Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration IAM avec S3 sur Outposts
AWS Identity and Access Management (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. IAMles administrateurs contrôlent qui peut être authentifié (connecté) et autorisé (autorisé) à utiliser les ressources Amazon S3 on Outposts. IAMest un Service AWS outil que vous pouvez utiliser sans frais supplémentaires. Par défaut, les utilisateurs IAM ne disposent pas d'autorisations pour des ressources et des opérations S3 on Outposts. Pour accorder des autorisations d'accès aux ressources et aux API opérations de S3 on Outposts, vous pouvez IAM créer des utilisateurs, des groupes ou des rôles et associer des autorisations.
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
-
Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .
-
Utilisateurs gérés IAM par le biais d'un fournisseur d'identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la section Création d'un rôle pour un fournisseur d'identité tiers (fédération) dans le guide de IAM l'utilisateur.
-
IAMutilisateurs :
-
Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la section Création d'un rôle pour un IAM utilisateur dans le Guide de IAM l'utilisateur.
-
(Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la section Ajouter des autorisations à un utilisateur (console) dans le guide de IAM l'utilisateur.
-
Outre les politiques IAM basées sur l'identité, S3 on Outposts prend en charge les politiques relatives aux compartiments et aux points d'accès. Les stratégies relatives aux compartiments et aux points d'accès sont des stratégies basées sur les ressources associées à la ressource S3 on Outposts.
-
Une stratégie de compartiment est attachée au compartiment et autorise ou refuse les requêtes adressées au compartiment et aux objets qu'il contient en fonction des éléments de la stratégie.
-
En revanche, une stratégie de point d'accès est attachée au point d'accès et autorise ou refuse les requêtes adressées au point d'accès.
La stratégie de point d'accès fonctionne avec la stratégie de compartiment associée au compartiment S3 on Outposts. Pour qu'une application ou un utilisateur puisse accéder à des objets dans un compartiment S3 on Outposts via un point d'accès S3 on Outposts, il faut que la politique de point d'accès et la politique de compartiment autorisent la demande.
Les restrictions que vous incluez dans une stratégie de point d'accès s'appliquent uniquement aux demandes effectuées via ce point d'accès. Par exemple, si un point d'accès est attaché à un compartiment, vous ne pouvez pas utiliser la politique de point d'accès pour autoriser ou refuser les demandes qui sont adressées directement au compartiment. Toutefois, les restrictions que vous imposez à une stratégie de compartiment peuvent autoriser ou refuser les requêtes adressées directement au compartiment ou via le point d'accès.
Dans une IAM politique ou une politique basée sur les ressources, vous définissez quelles actions S3 sur Outposts sont autorisées ou refusées. Les actions S3 on Outposts correspondent à des opérations S3 on Outposts spécifiques. API Les actions S3 on Outposts utilisent le préfixe de l'espace de noms s3-outposts:
. Les demandes adressées au S3 sur les Outposts sont contrôlées API dans un Région AWS et les demandes adressées aux API points de terminaison des objets sur l'Outpost sont authentifiées à l'aide du préfixe d'espace de noms IAM et autorisées par rapport à celui-ci. s3-outposts:
Pour utiliser S3 sur Outposts, configurez vos IAM utilisateurs et autorisez-les par rapport à l's3-outposts:
IAMespace de noms.
Pour plus d'informations, consultez la rubrique Actions, resources, and condition keys for Amazon S3 on Outposts (Actions, ressources et clés de condition pour Amazon S3 on Outposts) dans la section Référence de l'autorisation de service.
Note
-
Les listes de contrôle d'accès (ACLs) ne sont pas prises en charge par S3 sur Outposts.
-
S3 on Outposts considère par défaut le propriétaire du compartiment en tant que propriétaire d'objet, afin de s'assurer que le propriétaire d'un compartiment ne peut pas être empêché d'accéder ou de supprimer des objets.
-
Le blocage de l'accès public S3 est toujours activé pour S3 sur Outposts afin de garantir que les objets ne peuvent jamais avoir un accès public.
Pour plus d'informations sur la configuration IAM de S3 sur Outposts, consultez les rubriques suivantes.
Rubriques
Principes des politiques S3 on Outposts
Lorsque vous créez une stratégie basée sur les ressources pour accorder l'accès à votre compartiment S3 on Outposts, vous devez utiliser l'élément Principal
pour spécifier la personne ou application qui peut effectuer une requête d'action ou d'opération sur cette ressource. Pour les stratégies S3 on Outposts, vous pouvez utiliser l'un des principes suivants :
-
Un Compte AWS
-
Un IAM utilisateur
-
Un IAM rôle
-
Tous les principaux, en utilisant un caractère générique (*) dans une politique qui utilise un élément
Condition
pour limiter l'accès à une plage d'adresses IP spécifique
Important
Vous ne pouvez pas écrire de politique pour un compartiment S3 on Outposts qui utilise un caractère générique (*
) dans l'élément Principal
, sauf si la politique inclut également un élément Condition
qui restreint l'accès à une plage d'adresses IP spécifique. Cette restriction garantit qu'il n'y a pas d'accès public à votre compartiment S3 on Outposts. Pour obtenir un exemple, consultez Exemples de stratégies pour S3 on Outposts.
Pour plus d'informations sur Principal
cet élément, reportez-vous à la section Éléments de AWS JSON politique : Principal du guide de IAM l'utilisateur.
Ressource ARNs pour S3 sur les Outposts
Les Amazon Resource Names (ARNs) pour S3 on Outposts contiennent l'ID de l'Outpost en plus de l' Région AWS adresse d'accueil de l'Outpost, de l' Compte AWS ID et du nom de la ressource. Pour accéder à vos buckets et objets Outposts et y effectuer des actions, vous devez utiliser l'un des ARN formats présentés dans le tableau suivant.
La
valeur indiquée dans le ARN fait référence à un groupe de Régions AWS. Chacune Compte AWS est limitée à une partition. Les partitions prises en charge sont les suivantes :partition
-
aws
– Régions AWS -
aws-us-gov
— AWS GovCloud (US) Régions
Le tableau suivant montre les formats S3 on OutpostsARN.
Amazon S3 sur les Outposts ARN | ARNformat | Exemple |
---|---|---|
Seau ARN | arn: |
arn: |
Point d'accès ARN | arn: |
arn: |
Objet ARN | arn: |
arn: |
Objet de point d'accès S3 on Outposts ARN (utilisé dans les politiques) | arn: |
arn: |
S3 sur Outposts ARN | arn: |
arn: |
Exemples de stratégies pour S3 on Outposts
Exemple : politique de compartiment S3 on Outposts avec un principal Compte AWS
La politique de compartiment suivante utilise un Compte AWS principal pour accorder l'accès à un compartiment S3 on Outposts. Pour utiliser cette politique de compartiment, remplacez
par vos propres informations.user
input placeholders
{ "Version":"2012-10-17", "Id":"ExampleBucketPolicy1", "Statement":[ { "Sid":"statement1", "Effect":"Allow", "Principal":{ "AWS":"
123456789012
" }, "Action":"s3-outposts:*", "Resource":"arn:aws:s3-outposts:region
:123456789012
:outpost/op-01ac5d28a6a232904
/bucket/example-outposts-bucket
" } ] }
Exemple : politique de compartiment S3 on Outposts avec principal générique (*
) et clé de condition pour limiter l'accès à une plage d'adresses IP spécifique
La politique de compartiment suivante utilise un principal générique (*
) avec la condition aws:SourceIp
pour limiter l'accès à une plage d'adresses IP spécifique. Pour utiliser cette politique de compartiment, remplacez
par vos propres informations.user input
placeholders
{ "Version": "2012-10-17", "Id": "ExampleBucketPolicy2", "Statement": [ { "Sid": "statement1", "Effect": "Allow", "Principal": { "AWS" : "*" }, "Action":"s3-outposts:*", "Resource":"arn:aws:s3-outposts:
region
:123456789012
:outpost/op-01ac5d28a6a232904
/bucket/example-outposts-bucket
", "Condition" : { "IpAddress" : { "aws:SourceIp": "192.0.2.0/24" }, "NotIpAddress" : { "aws:SourceIp": "198.51.100.0/24" } } } ] }
Autorisations pour les points de terminaison S3 on Outposts
S3 on Outposts a besoin de ses propres autorisations IAM pour gérer les actions des terminaux S3 on Outposts.
Note
-
Pour les points de terminaison qui utilisent le type d'accès du groupe d'adresses IP clients (groupe CoIP), vous devez également disposer des autorisations pour travailler avec des adresses IP à partir de votre groupe CoIP, comme décrit dans le tableau suivant.
-
Pour les comptes partagés qui accèdent à S3 sur Outposts en utilisant AWS Resource Access Manager, les utilisateurs de ces comptes partagés ne peuvent pas créer leurs propres points de terminaison sur un sous-réseau partagé. Si un utilisateur d'un compte partagé souhaite gérer ses propres points de terminaison, le compte partagé doit créer son propre sous-réseau sur l'Outpost. Pour de plus amples informations, veuillez consulter Partage de S3 sur Outposts en utilisant AWS RAM.
Le tableau suivant présente les autorisations relatives aux points de terminaison IAM S3 on Outposts.
Action | IAMautorisations |
---|---|
CreateEndpoint |
Pour les points de terminaison qui utilisent le type d'accès du groupe d'adresses IP clients (groupe CoIP) sur site, les autorisations supplémentaires suivantes sont requises :
|
DeleteEndpoint |
Pour les points de terminaison qui utilisent le type d'accès du groupe d'adresses IP clients (groupe CoIP) sur site, les autorisations supplémentaires suivantes sont requises :
|
ListEndpoints |
|
Note
Vous pouvez utiliser des balises de ressources dans une IAM politique pour gérer les autorisations.
Rôles lié à un service pour S3 sur Outposts
S3 on Outposts utilise des rôles IAM liés à des services pour créer des ressources réseau en votre nom. Pour de plus amples informations, veuillez consulter Utilisation de rôles liés à un service pour Amazon S3 sur Outposts.