Configuration IAM avec S3 sur Outposts - Amazon S3 on Outposts

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration IAM avec S3 sur Outposts

AWS Identity and Access Management (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. IAMles administrateurs contrôlent qui peut être authentifié (connecté) et autorisé (autorisé) à utiliser les ressources Amazon S3 on Outposts. IAMest un Service AWS outil que vous pouvez utiliser sans frais supplémentaires. Par défaut, les utilisateurs IAM ne disposent pas d'autorisations pour des ressources et des opérations S3 on Outposts. Pour accorder des autorisations d'accès aux ressources et aux API opérations de S3 on Outposts, vous pouvez IAM créer des utilisateurs, des groupes ou des rôles et associer des autorisations.

Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :

Outre les politiques IAM basées sur l'identité, S3 on Outposts prend en charge les politiques relatives aux compartiments et aux points d'accès. Les stratégies relatives aux compartiments et aux points d'accès sont des stratégies basées sur les ressources associées à la ressource S3 on Outposts.

  • Une stratégie de compartiment est attachée au compartiment et autorise ou refuse les requêtes adressées au compartiment et aux objets qu'il contient en fonction des éléments de la stratégie.

  • En revanche, une stratégie de point d'accès est attachée au point d'accès et autorise ou refuse les requêtes adressées au point d'accès.

La stratégie de point d'accès fonctionne avec la stratégie de compartiment associée au compartiment S3 on Outposts. Pour qu'une application ou un utilisateur puisse accéder à des objets dans un compartiment S3 on Outposts via un point d'accès S3 on Outposts, il faut que la politique de point d'accès et la politique de compartiment autorisent la demande.

Les restrictions que vous incluez dans une stratégie de point d'accès s'appliquent uniquement aux demandes effectuées via ce point d'accès. Par exemple, si un point d'accès est attaché à un compartiment, vous ne pouvez pas utiliser la politique de point d'accès pour autoriser ou refuser les demandes qui sont adressées directement au compartiment. Toutefois, les restrictions que vous imposez à une stratégie de compartiment peuvent autoriser ou refuser les requêtes adressées directement au compartiment ou via le point d'accès.

Dans une IAM politique ou une politique basée sur les ressources, vous définissez quelles actions S3 sur Outposts sont autorisées ou refusées. Les actions S3 on Outposts correspondent à des opérations S3 on Outposts spécifiques. API Les actions S3 on Outposts utilisent le préfixe de l'espace de noms s3-outposts:. Les demandes adressées au S3 sur les Outposts sont contrôlées API dans un Région AWS et les demandes adressées aux API points de terminaison des objets sur l'Outpost sont authentifiées à l'aide du préfixe d'espace de noms IAM et autorisées par rapport à celui-ci. s3-outposts: Pour utiliser S3 sur Outposts, configurez vos IAM utilisateurs et autorisez-les par rapport à l's3-outposts:IAMespace de noms.

Pour plus d'informations, consultez la rubrique Actions, resources, and condition keys for Amazon S3 on Outposts (Actions, ressources et clés de condition pour Amazon S3 on Outposts) dans la section Référence de l'autorisation de service.

Note
  • Les listes de contrôle d'accès (ACLs) ne sont pas prises en charge par S3 sur Outposts.

  • S3 on Outposts considère par défaut le propriétaire du compartiment en tant que propriétaire d'objet, afin de s'assurer que le propriétaire d'un compartiment ne peut pas être empêché d'accéder ou de supprimer des objets.

  • Le blocage de l'accès public S3 est toujours activé pour S3 sur Outposts afin de garantir que les objets ne peuvent jamais avoir un accès public.

Pour plus d'informations sur la configuration IAM de S3 sur Outposts, consultez les rubriques suivantes.

Principes des politiques S3 on Outposts

Lorsque vous créez une stratégie basée sur les ressources pour accorder l'accès à votre compartiment S3 on Outposts, vous devez utiliser l'élément Principal pour spécifier la personne ou application qui peut effectuer une requête d'action ou d'opération sur cette ressource. Pour les stratégies S3 on Outposts, vous pouvez utiliser l'un des principes suivants :

  • Un Compte AWS

  • Un IAM utilisateur

  • Un IAM rôle

  • Tous les principaux, en utilisant un caractère générique (*) dans une politique qui utilise un élément Condition pour limiter l'accès à une plage d'adresses IP spécifique

Important

Vous ne pouvez pas écrire de politique pour un compartiment S3 on Outposts qui utilise un caractère générique (*) dans l'élément Principal, sauf si la politique inclut également un élément Condition qui restreint l'accès à une plage d'adresses IP spécifique. Cette restriction garantit qu'il n'y a pas d'accès public à votre compartiment S3 on Outposts. Pour obtenir un exemple, consultez Exemples de stratégies pour S3 on Outposts.

Pour plus d'informations sur Principal cet élément, reportez-vous à la section Éléments de AWS JSON politique : Principal du guide de IAM l'utilisateur.

Ressource ARNs pour S3 sur les Outposts

Les Amazon Resource Names (ARNs) pour S3 on Outposts contiennent l'identifiant de l'Outpost en plus de l' Région AWS adresse d'accueil de l'Outpost, de l' Compte AWS ID et du nom de la ressource. Pour accéder à vos buckets et objets Outposts et y effectuer des actions, vous devez utiliser l'un des ARN formats présentés dans le tableau suivant.

La partition valeur indiquée dans le ARN fait référence à un groupe de Régions AWS. Chacune Compte AWS est limitée à une partition. Les partitions prises en charge sont les suivantes :

  • aws – Régions AWS

  • aws-us-gov— AWS GovCloud (US) Régions

Le tableau suivant montre les formats S3 on OutpostsARN.

Amazon S3 sur les Outposts ARN ARNformat Exemple
Seau ARN arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/bucket/bucket_name arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/bucket/amzn-s3-demo-bucket1
Point d'accès ARN arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/accesspoint/accesspoint_name arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/accesspoint/access-point-name
Objet ARN arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/bucket/bucket_name/object/object_key arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/bucket/amzn-s3-demo-bucket1/object/myobject
Objet de point d'accès S3 on Outposts ARN (utilisé dans les politiques) arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/accesspoint/accesspoint_name/object/object_key arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/accesspoint/access-point-name/object/myobject
S3 sur Outposts ARN arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904

Exemples de stratégies pour S3 on Outposts

Exemple : politique de compartiment S3 on Outposts avec un principal Compte AWS

La politique de compartiment suivante utilise un Compte AWS principal pour accorder l'accès à un compartiment S3 on Outposts. Pour utiliser cette politique de compartiment, remplacez user input placeholders par vos propres informations.

{ "Version":"2012-10-17", "Id":"ExampleBucketPolicy1", "Statement":[ { "Sid":"statement1", "Effect":"Allow", "Principal":{ "AWS":"123456789012" }, "Action":"s3-outposts:*", "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket" } ] }
Exemple : politique de compartiment S3 on Outposts avec principal générique (*) et clé de condition pour limiter l'accès à une plage d'adresses IP spécifique

La politique de compartiment suivante utilise un principal générique (*) avec la condition aws:SourceIp pour limiter l'accès à une plage d'adresses IP spécifique. Pour utiliser cette politique de compartiment, remplacez user input placeholders par vos propres informations.

{ "Version": "2012-10-17", "Id": "ExampleBucketPolicy2", "Statement": [ { "Sid": "statement1", "Effect": "Allow", "Principal": { "AWS" : "*" }, "Action":"s3-outposts:*", "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket", "Condition" : { "IpAddress" : { "aws:SourceIp": "192.0.2.0/24" }, "NotIpAddress" : { "aws:SourceIp": "198.51.100.0/24" } } } ] }

Autorisations pour les points de terminaison S3 on Outposts

S3 on Outposts a besoin de ses propres autorisations IAM pour gérer les actions des terminaux S3 on Outposts.

Note
  • Pour les points de terminaison qui utilisent le type d'accès du groupe d'adresses IP clients (groupe CoIP), vous devez également disposer des autorisations pour travailler avec des adresses IP à partir de votre groupe CoIP, comme décrit dans le tableau suivant.

  • Pour les comptes partagés qui accèdent à S3 sur Outposts en utilisant AWS Resource Access Manager, les utilisateurs de ces comptes partagés ne peuvent pas créer leurs propres points de terminaison sur un sous-réseau partagé. Si un utilisateur d'un compte partagé souhaite gérer ses propres points de terminaison, le compte partagé doit créer son propre sous-réseau sur l'Outpost. Pour de plus amples informations, veuillez consulter Partage de S3 sur Outposts en utilisant AWS RAM.

Le tableau suivant présente les autorisations relatives aux points de terminaison IAM S3 on Outposts.

Action IAMautorisations
CreateEndpoint

s3-outposts:CreateEndpoint

ec2:CreateNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeVpcs

ec2:DescribeSecurityGroups

ec2:DescribeSubnets

ec2:CreateTags

iam:CreateServiceLinkedRole

Pour les points de terminaison qui utilisent le type d'accès du groupe d'adresses IP clients (groupe CoIP) sur site, les autorisations supplémentaires suivantes sont requises :

s3-outposts:CreateEndpoint

ec2:DescribeCoipPools

ec2:GetCoipPoolUsage

ec2:AllocateAddress

ec2:AssociateAddress

ec2:DescribeAddresses

ec2:DescribeLocalGatewayRouteTableVpcAssociations

DeleteEndpoint

s3-outposts:DeleteEndpoint

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

Pour les points de terminaison qui utilisent le type d'accès du groupe d'adresses IP clients (groupe CoIP) sur site, les autorisations supplémentaires suivantes sont requises :

s3-outposts:DeleteEndpoint

ec2:DisassociateAddress

ec2:DescribeAddresses

ec2:ReleaseAddress

ListEndpoints

s3-outposts:ListEndpoints

Note

Vous pouvez utiliser des balises de ressources dans une IAM politique pour gérer les autorisations.

Rôles lié à un service pour S3 sur Outposts

S3 on Outposts utilise des rôles IAM liés à des services pour créer des ressources réseau en votre nom. Pour de plus amples informations, veuillez consulter Utilisation de rôles liés à un service pour Amazon S3 sur Outposts.