Pourquoi mon partage de fichiers S3 File Gateway est-il bloqué à l'état CRÉATION, MISE À JOUR ou SUPPRESSION ?

Résolution

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.

Le statut du partage de fichiers résume l'état du partage de fichiers. Un partage de fichiers AWS Storage Gateway peut être bloqué à l’état CRÉATION, MISE À JOUR ou SUPPRESSION pour plusieurs raisons.

Vérifier que le service AWS Storage Gateway est autorisé à endosser le rôle IAM associé au partage de fichiers

Le rôle AWS Identity and Access Management (IAM) attribué au partage de fichiers n'accorde pas un accès suffisant. Ce rôle IAM doit disposer d'autorisations pour le compartiment Amazon Simple Storage Service (Amazon S3). En outre, la stratégie d’approbation du rôle IAM doit accorder au service AWS Storage Gateway les autorisations nécessaires pour endosser le rôle.

Pour confirmer les autorisations du rôle IAM, procédez comme suit :

1. Ouvrez la console IAM.
2. Dans le volet de navigation, sélectionnez Rôles.
3. Choisissez le rôle IAM associé à votre partage de fichiers.
4. Choisissez l’onglet Relations d’approbation.
5. Vérifiez qu'AWS Storage Gateway figure dans la liste des entités autorisées. Si AWS Storage Gateway n'est pas une entité autorisée, sélectionnez d'abord Modifier la relation d’approbation. Puis, ajoutez la stratégie suivante pour autoriser l'accès au compartiment Amazon S3 :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "storagegateway.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Remarque : Pour éviter la prévention du problème de confusion des adjoints entre services, appliquez une stratégie de relation d’approbation.

Empêcher un partage de fichiers bloqué dans les états CRÉATION ou MISE À JOUR en raison de la désactivation d'AWS STS

Pour éviter qu'un partage de fichiers ne soit bloqué dans les états **CRÉATION ** ou MISE À JOUR, créez un partage de fichiers avec un accès suffisant. Puis, vérifiez qu'AWS Security Token Service (AWS STS) est activé.

Procédez comme suit :

1. Ouvrez la console IAM.
2. Dans le volet de navigation, sélectionnez Paramètres de compte.
3. Dans Régions des services de jeton de sécurité, vérifiez que le statut de la région AWS est actif pour l'emplacement où vous souhaitez créer le partage de fichiers.

Vérifier que le compartiment Amazon S3 existe et que son nom respecte les règles de dénomination

Procédez comme suit :

1. Ouvrez la console Amazon S3.
2. Vérifiez que le compartiment S3 auquel vous avez mappé votre partage de fichiers existe. Si le compartiment n'existe pas, créez-le. Une fois le compartiment créé, le statut du partage de fichiers passe à DISPONIBLE. Pour plus d'informations, consultez la section Créer votre premier compartiment S3.
3. Assurez-vous que le nom de votre compartiment est conforme aux règles de dénomination de compartiment dans Amazon S3.

Remarque : S3 File Gateway ne prend pas en charge les compartiments Amazon S3 dont les noms comprennent des points (.) lorsque vous créez le compartiment dans la console Amazon S3. Pour créer un nom de compartiment incluant un point (.), utilisez l'interface de ligne de commande AWS.

Supprimer un partage de fichiers bloqué à l'état SUPPRESSION

Lorsque vous effectuez un appel d'API de création, de mise à jour ou de suppression d'un partage de fichiers depuis AWS Storage Gateway, AWS Storage Gateway endosse le rôle attribué au partage. AWS Storage Gateway contacte ensuite Amazon S3 à partir de la passerelle pour terminer les opérations inachevées telles que les chargements et les suppressions, ou pour effectuer des mises à jour.

Lorsque vous supprimez un partage de fichiers de la passerelle de fichiers, ce dernier est supprimé du compartiment Amazon S3 associé. Cependant, les données écrites dans le partage de fichiers ne sont pas chargées dans le compartiment Amazon S3. Si les données sont en cours de chargement au moment de la suppression du partage, le processus de suppression se termine une fois que toutes les données ont été chargées. Au cours de ce processus, le partage de fichiers affiche le statut SUPPRESSION jusqu'à ce que toutes les données aient été chargées.

Important : Consultez la métrique AWS Storage Gateway Amazon CloudWatch CachePercentDirty.

Si vous ne souhaitez pas attendre que tous les chargements en cours terminent l’écriture dans le compartiment S3, procédez comme suit :

1. Ouvrez la console AWS Storage Gateway.
2. Dans le volet de navigation, sélectionnez Partages de fichiers. Puis, sélectionnez l'ID de partage de fichiers que vous souhaitez supprimer.
3. Choisissez l'onglet Détails, puis consultez le message Ce partage de fichiers est en cours de suppression.
4. Vérifiez l'ID du partage de fichiers dans le message. Puis, cochez la case de confirmation.
   Remarque : Vous ne pouvez pas annuler l'opération de suppression forcée.
5. Sélectionnez Forcer la suppression maintenant.
   Remarque : Si vous utilisez la nouvelle console et que l'option de suppression forcée n'est pas disponible, utilisez l'ancienne console. Vous pouvez également utiliser la commande delete-file-share avec force-delete défini sur true.
6. Vérifiez que la passerelle n'est pas à l’état hors ligne. Si la passerelle est hors ligne, commencez par résoudre les problèmes liés à la passerelle hors ligne.
7. Si la machine virtuelle (VM) Gateway est déjà supprimée, supprimez votre passerelle de la console AWS Storage Gateway pour supprimer tous les partages de fichiers pertinents. Cela inclut les partages de fichiers bloqués à l'état SUPPRESSION.

Empêcher un blocage du partage de fichiers dans les états CRÉATION, MISE À JOUR ou SUPPRESSION en raison de problèmes de réseau.

Les problèmes de réseau suivants peuvent provoquer le blocage de votre partage de fichiers à l’état CRÉATION, MISE À JOUR ou SUPPRESSION :

• Votre passerelle est hors ligne ou la machine virtuelle Gateway correspondante est supprimée.
• L'accès entre AWS Storage Gateway et le point de terminaison du service Amazon S3 est bloqué par le réseau.
• Vous avez supprimé le point de terminaison du cloud privé virtuel (VPC) Amazon S3 sur lequel la passerelle communique avec Amazon S3.
• Le routage réseau est incorrect et les ports requis ne sont pas ouverts.

Configuration d'AWS Storage Gateway

Connectez-vous à la machine virtuelle AWS Storage Gateway. Le nom d'utilisateur par défaut est admin et le mot de passe est password. Vous pouvez également vous connecter à la console locale de votre passerelle Amazon Elastic Compute Cloud (EC2).

Dans le menu principal d'AWS Storage Gateway - Configuration, saisissez le numéro correspondant pour sélectionner Tester la connectivité S3.

Pour mettre à jour cette configuration, procédez comme suit :

1. Choisissez le type de point de terminaison Amazon S3. Pour le trafic Amazon S3 qui passe par Internet Gateway, NAT Gateway, Transit Gateway ou le point de terminaison de VPC Amazon S3 Gateway, choisissez le numéro approprié pour Public. Pour le trafic Amazon S3 qui passe par le point de terminaison de VPC de l'interface Amazon S3, choisissez le numéro approprié pour le VPC (PrivateLink). Pour un point de terminaison FIPS, choisissez le numéro approprié.
2. Saisissez la région Amazon S3 du compartiment concerné.
3. Saisissez le nom DNS du point de terminaison de VPC Amazon S3. Par exemple, vpce-0329c2790456f2d01-0at85l34.

Après avoir saisi la région Amazon S3 et le nom DNS du point de terminaison de VPC Amazon S3, AWS Storage Gateway effectue automatiquement un test de connectivité. Les résultats des tests de connectivité valident le TEST RÉSEAU et le TEST SSL. Un test réseau échoue généralement en raison d'un pare-feu sur site, d'un port du groupe de sécurité ou d'un routage réseau incorrect. L'échec du test SSL indique que des inspections SSL ou des inspections approfondies de paquets ont lieu entre votre machine virtuelle Gateway et les points de terminaison du service Amazon S3. En fonction de la cause du problème, résolvez le routage réseau ou désactivez le protocole SSL et l'inspection approfondie de paquets.

Vérifier que le serveur proxy ne bloque pas les communications réseau

Dans le menu principal AWS Storage Gateway - Configuration, saisissez le numéro correspondant pour sélectionner Configuration du proxy HTTP/SOCKS. Puis, sélectionnez le numéro approprié pour Afficher la configuration actuelle du proxy réseau.

S'il existe une configuration proxy, le trafic Amazon S3 est d'abord acheminé depuis AWS Storage Gateway vers le serveur proxy via le port 3128. Puis, il est acheminé vers le point de terminaison Amazon S3 via le port 443. Le proxy ou le pare-feu doit autoriser le trafic en provenance et à destination des ports réseau et des points de terminaison de service requis par AWS Storage Gateway. Pour plus d'informations, consultez la section Configuration requise pour le réseau et le pare-feu. Vous pouvez également supprimer la configuration du proxy et vérifier si le statut du partage de fichiers change.

Remarque : Le port d’écoute proxy 3128 est peut-être différent. Le port d’écoute varie selon votre configuration.

Lorsque la passerelle se trouve sur Amazon EC2, vérifiez que le groupe de sécurité dispose des ports requis (443) ouverts aux points de terminaison Amazon S3. Vérifiez également que la table de routage du sous-réseau EC2 achemine correctement le trafic Amazon S3 vers les points de terminaison Amazon S3. Si la passerelle se trouve sur une machine virtuelle locale, vérifiez que les ports requis par le pare-feu sont ouverts et que les tables de routage locales acheminent le trafic Amazon S3 vers les points de terminaison Amazon S3.

Assurez-vous que le point de terminaison de VPC Amazon S3 que la passerelle utilise pour communiquer avec Amazon S3 n'est pas supprimé. Si le point de terminaison de VPC Amazon S3 est supprimé, la passerelle ne parvient pas à communiquer avec Amazon S3 lorsque la passerelle ne dispose d’aucune adresse IP publique.