Accès intercompte aux autorisations d’accès S3

Avec les autorisations d’accès S3, vous pouvez accorder l’accès aux données Amazon S3 aux éléments suivants :

Configurez d’abord l’accès intercompte pour l’autre compte. Cela inclut l’octroi de l’accès à votre instance d’autorisations d’accès S3 à l’aide d’une politique de ressources. Accordez ensuite l’accès à vos données S3 (compartiments, préfixes ou objets) en utilisant des autorisations.

Après avoir configuré l’accès intercompte, l’autre compte peut demander des informations d’accès temporaires à vos données Amazon S3 auprès des autorisations d’accès S3. L’image suivante montre le flux d’utilisateurs pour l’accès intercompte S3 via les autorisations d’accès S3 :

Configuration de l’accès intercompte avec les autorisations d’accès S3

Pour accorder un accès S3 intercompte via les autorisations d’accès S3, procédez comme suit :

Étape 1 : configurer une instance d’autorisations d’accès S3 dans votre compte

Tout d’abord, vous devez disposer d’une instance d’autorisations d’autorisations d’accès S3 dans votre compte 111122223333 pour gérer l’accès à vos données Amazon S3. Vous devez créer une instance d’autorisations d’accès S3 dans chaque Région AWS où sont stockées les données S3 que vous souhaitez partager. Si vous partagez des données dans plus d’une Région AWS, répétez chacune de ces étapes de configuration pour chaque Région AWS. Si vous avez déjà une instance d’autorisations d’accès S3 dans le Région AWS dans lequel vos données S3 sont stockées, passez à l’étape suivante. Si vous n’avez pas configuré d’instance d’autorisations d’accès S3, consultez Utilisation des instances d’autorisations d’accès S3 pour mener à bien cette étape.

Étape 2 : configurer la politique de ressource pour votre instance d’autorisations d’accès S3 afin d’accorder un accès intercompte

Après avoir créé une instance d’autorisations d’accès S3 dans votre compte 111122223333 pour un accès intercompte, configurez la politique basée sur les ressources pour l’instance d’autorisations d’accès S3 de votre compte 111122223333 afin d’accorder un accès intercompte. L’instance d’autorisations d’accès S3 elle-même prend en charge les politiques basées sur les ressources. Avec la politique basée sur les ressources appropriée, vous pouvez accorder à des utilisateurs et à des rôles AWS Identity and Access Management (IAM) issus d’autres Comptes AWS l’accès à votre instance d’autorisations d’accès S3. L’accès intercompte accorde uniquement ces autorisations (actions) :

Parmi ces autorisations, vous pouvez choisir les autorisations à inclure dans la politique de ressources. Cette politique de ressources sur l’instance d’autorisations d’accès S3 est une politique standard basée sur les ressources et prend en charge tout ce que le langage de politique IAM prend en charge. Dans la même politique, vous pouvez accorder l’accès à des identités IAM spécifiques dans le compte 111122223333 (par exemple, avec la condition aws:PrincipalArn), mais vous n’êtes pas obligé de le faire avec les autorisations d’accès S3. À la place, au sein de votre instance d’autorisations d’accès S3, vous pouvez créer des autorisations pour des identités IAM individuelles à partir de votre compte, ainsi que pour l’autre compte. En gérant chaque autorisation d’accès via les autorisations d’accès S3, vous pouvez mettre à l’échelle vos autorisations.

Si vous utilisez déjà AWS Resource Access Manager (AWS RAM), vous pouvez y recourir pour partager vos ressources s3:AccessGrants avec d’autres comptes ou au sein de votre organisation. Consultez Utilisation des ressources AWS partagées pour plus d’informations. Si vous n’utilisez pas AWS RAM, vous pouvez également ajouter la politique de ressources en utilisant les opérations d’API d’autorisations d’accès S3 ou l’AWS Command Line Interface (AWS CLI).

{
"Version": "2012-10-17",
"Statement": [
{
	"Effect": "Allow", 
	"Principal": {
	"AWS": "444455556666"
}, 
	"Action": [
		"s3:ListAccessGrants",
		"s3:ListAccessGrantsLocations",
		"s3:GetDataAccess",
		"s3:GetAccessGrantsInstanceForPrefix"
	],
	"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
} ]
}

	aws s3control put-access-grants-instance-resource-policy \
	--account-id 111122223333 \
	--policy file://resourcePolicy.json \
	--region us-east-2
	{
		"Policy": "{\n 
		  \"Version\": \"2012-10-17\",\n 
		  \"Statement\": [{\n  
			\"Effect\": \"Allow\",\n
			\"Principal\": {\n
			  \"AWS\": \"444455556666\"\n
			},\n  
			\"Action\": [\n
			  \"s3:ListAccessGrants\",\n
			  \"s3:ListAccessGrantsLocations\",\n
			  \"s3:GetDataAccess\",\n
			  \"s3:GetAccessGrantsInstanceForPrefix\",\n
			  \"s3:ListCallerAccessGrants"\n
			],\n
			\"Resource\": \"arn:aws:s3:us-east-2:111122223333:access-grants/default\"\n
		   }\n  
		  ]\n
		  }\n",
		"CreatedAt": "2023-06-16T00:07:47.473000+00:00"
	}

aws s3control get-access-grants-instance-resource-policy \
--account-id 111122223333 \
--region us-east-2

{
"Policy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"arn:aws:iam::111122223333:root\"},\"Action\":[\"s3:ListAccessGrants\",\"s3:ListAccessGrantsLocations\",\"s3:GetDataAccess\",\"s3:GetAccessGrantsInstanceForPrefix\",\"s3:ListCallerAccessGrants\"],\"Resource\":\"arn:aws:
s3:us-east-2:111122223333:access-grants/default\"}]}",
"CreatedAt": "2023-06-16T00:07:47.473000+00:00"
}

aws s3control delete-access-grants-instance-resource-policy \
--account-id 111122223333 \
--region us-east-2

// No response body

{
"Version": "2012-10-17",
"Statement": [
{
	"Effect": "Allow", 
	"Principal": {
	"AWS": "444455556666"
}, 
	"Action": [
		"s3:ListAccessGrants",
		"s3:ListAccessGrantsLocations",
		"s3:GetDataAccess",
		"s3:GetAccessGrantsInstanceForPrefix"
	],
	"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
} ]
}

Étape 3 : accorder aux identités IAM d’un deuxième compte l’autorisation d’appeler l’instance d’autorisations d’accès S3 de votre compte

Une fois que le propriétaire des données Amazon S3 a configuré la politique intercompte pour l’instance d’autorisations d’accès S3 dans le compte 111122223333, le propriétaire du deuxième compte 444455556666 doit créer une politique basée sur l’identité pour ses utilisateurs ou rôles IAM, et le propriétaire doit leur donner accès à l’instance d’autorisations d’accès S3. Dans la politique basée sur l’identité, incluez une ou plusieurs des actions suivantes, en fonction de ce qui est accordé dans la politique de ressources d’instance d’autorisations d’accès S3 et des autorisations que vous souhaitez accorder :

Selon le modèle d’accès intercompte AWS, les utilisateurs ou rôles IAM du deuxième compte 444455556666 doivent explicitement disposer d’une ou de plusieurs de ces autorisations. Par exemple, accordez l’autorisation s3:GetDataAccess afin que l’utilisateur ou le rôle IAM puisse appeler l’instance d’autorisations d’accès S3 associée au compte 111122223333 pour demander des informations d’identification.

Pour utiliser cet exemple de commande, remplacez user input placeholders par vos propres informations.

{
	"Version": "2012-10-17",
	"Statement": [
	{
		"Effect": "Allow", 
		"Action": [
			"s3:GetDataAccess",
		],
			"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
		} 
	]
}

Pour plus d’informations sur la modification d’une politique basée sur l’identité IAM, consultez Modification des politiques IAM dans le Guide AWS Identity and Access Management.

Étape 4 : créer une autorisation dans l’instance d’autorisations d’accès S3 de votre compte qui donne à l’identité IAM du deuxième compte l’accès à certaines de vos données S3

Pour l’étape finale de configuration, vous pouvez créer une autorisation dans l’instance d’autorisations d’accès S3 de votre compte 111122223333, qui donne accès à l’identité IAM du deuxième compte 444455556666 à certaines données S3 de votre compte. Pour ce faire, utilisez la console, l’interface de ligne de commande, l’API ou les kits SDK Amazon S3. Pour en savoir plus, consultez Création d’octrois.

Dans l’autorisation, spécifiez l’ARN AWS de l’identité IAM du deuxième compte et spécifiez l’emplacement dans lequel vous accordez l’accès à vos données S3 (compartiment, préfixe ou objet). Cet emplacement doit déjà être enregistré auprès de votre instance d’autorisations d’accès S3. Pour en savoir plus, consultez Enregistrement d’un emplacement. Vous pouvez la possibilité de spécifier un sous-préfixe. Par exemple, si l’emplacement auquel vous accordez l’accès est un compartiment et que vous souhaitez limiter davantage l’accès à un objet spécifique de ce compartiment, transmettez le nom de la clé de l’objet dans le champ S3SubPrefix. Ou si vous souhaitez limiter l’accès aux objets du compartiment dont les noms de clé commencent par un préfixe spécifique tel que 2024-03-research-results/, transmettez S3SubPrefix=2024-03-research-results/.

Voici un exemple de commande CLI permettant de créer une autorisation d’accès pour une identité dans le deuxième compte. Pour plus d’informations, consultez Création d’octrois. Pour utiliser cet exemple de commande, remplacez user input placeholders par vos propres informations.

aws s3control create-access-grant \
--account-id 111122223333 \
--access-grants-location-id default \
--access-grants-location-configuration S3SubPrefix=prefixA* \
--permission READ \
--grantee GranteeType=IAM,GranteeIdentifier=arn:aws:iam::444455556666:role/data-consumer-1

Après avoir configuré l’accès intercompte, l’utilisateur ou le rôle du deuxième compte peut effectuer les opérations suivantes :