Gestion de l'accès public vers un point d'accès multi-Régions Affichage des paramètres de blocage d'accès public pour un point d'accès multi-régions Utilisation d'une politique de point d'accès multi-régions Modification de la politique de point d'accès multi-régions Exemples de politique de point d'accès multi-régions

Autorisations

Les points d'accès multirégionaux Amazon S3 peuvent simplifier l'accès aux données pour plusieurs compartiments Amazon S3. Régions AWS Les points d'accès multi-régions sont des points de terminaison mondiaux nommés que vous pouvez utiliser pour effectuer des opérations sur les objets d'accès aux données Amazon S3, telles que GetObject et PutObject. Chaque point d'accès multi-régions peut comporter des autorisations et des contrôles de réseau distincts pour toute requête effectuée par le point de terminaison global.

Chaque point d'accès multi-régions peut également appliquer une stratégie d'accès personnalisée qui fonctionne conjointement avec la politique de compartiment attachée au compartiment sous-jacent. Pour qu'une demande aboutisse, tous les éléments suivants doivent autoriser l'opération :

La politique de point d'accès multi-régions
La politique sous-jacente AWS Identity and Access Management (IAM)
La politique de compartiment sous-jacente (vers laquelle la requête est routée).

Vous pouvez configurer n'importe quelle politique de point d'accès multirégional pour accepter uniquement les demandes provenant d'IAMutilisateurs ou de groupes spécifiques. Pour obtenir un exemple de la manière de procéder, consultez l'exemple 2 dans Exemples de politique de point d'accès multi-régions. Pour restreindre l'accès aux données Amazon S3 à un réseau privé, vous pouvez configurer la politique des points d'accès multirégionaux afin d'accepter uniquement les demandes provenant d'un cloud privé virtuel (VPC).

Supposons, par exemple, que vous fassiez une GetObject demande via un point d'accès multirégional en utilisant un utilisateur appelé AppDataReader dans votre AWS compte. Pour vous assurer que la demande ne sera pas refusée, l'utilisateur AppDataReader doit se voir accorder l'autorisation s3:GetObject par le point d'accès multi-Régions et par chaque compartiment sous-jacent au point d'accès multi-Régions. AppDataReader ne sera pas en mesure de récupérer des données d'un compartiment qui n'octroie pas cette autorisation.

Important

La délégation du contrôle d'accès d'un bucket à une politique de point d'accès multirégional ne modifie pas le comportement du bucket lorsque le bucket est accessible directement via son nom de bucket ou Amazon Resource Name ()ARN. Toutes les opérations effectuées directement sur le compartiment continueront à fonctionner comme avant. Les restrictions que vous incluez dans une politique de point d'accès multi-régions s'appliquent uniquement aux demandes effectuées via ce point d'accès.

Gestion de l'accès public vers un point d'accès multi-Régions

Les points d'accès multi-Régions prennent en charge des paramètres de blocage d’accès public indépendants pour chaque point d'accès multi-Régions. Lorsque vous créez un point d'accès multi-Régions, vous pouvez indiquer les paramètres de blocage d’accès public qui s'appliquent à ce point d'accès multi-Régions.

Note

Tous les paramètres de blocage de l'accès public qui sont activés dans Paramètres de blocage de l'accès public pour ce compte (dans votre propre compte) ou dans Paramètres de blocage public pour les compartiments externes s'appliquent, même si les paramètres indépendants de blocage de l'accès public pour votre point d'accès multi-régions sont désactivés.

Pour toute requête effectuée par le biais d'un point d'accès multi-régions, Amazon S3 évalue les paramètres de blocage de l'accès public pour les éléments suivants :

Le point d'accès multi-régions
Les compartiments sous-jacents (y compris les compartiments externes)
Le compte propriétaire du point d'accès multi-régions
Le compte propriétaire des compartiments sous-jacents (y compris les comptes externes)

Si l'un de ces paramètres indique que la demande doit être bloquée, Amazon S3 rejettera la demande. Pour en savoir de plus sur le blocage de l'accès public Amazon S3, consultez Blocage de l'accès public à votre stockage Amazon S3.

Important

Tous les paramètres de blocage de l’accès public sont activés par défaut pour les points d'accès. Vous devez désactiver explicitement tous les paramètres que vous ne souhaitez pas appliquer à un point d'accès multi-Régions.

Vous ne pouvez pas modifier les paramètres de blocage de l'accès public après la création du point d'accès multi-régions.

Affichage des paramètres de blocage d'accès public pour un point d'accès multi-régions

Pour afficher les paramètres de blocage d'accès public d'un point d'accès multi-régions, procédez comme suit

Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.
Dans le panneau de navigation de gauche, choisissez Multi-Region Access Points (Points d'accès multi-régions).
Choisissez le nom du point d'accès multi-régions que vous voulez examiner.
Choisissez l’onglet Permissions (Autorisations).
Sous Block Public Access settings for this Multi-Region Access Point (Bloquer les paramètres d'accès public pour ce point d'accès multi-régions), vérifiez les paramètres de blocage de l'accès public pour votre point d'accès multi-régions.

Note
Vous ne pouvez pas modifier les paramètres de blocage de l'accès public après la création du point d'accès multi-régions. Par conséquent, si vous avez l'intention de bloquer l'accès public, assurez-vous que vos applications fonctionnent correctement sans accès public avant de créer un point d'accès multi-régions.

Utilisation d'une politique de point d'accès multi-régions

L'exemple suivant de politique de point d'accès multirégional accorde à un IAM utilisateur l'accès à la liste et au téléchargement de fichiers depuis votre point d'accès multirégional. Pour utiliser cet exemple de politique, remplacez user input placeholders par vos propres informations.


 {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::123456789012:user/JohnDoe" 
         },
         "Action":[
            "s3:ListBucket",
            "s3:GetObject"
         ],
         "Resource":[
            "arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias",
            "arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias/object/*"
         ]
      }
   ]
}

Pour associer votre politique de point d'accès multi-régions au point d'accès multi-régions spécifié avec AWS Command Line Interface (AWS CLI), utilisez la commande put-multi-region-access-point-policy suivante. Pour utiliser cet exemple de commande, remplacez user input placeholders par vos propres informations. Chaque point d'accès multi-régions ne peut avoir qu'une seule politique, donc une demande faite à l'action put-multi-region-access-point-policy remplace toute politique existante associée au point d'accès multi-régions spécifié.

Pour interroger les résultats de l'opération précédente, utilisez la commande suivante :

Pour récupérer votre politique de point d'accès multi-régions, utilisez la commande suivante :

Modification de la politique de point d'accès multi-régions

La politique de point d'accès multirégional (écrite dansJSON) fournit un accès au stockage aux compartiments Amazon S3 utilisés avec ce point d'accès multirégional. Vous pouvez autoriser ou empêcher des principaux spécifiques d'effectuer diverses actions sur votre point d'accès multi-régions. Lorsqu'une requête est routée vers un compartiment via le point d'accès multi-régions, les stratégies d'accès du point d'accès multi-régions et du compartiment s'appliquent. La stratégie d'accès la plus restrictive a toujours la priorité.

Note

Si un compartiment contient des objets appartenant à d'autres comptes, la politique du point d'accès multi-régions ne s'applique pas aux objets appartenant à d'autres Comptes AWS.

Après avoir appliqué une politique de point d'accès multi-régions, la politique ne peut pas être supprimée. Vous pouvez soit modifier la politique, soit créer une nouvelle politique qui écrase la politique existante.

Pour modifier la politique de point d'accès multi-régions

Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.
Dans le panneau de navigation de gauche, choisissez Multi-Region Access Points (Points d'accès multi-régions).
Choisissez le nom du point d'accès multi-régions pour lequel vous souhaitez modifier la politique.
Choisissez l’onglet Permissions (Autorisations).
Faites défiler vers le bas jusqu'à la section Multi-Region Access Point policy (Politique de point d'accès multi-régions). Choisissez Modifier pour mettre à jour la politique (inJSON).
La page Edit Multi-Region Access Point policy (Modifier la politique de point d'accès multi-régions) s'affiche. Vous pouvez soit saisir la politique directement dans le champ de texte, soit choisir Add statement (Ajouter une instruction) pour sélectionner les éléments de la politique dans une liste déroulante.

Note
La console affiche automatiquement le nom de la ressource Amazon du point d'accès multirégional (ARN), que vous pouvez utiliser dans la politique. Pour obtenir des exemples de politique de point d'accès multi-régions, consultez Exemples de politique de point d'accès multi-régions.

Exemples de politique de point d'accès multi-régions

Les points d'accès multirégionaux Amazon S3 prennent en charge AWS Identity and Access Management (IAM) les politiques de ressources. Ces politiques peuvent contrôler l'utilisation du point d'accès multi-régions par ressource, par utilisateur ou d'autres conditions. Pour qu'une application ou un utilisateur puisse accéder à des objets par le biais d'un point d'accès multi-régions, le point d'accès multi-régions et le compartiment sous-jacent doivent tous deux permettre le même accès.

Pour autoriser le même accès à la fois au point d'accès multi-régions et au compartiment sous-jacent, effectuez l'une des opérations suivantes :

(Recommandé) Pour simplifier les contrôles d'accès lors de l'utilisation d'un point d'accès multi-régions Amazon S3, déléguez le contrôle d'accès pour le compartiment Amazon S3 au point d'accès multi-régions. Pour obtenir un exemple de la manière de procéder, reportez-vous à l'exemple 1 de cette section.
Ajoutez les mêmes autorisations contenues dans la politique de point d'accès multi-régions à la politique de compartiment sous-jacente.

Important

Exemple 1 : délégation de l'accès à des points d'accès multi-régions spécifiques dans votre politique de compartiment (pour le même compte ou intercompte)

L'exemple suivant de politique de compartiment permet un accès complet à un point d'accès multi-régions spécifique. Cela signifie que tout accès à ce compartiment est contrôlé par les politiques qui sont attachées au point d'accès multi-régions. Nous vous recommandons de configurer vos compartiments de cette façon pour tous les cas d'utilisation qui ne demandent pas d'accès direct au compartiment. Vous pouvez utiliser cette structure de politique de compartiment pour les points d'accès multi-régions du même compte ou d'un autre compte.


{
    "Version": "2012-10-17",
    "Statement" : [
    {
        "Effect": "Allow",
        "Principal" : { "AWS": "*" },
        "Action" : "*",
        "Resource" : [ "Bucket ARN", "Bucket ARN/*"],
        "Condition": {
            "StringEquals" : { "s3:DataAccessPointArn" : "MultiRegionAccessPoint_ARN" }
        }
    }]
}

Note

Si vous accordez l'accès à plusieurs points d'accès multi-régions, assurez-vous de lister chaque point d'accès multi-régions.

Exemple 2 : accorder l'accès d'un compte à un point d'accès multi-régions dans votre politique de point d'accès multi-régions

La politique de point d'accès multirégional suivante autorise le compte 123456789012 à répertorier et à lire les objets contenus dans le point d'accès multirégional défini par le MultiRegionAccessPoint_ARN.


{
  "Version":"2012-10-17",
  "Statement": [
    {
       "Effect": "Allow",
       "Principal": {
          "AWS":"arn:aws:iam::123456789012:user/JohnDoe"
       },
       "Action":[
          "s3:ListBucket",
          "s3:GetObject"
       ],
       "Resource":[ 
          "MultiRegionAccessPoint_ARN",
          "MultiRegionAccessPoint_ARN/object/*"
       ]
     }
  ]
}

Exemple 3 – Stratégie de point d'accès multi-région autorisant le listage des compartiments

La politique de point d'accès multirégional suivante autorise le compte 123456789012 à répertorier les objets contenus dans le point d'accès multirégional défini par le MultiRegionAccessPoint_ARN.


{
   "Version":"2012-10-17",
   "Statement": [
      {
       "Effect": "Allow",
       "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/JohnDoe"
        },
        "Action": "s3:ListBucket",
        "Resource": "MultiRegionAccessPoint_ARN"
       }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation de points d'accès multi-régions

Restrictions et limitations