Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Demande d’un accès aux données Amazon S3 via les autorisations d’accès S3
Après avoir utilisé Amazon S3 Access Grants pour créer une autorisation d'accès qui donne aux principaux AWS Identity and Access Management (IAM), aux identités de votre annuaire d'entreprise ou aux applications autorisées l'accès à vos données S3, vos bénéficiaires peuvent demander des informations d'identification pour accéder à ces données.
Lorsqu'une application ou Service AWS utilise l'opération GetDataAccess
API pour demander à S3 Access Grants l'accès à vos données S3 au nom d'un bénéficiaire, S3 Access Grants vérifie d'abord que vous avez accordé cet accès d'identité aux données. S3 Access Grants utilise ensuite le AssumeRoleOpération d'API pour obtenir un jeton d'identification temporaire et le remettre au demandeur. Ce jeton d’informations d’identification temporaire est un jeton AWS Security Token Service (AWS STS).
La demande GetDataAccess
doit inclure le paramètre target
, qui spécifie la portée des données S3 à laquelle s’appliquent les informations d’identification temporaires. Cette portée target
peut être identique à la portée de l’octroi ou à un sous-ensemble de cette portée, mais la portée target
doit être comprise dans la portée de l’octroi accordée au demandeur. La demande doit également spécifier le paramètre permission
pour indiquer le niveau d’autorisation pour les informations d’identification temporaires, que ce soit READ
, WRITE
ou READWRITE
.
Le demandeur peut spécifier le niveau de privilège du jeton temporaire dans sa demande d’informations d’identification. À l’aide du paramètre privilege
, le demandeur peut réduire ou augmenter la portée d’accès des informations d’identification temporaires, dans les limites de la portée de l’octroi. La valeur par défaut du paramètre privilege
est Default
, ce qui signifie que la portée cible des informations d’identification renvoyées est la portée de l’octroi d’origine. L’autre valeur possible pour privilege
est Minimal
. Si la portée target
est réduite par rapport à la portée de l’octroi d’origine, la portée des informations d’identification temporaires est désactivée pour correspondre à la portée target
, à condition que la portée target
soit comprise dans la portée de l’octroi.
Le tableau suivant détaille l’effet du paramètre privilege
sur deux octrois. Un octroi a la portée S3://
, qui inclut l’intégralité du préfixe amzn-s3-demo-bucket1
/bob/*bob/
dans le compartiment
. L’autre octroi a la portée amzn-s3-demo-bucket1
S3://
, qui inclut uniquement le préfixe amzn-s3-demo-bucket1
/bob/reports/*bob/reports/
dans le compartiment
. amzn-s3-demo-bucket1
Portée de l’octroi | Portée demandée | Privilège | Portée renvoyée | Effet |
---|---|---|---|---|
S3:// |
|
Default
|
|
Le demandeur a accès à tous les objets qui ont des noms de clé commençant par le préfixe |
S3:// |
|
Minimal
|
|
Sans le caractère générique * après le nom de préfixe |
S3:// |
|
Minimal
|
|
Le demandeur a accès à tous les objets qui ont des noms de clé commençant par le préfixe |
S3:// |
|
Default
|
|
Le demandeur a accès à tous les objets qui ont des noms de clé commençant par le préfixe |
S3:// |
|
Minimal
|
|
Le demandeur a accès uniquement à l’objet doté du nom de clé |
Le paramètre durationSeconds
définit la durée des informations d’identification temporaires, en secondes. La valeur par défaut est de 3600
secondes (1 heure), mais le demandeur (le bénéficiaire) peut spécifier une plage allant de 900
secondes (15 minutes) à 43200
secondes (12 heures). Si le bénéficiaire demande une valeur supérieure à ce maximum, la demande échoue.
Note
Dans votre demande de jeton temporaire, si l’emplacement est un objet, définissez la valeur du paramètre targetType
dans votre demande sur Object
. Ce paramètre est obligatoire seulement si l’emplacement est un objet et que le niveau de privilège est Minimal
. Si l’emplacement est un compartiment ou un préfixe, vous n’avez pas besoin de spécifier ce paramètre.
Pour plus d’informations, consultez GetDataAccess dans la Référence d’API Amazon Simple Storage Service.
Vous pouvez demander des informations d'identification temporaires à l'aide de AWS Command Line Interface (AWS CLI), de l'API REST Amazon S3 et du AWS SDKs.
Pour l'installer AWS CLI, reportez-vous à la section Installation du AWS CLI dans le guide de AWS Command Line Interface l'utilisateur.
Pour utiliser l’exemple de commande suivant, remplacez les
par vos propres informations.user input
placeholders
Exemple Demander des informations d’identification temporaires
Requête :
aws s3control get-data-access \ --account-id
111122223333
\ --targets3://
\amzn-s3-demo-bucket
/prefixA*--permission
READ
\ --privilege Default \ --regionus-east-2
Réponse :
{ "Credentials": { "AccessKeyId": "
Example-key-id
", "SecretAccessKey": "Example-access-key
", "SessionToken": "Example-session-token
", "Expiration": "2023-06-14T18:56:45+00:00
"}, "MatchedGrantTarget": "s3://
*" }amzn-s3-demo-bucket
/prefixA*
Pour plus d'informations sur la prise en charge par l'API REST d'Amazon S3 pour la demande d'informations d'identification temporaires auprès de S3 Access Grants, consultez GetDataAccessle manuel Amazon Simple Storage Service API Reference.
Cette section fournit un exemple de la façon dont les bénéficiaires demandent des informations d'identification temporaires à S3 Access Grants en utilisant le AWS SDKs.