Ressources S3 Identités Outils de gestion des accès Actions Cas d’utilisation de la gestion des accès Résolution des problèmes de gestion d’accès

Contrôle d’accès dans Amazon S3

Dans AWS, une ressource est une entité avec laquelle vous pouvez travailler. Dans Amazon Simple Storage Service (S3), les compartiments et les objets sont les ressources Amazon S3 d’origine. Tous les clients de S3 possèdent généralement des compartiments contenant des objets. Au fur et à mesure que de nouvelles fonctionnalités ont été ajoutées à S3, des ressources supplémentaires ont également été ajoutées, mais tous les clients n’utilisent pas ces ressources spécifiques aux fonctionnalités. Pour plus d’informations sur les ressources Amazon S3, consultez Ressources S3.

Par défaut, toutes les ressources Amazon S3 sont privées. Par défaut également, l’utilisateur racine du Compte AWS qui a créé la ressource (propriétaire de la ressource) et les utilisateurs IAM de ce compte disposant des autorisations nécessaires peuvent accéder à une ressource qu’ils ont créée. Le propriétaire de la ressource décide qui d’autre peut y accéder, ainsi que les actions que ces tiers sont autorisés à effectuer au niveau de cette ressource. S3 propose divers outils de gestion des accès que vous pouvez utiliser pour accorder à des tiers l’accès à vos ressources S3.

Les sections suivantes présentent un aperçu des ressources S3, des outils de gestion des accès S3 disponibles et des cas d’utilisation les plus adaptés à chaque outil de gestion des accès. Les listes de ces sections visent à être exhaustives et incluent toutes les ressources S3, tous les outils de gestion des accès et tous les cas d’utilisation courants liés à la gestion des accès. Dans le même temps, ces sections sont conçues pour être des répertoires qui vous mèneront aux détails techniques que vous souhaitez. Si vous comprenez bien certaines des rubriques suivantes, vous pouvez passer directement à la section qui vous concerne.

Pour plus d’informations sur les autorisations relatives aux opérations d’API S3 par type de ressource S3, consultez Autorisations requises pour les opérations d’API Amazon S3.

Rubriques

Ressources S3
Identités
Outils de gestion des accès
Actions
Cas d’utilisation de la gestion des accès
Résolution des problèmes de gestion d’accès

Ressources S3

Les ressources Amazon S3 d’origine sont les compartiments et les objets qu’ils contiennent. Au fur et à mesure que de nouvelles fonctionnalités sont ajoutées à S3, de nouvelles ressources sont également ajoutées. La liste suivante est une liste complète des ressources S3 et de leurs fonctionnalités respectives.

Type de ressource	Fonctionnalité d’Amazon S3	Description
`bucket`	Fonctions de base	Un compartiment est un conteneur d’objets. Pour stocker un ou plusieurs objets dans S3, créez un compartiment, puis chargez-y les objets souhaités. Pour de plus amples informations, veuillez consulter Création, configuration et utilisation des compartiments Amazon S3.
`object`	Fonctions de base	Un objet peut être un fichier et toutes les métadonnées qui décrivent ce fichier. Lorsqu’un objet se trouve dans le compartiment, vous pouvez l’ouvrir, le télécharger et le déplacer. Pour de plus amples informations, veuillez consulter Utilisation des objets dans Amazon S3.
`accesspoint`	Points d’accès	Les points d’accès sont des points de terminaison réseau associés à des compartiments que vous pouvez utiliser pour effectuer des opérations Amazon S3 sur des objets, notamment `GetObject` et `PutObject`. Chaque point d’accès applique des autorisations, des contrôles réseau et une stratégie de point d’accès personnalisée distincts, qui fonctionne conjointement avec la politique de compartiment associée au compartiment sous-jacent. Vous pouvez configurer n’importe quel point d’accès pour n’accepter que les demandes provenant d’un cloud privé virtuel (VPC) ou configurer des paramètres de blocage de l’accès public personnalisés pour chaque point d’accès. Pour de plus amples informations, veuillez consulter Gestion de l’accès aux jeux de données avec des points d’accès .
`objectlambdaaccesspoint`		Un point d’accès Object Lambda est un point d’accès de compartiment qui est également associé à une fonction Lambda. Avec un point d’accès Object Lambda, vous pouvez ajouter votre propre code aux demandes Amazon S3 `GET`, `LIST` et `HEAD` afin de modifier et de traiter les données lorsqu’elles sont renvoyées vers une application. Pour de plus amples informations, veuillez consulter Création de points d’accès Object Lambda.
`multiregionaccesspoint`		Les points d’accès multi-régions fournissent un point de terminaison global que les applications peuvent utiliser pour traiter les demandes provenant de compartiments Amazon S3 situés dans plusieurs régions AWS . Vous pouvez utiliser des points d’accès multi-régions pour créer des applications multi-régions avec la même architecture utilisée dans une seule région, puis exécuter ces applications partout dans le monde. Au lieu d'envoyer des demandes via l'Internet public congestionné, les demandes d'application adressées à un point d'accès global multirégional sont automatiquement acheminées via le réseau AWS mondial vers le compartiment Amazon S3 le plus proche. Pour de plus amples informations, veuillez consulter Gestion du trafic multirégional avec des points d’accès multirégionaux.
`job`	Opérations par lot S3	Une tâche est une ressource de la fonctionnalité d’opérations par lot S3. Vous pouvez utiliser les opérations par lot S3 pour effectuer des opérations par lot à grande échelle sur des objets Amazon S3 que vous spécifiez. Amazon S3 suit la progression de la tâche d’opérations par lot, envoie des notifications et stocke un rapport de fin de tâche détaillé sur toutes les actions, offrant ainsi une expérience sans serveur entièrement gérée et qui peut être vérifiée. Pour de plus amples informations, veuillez consulter Exécution d’opérations groupées sur des objets avec les opérations par lot.
`storagelensconfiguration`	S3 Storage Lens	Une configuration S3 Storage Lens collecte des métriques de stockage et des données utilisateur à l’échelle de l’organisation entre les différents comptes. S3 Storage Lens fournit aux administrateurs une vue unique de l’utilisation et de l’activité du stockage des objets sur des centaines, voire des milliers, de comptes au sein d’une organisation, avec des détails permettant de générer des informations exploitables à plusieurs niveaux d’agrégation. Pour de plus amples informations, veuillez consulter Évaluer l’activité et l’utilisation de votre stockage avec Amazon S3 Storage Lens.
`storagelensgroup`	S3 Storage Lens	Un groupe S3 Storage Lens regroupe les métriques à l’aide de filtres personnalisés basés sur les métadonnées des objets. Les groupes S3 Storage Lens vous permettent d’analyser les caractéristiques de vos données, telles que la répartition des objets par ancienneté, les types de fichiers les plus courants, etc. Pour de plus amples informations, veuillez consulter Utilisation des groupes S3 Storage Lens pour filtrer et agréger des métriques.
`accessgrantsinstance`	Autorisations d’accès S3	Une instance d’autorisations d’accès S3 est un conteneur pour les autorisations S3 que vous créez. Avec les d’autorisations d’accès S3, vous pouvez créer des autorisations pour vos données Amazon S3 pour les identités IAM au sein de votre compte, les identités IAM dans d’autres comptes (autorisations intercomptes) et les identités d’annuaire ajoutées à AWS IAM Identity Center à partir de votre annuaire d’entreprise. Pour plus d’informations sur les autorisations d’accès S3, consultez Gestion de l’accès avec les autorisations d’accès S3.
`accessgrantslocation`		Un emplacement d’autorisations d’accès est un compartiment, un préfixe dans un compartiment ou un objet que vous enregistrez dans votre instance d’autorisations d’accès S3. Vous devez enregistrer des emplacements au sein de l’instance d’autorisations d’accès S3 avant de pouvoir créer une autorisation pour cet emplacement. Ensuite, avec S3 Access Grants, vous pouvez accorder l'accès au compartiment, au préfixe ou à l'objet pour les identités IAM au sein de votre compte, les identités IAM sur d'autres comptes (comptes intercomptes) et les identités de répertoire ajoutées à AWS IAM Identity Center partir de votre annuaire d'entreprise. Pour plus d’informations sur les autorisations d’accès S3, consultez Gestion de l’accès avec les autorisations d’accès S3.
`accessgrant`		Une autorisation d’accès est une autorisation individuelle accordée à vos données Amazon S3. Avec S3 Access Grants, vous pouvez créer des autorisations pour vos données Amazon S3 pour les identités IAM au sein de votre compte, les identités IAM sur d'autres comptes (comptes intercomptes) et les identités de répertoire ajoutées à AWS IAM Identity Center partir de votre annuaire d'entreprise. Pour plus d’informations sur les autorisations d’accès S3, consultez Gestion de l’accès avec les autorisations d’accès S3.

Compartiments

Il existe deux types de compartiments Amazon S3 : les compartiments à usage général et les compartiments de répertoires.

Les compartiments à usage général constituent le type de compartiment S3 d’origine et sont recommandés pour la plupart des cas d’utilisation et des modèles d’accès. Les compartiments à usage général autorisent également les objets stockés dans toutes les classes de stockage, à l’exception de S3 Express One Zone. Pour plus d’informations sur les classes de stockage S3, consultez Bien comprendre et gérer les classes de stockage Amazon S3.
Les compartiments de répertoires utilisent la classe de stockage S3 Express One Zone, recommandée si votre application est sensible aux performances et peut bénéficier d’une latence inférieure à dix millisecondes pour les demandes PUT et GET. Pour plus d’informations, consultez Utilisation des compartiments de répertoires, S3 Express One Zone et Autorisation des opérations d’API de point de terminaison régional avec IAM.

Catégorisation des ressources S3

Amazon S3 fournit des fonctionnalités permettant de catégoriser et d’organiser vos ressources S3. La catégorisation de vos ressources est non seulement utile pour les organiser, mais vous pouvez également définir des règles de gestion des accès en fonction des catégories de ressources. Plus spécifiquement, les préfixes et le balisage sont deux fonctionnalités d’organisation du stockage que vous pouvez utiliser lors de la définition des autorisations de gestion des accès.

Note

Les informations suivantes s’appliquent aux compartiments à usage général. Les compartiments de répertoires ne prennent pas en charge le balisage, et leurs préfixes sont soumis à certains limites. Pour de plus amples informations, veuillez consulter Autorisation des opérations d’API de point de terminaison régional avec IAM.

Préfixe : un préfixe est une chaîne de caractères située au début d’un nom de clé d’objet et qui sert à organiser les objets stockés dans vos compartiments S3. Vous pouvez utiliser un caractère séparateur, tel qu’une barre oblique (/), pour indiquer la fin du préfixe dans le nom de la clé de l’objet. Par exemple, vous pouvez avoir des noms de clé d’objet qui commencent par le préfixe engineering/ ou marketing/campaigns/. L’utilisation d’un délimiteur à la fin du préfixe, tel qu’une barre oblique, /, émule les conventions de dénomination des dossiers et des fichiers. Toutefois, dans S3, le préfixe fait partie du nom de la clé d’objet. Dans les compartiments S3 à usage général, il n’existe pas de hiérarchie de dossiers réelle.

Amazon S3 permet d’organiser et de regrouper les objets à l’aide de leur préfixe. Vous pouvez également gérer l’accès aux objets à l’aide de leur préfixe. Par exemple, vous pouvez limiter l’accès aux seuls objets dont le nom commence par un préfixe spécifique.

Pour de plus amples informations, veuillez consulter Organisation des objets à l’aide de préfixes. La console S3 utilise le concept de dossiers, qui, dans les compartiments à usage général, sont essentiellement des préfixes ajoutés au nom de la clé de l’objet. Pour de plus amples informations, veuillez consulter Organisation des objets dans la console Amazon S3 à l’aide de dossiers.
Balise : une balise est une paire clé-valeur que vous allouez aux ressources. Par exemple, vous pouvez baliser certaines ressources avec la balise topicCategory=engineering. Vous pouvez utiliser le balisage pour faciliter la répartition des coûts, la catégorisation et l’organisation, ainsi que le contrôle d’accès. Le balisage des compartiments est uniquement utilisé pour la répartition des coûts. Vous pouvez baliser des objets, S3 Storage Lens, des tâches et des autorisations d’accès S3 à des fins d’organisation ou de contrôle d’accès. Dans les autorisations d’accès S3, vous pouvez également utiliser le balisage pour la répartition des coûts. À titre d’exemple de contrôle de l’accès aux ressources à l’aide de leurs balises, vous pouvez ne partager que les objets dotés d’une balise spécifique ou d’une combinaison de balises.

Pour plus d’informations, consultez Contrôle de l’accès aux ressources AWS à l’aide de balises de ressources dans le Guide de l’utilisateur IAM.

Identités

Dans Amazon S3, le propriétaire de la ressource est l’identité qui a créé la ressource, telle qu’un compartiment ou un objet. Par défaut, seul l’utilisateur racine du compte qui a créé la ressource et les identités IAM du compte disposant de l’autorisation requise peuvent accéder à la ressource S3. Les propriétaires de ressources peuvent autoriser d’autres identités à accéder à leurs ressources S3.

Les identités qui ne possèdent pas une ressource peuvent demander l’accès à cette ressource. Les demandes adressées à une ressource sont soit authentifiées, soit non authentifiées. Les demandes authentifiées doivent inclure une valeur de signature qui authentifie l’expéditeur de la demande. Les demandes non authentifiées ne nécessitent pas de signature. Nous vous recommandons de n’accorder l’accès qu’aux utilisateurs authentifiés. Pour plus d’informations sur l’authentification des demandes, consultez Demandes dans la Référence d’API Amazon S3.

Important

Nous vous recommandons de ne pas utiliser les informations d'identification de l'utilisateur Compte AWS root pour effectuer des demandes authentifiées. Il est préférable de créer un rôle IAM, puis de lui accorder un accès total. Nous appelons les utilisateurs possédant ce rôle des administrateurs. Vous pouvez utiliser les informations d'identification attribuées au rôle d'administrateur, au lieu des informations d'identification de l'utilisateur Compte AWS root, pour interagir avec AWS et effectuer des tâches, telles que créer un bucket, créer des utilisateurs et accorder des autorisations. Pour plus d’informations, consultez Informations d’identification d’utilisateur racine de Compte AWS et informations d’identification d’utilisateur IAM dans Références générales AWS. Consultez aussi Bonnes pratiques de sécurité dans IAM dans le Guide de l’utilisateur IAM.

Les identités qui accèdent à vos données dans Amazon S3 peuvent être les suivantes :

Compte AWS owner

Celui Compte AWS qui a créé la ressource. Par exemple, le compte qui a créé le compartiment. Ce compte possède la ressource. Pour plus d’informations, consultez Utilisateur racine AWS.

Identités IAM dans le même compte que le propriétaire Compte AWS

Lors de la configuration de comptes pour les nouveaux membres de l'équipe qui ont besoin d'un accès S3, le Compte AWS propriétaire peut utiliser AWS Identity and Access Management (IAM) pour créer des utilisateurs, des groupes et des rôles. Le Compte AWS propriétaire peut ensuite partager des ressources avec ces identités IAM. Le propriétaire du compte peut également spécifier les autorisations à attribuer aux identités IAM, qui autorisent ou refusent les actions pouvant être effectuées sur les ressources partagées.

Les identités IAM offrent des fonctionnalités accrues, notamment la possibilité d’exiger des utilisateurs qu’ils saisissent des informations d’identification de connexion avant d’accéder aux ressources partagées. Avec les identités IAM, vous pouvez mettre en œuvre une forme d’authentification multifactorielle (MFA) IAM pour prendre en charge une base d’identité solide. L’une des bonnes pratiques IAM consiste à créer des rôles pour la gestion des accès au lieu d’accorder des autorisations à chaque utilisateur individuel. Vous attribuez le rôle approprié à chaque utilisateur. Pour plus d’informations, consultez Bonnes pratiques de sécurité dans IAM.

Autres titulaires de AWS comptes et leurs identités IAM (accès entre comptes)

Le Compte AWS propriétaire peut également donner accès aux ressources à d'autres propriétaires de AWS comptes, ou à des identités IAM appartenant à un autre AWS compte.

Note

Délégation d’autorisations : si un Compte AWS possède une ressource, il peut accorder ces autorisations à un autre Compte AWS. Ce compte peut alors déléguer aux utilisateurs du même compte l’ensemble de ces autorisations ou un sous-ensemble de celles-ci. Cela s’appelle une délégation d’autorisations. Cependant, un compte qui reçoit des autorisations d’un autre compte ne peut pas déléguer ces autorisations « intercomptes » à un autre Compte AWS.

Utilisateurs anonymes (accès public)

Le Compte AWS propriétaire peut rendre les ressources publiques. D’un point de vue technique, rendre une ressource publique consiste à partager la ressource avec l’utilisateur anonyme. Les compartiments créés depuis avril 2023 bloquent tout accès public par défaut, sauf si vous modifiez ce paramètre. Nous vous recommandons de configurer vos compartiments de sorte qu’ils bloquent l’accès public, et de n’accorder l’accès qu’aux utilisateurs authentifiés. Pour en savoir plus sur le blocage de l’accès public, consultez Blocage de l’accès public à votre stockage Amazon S3.

Services AWS

Le propriétaire de la ressource peut accorder à un autre AWS service l'accès à une ressource Amazon S3. Par exemple, vous pouvez accorder au AWS CloudTrail service l's3:PutObjectautorisation d'écrire des fichiers journaux dans votre compartiment. Pour plus d'informations, consultez la section Fournir l'accès à un AWS service.

Identités des annuaires d’entreprise

Le propriétaire de la ressource peut accorder à des utilisateurs ou à des rôles de votre annuaire d’entreprise l’accès à une ressource S3 à l’aide des autorisations d’accès S3. Pour plus d'informations sur l'ajout de votre annuaire d'entreprise à AWS IAM Identity Center, voir Qu'est-ce qu'IAM Identity Center ? .

Propriétaires du compartiment ou de la ressource

Celui Compte AWS que vous utilisez pour créer des buckets et télécharger des objets possède ces ressources. Un propriétaire de compartiment peut accorder à un autre Compte AWS (ou à des utilisateurs d’un autre compte) des autorisations intercomptes pour charger des objets.

Lorsqu’un propriétaire de compartiment autorise un autre compte à charger des objets dans un compartiment, le propriétaire du compartiment est propriétaire par défaut de tous les objets chargés dans son compartiment. Toutefois, si les paramètres de bucket appliqués par le propriétaire du bucket et les paramètres de bucket préférés du propriétaire du bucket sont désactivés, le Compte AWS responsable du téléchargement des objets est propriétaire de ces objets, et le propriétaire du bucket n'a aucune autorisation sur les objets appartenant à un autre compte, avec les exceptions suivantes :

Le propriétaire du compartiment paie les factures. Le propriétaire du compartiment peut refuser l’accès aux objets ou supprimer des objets dans le compartiment, quel que soit le propriétaire de ces derniers.
Le propriétaire du compartiment peut archiver n’importe quel objet ou restaurer des objets archivés, quel qu’en soit le propriétaire. L’archivage fait référence à la classe de stockage utilisée pour stocker les objets. Pour de plus amples informations, veuillez consulter Gestion du cycle de vie des objets.

Outils de gestion des accès

Amazon S3 fournit plusieurs fonctionnalités et outils de sécurité. Vous trouverez ci-dessous une liste complète de ces fonctionnalités et outils. Vous n’avez pas besoin de tous ces outils de gestion des accès, mais vous devez en utiliser un ou plusieurs pour accorder l’accès à vos ressources Amazon S3. Une utilisation adéquate de ces outils contribue à garantir que vos ressources ne sont accessibles qu’aux utilisateurs prévus.

L’outil de gestion des accès le plus couramment utilisé est une stratégie d’accès. Une politique d'accès peut être une politique basée sur les ressources attachée à une AWS ressource, telle qu'une politique de compartiment pour un compartiment. Une stratégie d’accès peut également être une politique basée sur l’identité. Dans ce cas, elle est associée à une identité AWS Identity and Access Management (IAM), telle qu’un utilisateur, un groupe ou un rôle IAM. Rédigez une politique d'accès pour accorder Comptes AWS aux utilisateurs, aux groupes et aux rôles IAM l'autorisation d'effectuer des opérations sur une ressource. Par exemple, vous pouvez accorder une PUT Object autorisation à un autre compte Compte AWS afin qu'il puisse télécharger des objets dans votre compartiment.

Une stratégie d’accès décrit qui a accès à quoi. Lorsqu’Amazon S3 reçoit une demande, toutes les stratégies d’accès doivent être évaluées afin de déterminer si cette demande doit être autorisée ou refusée. Pour plus d’informations sur la manière dont Amazon S3 évalue ces politiques, consultez Comment Amazon S3 autorise une demande.

Les outils de gestion de l’accès disponibles dans Amazon S3 sont les suivants.

Une politique de compartiment Amazon S3 est une politique AWS Identity and Access Management (IAM) basée sur les ressources, au format JSON. Elle est associée à un compartiment particulier. Utilisez des politiques de compartiment pour accorder des autorisations à d'autres identités Comptes AWS ou à des identités IAM pour le compartiment et les objets qu'il contient. De nombreux cas d’utilisation de la gestion des accès S3 peuvent être satisfaits au moyen d’une politique de compartiment. Avec les politiques de compartiment, vous pouvez personnaliser l’accès au compartiment pour vous assurer que seules les identités que vous avez approuvées peuvent accéder aux ressources et effectuer des actions en leur sein. Pour de plus amples informations, veuillez consulter Politiques de compartiment pour Amazon S3.

Voici un exemple de politique de compartiment. Vous exprimez la politique de compartiment à l’aide d’un fichier JSON. Cet exemple de politique accorde à un rôle IAM l’autorisation de lecture sur tous les objets du compartiment. Il contient une instruction appelée BucketLevelReadPermissions, qui autorise l’action s3:GetObject (autorisation de lecture) sur les objets contenus dans un compartiment appelé amzn-s3-demo-bucket1. En spécifiant un rôle IAM comme Principal, cette politique accorde l’accès à tout utilisateur IAM qui endosse ce rôle. Pour utiliser cet exemple de politique, remplacez user input placeholders par vos propres informations.


{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid":"BucketLevelReadPermissions",
      "Effect":"Allow",
      "Principal": {
	    "AWS": "arn:aws:iam::123456789101:role/s3-role"
      },
      "Action":["s3:GetObject"],
      "Resource":["arn:aws:s3:::amzn-s3-demo-bucket1/*"]
    }]
  }

Note

Lors de la création de politiques, évitez d’utiliser des caractères génériques (*) dans l’élément Principal, car cela permet à quiconque d’accéder effectivement à vos ressources Amazon S3. Au lieu de cela, répertoriez explicitement les utilisateurs ou les groupes autorisés à accéder au compartiment ou répertoriez les conditions qui doivent être remplies à l’aide d’une clause de condition dans la stratégie. Au lieu d’inclure un caractère générique pour les actions de vos utilisateurs ou de vos groupes, accordez-leur des autorisations spécifiques le cas échéant.

Une politique utilisateur IAM ou basée sur l’identité est un type de politique AWS Identity and Access Management (IAM). Une politique basée sur l’identité est une politique au format JSON associée aux utilisateurs, groupes ou rôles IAM dans votre compte AWS . Vous pouvez utiliser des politiques basées sur l’identité pour accorder à une identité IAM l’accès à vos compartiments ou objets. Vous pouvez créer des utilisateurs, des groupes et des rôles IAM dans votre compte et leur attacher des stratégies d’accès. Vous pouvez ensuite accorder l’accès aux ressources AWS , notamment aux ressources Amazon S3. Pour de plus amples informations, veuillez consulter Politiques basées sur l’identité pour Amazon S3.

Un exemple de politique basée sur l’identité est présenté ci-dessous. Cet exemple de politique permet au rôle IAM qui y est associé d’exécuter six actions Amazon S3 différentes (autorisations) sur un compartiment et sur les objets qu’il contient. Si vous associez cette politique à un rôle IAM dans votre compte et que vous attribuez ce rôle à certains de vos utilisateurs IAM, les utilisateurs dotés de ce rôle pourront effectuer ces actions sur les ressources (compartiments) spécifiées dans votre politique. Pour utiliser cet exemple de politique, remplacez user input placeholders par vos propres informations.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Sid": "AssignARoleActions",
    "Effect": "Allow",
    "Action": [
	  "s3:PutObject",
	  "s3:GetObject",
	  "s3:ListBucket",
	  "s3:DeleteObject",
	  "s3:GetBucketLocation"
    ],
    "Resource": [
	  "arn:aws:s3:::amzn-s3-demo-bucket1/*",
	  "arn:aws:s3:::amzn-s3-demo-bucket1"
    ]
    },
  {
    "Sid": "AssignARoleActions2",
    "Effect": "Allow",
    "Action": "s3:ListAllMyBuckets",
    "Resource": "*"
  }
  ]
}

Utilisez S3 Access Grants pour créer des autorisations d'accès à vos données Amazon S3 pour les deux identités dans les annuaires d'identité d'entreprise, tels que Active Directory, et aux identités AWS Identity and Access Management (IAM). Les autorisations d’accès S3 vous aident à gérer les autorisations de données à l’échelle. En outre, les autorisations d’accès S3 enregistrent l’identité de l’utilisateur final et l’application utilisée pour accéder aux données S3 dans AWS CloudTrail. Cela fournit un historique d’audit détaillé remontant jusqu’à l’identité de l’utilisateur final pour tous les accès aux données de vos compartiments S3. Pour de plus amples informations, veuillez consulter Gestion de l’accès avec les autorisations d’accès S3.

Les points d’accès Amazon S3 simplifient la gestion de l’accès aux données à l’échelle pour les applications utilisant des jeux de données partagés dans S3. Les points d’accès sont appelés points de terminaison réseau. Ils sont associés à un compartiment. Vous pouvez utiliser des points d’accès pour effectuer des opérations sur des objets S3 à l’échelle, comme le chargement et l’extraction d’objets. Jusqu’à 10 000 points d’accès peuvent être associés à un compartiment. Et pour chaque point d’accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts pour vous donner un contrôle précis sur l’accès à vos objets S3. Les points d’accès S3 peuvent être associés à des compartiments du même compte ou d’un autre compte approuvé. Les stratégies de points d’accès sont basées sur les ressources. Elles sont évaluées conjointement avec la politique de compartiment sous-jacente. Pour de plus amples informations, veuillez consulter Gestion de l’accès aux jeux de données avec des points d’accès .

Une ACL est une liste de subventions identifiant le bénéficiaire et l'autorisation accordée. ACLs accorder des autorisations de lecture ou d'écriture de base à d'autres Comptes AWS. ACLs utilisez un schéma XML spécifique à Amazon S3. Une liste ACL est un type de politique AWS Identity and Access Management (IAM). Une liste ACL d’objet est utilisée pour gérer l’accès à un objet, tandis qu’une liste ACL de compartiment est utilisée pour gérer l’accès à un compartiment. Avec les politiques de compartiment, il existe une seule politique pour l'ensemble du compartiment, mais ACLs les objets sont spécifiés pour chaque objet. Nous vous recommandons de rester ACLs éteint, sauf dans des circonstances exceptionnelles où vous devez contrôler l'accès individuellement pour chaque objet. Pour plus d'informations sur l'utilisation ACLs, consultezContrôle de la propriété des objets et désactivation ACLs pour votre compartiment.

Avertissement

La majorité des cas d'utilisation modernes d'Amazon S3 ne nécessitent pas l'utilisation de ACLs.

Voici un exemple de liste ACL de compartiment. L’autorisation dans la liste ACL montre que le propriétaire du compartiment dispose d’une autorisation de contrôle total.


<?xml version="1.0" encoding="UTF-8"?>
	<AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
		<Owner>
			<ID>Owner-Canonical-User-ID</ID>
			<DisplayName>owner-display-name</DisplayName>
		</Owner>
	<AccessControlList>
		<Grant>
			<Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Canonical User">
				<ID>Owner-Canonical-User-ID</ID>
				<DisplayName>display-name</DisplayName>
			</Grantee>
			<Permission>FULL_CONTROL</Permission>
		</Grant>
	</AccessControlList>
</AccessControlPolicy>

Pour gérer l’accès à vos objets, vous devez en être le propriétaire. Utilisez le paramètre Propriétaire de l’objet au niveau du compartiment pour contrôler la propriété des objets chargés dans votre compartiment. Utilisez également la propriété des objets pour l'activer ACLs. Par défaut, Object Ownership est défini sur le paramètre imposé par le propriétaire du bucket et tous les paramètres ACLs sont désactivés. Lorsqu'ils ACLs sont désactivés, le propriétaire du compartiment possède tous les objets du compartiment et gère exclusivement l'accès aux données. Pour gérer l'accès, le propriétaire du compartiment utilise des politiques ou un autre outil de gestion des accès, à l'exception de ACLs. Pour de plus amples informations, veuillez consulter Contrôle de la propriété des objets et désactivation ACLs pour votre compartiment.

La propriété des objets comporte trois paramètres que vous pouvez utiliser à la fois pour contrôler la propriété des objets chargés dans votre bucket et pour les activer ACLs :

ACLs éteint

Appliqués par le propriétaire du compartiment (par défaut) : ACLs sont désactivés, et le propriétaire du compartiment possède automatiquement tous les objets du compartiment et en a le contrôle total. ACLs n'affectent pas les autorisations relatives aux données du compartiment S3. Le compartiment utilise des stratégies exclusivement pour définir le contrôle des accès.

ACLs activé

Bucket owner preferred (Préféré par le propriétaire du compartiment) – Le propriétaire du compartiment possède les nouveaux objets que d’autres comptes écrivent dans le compartiment avec la liste ACL bucket-owner-full-control prête à l’emploi, et en a le contrôle total.
Auteur d'objets : celui Compte AWS qui télécharge un objet est propriétaire de l'objet, en a le contrôle total et peut autoriser d'autres utilisateurs à y accéder par le biais ACLs de celui-ci.

Bonnes pratiques supplémentaires

Envisagez d’utiliser les outils de compartiment suivants pour protéger les données en transit et au repos, qui sont toutes essentielles pour préserver l’intégrité et l’accessibilité de vos données.

Bloquer l’accès public : ne désactivez pas le paramètre par défaut Bloquer l’accès public au niveau du compartiment. Ce paramètre bloque par défaut l’accès public à vos données. Pour en savoir plus sur le blocage de l’accès public, consultez Blocage de l’accès public à votre stockage Amazon S3.
Gestion des versions S3 : pour garantir l’intégrité des données, vous pouvez implémenter le paramètre de gestion des versions du compartiment S3, qui attribue des versions à vos objets au fur et à mesure des mises à jour, au lieu de les remplacer. Vous pouvez utiliser la gestion des versions S3 pour préserver, récupérer et restaurer une version précédente, si nécessaire. Pour en savoir plus sur la gestion des versions S3, consultez Conservation de plusieurs versions d’objets grâce à la gestion des versions S3.
Verrouillage d’objet S3 : le verrouillage d’objet S3 est un autre paramètre que vous pouvez implémenter pour assurer l’intégrité des données. Cette fonctionnalité peut implémenter un modèle write-once-read-many (WORM) pour stocker des objets de manière immuable. Pour en savoir plus sur le verrouillage d’objet, consultez Verrouillage d’objets avec la fonctionnalité de verrouillage d’objet.
Chiffrement des objets : Amazon S3 offre plusieurs options de chiffrement d’objet qui protègent les données en transit et au repos. Le chiffrement côté serveur chiffre vos objets avant de les enregistrer sur les disques des centres de données, puis les déchiffre lorsque vous téléchargez les objets. Si vous authentifiez votre demande et que vous avez les autorisations d’accès requises, il n’y a aucune différence dans la manière dont vous accédez aux objets chiffrés ou déchiffrés. Pour de plus amples informations, veuillez consulter Protection des données avec le chiffrement côté serveur. S3 chiffre les objets récemment chargés par défaut. Pour de plus amples informations, veuillez consulter Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3. Le chiffrement côté client consiste à chiffrer des données avant de les envoyer à Amazon S3. Pour de plus amples informations, veuillez consulter Protection des données avec le chiffrement côté client.
Méthodes de signature — Signature Version 4 est le processus d'ajout d'informations d'authentification aux AWS demandes envoyées par HTTP. Pour des raisons de sécurité, la plupart des demandes AWS doivent être signées avec une clé d'accès, qui consiste en un identifiant de clé d'accès et une clé d'accès secrète. Ces deux clés sont généralement appelées informations d’identification de sécurité. Pour plus d'informations, consultez les sections Authentification des demandes (AWS Signature version 4) et Processus de signature Signature version 4.

Actions

Pour obtenir la liste complète des autorisations et des clés de condition S3, consultez Actions, ressources et clés de condition pour Amazon S3 dans la Référence de l’autorisation de service.

Pour plus d’informations sur les autorisations relatives aux opérations d’API S3 par type de ressource S3, consultez Autorisations requises pour les opérations d’API Amazon S3.

Actions

Les actions AWS Identity and Access Management (IAM) pour Amazon S3 sont les actions possibles qui peuvent être effectuées sur un compartiment ou un objet S3. Vous accordez ces actions aux identités afin qu’elles puissent agir sur vos ressources S3. Parmi les exemples d’actions S3, citons s3:GetObject qui permet de lire des objets dans un compartiment et s3:PutObject qui permet d’écrire des objets dans un compartiment.

Clés de condition

Outre les actions, les clés de condition IAM n’accordent l’accès que lorsqu’une condition est remplie. Les clés de condition sont facultatives.

Note

Dans une stratégie d’accès basée sur les ressources, telle qu’une politique de compartiment, ou dans une politique basée sur l’identité, vous pouvez spécifier les éléments suivants :

Une action ou un ensemble d’actions figurant dans l’élément Action de la déclaration de politique.
Dans l’élément Effectde la déclaration de politique, vous pouvez spécifier Allow pour autoriser les actions répertoriées, ou Deny pour bloquer les actions indiquées. Pour assurer la pratique du moindre privilège, les instructions Deny dans l’élément Effect de la stratégie d’accès doivent être aussi larges que possible alors que les instructions Allow doivent être aussi restreintes que possible. Les effets des instructions Deny associés à l’action s3:* sont un autre bon moyen de mettre en œuvre des bonnes pratiques d’activation pour les identités incluses dans des déclarations de condition de politique.
Une clé de condition dans l’élément Condition d’une déclaration de politique.

Cas d’utilisation de la gestion des accès

Amazon S3 fournit aux propriétaires de ressources une variété d’outils pour accorder l’accès. L’outil de gestion des accès S3 que vous utilisez dépend des ressources S3 que vous souhaitez partager, des identités auxquelles vous accordez l’accès et des actions que vous souhaitez autoriser ou refuser. Vous pouvez utiliser un ou plusieurs outils de gestion d’accès S3 pour gérer l’accès à vos ressources S3.

Dans la plupart des cas, vous pouvez utiliser une stratégie d’accès pour gérer les autorisations. Une politique d’accès peut être une politique basée sur les ressources, qui est attachée à une ressource telle qu’un compartiment ou à une autre ressource Amazon S3 (Ressources S3). Une politique d'accès peut également être une politique basée sur l'identité, attachée à un utilisateur, un groupe ou un rôle AWS Identity and Access Management (IAM) dans votre compte. Vous constaterez peut-être qu’une politique de compartiment convient mieux à votre cas d’utilisation. Pour de plus amples informations, veuillez consulter Politiques de compartiment pour Amazon S3. Par ailleurs, avec AWS Identity and Access Management (IAM), vous pouvez créer des utilisateurs, des groupes et des rôles IAM au sein de votre entreprise et gérer leur accès aux compartiments Compte AWS et aux objets par le biais de politiques basées sur l'identité. Pour de plus amples informations, veuillez consulter Politiques basées sur l’identité pour Amazon S3.

Pour vous aider à utiliser ces options de gestion des accès, vous trouverez ci-dessous des cas d’utilisation courants de clients Amazon S3 et des recommandations pour chacun des outils de gestion des accès S3.

Tous les outils de gestion des accès peuvent répondre à ce cas d’utilisation de base. Nous recommandons les outils suivants de gestion des accès pour ce cas d’utilisation :

Politique de compartiment : si vous souhaitez accorder l’accès à un compartiment ou à un petit nombre de compartiments, ou si vos autorisations d’accès aux compartiments sont similaires d’un compartiment à l’autre, utilisez une politique de compartiment. Avec les politiques de compartiment, vous gérez une seule politique pour chaque compartiment. Pour de plus amples informations, veuillez consulter Politiques de compartiment pour Amazon S3.
Politique basée sur l’identité : si vous avez un très grand nombre de compartiments dotés d’autorisations d’accès différentes pour chaque compartiment et que vous ne devez gérer que quelques rôles utilisateur, vous pouvez utiliser une politique IAM pour les utilisateurs, les groupes ou les rôles. Les politiques IAM sont également une bonne option si vous gérez l'accès des utilisateurs à d'autres AWS ressources, ainsi qu'aux ressources Amazon S3. Pour de plus amples informations, veuillez consulter Exemple 1 : propriétaire d’un compartiment accordant à ses utilisateurs des autorisations sur un compartiment.
Autorisations d’accès S3 : vous pouvez utiliser les autorisations d’accès S3 pour accorder l’accès à vos compartiments, préfixes ou objets S3. Les autorisations d’accès S3 vous permettent de spécifier différentes autorisations au niveau des objets à l’échelle, tandis que les politiques de compartiment sont limitées à une taille de 20 Ko. Pour de plus amples informations, veuillez consulter Bien démarrer avec les autorisations d’accès S3.
Points d’accès : vous pouvez utiliser des points d’accès, qui sont des points de terminaison réseau associés à un compartiment. Jusqu’à 10 000 points d’accès peuvent être associés à un compartiment. Et pour chaque point d’accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts pour vous donner un contrôle précis sur l’accès à vos objets S3. Pour de plus amples informations, veuillez consulter Gestion de l’accès aux jeux de données avec des points d’accès .

Pour accorder une autorisation à une autre personne Compte AWS, vous devez utiliser une politique de compartiment ou l'un des outils de gestion des accès recommandés ci-dessous. Vous ne pouvez pas utiliser de stratégie d’accès basée sur l’identité pour ce cas d’utilisation. Pour plus d’informations sur l’octroi d’un accès intercompte, consultez Comment puis-je fournir un accès intercompte aux objets stockés dans des compartiments Simple Storage Service (Amazon S3) ?.

Nous recommandons les outils suivants de gestion des accès pour ce cas d’utilisation :

Politique de compartiment : avec les politiques de compartiment, vous gérez une politique pour chaque compartiment. Pour de plus amples informations, veuillez consulter Politiques de compartiment pour Amazon S3.
Autorisations d’accès S3 : vous pouvez utiliser les autorisations d’accès S3 pour accorder des autorisations intercomptes à vos compartiments, préfixes ou objets S3. Vous pouvez utiliser les autorisations d’accès S3 pour spécifier différentes autorisations au niveau des objets à l’échelle, tandis que les politiques de compartiment sont limitées à une taille de 20 Ko. Pour de plus amples informations, veuillez consulter Bien démarrer avec les autorisations d’accès S3.
Points d’accès : vous pouvez utiliser des points d’accès, qui sont des points de terminaison réseau associés à un compartiment. Jusqu’à 10 000 points d’accès peuvent être associés à un compartiment. Et pour chaque point d’accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts pour vous donner un contrôle précis sur l’accès à vos objets S3. Pour de plus amples informations, veuillez consulter Gestion de l’accès aux jeux de données avec des points d’accès .

Dans une politique de compartiment, par exemple, vous pouvez accorder l’accès aux objets d’un compartiment qui partagent un préfixe de nom de clé spécifique ou qui possèdent une balise spécifique. Vous pouvez octroyer des autorisations en lecture sur les objets portant le préfixe de nom de clé logs/. Néanmoins, si vos autorisations d’accès varient par objet, l’octroi d’autorisations à des objets individuels à l’aide d’une politique de compartiment peut s’avérer peu pratique, d’autant plus que les politiques de compartiment sont limitées à une taille de 20 Ko.

Nous recommandons les outils suivants de gestion des accès pour ce cas d’utilisation :

Autorisations d’accès S3 : vous pouvez utiliser les autorisations d’accès S3 pour gérer les autorisations au niveau de l’objet ou du préfixe. Contrairement aux politiques de compartiment, les autorisations d’accès S3 vous permettent de spécifier différentes autorisations au niveau des objets à l’échelle. Les politiques de compartiment sont limitées à une taille de 20 Ko. Pour de plus amples informations, veuillez consulter Bien démarrer avec les autorisations d’accès S3.
Points d’accès : vous pouvez utiliser des points d’accès pour gérer les autorisations au niveau des objets ou des préfixes. Les points d’accès sont appelés points de terminaison réseau. Ils sont associés à un compartiment. Jusqu’à 10 000 points d’accès peuvent être associés à un compartiment. Et pour chaque point d’accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts pour vous donner un contrôle précis sur l’accès à vos objets S3. Pour de plus amples informations, veuillez consulter Gestion de l’accès aux jeux de données avec des points d’accès .
ACLs— Nous vous déconseillons d'utiliser les listes de contrôle d'accès (ACLs), notamment parce qu' ACLs elles sont limitées à 100 autorisations par objet. Toutefois, si vous choisissez de l'activer ACLs, dans les paramètres de votre bucket, définissez Object Ownership sur Bucket owner preferred and ACLsenabled. Avec ce paramètre, de nouveaux objets écrits avec la liste ACL bucket-owner-full-control prédéfinie sont automatiquement détenus par le propriétaire du compartiment plutôt que par l’auteur d’objets. Vous pouvez ensuite utiliser un objet ACLs, qui est une politique d'accès au format XML, pour autoriser d'autres utilisateurs à accéder à l'objet. Pour de plus amples informations, veuillez consulter Présentation de la liste de contrôle d’accès (ACL).

Nous recommandons les outils suivants de gestion des accès pour ce cas d’utilisation :

Politique de compartiment : avec les politiques de compartiment, vous gérez une politique pour chaque compartiment. Pour de plus amples informations, veuillez consulter Politiques de compartiment pour Amazon S3.
Points d’accès : les points d’accès sont appelés points de terminaison réseau. Ils sont associés à un compartiment. Jusqu’à 10 000 points d’accès peuvent être associés à un compartiment. Et pour chaque point d’accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts pour vous donner un contrôle précis sur l’accès à vos objets S3. Pour de plus amples informations, veuillez consulter Gestion de l’accès aux jeux de données avec des points d’accès .

Nous recommandons l’outil suivant de gestion des accès pour ce cas d’utilisation :

Points d’accès : les points d’accès sont appelés points de terminaison réseau. Ils sont associés à un compartiment. Jusqu’à 10 000 points d’accès peuvent être associés à un compartiment. Et pour chaque point d’accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts pour vous donner un contrôle précis sur l’accès à vos objets S3. Chaque point d’accès applique une stratégie de point d’accès personnalisée qui fonctionne conjointement avec la politique de compartiment associée au compartiment sous-jacent. Pour de plus amples informations, veuillez consulter Gestion de l’accès aux jeux de données avec des points d’accès .

Les points de terminaison de cloud privé virtuel (VPC) pour Amazon S3 sont des entités logiques au sein d’un VPC. qui autorisent la connectivité uniquement à S3. Nous recommandons les outils suivants de gestion des accès pour ce cas d’utilisation :

Compartiments dans un VPC : vous pouvez utiliser une politique de compartiment pour contrôler qui est autorisé à accéder à vos compartiments et à quels points de terminaison de VPC ils peuvent accéder. Pour de plus amples informations, veuillez consulter Contrôle de l’accès à partir des points de terminaison d’un VPC avec des stratégies de compartiment.
Points d’accès : si vous choisissez de configurer des points d’accès, vous pouvez utiliser une politique de point d’accès. Vous pouvez configurer n’importe quel point d’accès pour accepter uniquement les demandes provenant d’un cloud privé virtuel (VPC) afin de restreindre l’accès aux données Amazon S3 à un réseau privé. Vous pouvez également configurer des paramètres de blocage de l’accès public personnalisés pour chaque point d’accès. Pour de plus amples informations, veuillez consulter Gestion de l’accès aux jeux de données avec des points d’accès .

Avec S3, vous pouvez héberger un site web statique et autoriser tout le monde à consulter le contenu du site web, qui est hébergé à partir d’un compartiment S3.

Nous recommandons les outils suivants de gestion des accès pour ce cas d’utilisation :

Amazon CloudFront — Cette solution vous permet d'héberger un site Web statique Amazon S3 accessible au public tout en continuant à bloquer tout accès public au contenu d'un compartiment. Si vous souhaitez conserver les quatre paramètres S3 Block Public Access activés et héberger un site Web statique S3, vous pouvez utiliser le contrôle CloudFront d'accès d'origine (OAC) d'Amazon. Amazon CloudFront fournit les fonctionnalités requises pour configurer un site Web statique sécurisé. De plus, les sites Web statiques Amazon S3 qui n'utilisent pas cette solution ne peuvent prendre en charge que les points de terminaison HTTP. CloudFront utilise le stockage durable d'Amazon S3 tout en fournissant des en-têtes de sécurité supplémentaires, tels que HTTPS. HTTPS accroît la sécurité en chiffrant une demande HTTP normale et en offrant une protection contre les cyberattaques courantes.

Pour plus d'informations, consultez Getting started with a secure static website in the Amazon CloudFront Developer Guide.
Rendre votre compartiment Amazon S3 accessible publiquement : vous pouvez configurer un compartiment pour qu’il soit utilisé comme site web statique accessible publiquement.

Avertissement
Cette méthode est déconseillée. Nous vous recommandons plutôt d'utiliser les sites Web statiques Amazon S3 dans le cadre d'Amazon CloudFront. Pour plus d’informations, consultez l’option précédente ou la section Démarrer avec un site web statique sécurisé.

Pour créer un site Web statique Amazon S3, sans Amazon CloudFront, vous devez d'abord désactiver tous les paramètres de blocage de l'accès public. Lorsque vous rédigez la politique de compartiment pour votre site Web statique, veillez à autoriser uniquement des actions s3:GetObject, et non pas des autorisations ListObject ni PutObject. Cela permet de s’assurer que les utilisateurs ne peuvent pas voir tous les objets de votre compartiment ni ajouter leur propre contenu. Pour de plus amples informations, veuillez consulter Définition des autorisations pour l’accès au site web.

Lors de la création d’un compartiment Amazon S3, le paramètre Bloquer l’accès public est activé par défaut. Pour en savoir plus sur le blocage de l’accès public, consultez Blocage de l’accès public à votre stockage Amazon S3.

Nous vous déconseillons d’autoriser l’accès public à votre compartiment. Toutefois, si vous devez l’autoriser pour un cas d’utilisation particulier, nous vous recommandons l’outil de gestion des accès suivant pour ce cas d’utilisation :

Désactiver le paramètre Bloquer l’accès public : le propriétaire d’un compartiment peut autoriser les demandes non authentifiées adressées au compartiment. Par exemple, les demandes PUT Object non authentifiées sont permises lorsqu’un compartiment dispose d’une politique de compartiment publique ou lorsqu’une liste ACL de compartiment autorise l’accès public. Toutes les demandes non authentifiées sont faites par d'autres AWS utilisateurs arbitraires, ou même par des utilisateurs anonymes non authentifiés. Cet utilisateur est représenté ACLs par l'ID 65a011a29cdf8ec533ec3d1ccaae921c utilisateur canonique spécifique. Si un objet est chargé vers WRITE ou FULL_CONTROL, l’accès est uniquement accordé au groupe Tous les utilisateurs ou à l’utilisateur anonyme. Pour plus d'informations sur les politiques relatives aux compartiments publics et les listes de contrôle d'accès public (ACLs), consultezLa signification du mot « public ».

Les politiques de compartiment et les politiques basées sur l’identité ont une limite de taille de 20 Ko. Si vos exigences en matière d’autorisation d’accès sont complexes, vous risquez de dépasser cette limite.

Nous recommandons les outils de gestion des accès suivants pour ce cas d’utilisation :

Points d’accès : utilisez des points d’accès si cela convient à votre cas d’utilisation. En ce qui concerne les points d’accès, chaque compartiment possède plusieurs points de terminaison réseau nommés, chacun ayant sa propre stratégie de point d’accès qui fonctionne avec la politique de compartiment sous-jacente. Toutefois, les points d’accès ne peuvent agir que sur des objets, et non sur des compartiments, et ne prennent pas en charge la réplication entre régions. Pour de plus amples informations, veuillez consulter Gestion de l’accès aux jeux de données avec des points d’accès .
Autorisations d’accès S3 : utilisez les autorisations d’accès S3, qui prennent en charge un très grand nombre d’autorisations donnant accès à des compartiments, à des préfixes ou à des objets. Pour de plus amples informations, veuillez consulter Bien démarrer avec les autorisations d’accès S3.

Au lieu de gérer les utilisateurs, les groupes et les rôles via AWS Identity and Access Management (IAM), vous pouvez y ajouter votre annuaire d' AWS IAM Identity Center entreprise. Pour plus d’informations, consultez En quoi consiste IAM Identity Center ?.

Après avoir ajouté votre annuaire d'entreprise à AWS IAM Identity Center, nous vous recommandons d'utiliser l'outil de gestion des accès suivant pour accorder aux identités de l'annuaire d'entreprise l'accès à vos ressources S3 :

Autorisations d’accès S3 : utilisez les autorisations d’accès S3, qui permettent d’accorder l’accès à des utilisateurs ou à des rôles issus de votre annuaire d’entreprise. Pour de plus amples informations, veuillez consulter Bien démarrer avec les autorisations d’accès S3.

Nous recommandons l’outil de gestion des accès suivant pour ce cas d’utilisation :

ACL du bucket — Le seul cas d'utilisation recommandé pour le bucket ACLs est d'accorder des autorisations à certains Services AWS, tels que le CloudFront awslogsdelivery compte Amazon. Lorsque vous créez ou mettez à jour une distribution et que vous activez la CloudFront journalisation, CloudFront met à jour l'ACL du bucket pour awslogsdelivery autoriser FULL_CONTROL le compte à écrire des journaux dans votre bucket. Pour plus d'informations, consultez la section Autorisations requises pour configurer la journalisation standard et pour accéder à vos fichiers journaux dans le manuel Amazon CloudFront Developer Guide. Si le compartiment qui stocke les journaux utilise le paramètre imposé par le propriétaire du compartiment pour désactiver la propriété des objets S3 ACLs, il CloudFront ne peut pas écrire de journaux dans le compartiment. Pour de plus amples informations, veuillez consulter Contrôle de la propriété des objets et désactivation ACLs pour votre compartiment.

Vous pouvez autoriser d’autres comptes à charger des objets dans votre compartiment en utilisant une politique de compartiment, un point d’accès ou des autorisations d’accès S3. Si vous avez accordé un accès intercompte à votre compartiment, vous pouvez vous assurer que tous les objets chargés dans votre compartiment restent sous votre contrôle total.

Nous recommandons l’outil de gestion des accès suivant pour ce cas d’utilisation :

Propriété d’objets : conservez le paramètre Propriété d’objets au niveau du compartiment sur le paramètre par défaut Propriétaire du compartiment appliqué.

Résolution des problèmes de gestion d’accès

Les ressources suivantes peuvent vous aider à résoudre les problèmes de gestion d’accès S3 :

Résolution des erreurs d’accès refusé (403 Forbidden)

Si vous rencontrez des problèmes de refus d’accès, vérifiez les paramètres au niveau du compte et au niveau du compartiment. Vérifiez également la fonctionnalité de gestion des accès que vous utilisez pour accorder l’accès afin de vous assurer que la politique, le paramètre ou la configuration sont corrects. Pour plus d’informations sur les causes courantes des erreurs d’accès refusé (403 Forbidden) dans Amazon S3, consultez Résoudre les problèmes d'accès refusé (403 Forbidden) erreurs dans Amazon S3.

Analyseur d’accès IAM pour S3

Si vous ne souhaitez rendre aucune de vos ressources accessible au public, ou si vous souhaitez limiter l’accès public à vos ressources, vous pouvez utiliser l’analyseur d’accès IAM pour S3. Sur la console Amazon S3, utilisez IAM Access Analyzer for S3 pour examiner tous les compartiments dotés de listes de contrôle d'accès aux compartiments (ACLs), de politiques de compartiment ou de politiques de point d'accès accordant un accès public ou partagé. IAM Access Analyzer for S3 vous avertit de la présence de compartiments configurés pour autoriser l'accès à toute personne sur Internet ou autre Comptes AWS, y compris Comptes AWS en dehors de votre organisation. Pour chaque compartiment public ou partagé, vous recevez des résultats qui signalent la source et le niveau d’accès public ou partagé.

Dans l’analyseur d’accès IAM pour S3, vous pouvez bloquer tout accès public à un compartiment en une seule action. Nous vous recommandons de bloquer tout accès public à vos compartiments, sauf si vous avez besoin d’un accès public pour répondre à un cas d’utilisation spécifique. Avant de bloquer tout accès public, assurez-vous que vos applications continueront à fonctionner correctement sans cet accès. Pour de plus amples informations, veuillez consulter Blocage de l’accès public à votre stockage Amazon S3.

Vous pouvez également passer en revue les paramètres d’autorisation au niveau des compartiments afin de configurer des niveaux détaillés d’accès. Pour les cas d’utilisation spécifiques et vérifiés nécessitant un accès public ou partagé, vous pouvez confirmer et enregistrer votre intention de maintenir le niveau d’accès public ou partagé en archivant les résultats pour le compartiment. Vous pouvez revisiter et modifier ces configurations de compartiments à tout moment. Vous pouvez également télécharger vos résultats sous forme de rapport CSV à des fins d’audit.

L’analyseur d’accès IAM pour S3 est disponible gratuitement sur la console Amazon S3. L’analyseur d’accès IAM pour S3 est optimisé par l’analyseur d’accès IAM d’ AWS Identity and Access Management (IAM). Pour utiliser l’analyseur d’accès IAM pour S3 dans la console Amazon S3, vous devez accéder à la console IAM et créer un analyseur au niveau du compte dans l’analyseur d’accès IAM pour chaque région.

Pour plus d’informations sur l’analyseur d’accès IAM pour S3, consultez Examen de l’accès aux compartiments à l’aide de l’analyseur d’accès IAM pour S3.

Journalisation et surveillance

La surveillance est un élément clé pour assurer la fiabilité, la disponibilité et les performances de vos solutions Amazon S3 pour vous permettre de déboguer plus facilement un échec d’accès. La journalisation peut fournir un aperçu des erreurs reçues par les utilisateurs, ainsi que du moment et des demandes qui leur sont adressées. AWS fournit plusieurs outils pour surveiller vos ressources Amazon S3, tels que les suivants :

AWS CloudTrail
Journaux d’accès Amazon S3
AWS Trusted Advisor
Amazon CloudWatch

Pour de plus amples informations, veuillez consulter Journalisation et surveillance dans Amazon S3.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

CloudTrail exemples de journaux

Identity and Access Management (IAM)