Gestion de l’accès avec les octrois d’accès S3

Pour respecter le principe du moindre privilège, vous définissez un accès granulaire à vos données Amazon S3 en fonction des applications, des personas, des groupes ou des unités organisationnelles. Vous pouvez utiliser diverses approches pour mettre en place un accès granulaire aux données dans Amazon S3, en fonction de l’échelle et de la complexité des modèles d’accès.

L'approche la plus simple pour gérer l'accès à un small-to-medium certain nombre d'ensembles de données dans Amazon S3 by AWS Identity and Access Management (IAM) principals consiste à définir des politiques d'IAMautorisation et des politiques de compartiment S3. Cette stratégie fonctionne, à condition que les politiques nécessaires respectent les limites de taille des politiques des compartiments S3 (20 Ko) et des IAM politiques (5 Ko), ainsi que le nombre de IAM principaux autorisés par compte.

Avec l’augmentation du nombre de jeux de données et de cas d’utilisation, il se peut que vous ayez besoin de plus d’espace de politique. Une approche qui offre beaucoup plus d’espace pour les déclarations de politique consiste à utiliser les points d’accès S3 comme points de terminaison supplémentaires pour les compartiments S3, car chaque point d’accès peut avoir sa propre politique. Vous pouvez définir des modèles de contrôle d'accès très précis, car vous pouvez avoir des milliers de points d'accès Région AWS par compte, avec une politique d'une taille maximale de 20 Ko pour chaque point d'accès. Bien que les points d’accès S3 augmentent la quantité d’espace de politique disponible, ils nécessitent un mécanisme permettant aux clients de découvrir le point d’accès approprié pour le jeu de données approprié.

Une troisième approche consiste à implémenter un modèle de courtier de IAM session, dans lequel vous implémentez une logique de décision d'accès et générez dynamiquement des informations d'identification de IAM session à court terme pour chaque session d'accès. Bien que l'approche du courtier de IAM session prenne en charge les modèles d'autorisations arbitrairement dynamiques et s'adapte efficacement, vous devez créer la logique des modèles d'accès.

Au lieu d’utiliser ces approches, vous pouvez utiliser les octrois d’accès S3 pour gérer l’accès à vos données Amazon S3. Les octrois d’accès S3 fournissent un modèle simplifié pour définir les autorisations d’accès aux données dans Amazon S3 par préfixe, compartiment ou objet. En outre, vous pouvez utiliser les subventions d'accès S3 pour accorder l'accès aux deux IAM principaux et directement aux utilisateurs ou aux groupes depuis le répertoire de votre entreprise.

Vous définissez généralement les autorisations d’accès aux données dans Amazon S3 en mappant les utilisateurs et les groupes aux jeux de données. Vous pouvez utiliser les octrois d’accès S3 pour définir des mappages d’accès direct des préfixes S3 aux utilisateurs et aux rôles au sein des compartiments et des objets Amazon S3. Grâce au schéma d'accès simplifié de S3 Access Grants, vous pouvez accorder un accès en lecture seule, en écriture seule ou en lecture-écriture par préfixe S3 aux deux IAM principaux et directement aux utilisateurs ou aux groupes à partir d'un annuaire d'entreprise. Grâce à ces fonctionnalités d’octrois d’accès S3, les applications peuvent demander des données à Amazon S3 au nom de l’utilisateur authentifié actuel de l’application.

Lorsque vous intégrez les subventions d'accès S3 à la fonctionnalité de propagation d'identité sécurisée de AWS IAM Identity Center, vos applications peuvent envoyer des demandes Services AWS (y compris les subventions d'accès S3) directement au nom d'un utilisateur authentifié de l'annuaire d'entreprise. Vos applications n'ont plus besoin de mapper d'abord l'utilisateur à un IAM principal. En outre, étant donné que les identités des utilisateurs finaux sont propagées jusqu’à Amazon S3, l’audit permettant de vérifier quel utilisateur a accédé à quel objet S3 est simplifié. Il n'est plus nécessaire de reconstituer la relation entre les différents utilisateurs et IAM sessions. Lorsque vous utilisez S3 Access Grants avec la propagation IAM d'identité sécurisée d'Identity Center, chaque événement de AWS CloudTraildonnées pour Amazon S3 contient une référence directe à l'utilisateur final pour le compte duquel les données ont été consultées.

Pour plus d’informations sur les octrois d’accès S3, consultez les rubriques suivantes.