrypt*" ], "Resource": "arn:aws:kms:DESTINATION_REGION:DESTINATION_ACCOUNT_ID:key/DESTINATION_KMS_KEY_ID" } ] }
Note
Les instructions KMS (KMSSourceKeyPermissions et KMSDestinationKeyPermissions) ne sont requises que lorsque les compartiments utilisent le chiffrement SSE-KMS.
L'CrossAccountPermissions instruction S3 n'est requise que pour la réplication de compartiments entre comptes.
Exemple de politique de ReplicationRole confiance S3 :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Instructions
Pour configurer l'automatisation, procédez comme suit :
-
Accédez
AWSSupport-ConfigureS3ReplicationSameAndCrossAccountà Systems Manager sous Documents. -
Sélectionnez Execute automation (Exécuter l'automatisation).
-
Pour les paramètres d'entrée, entrez ce qui suit :
-
AutomationAssumeRole (Obligatoire) :
-
Description : (Obligatoire) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.
-
Type :
AWS::IAM::Role::Arn
-
-
SourceBucket (Obligatoire) :
-
Description : (Obligatoire) Nom du compartiment Amazon S3 source dans lequel les règles de réplication seront créées ou mises à jour.
-
Type :
AWS::S3::Bucket::Name
-
-
DestinationBucket (Obligatoire) :
-
Description : (Obligatoire) Nom du compartiment Amazon S3 de destination vers lequel les objets seront répliqués.
-
Type :
String -
Modèle autorisé :
^[0-9a-z][a-z0-9\\-\\.]{3,63}$
-
-
SourceAccountId (Obligatoire) :
-
Description : (Obligatoire) L'ID du AWS compte sur lequel se trouve le compartiment source.
-
Type :
String -
Modèle autorisé :
^[0-9]{12,13}$
-
-
DestinationAccountId (Obligatoire) :
-
Description : (Obligatoire) L'ID du AWS compte sur lequel se trouve le compartiment de destination.
-
Type :
String -
Modèle autorisé :
^[0-9]{12,13}$
-
-
SnsNotificationArn (Obligatoire) :
-
Description : (Obligatoire) L'ARN d'une rubrique Amazon Simple Notification Service (Amazon SNS) pour les approbations d'automatisation.
-
Type :
String -
Modèle autorisé :
^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):sns:[a-z]{2}(-gov)?(-iso[a-z]?)?-[a-z]{2,10}-[0-9]{1,2}:\\d{12}:[0-9a-zA-Z-_]{1,256}(.fifo)?$
-
-
Approbateurs (obligatoire) :
-
Description : (Obligatoire) Liste des IAM user/role ARNs autorisés à approuver l'exécution de l'automatisation.
-
Type :
StringList -
Modèle autorisé :
^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:(user|role)/[\\w+=,.@\\-/]+$
-
-
S3 ReplicationRole (facultatif) :
-
Description : (Facultatif) L'ARN d'un rôle IAM existant à utiliser pour les opérations de réplication Amazon S3. Ce rôle doit être autorisé à lire dans le compartiment source et à écrire dans le compartiment de destination, y compris les autorisations KMS si les compartiments utilisent le chiffrement SSE-KMS. Si ce n'est pas le cas, l'automatisation créera un nouveau rôle avec les autorisations appropriées.
-
Type :
String -
Modèle autorisé :
^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:role/[\\w+=,.@\\-/]+$ -
Valeur par défaut :
""
-
-
CrossAccountReplicationRole (Facultatif) :
-
Description : (Facultatif) L'ARN d'un rôle IAM dans le compte de destination que l'automatisation peut assumer. Cela est nécessaire pour la réplication entre comptes. Pour la réplication sur le même compte, laissez ce champ vide.
-
Type :
String -
Modèle autorisé :
^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::\\d{12}:role/[\\w+=,.@\\-/]+$ -
Valeur par défaut :
""
-
-
ReplicateEntireBucket (Facultatif) :
-
Description : (Facultatif) Si ce paramètre est défini sur
true, l'ensemble du compartiment sera répliqué et le préfixe et les balises doivent être vides. Si la valeur est fausse, la réplication sera basée sur le préfixe ou les balises spécifiés. -
Type :
Boolean -
Valeurs autorisées :
[true, false] -
Valeur par défaut :
true
-
-
ReplicationRuleStatus (Facultatif) :
-
Description : (Facultatif) Si ce paramètre est défini sur
true, les règles de réplication créées seront activées. Si ce paramètre est défini surfalse, les règles de réplication créées seront définies sur Désactivé. -
Type :
Boolean -
Valeurs autorisées :
[true, false] -
Valeur par défaut :
true
-
-
DeleteMarkerReplicationStatus (Facultatif) :
-
Description : (Facultatif) Si ce paramètre est défini sur
true, l'automatisation permet la réplication des marqueurs de suppression. -
Type :
Boolean -
Valeurs autorisées :
[true, false] -
Valeur par défaut :
false
-
-
ReplicationTimeControl (Facultatif) :
-
Description : (Facultatif) Si ce paramètre est défini sur
true, il active le contrôle du temps de réplication d'Amazon S3 (Amazon S3 RTC) avec un SLA de 15 minutes pour des temps de réplication prévisibles. -
Type :
Boolean -
Valeurs autorisées :
[true, false] -
Valeur par défaut :
false
-
-
ReplicaModifications (Facultatif) :
-
Description : (Facultatif) Si ce paramètre est défini sur
true, il permet de répliquer les modifications de métadonnées apportées aux objets répliqués, ce qui permet de synchroniser les modifications apportées aux objets répliqués avec la source. -
Type :
Boolean -
Valeurs autorisées :
[true, false] -
Valeur par défaut :
false
-
-
Préfixe (facultatif) :
-
Description : (Facultatif) Filtre de préfixes pour la réplication sélective d'objets dotés de préfixes clés spécifiques. Le préfixe doit se terminer par une barre oblique (/) pour un filtrage correct des préfixes Amazon S3.
-
Type :
String -
Modèle autorisé :
^$|^[a-zA-Z0-9!_'()\\-]*/+$ -
Valeur par défaut :
""
-
-
Balises (facultatives) :
-
Description : tableau JSON de balises (facultatif) pour filtrer les objets à répliquer. Format pour une seule balise : [{"Key » : » TagKey «, "Value » : » TagValue «}] et pour plusieurs balises : [{" Key » : » TagKey 1", "Value » : » TagValue 1"}, {"Key » : » TagKey 2", "Value » : » TagValue 2"}].
-
Type :
String -
Modèle autorisé :
^\\[((\\{\"Key\":\"[a-zA-Z0-9+\\-=.:/ @\\s]{1,128}\",\"Value\":\"[a-zA-Z0-9+\\-=.:/@\\s]{0,256}\"\\})(,\\{\"Key\":\"[a-zA-Z0-9+\\-=.:/ @\\s]{1,128}\",\"Value\":\"[a-zA-Z0-9+\\-=.:/@\\s]{0,256}\"\\})*)?\\]$ -
Valeur par défaut :
[]
-
-
-
Sélectionnez Exécuter.
-
L'automatisation démarre.
-
Le document exécute les étapes suivantes :
-
ValidateInputParameters:
Valide l'exactitude et la compatibilité de tous les paramètres d'entrée afin de garantir une configuration de réplication appropriée.
-
PrepareApprovalMessage:
Prépare le message d'approbation avec tous les paramètres de configuration de réplication pour examen par l'utilisateur.
-
RequestApproval:
Demande l'approbation des utilisateurs autorisés avant de procéder aux modifications de configuration de réplication Amazon S3.
-
CheckBucketEncryption:
Vérifie la configuration de chiffrement pour les compartiments Amazon S3 source et de destination afin de déterminer les paramètres de réplication compatibles.
-
BranchOnEncryptionType:
Exécution de branches basée sur le type de chiffrement des compartiments Amazon S3 afin d'appliquer une configuration de réplication appropriée aux compartiments chiffrés SSE-S3 ou SSE-KMS.
-
Configurer SSES3 la réplication :
Configure la réplication Amazon S3 pour les compartiments chiffrés avec le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3), y compris les rôles IAM et les règles de réplication.
-
Configurez SSEKMSReplication :
Configure la réplication Amazon S3 pour les compartiments chiffrés avec le chiffrement côté serveur AWS KMS (SSE-KMS), y compris les rôles IAM, les autorisations clés KMS et les règles de réplication.
-
CleanupResources:
Nettoie les rôles IAM créés lors de l'échec de la configuration de réplication lorsque S3 n'ReplicationRole a pas été fourni par le client.
-
-
Une fois l'opération terminée, passez en revue les résultats de l'étape Configurer la SSES3 réplication (pour les compartiments chiffrés SSE-S3) ou de l'SSEKMSReplicationétape Configurer (pour les compartiments chiffrés SSE-KMS) pour connaître les résultats de l'exécution, notamment l'état de la configuration de la réplication ainsi que le rôle IAM utilisé pour la réplication.
Références
Systems Manager Automation
