Gestion de l’accès avec les octrois d’accès S3

Pour respecter le principe du moindre privilège, vous définissez un accès granulaire à vos données Amazon S3 en fonction des applications, des personas, des groupes ou des unités organisationnelles. Vous pouvez utiliser diverses approches pour mettre en place un accès granulaire aux données dans Amazon S3, en fonction de l’échelle et de la complexité des modèles d’accès.

L'approche la plus simple pour gérer l'accès à un small-to-medium certain nombre d'ensembles de données dans Amazon S3 par les principaux AWS Identity and Access Management (IAM) consiste à définir des politiques d'autorisation IAM et des politiques de compartiment S3. Cette stratégie fonctionne, à condition que les politiques nécessaires respectent les limites de taille des politiques de compartiment S3 (20 Ko) et des politiques IAM (5 Ko), ainsi que le nombre de principaux IAM autorisés par compte.

Avec l’augmentation du nombre de jeux de données et de cas d’utilisation, il se peut que vous ayez besoin de plus d’espace de politique. Une approche qui offre beaucoup plus d’espace pour les déclarations de politique consiste à utiliser les points d’accès S3 comme points de terminaison supplémentaires pour les compartiments S3, car chaque point d’accès peut avoir sa propre politique. Vous pouvez définir des modèles de contrôle d'accès très précis, car vous pouvez avoir des milliers de points d'accès Région AWS par compte, avec une politique d'une taille maximale de 20 Ko pour chaque point d'accès. Bien que les points d’accès S3 augmentent la quantité d’espace de politique disponible, ils nécessitent un mécanisme permettant aux clients de découvrir le point d’accès approprié pour le jeu de données approprié.

Une troisième approche consiste à implémenter un modèle d’agent de session IAM, dans lequel vous implémentez une logique de décision d’accès et générez dynamiquement des informations d’identification de session IAM à court terme pour chaque session d’accès. L’approche de l’agent de session IAM prend en charge les modèles d’autorisations arbitrairement dynamiques et s’adapte efficacement, mais vous devez élaborer la logique des modèles d’accès.

Au lieu d’utiliser ces approches, vous pouvez utiliser les octrois d’accès S3 pour gérer l’accès à vos données Amazon S3. Les octrois d’accès S3 fournissent un modèle simplifié pour définir les autorisations d’accès aux données dans Amazon S3 par préfixe, compartiment ou objet. En outre, vous pouvez utiliser les octrois d’accès S3 pour accorder l’accès à la fois aux principaux IAM et directement aux utilisateurs ou groupes depuis votre annuaire d’entreprise.

Vous définissez généralement les autorisations d’accès aux données dans Amazon S3 en mappant les utilisateurs et les groupes aux jeux de données. Vous pouvez utiliser les octrois d’accès S3 pour définir des mappages d’accès direct des préfixes S3 aux utilisateurs et aux rôles au sein des compartiments et des objets Amazon S3. Grâce au schéma d’accès simplifié des octrois d’accès S3, vous pouvez accorder un accès en lecture seule, en écriture seule ou en lecture-écriture en fonction d’un préfixe S3 à la fois aux principaux IAM et directement aux utilisateurs ou groupes depuis un annuaire d’entreprise. Grâce à ces fonctionnalités d’octrois d’accès S3, les applications peuvent demander des données à Amazon S3 au nom de l’utilisateur authentifié actuel de l’application.

Lorsque vous intégrez les subventions d'accès S3 à la fonctionnalité de propagation d'identité sécurisée de AWS IAM Identity Center, vos applications peuvent envoyer des demandes Services AWS (y compris les subventions d'accès S3) directement au nom d'un utilisateur authentifié de l'annuaire d'entreprise. Vos applications n’ont plus besoin de commencer par mapper l’utilisateur à un principal IAM. En outre, étant donné que les identités des utilisateurs finaux sont propagées jusqu’à Amazon S3, l’audit permettant de vérifier quel utilisateur a accédé à quel objet S3 est simplifié. Il n’est plus nécessaire de reconstruire la relation entre les différents utilisateurs et les sessions IAM. Lorsque vous utilisez les octrois d’accès S3 avec la propagation d’identité approuvée d’IAM Identity Center, chaque événement de données AWS CloudTrail pour Amazon S3 contient une référence directe à l’utilisateur final pour le compte duquel les données ont été consultées.

Pour plus d’informations sur les octrois d’accès S3, consultez les rubriques suivantes.