Prérequis
- Par défaut, l’authentification S3 utilise un accès basé sur les rôles. Vous aurez besoin de la politique d’approbation préremplie avec l’identifiant du service de synchronisation des données pour accorder l’accès. Elle doit ressembler à l’objet JSON suivant avec un identifiant de compte de service approprié :
Étape 1 : Configurer le bucket S3 de destination
Créer le bucket
- Accédez à la page du service S3.
- Cliquez sur Create bucket.
- Saisissez un Bucket name et modifiez les paramètres par défaut selon vos besoins. Remarque : Object Ownership peut être réglé sur « ACLs disabled » et Block Public Access settings for this bucket peut être réglé sur « Block all public access » comme recommandé par AWS. Notez le Bucket name et la AWS Region.
- Cliquez sur Create bucket.
Étape 2 : Créer la politique et le rôle IAM
Créer la politique
- Accédez à la page du service IAM.
- Accédez à l’onglet de navigation Policies et cliquez sur Create policy.
- Cliquez sur l’onglet JSON et collez la politique suivante, en veillant à remplacer
BUCKET_NAMEpar le nom du bucket choisi à l’étape 1.
JSON policy
🚧 Comprendre l’exigence s3:DeleteObject
Par défaut, un test de connexion est effectué sur la destination lors de la configuration initiale et s3:DeleteObject est requis pour nettoyer les artefacts de test. Une fois le test effectué avec succès et la destination ajoutée, cette action peut être supprimée en toute sécurité, car les destinations S3 sont en mode append-only par défaut.
- Cliquez sur Next: Tags, cliquez sur Next: Review.
- Nommez la politique, ajoutez une description et cliquez sur Create policy.
Créer le rôle
- Accédez à la page du service IAM.
- Accédez à l’onglet de navigation Roles et cliquez sur Create role.
- Sélectionnez Custom trust policy et collez la politique d’approbation fournie pour autoriser l’accès AssumeRole au nouveau rôle. Cliquez sur Next.
- Ajoutez la politique d’autorisations créée ci-dessus et cliquez sur Next.
- Saisissez un Role name, par exemple,
transfer-role, et cliquez sur Create role. - Une fois créé avec succès, recherchez le rôle créé dans la liste des rôles, cliquez sur le nom du rôle et notez la valeur ARN.
🚧 Méthode d’authentification alternative : utilisateur AWS avec HMAC Access Key ID et Secret Access Key L’authentification basée sur les rôles est le mode d’authentification préféré pour S3 selon les recommandations d’AWS, cependant, HMAC Access Key ID et Secret Access Key est une méthode d’authentification alternative qui peut être utilisée si vous le préférez.
- Accédez à la page du service IAM.
- Accédez à l’onglet de navigation Users et cliquez sur Add users.
- Saisissez un User name pour le service, par exemple,
transfer-service, cliquez sur Next. Sous Select AWS access type, sélectionnez l’option Access key - Programmatic access. Cliquez sur Next: Permissions.- Cliquez sur l’option Attach existing policies directly et recherchez le nom de la politique créée à l’étape précédente. Sélectionnez la politique et cliquez sur Next: Tags.
- Cliquez sur Next: Review et cliquez sur Create user.
- Dans l’écran Success, notez le Access key ID et le Secret access key.