Création de points d'accès multi-Régions - Amazon Simple Storage Service

Création de points d'accès multi-Régions

Pour créer un point d'accès multi-régions Amazon S3, procédez comme suit :

  • Spécifiez le nom du point d'accès multi-régions.

  • Choisissez un compartiment dans chaque Région AWS où vous souhaitez traiter des demandes pour le point d'accès multi-régions.

  • Configurez les paramètres de blocage de l'accès public Amazon S3 pour le point d'accès multi-régions.

Vous fournissez toutes cces informations dans une demande de création, qu'Amazon S3 traite de manière asynchrone. Amazon S3 fournit un jeton que vous pouvez utiliser pour surveiller l'état de la demande de création asynchrone.

Veillez à résoudre les avertissements de sécurité, les erreurs, les avertissements généraux et les suggestions provenant d'AWS Identity and Access Management Access Analyzer avant d'enregistrer votre stratégie. IAM Access Analyzer exécute des vérifications de politiques pour valider votre politique par rapport à la grammaire de politique et aux bonnes pratiques IAM. Ces vérifications génèrent des résultats et fournissent des recommandations exploitables pour vous aider à créer des stratégies fonctionnelles et conformes aux bonnes pratiques en matière de sécurité. Pour en savoir plus sur la validation des politiques à l'aide d'IAM Access Analyzer, consultez Validation de politique IAM Access Analyzer dans le Guide de l'utilisateur IAM. Pour afficher la liste des avertissements, erreurs et suggestions renvoyés par IAM Access Analyzer, consultez la Référence de vérification de stratégie IAM Access Analyzer.

Lorsque vous utilisez l'API, la demande de création d'un point d'accès multi-Régions est asynchrone. Lorsque vous soumettez une demande de création d'un point d'accès multi-Régions, Amazon S3 autorise la demande de manière synchrone. Il renvoie ensuite immédiatement un jeton que vous pouvez utiliser pour suivre la progression de la demande de création. Pour en savoir plus sur le suivi des demandes asynchrones pour créer et gérer des points d'accès multi-Régions, consultez Utilisation de points d’accès multi-régions avec des opérations d’API prises en charge.

Après avoir créé le point d'accès multi-Régions, vous pourrez créer une politique de contrôle d'accès pour celui-ci. Chaque point d'accès multi-Régions peut être associé à une politique. Une politique de point d'accès multi-régions est une politique basée sur les ressources qui vous permet de limiter l'utilisation du point d'accès multi-régions par ressource, utilisateur ou autres conditions.

Note

Pour qu'une application ou un utilisateur puisse accéder à un objet via un point d'accès multi-régions, les deux stratégies suivantes doivent autoriser la demande :

  • La stratégie d'accès associée au point d'accès multi-régions

  • La stratégie d'accès pour le compartiment sous-jacent qui contient l'objet

Lorsque les deux politiques sont différentes, la politique la plus restrictive a la priorité.

Pour simplifier la gestion des autorisations pour les points d'accès multi-régions, vous pouvez déléguer le contrôle d'accès du compartiment au point d'accès multi-régions. Pour en savoir plus, consultez Exemples de politique de point d'accès multi-régions.

L'utilisation d'un compartiment avec un point d'accès multi-régions ne modifie pas le comportement du compartiment si le compartiment est accessible via le nom de compartiment existant ou un nom Amazon Resource Name (ARN). Toutes les opérations existantes sur le compartiment continuent de fonctionner comme auparavant. Les restrictions que vous incluez dans une politique de point d'accès s'appliquent uniquement aux demandes effectuées via ce point d'accès.

Vous pouvez mettre à jour la politique pour un point d'accès multi-Régions après l'avoir créée, mais vous ne pouvez pas la supprimer. Vous pouvez toutefois mettre à jour la politique de point d'accès multi-régions pour refuser toutes les autorisations.

Rubriques