Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Après avoir créé une autorisation d'accès à l'aide de S3 Access Grants, les bénéficiaires peuvent demander des informations d'identification pour accéder aux données S3 auxquelles ils ont été autorisés à accéder. Les bénéficiaires peuvent être des directeurs AWS Identity and Access Management (IAM), des identités de votre annuaire d'entreprise ou des applications autorisées.
Une application Service AWS peut utiliser l'opération d'GetDataAccess
API S3 Access Grants pour demander à S3 Access Grants l'accès à vos données S3 au nom d'un bénéficiaire. GetDataAccess
vérifie d'abord que vous avez accordé à cette identité l'accès aux données. S3 Access Grants utilise ensuite le AssumeRoleOpération d'API pour obtenir un jeton d'identification temporaire et le remettre au demandeur. Ce jeton d’informations d’identification temporaire est un jeton AWS Security Token Service (AWS STS).
La demande GetDataAccess
doit inclure le paramètre target
, qui spécifie la portée des données S3 à laquelle s’appliquent les informations d’identification temporaires. Cette target
portée peut être identique à celle de la subvention ou à un sous-ensemble de cette portée, mais elle doit être comprise dans le cadre de la subvention accordée au bénéficiaire. target
La demande doit également spécifier le paramètre permission
pour indiquer le niveau d’autorisation pour les informations d’identification temporaires, que ce soit READ
, WRITE
ou READWRITE
.
Privilège
Le demandeur peut spécifier le niveau de privilège du jeton temporaire dans sa demande d’informations d’identification. À l’aide du paramètre privilege
, le demandeur peut réduire ou augmenter la portée d’accès des informations d’identification temporaires, dans les limites de la portée de l’octroi. La valeur par défaut du paramètre privilege
est Default
, ce qui signifie que la portée cible des informations d’identification renvoyées est la portée de l’octroi d’origine. L’autre valeur possible pour privilege
est Minimal
. Si la portée target
est réduite par rapport à la portée de l’octroi d’origine, la portée des informations d’identification temporaires est désactivée pour correspondre à la portée target
, à condition que la portée target
soit comprise dans la portée de l’octroi.
Le tableau suivant détaille l’effet du paramètre privilege
sur deux octrois. Un octroi a la portée S3://
, qui inclut l’intégralité du préfixe amzn-s3-demo-bucket1
/bob/*bob/
dans le compartiment
. L’autre octroi a la portée amzn-s3-demo-bucket1
S3://
, qui inclut uniquement le préfixe amzn-s3-demo-bucket1
/bob/reports/*bob/reports/
dans le compartiment
. amzn-s3-demo-bucket1
Portée de l’octroi | Portée demandée | Privilège | Portée renvoyée | Effet |
---|---|---|---|---|
S3:// |
|
Default
|
|
Le demandeur a accès à tous les objets qui ont des noms de clé commençant par le préfixe |
S3:// |
|
Minimal
|
|
Sans le caractère générique * après le nom de préfixe |
S3:// |
|
Minimal
|
|
Le demandeur a accès à tous les objets qui ont des noms de clé commençant par le préfixe |
S3:// |
|
Default
|
|
Le demandeur a accès à tous les objets qui ont des noms de clé commençant par le préfixe |
S3:// |
|
Minimal
|
|
Le demandeur a accès uniquement à l’objet doté du nom de clé |
Identités des annuaires
GetDataAccess
prend en compte toutes les identités impliquées dans une demande lorsqu'il s'agit de jumeler des subventions appropriées. Pour les identités d'annuaire d'entreprise, renvoie GetDataAccess
également les autorisations de l'identité IAM utilisée pour la session basée sur l'identité. Pour plus d'informations sur les sessions basées sur l'identité, consultez la section Octroi d'autorisations pour utiliser des sessions de console basées sur l'identité dans le Guide de l'utilisateur.AWS Identity and Access Management GetDataAccess
génère des informations d'identification restreignant le champ d'application à l'autorisation la plus restrictive, comme indiqué dans le tableau suivant :
Champ d'application de la subvention pour l'identité IAM | Octroi d'une portée pour l'identité du répertoire | Portée demandée | Portée renvoyée | Privilège | Effet |
---|---|---|---|---|---|
S3:// |
|
S3://
|
S3://
|
Default |
Le demandeur a accès à tous les objets dont les noms de clé commencent par le préfixe bob/ dans le cadre de l'attribution du rôle IAM, mais il est limité aux préfixes bob/images/ dans le cadre de l'attribution de l'identité du répertoire. Le rôle IAM et l'identité de répertoire fournissent tous deux l'accès à l'étendue demandée |
S3:// |
|
S3://
|
S3://
|
Minimal |
Étant donné que le privilège est défini sur |
S3:// |
|
S3://
|
S3://
|
Default |
Le demandeur a accès à tous les objets dont les noms de clé commencent par le préfixe bob/ dans le cadre de l'attribution de l'identité du répertoire, mais il est limité aux préfixes bob/images/ dans le cadre de l'attribution du rôle IAM. Le rôle IAM et l'identité de répertoire fournissent tous deux l'accès à l'étendue demandée |
S3:// |
|
S3://
|
S3://
|
Minimal |
Étant donné que le privilège est défini sur |
Durée
Le paramètre durationSeconds
définit la durée des informations d’identification temporaires, en secondes. La valeur par défaut est de 3600
secondes (1 heure), mais le demandeur (le bénéficiaire) peut spécifier une plage allant de 900
secondes (15 minutes) à 43200
secondes (12 heures). Si le bénéficiaire demande une valeur supérieure à ce maximum, la demande échoue.
Note
Dans votre demande de jeton temporaire, si l’emplacement est un objet, définissez la valeur du paramètre targetType
dans votre demande sur Object
. Ce paramètre est obligatoire seulement si l’emplacement est un objet et que le niveau de privilège est Minimal
. Si l’emplacement est un compartiment ou un préfixe, vous n’avez pas besoin de spécifier ce paramètre.
Exemples
Vous pouvez demander des informations d'identification temporaires en utilisant le AWS Command Line Interface (AWS CLI), l'API REST Amazon S3 et le AWS SDKs. Veuillez consulter ces exemples.
Pour plus d'informations, consultez GetDataAccessle manuel Amazon Simple Storage Service API Reference.
Pour l'installer AWS CLI, reportez-vous à la section Installation du AWS CLI dans le guide de AWS Command Line Interface l'utilisateur.
Pour utiliser l’exemple de commande suivant, remplacez les
par vos propres informations.user input
placeholders
Exemple Demander des informations d’identification temporaires
Requête :
aws s3control get-data-access \ --account-id
111122223333
\ --targets3://
\amzn-s3-demo-bucket
/prefixA*--permission
READ
\ --privilege Default \ --regionus-east-2
Réponse :
{ "Credentials": { "AccessKeyId": "
Example-key-id
", "SecretAccessKey": "Example-access-key
", "SessionToken": "Example-session-token
", "Expiration": "2023-06-14T18:56:45+00:00
"}, "MatchedGrantTarget": "s3://
*", "Grantee": { "GranteeType": "IAM", "GranteeIdentifier": "arn:aws:iam::amzn-s3-demo-bucket
/prefixA*111122223333
:role/role-name
" } }
Pour plus d'informations sur la prise en charge par l'API REST d'Amazon S3 pour la demande d'informations d'identification temporaires auprès de S3 Access Grants, consultez GetDataAccessle manuel Amazon Simple Storage Service API Reference.
Cette section fournit un exemple de la façon dont les bénéficiaires demandent des informations d'identification temporaires à S3 Access Grants en utilisant le AWS SDKs.