Contrôle d'accès dans Amazon S3 - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôle d'accès dans Amazon S3

Dans AWS, une ressource est une entité avec laquelle vous pouvez travailler. Dans Amazon Simple Storage Service (S3), les compartiments et les objets sont les ressources Amazon S3 d'origine. Chaque client S3 possède probablement des compartiments contenant des objets. Au fur et à mesure que de nouvelles fonctionnalités ont été ajoutées à S3, des ressources supplémentaires ont également été ajoutées, mais tous les clients n'utilisent pas ces ressources spécifiques aux fonctionnalités. Pour plus d'informations sur les ressources Amazon S3, consultezRessources S3.

Par défaut, toutes les ressources Amazon S3 sont privées. Par défaut également, l'utilisateur root du compte Compte AWS qui a créé la ressource (propriétaire de la ressource) et IAM les utilisateurs de ce compte disposant des autorisations nécessaires peuvent accéder à une ressource qu'ils ont créée. Le propriétaire de la ressource décide qui d'autre peut accéder à la ressource et les actions que les autres sont autorisés à effectuer sur la ressource. S3 dispose de divers outils de gestion des accès que vous pouvez utiliser pour accorder à d'autres personnes l'accès à vos ressources S3.

Les sections suivantes présentent un aperçu des ressources S3, des outils de gestion des accès S3 disponibles et des meilleurs cas d'utilisation pour chaque outil de gestion des accès. Les listes de ces sections visent à être exhaustives et incluent toutes les ressources S3, les outils de gestion des accès et les cas d'utilisation courants de la gestion des accès. Dans le même temps, ces sections sont conçues pour être des répertoires qui vous mènent aux détails techniques que vous souhaitez. Si vous comprenez bien certains des sujets suivants, vous pouvez passer directement à la section qui vous concerne.

Pour plus d'informations sur les autorisations relatives aux API opérations S3 par type de ressource S3, consultezAutorisations requises pour les API opérations Amazon S3.

Rubriques

Ressources S3

Les ressources Amazon S3 d'origine sont les compartiments et les objets qu'ils contiennent. Au fur et à mesure que de nouvelles fonctionnalités sont ajoutées à S3, de nouvelles ressources sont également ajoutées. Vous trouverez ci-dessous une liste complète des ressources S3 et de leurs fonctionnalités respectives.

Type de ressource Fonctionnalité Amazon S3 Description

bucket

Fonctions de base

Un compartiment est un conteneur d'objets. Pour stocker un objet dans S3, créez un compartiment, puis chargez un ou plusieurs objets dans le compartiment. Pour de plus amples informations, veuillez consulter Création, configuration et utilisation des compartiments Amazon S3.

object

Un objet peut être un fichier et toutes les métadonnées décrivant ce fichier. Lorsqu'un objet se trouve dans le compartiment, vous pouvez l'ouvrir, le télécharger et le déplacer. Pour de plus amples informations, veuillez consulter Utilisation d'objets dans Amazon S3.

accesspoint

Points d'accès

Les points d'accès sont appelés points de terminaison réseau attachés à des compartiments que vous pouvez utiliser pour effectuer des opérations sur des objets Amazon S3, telles que GetObject et. PutObject Chaque point d'accès dispose d'autorisations, de contrôles réseau distincts et d'une politique de point d'accès personnalisée qui fonctionne conjointement avec la politique de compartiment attachée au compartiment sous-jacent. Vous pouvez configurer n'importe quel point d'accès pour accepter uniquement les demandes provenant d'un cloud privé virtuel (VPC) ou configurer des paramètres personnalisés de blocage de l'accès public pour chaque point d'accès. Pour de plus amples informations, veuillez consulter Gestion de l'accès aux ensembles de données partagés à l'aide de points d'accès.

objectlambdaaccesspoint

Un point d'accès Object Lambda est un point d'accès pour un bucket qui est également associé à une fonction Lambda. Avec Object Lambda Access Point, vous pouvez ajouter votre propre code à Amazon S3 et GET demander LIST à modifier et HEAD à traiter les données lorsqu'elles sont renvoyées à une application. Pour de plus amples informations, veuillez consulter Création de points d'accès Object Lambda.

multiregionaccesspoint

Les points d'accès multirégionaux fournissent un point de terminaison global que les applications peuvent utiliser pour traiter les demandes provenant de compartiments Amazon S3 situés dans plusieurs AWS régions. Vous pouvez utiliser des points d'accès multi-régions pour créer des applications multi-régions avec la même architecture utilisée dans une seule région, puis exécuter ces applications partout dans le monde. Au lieu d'envoyer des demandes via l'Internet public congestionné, les demandes d'application adressées à un point d'accès global multirégional sont automatiquement acheminées via le réseau AWS mondial vers le compartiment Amazon S3 le plus proche. Pour de plus amples informations, veuillez consulter Gestion du trafic multirégional avec des points d'accès multirégionaux.

job

Opérations par lot S3

Une tâche est une ressource de la fonctionnalité S3 Batch Operations. Vous pouvez utiliser S3 Batch Operations pour effectuer des opérations par lots à grande échelle sur des listes d'objets Amazon S3 que vous spécifiez. Amazon S3 suit la progression de la tâche d'opération par lots, envoie des notifications et stocke un rapport d'achèvement détaillé de toutes les actions, vous offrant ainsi une expérience entièrement gérée, auditable et sans serveur. Pour de plus amples informations, veuillez consulter Exécution d'opérations sur des objets en masse avec Batch Operations.

storagelensconfiguration

S3 Storage Lens

Une configuration S3 Storage Lens collecte des métriques de stockage à l'échelle de l'organisation et des données utilisateur sur tous les comptes. S3 Storage Lens fournit aux administrateurs une vue unique de l'utilisation et de l'activité du stockage d'objets sur des centaines, voire des milliers de comptes au sein d'une organisation, avec des informations détaillées permettant de générer des informations à plusieurs niveaux d'agrégation. Pour de plus amples informations, veuillez consulter Évaluer l'activité et l'utilisation de votre stockage avec Amazon S3 Storage Lens.

storagelensgroup

Un groupe S3 Storage Lens agrège les métriques à l'aide de filtres personnalisés basés sur les métadonnées des objets. Les groupes S3 Storage Lens vous aident à étudier les caractéristiques de vos données, telles que la répartition des objets par âge, les types de fichiers les plus courants, etc. Pour de plus amples informations, veuillez consulter Utilisation de groupes S3 Storage Lens pour filtrer et agréger les métriques.

accessgrantsinstance

Octrois d’accès S3

Une instance S3 Access Grants est un conteneur pour les autorisations S3 que vous créez. Avec S3 Access Grants, vous pouvez créer des autorisations pour vos données Amazon S3 pour des IAM identités au sein de votre compte, IAM des identités sur d'autres comptes (comptes intercomptes) et des identités de répertoire ajoutées à AWS IAM Identity Center partir de votre annuaire d'entreprise. Pour plus d'informations sur les subventions d'accès S3, consultezGestion de l’accès avec les octrois d’accès S3.

accessgrantslocation

Un emplacement d'autorisations d'accès est un compartiment, un préfixe dans un compartiment ou un objet que vous enregistrez dans votre instance S3 Access Grants. Vous devez enregistrer des emplacements au sein de l'instance S3 Access Grants avant de pouvoir créer une autorisation pour cet emplacement. Ensuite, avec S3 Access Grants, vous pouvez accorder l'accès au compartiment, au préfixe ou à l'objet pour les IAM identités de votre compte, les IAM identités d'autres comptes (comptes multiples) et les identités de répertoire ajoutées à AWS IAM Identity Center partir de votre annuaire d'entreprise. Pour plus d'informations sur les subventions d'accès S3, voir Gestion de l’accès avec les octrois d’accès S3

accessgrant

Une autorisation d'accès est une autorisation individuelle accordée à vos données Amazon S3. Avec S3 Access Grants, vous pouvez créer des autorisations pour vos données Amazon S3 pour des IAM identités au sein de votre compte, IAM des identités sur d'autres comptes (comptes intercomptes) et des identités de répertoire ajoutées à AWS IAM Identity Center partir de votre annuaire d'entreprise. Pour plus d'informations sur les subventions d'accès S3, voir Gestion de l’accès avec les octrois d’accès S3

Compartiments

Il existe deux types de compartiments Amazon S3 : les compartiments à usage général et les compartiments de répertoire.

Catégorisation des ressources S3

Amazon S3 fournit des fonctionnalités permettant de classer et d'organiser vos ressources S3. La catégorisation de vos ressources est non seulement utile pour les organiser, mais vous pouvez également définir des règles de gestion des accès en fonction des catégories de ressources. En particulier, les préfixes et le balisage sont deux fonctionnalités d'organisation du stockage que vous pouvez utiliser lors de la définition des autorisations de gestion des accès.

Note

Les informations suivantes s'appliquent aux seaux à usage général. Les compartiments de répertoire ne prennent pas en charge le balisage et leur nombre de préfixes est limité. Pour de plus amples informations, veuillez consulter Autoriser un point de terminaison APIs régional avec IAM.

  • Préfixes : dans Amazon S3, un préfixe est une chaîne de caractères située au début du nom d'une clé d'objet utilisée pour organiser les objets stockés dans vos compartiments S3. Vous pouvez utiliser un caractère séparateur, tel qu'une barre oblique (/), pour indiquer la fin du préfixe dans le nom de la clé de l'objet. Par exemple, vous pouvez avoir des noms de clé d'objet qui commencent par le engineering/ préfixe ou des noms de clé d'objet qui commencent par le marketing/campaigns/ préfixe. L'utilisation d'un délimiteur à la fin de votre préfixe, tel qu'une barre oblique, / émule les conventions de dénomination des dossiers et des fichiers. Cependant, dans S3, le préfixe fait partie du nom de la clé de l'objet. Dans les compartiments S3 à usage général, il n'existe pas de hiérarchie de dossiers réelle.

    Amazon S3 permet d'organiser et de regrouper des objets à l'aide de leurs préfixes. Vous pouvez également gérer l'accès aux objets à l'aide de leurs préfixes. Par exemple, vous pouvez limiter l'accès aux seuls objets dont le nom commence par un préfixe spécifique.

    Pour de plus amples informations, veuillez consulter Organisation des objets à l'aide de préfixes. La console S3 utilise le concept de dossiers, qui, dans les compartiments à usage général, sont essentiellement des préfixes ajoutés au nom de la clé de l'objet. Pour de plus amples informations, veuillez consulter Organisation des objets dans la console Amazon S3 à l'aide de dossiers.

  • Balises : chaque balise est une paire clé-valeur que vous attribuez aux ressources. Par exemple, vous pouvez étiqueter certaines ressources à l'aide de cette balisetopicCategory=engineering. Vous pouvez utiliser le balisage pour faciliter la répartition des coûts, la catégorisation et l'organisation, ainsi que le contrôle d'accès. Le marquage des compartiments est uniquement utilisé pour la répartition des coûts. Vous pouvez étiqueter des objets, des objectifs de stockage S3, des tâches et des autorisations d'accès S3 à des fins d'organisation ou de contrôle d'accès. Dans S3 Access Grants, vous pouvez également utiliser le balisage pour la répartition des coûts. À titre d'exemple de contrôle de l'accès aux ressources à l'aide de leurs balises, vous pouvez partager uniquement les objets dotés d'une balise spécifique ou d'une combinaison de balises.

    Pour plus d'informations, consultez la section Contrôle de l'accès aux AWS ressources à l'aide de balises de ressources dans le Guide de IAM l'utilisateur.

Identités

Dans Amazon S3, le propriétaire de la ressource est l'identité qui a créé la ressource, telle qu'un bucket ou un objet. Par défaut, seul l'utilisateur root du compte qui a créé la ressource et les IAM identités du compte disposant de l'autorisation requise peuvent accéder à la ressource S3. Les propriétaires de ressources peuvent autoriser d'autres identités à accéder à leurs ressources S3.

Les identités qui ne sont pas propriétaires d'une ressource peuvent demander l'accès à cette ressource. Les demandes adressées à une ressource sont soit authentifiées, soit non authentifiées. Les demandes authentifiées doivent inclure une valeur de signature qui authentifie l'expéditeur de la demande, mais les demandes non authentifiées ne nécessitent pas de signature. Nous vous recommandons de n'accorder l'accès qu'aux utilisateurs authentifiés. Pour plus d'informations sur l'authentification des demandes, consultez la section Faire des demandes dans le manuel Amazon S3 API Reference.

Important

Nous vous recommandons de ne pas utiliser les informations d'identification de l'utilisateur Compte AWS root pour effectuer des demandes authentifiées. Créez plutôt un IAM rôle et accordez-lui un accès complet. Nous appelons les utilisateurs possédant ce rôle des administrateurs. Vous pouvez utiliser les informations d'identification attribuées au rôle d'administrateur, au lieu des informations d'identification de l'utilisateur Compte AWS root, pour interagir avec AWS et effectuer des tâches, telles que créer un bucket, créer des utilisateurs et accorder des autorisations. Pour plus d'informations, consultez les informations d'identification de l'IAMutilisateur Compte AWS root et les informations d'identification utilisateur dans le Références générales AWS, et consultez les meilleures pratiques de sécurité IAM dans le guide de IAM l'utilisateur.

Les identités qui accèdent à vos données dans Amazon S3 peuvent être les suivantes :

Compte AWS owner

Celui Compte AWS qui a créé la ressource. Par exemple, le compte qui a créé le bucket. Ce compte possède la ressource. Pour plus d'informations, consultez la section Utilisateur root du AWS compte.

IAMidentités dans le même compte du Compte AWS propriétaire

Lors de la configuration de comptes pour les nouveaux membres de l'équipe qui ont besoin d'un accès S3, le Compte AWS propriétaire peut utiliser AWS Identity and Access Management (IAM) pour créer des utilisateurs, des groupes et des rôles. Le Compte AWS propriétaire peut ensuite partager des ressources avec ces IAM identités. Le propriétaire du compte peut également spécifier les autorisations à donner aux IAM identités, qui autorisent ou interdisent les actions pouvant être effectuées sur les ressources partagées.

IAMles identités offrent des fonctionnalités accrues, notamment la possibilité de demander aux utilisateurs de saisir des informations de connexion avant d'accéder aux ressources partagées. En utilisant IAM les identités, vous pouvez mettre en œuvre une forme d'authentification IAM multifactorielle (MFA) afin de renforcer les bases identitaires. Une IAM bonne pratique consiste à créer des rôles pour la gestion des accès au lieu d'accorder des autorisations à chaque utilisateur individuel. Vous attribuez le rôle approprié à chaque utilisateur. Pour plus d'informations, consultez la section Bonnes pratiques en matière de sécurité dans IAM.

Autres titulaires de AWS comptes et leur IAM identité (accès entre comptes)

Le Compte AWS propriétaire peut également donner accès aux ressources à d'autres propriétaires de AWS comptes, ou à des IAM identités appartenant à un autre AWS compte.

Note

Délégation d'autorisations — Si une personne Compte AWS possède une ressource, elle peut accorder ces autorisations à une autre personne Compte AWS. Ce compte peut ensuite déléguer ces autorisations, ou un sous-ensemble de celles-ci, aux utilisateurs du même compte. Cela s'appelle une délégation d'autorisations. Mais un compte qui reçoit des autorisations d'un autre compte ne peut pas déléguer ces autorisations « entre comptes » à un autre Compte AWS.

Utilisateurs anonymes (accès public)

Le Compte AWS propriétaire peut rendre les ressources publiques. Rendre une ressource publique partage techniquement la ressource avec l'utilisateur anonyme. Les compartiments créés depuis avril 2023 bloquent tout accès public par défaut, sauf si vous modifiez ce paramètre. Nous vous recommandons de configurer vos compartiments de manière à bloquer l'accès public et de n'accorder l'accès qu'aux utilisateurs authentifiés. Pour en savoir plus sur le blocage de l'accès public, consultez Blocage de l'accès public à votre stockage Amazon S3.

Services AWS

Le propriétaire de la ressource peut accorder à un autre AWS service l'accès à une ressource Amazon S3. Par exemple, vous pouvez accorder au AWS CloudTrail service l's3:PutObjectautorisation d'écrire des fichiers journaux dans votre compartiment. Pour plus d'informations, consultez la section Fournir l'accès à un AWS service.

Identités des annuaires d'entreprise

Le propriétaire de la ressource peut accorder à des utilisateurs ou à des rôles de votre annuaire d'entreprise l'accès à une ressource S3 à l'aide de S3 Access Grants. Pour plus d'informations sur l'ajout de votre annuaire d'entreprise à AWS IAM Identity Center, consultez Qu'est-ce qu'IAMIdentity Center ? .

Propriétaires du bucket ou de la ressource

Celui Compte AWS que vous utilisez pour créer des buckets et télécharger des objets possède ces ressources. Un propriétaire de compartiment peut accorder à un autre Compte AWS (ou à des utilisateurs d'un autre compte) des autorisations inter-comptes pour charger des objets.

Lorsqu'un propriétaire de compartiment autorise un autre compte à télécharger des objets dans un compartiment, le propriétaire du compartiment est propriétaire par défaut de tous les objets chargés dans son compartiment. Toutefois, si les paramètres de bucket appliqués par le propriétaire du bucket et les paramètres de bucket préférés du propriétaire du bucket sont désactivés, le Compte AWS responsable du téléchargement des objets est propriétaire de ces objets, et le propriétaire du bucket n'a aucune autorisation sur les objets appartenant à un autre compte, avec les exceptions suivantes :

  • Le propriétaire du compartiment paie les factures. Le propriétaire du compartiment peut refuser l'accès aux objets ou supprimer des objets dans le compartiment, quel que soit le propriétaire de ces derniers.

  • Le propriétaire du bucket peut archiver n'importe quel objet ou restaurer des objets archivés, quel que soit son propriétaire. L'archivage fait référence à la classe de stockage utilisée pour stocker les objets. Pour de plus amples informations, veuillez consulter Gestion du cycle de vie des objets.

Outils de gestion des accès

Amazon S3 fournit plusieurs fonctionnalités et outils de sécurité. Vous trouverez ci-dessous une liste complète de ces fonctionnalités et outils. Vous n'avez pas besoin de tous ces outils de gestion des accès, mais vous devez en utiliser un ou plusieurs pour accorder l'accès à vos ressources Amazon S3. L'application appropriée de ces outils peut contribuer à garantir que vos ressources ne sont accessibles qu'aux utilisateurs visés.

L'outil de gestion des accès le plus couramment utilisé est une politique d'accès. Une politique d'accès peut être une politique basée sur les ressources attachée à une AWS ressource, telle qu'une politique de compartiment pour un compartiment. Une politique d'accès peut également être une politique basée sur l'identité attachée à une AWS Identity and Access Management (IAM) identité, telle qu'un IAM utilisateur, un groupe ou un rôle. Rédigez une politique d'accès pour accorder Comptes AWS IAM aux utilisateurs, aux groupes et aux rôles l'autorisation d'effectuer des opérations sur une ressource. Par exemple, vous pouvez accorder une PUT Object autorisation à un autre compte Compte AWS afin qu'il puisse télécharger des objets dans votre compartiment.

Une politique d'accès décrit qui a accès à quels éléments. Lorsqu'Amazon S3 reçoit une demande, il doit évaluer toutes les politiques d'accès afin de déterminer s'il convient d'autoriser ou de refuser la demande. Pour plus d’informations sur la manière dont Amazon S3 évalue ces politiques, consultez Comment Amazon S3 autorise une demande.

Les outils de gestion des accès disponibles dans Amazon S3 sont les suivants.

Une politique de compartiment Amazon S3 est une politique basée sur les ressources JSON -formatted AWS Identity and Access Management (IAM) attachée à un compartiment particulier. Utilisez des politiques de compartiment pour accorder des autorisations à d'autres IAM personnes Comptes AWS ou à des identités pour le compartiment et les objets qu'il contient. De nombreux cas d'utilisation de la gestion des accès S3 peuvent être satisfaits à l'aide d'une politique de compartiment. Grâce aux politiques relatives aux compartiments, vous pouvez personnaliser l'accès aux compartiments pour vous assurer que seules les identités que vous avez approuvées peuvent accéder aux ressources et effectuer des actions au sein de celles-ci. Pour de plus amples informations, veuillez consulter Politiques relatives aux compartiments pour Amazon S3.

Voici un exemple de stratégie de compartiment. Vous exprimez la politique du bucket à l'aide d'un JSON fichier. Cet exemple de politique accorde à un IAM rôle une autorisation de lecture à tous les objets du compartiment. Il contient une instruction nomméeBucketLevelReadPermissions, qui autorise l's3:GetObjectaction (autorisation de lecture) sur les objets d'un compartiment nomméamzn-s3-demo-bucket1. En spécifiant un IAM rôle en tant quePrincipal, cette politique accorde l'accès à tout IAM utilisateur doté de ce rôle. Pour utiliser cet exemple de politique, remplacez user input placeholders par vos propres informations.

{ "Version":"2012-10-17", "Statement": [ { "Sid":"BucketLevelReadPermissions", "Effect":"Allow", "Principal": { "AWS": "arn:aws:iam::123456789101:role/s3-role" }, "Action":["s3:GetObject"], "Resource":["arn:aws:s3:::amzn-s3-demo-bucket1/*"] }] }
Note

Lors de la création de politiques, évitez d'utiliser des caractères génériques (*) dans l'élément Principal, car cela permet à quiconque d'accéder effectivement à vos ressources Amazon S3. Répertoriez plutôt explicitement les utilisateurs ou les groupes autorisés à accéder au bucket, ou listez les conditions qui doivent être respectées en utilisant une clause de condition dans la politique. En outre, plutôt que d'inclure un caractère générique pour les actions de vos utilisateurs ou groupes, accordez-leur des autorisations spécifiques le cas échéant.

Une politique basée sur l'identité ou basée sur IAM l'utilisateur est un type de stratégie AWS Identity and Access Management (IAM). Une politique basée sur l'identité est une stratégie JSON formatée attachée aux IAM utilisateurs, aux groupes ou aux rôles de votre compte. AWS Vous pouvez utiliser des politiques basées sur l'identité pour accorder à une IAM identité l'accès à vos compartiments ou à vos objets. Vous pouvez créer des IAM utilisateurs, des groupes et des rôles dans votre compte et leur associer des politiques d'accès. Vous pouvez ensuite accorder l'accès aux AWS ressources, notamment aux ressources Amazon S3. Pour de plus amples informations, veuillez consulter Politiques basées sur l'identité pour Amazon S3.

Voici un exemple de stratégie basée sur l'identité. L'exemple de politique permet au IAM rôle associé d'effectuer six actions Amazon S3 différentes (autorisations) sur un compartiment et les objets qu'il contient. Si vous associez cette politique à un IAM rôle de votre compte et que vous attribuez ce rôle à certains de vos IAM utilisateurs, les utilisateurs dotés de ce rôle pourront effectuer ces actions sur les ressources (compartiments) spécifiées dans votre politique. Pour utiliser cet exemple de politique, remplacez user input placeholders par vos propres informations.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AssignARoleActions", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:DeleteObject", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1/*", "arn:aws:s3:::amzn-s3-demo-bucket1" ] }, { "Sid": "AssignARoleActions2", "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "*" } ] }

Utilisez S3 Access Grants pour créer des autorisations d'accès à vos données Amazon S3 pour les deux identités dans les annuaires d'identité d'entreprise, tels que Active Directory, et à AWS Identity and Access Management (IAM) identités. S3 Access Grants vous aide à gérer les autorisations de données à grande échelle. En outre, S3 Access Grants enregistre l'identité de l'utilisateur final et l'application utilisée pour accéder aux AWS CloudTrail données S3. Cela fournit un historique d'audit détaillé jusqu'à l'identité de l'utilisateur final pour tous les accès aux données de vos compartiments S3. Pour de plus amples informations, veuillez consulter Gestion de l’accès avec les octrois d’accès S3.

Amazon S3 Access Points simplifie la gestion de l'accès aux données à grande échelle pour les applications qui utilisent des ensembles de données partagés sur S3. Les points d'accès sont appelés points de terminaison réseau attachés à un bucket. Vous pouvez utiliser les points d'accès pour effectuer des opérations sur des objets S3 à grande échelle, telles que le téléchargement et la récupération d'objets. Un bucket peut contenir jusqu'à 10 000 points d'accès, et pour chaque point d'accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts afin de contrôler en détail l'accès à vos objets S3. Les points d'accès S3 peuvent être associés à des buckets dans le même compte ou dans un autre compte fiable. Les politiques de points d'accès sont des politiques basées sur les ressources qui sont évaluées conjointement avec la politique de compartiment sous-jacente. Pour de plus amples informations, veuillez consulter Gestion de l'accès aux ensembles de données partagés à l'aide de points d'accès.

An ACL est une liste de subventions identifiant le bénéficiaire et l'autorisation accordée. ACLsaccorder des autorisations de lecture ou d'écriture de base à d'autres Comptes AWS. ACLsutilisez un schéma spécifique à Amazon S3XML. An ACL est un type de politique AWS Identity and Access Management (IAM). Un objet ACL est utilisé pour gérer l'accès à un objet, et un bucket ACL est utilisé pour gérer l'accès à un bucket. Avec les politiques de compartiment, il existe une seule politique pour l'ensemble du compartiment, mais ACLs les objets sont spécifiés pour chaque objet. Nous vous recommandons de rester ACLs éteint, sauf dans des circonstances exceptionnelles où vous devez contrôler l'accès individuellement pour chaque objet. Pour plus d'informations sur l'utilisationACLs, consultezContrôle de la propriété des objets et désactivation ACLs pour votre compartiment.

Avertissement

La majorité des cas d'utilisation modernes d'Amazon S3 ne nécessitent pas l'utilisation deACLs.

Voici un exemple de bucketACL. La subvention figurant dans le ACL montre un propriétaire de compartiment disposant d'une autorisation de contrôle total.

<?xml version="1.0" encoding="UTF-8"?> <AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Owner> <ID>Owner-Canonical-User-ID</ID> <DisplayName>owner-display-name</DisplayName> </Owner> <AccessControlList> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Canonical User"> <ID>Owner-Canonical-User-ID</ID> <DisplayName>display-name</DisplayName> </Grantee> <Permission>FULL_CONTROL</Permission> </Grant> </AccessControlList> </AccessControlPolicy>

Pour gérer l'accès à vos objets, vous devez en être le propriétaire. Vous pouvez utiliser le paramètre Object Ownership au niveau du bucket pour contrôler la propriété des objets chargés dans votre bucket. Utilisez également la propriété des objets pour l'activerACLs. Par défaut, Object Ownership est défini sur le paramètre imposé par le propriétaire du bucket et tous les paramètres ACLs sont désactivés. Lorsqu'ils ACLs sont désactivés, le propriétaire du compartiment possède tous les objets du compartiment et gère exclusivement l'accès aux données. Pour gérer l'accès, le propriétaire du compartiment utilise des politiques ou un autre outil de gestion des accès, à l'exception deACLs. Pour de plus amples informations, veuillez consulter Contrôle de la propriété des objets et désactivation ACLs pour votre compartiment.

La propriété des objets comporte trois paramètres que vous pouvez utiliser à la fois pour contrôler la propriété des objets chargés dans votre bucket et pour les activer ACLs :

ACLséteint
  • Appliqués par le propriétaire du compartiment (par défaut) : ACLs sont désactivés, et le propriétaire du compartiment possède automatiquement tous les objets du compartiment et en a le contrôle total. ACLsn'affectent pas les autorisations relatives aux données du compartiment S3. Le compartiment utilise des stratégies exclusivement pour définir le contrôle des accès.

ACLsactivé
  • Propriétaire du compartiment préféré : le propriétaire du compartiment possède et contrôle totalement les nouveaux objets que d'autres comptes écrivent dans le compartiment avec le code bucket-owner-full-control prédéfiniACL.

  • Auteur d'objets : celui Compte AWS qui télécharge un objet est propriétaire de l'objet, en a le contrôle total et peut autoriser d'autres utilisateurs à y accéder par le biais ACLs de celui-ci.

Bonnes pratiques supplémentaires

Envisagez d'utiliser les paramètres et outils de compartiment suivants pour protéger les données en transit et au repos, deux éléments essentiels au maintien de l'intégrité et de l'accessibilité de vos données :

  • Bloquer l'accès public — Ne désactivez pas le paramètre par défaut au niveau du compartiment Bloquer l'accès public. Ce paramètre bloque l'accès public à vos données par défaut. Pour en savoir plus sur le blocage de l'accès public, consultez Blocage de l'accès public à votre stockage Amazon S3.

  • Versionnage S3 : pour garantir l'intégrité des données, vous pouvez implémenter le paramètre de gestion des versions du compartiment S3, qui permet de versionner vos objets au fur et à mesure que vous effectuez des mises à jour, au lieu de les remplacer. Vous pouvez utiliser le contrôle de version S3 pour conserver, récupérer et restaurer une version précédente, si nécessaire. Pour en savoir plus sur la gestion des versions S3, veuillez consulter Conservation de plusieurs versions d'objets grâce au versionnement S3.

  • Verrouillage des objets S3 — Le verrouillage des objets S3 est un autre paramètre que vous pouvez implémenter pour garantir l'intégrité des données. Cette fonctionnalité peut implémenter un modèle write-once-read-many (WORM) pour stocker des objets de manière immuable. Pour en savoir plus sur le verrouillage d’objet, veuillez consulter Verrouiller des objets avec Object Lock.

  • Chiffrement d'objets : Amazon S3 propose plusieurs options de chiffrement d'objets qui protègent les données en transit et au repos. Le chiffrement côté serveur chiffre votre objet avant de l'enregistrer sur les disques de ses centres de données, puis le déchiffre lorsque vous téléchargez les objets. Si vous authentifiez votre demande et que vous disposez des autorisations d'accès, il n'y a aucune différence dans la façon dont vous accédez aux objets chiffrés ou non chiffrés. Pour de plus amples informations, veuillez consulter Protection des données avec le chiffrement côté serveur. S3 chiffre les objets récemment téléchargés par défaut. Pour de plus amples informations, veuillez consulter Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3. Le chiffrement côté client consiste à chiffrer des données avant de les envoyer à Amazon S3. Pour de plus amples informations, veuillez consulter Protection des données avec le chiffrement côté client.

  • Méthodes de signature — Signature Version 4 est le processus qui consiste à ajouter des informations d'authentification aux AWS demandes envoyées parHTTP. Pour des raisons de sécurité, la plupart des demandes AWS doivent être signées avec une clé d'accès, qui consiste en un identifiant de clé d'accès et une clé d'accès secrète. Ces deux clés sont généralement appelées informations d’identification de sécurité. Pour plus d'informations, consultez les sections Authentification des demandes (AWS Signature version 4) et Processus de signature Signature version 4.

Actions

Pour obtenir la liste complète des autorisations et des clés de condition S3, consultez la section Actions, ressources et clés de condition pour Amazon S3 dans la référence d'autorisation de service.

Pour plus d'informations sur les autorisations relatives aux API opérations S3 par type de ressource S3, consultezAutorisations requises pour les API opérations Amazon S3.

Actions

Les actions AWS Identity and Access Management (IAM) pour Amazon S3 sont les actions possibles qui peuvent être effectuées sur un compartiment ou un objet S3. Vous accordez ces actions aux identités afin qu'elles puissent agir sur vos ressources S3. Des exemples d'actions S3 consistent s3:GetObject à lire des objets dans un compartiment et s3:PutObject à écrire des objets dans un compartiment.

Clés de condition

Outre les actions, les clés de IAM condition sont limitées à accorder l'accès uniquement lorsqu'une condition est remplie. Les clés de condition sont facultatives.

Note

Dans une politique d'accès basée sur les ressources, telle qu'une politique de compartiment, ou dans une stratégie basée sur l'identité, vous pouvez spécifier les éléments suivants :

  • Une action ou un ensemble d'actions figurant dans l'Actionélément de la déclaration de politique.

  • Dans l'Effectélément de la déclaration de politique, vous pouvez Allow spécifier d'autoriser les actions répertoriées ou de Deny bloquer les actions répertoriées. Pour continuer à appliquer la pratique du moindre privilège, les Deny énoncés contenus dans l'Effectélément de la politique d'accès doivent être aussi larges que possible, et Allow les énoncés doivent être aussi étroits que possible. Denyles effets associés à l's3:*action constituent un autre bon moyen de mettre en œuvre les meilleures pratiques d'adhésion pour les identités incluses dans les déclarations de conditions de politique.

  • Une clé de condition dans l'Conditionélément d'une déclaration de politique.

Cas d'utilisation de la gestion des accès

Amazon S3 fournit aux propriétaires de ressources une variété d'outils pour accorder l'accès. L'outil de gestion des accès S3 que vous utilisez dépend des ressources S3 que vous souhaitez partager, des identités auxquelles vous accordez l'accès et des actions que vous souhaitez autoriser ou refuser. Vous souhaiterez peut-être utiliser un ou plusieurs outils de gestion d'accès S3 pour gérer l'accès à vos ressources S3.

Dans la plupart des cas, vous pouvez utiliser une politique d'accès pour gérer les autorisations. Une politique d'accès peut être une politique basée sur les ressources, attachée à une ressource, telle qu'un bucket, ou à une autre ressource Amazon S3 ()Ressources S3. Une politique d'accès peut également être une politique basée sur l'identité, attachée à un AWS Identity and Access Management (IAM) utilisateur, à un groupe ou à un rôle dans votre compte. Vous constaterez peut-être qu'une politique de compartiment convient mieux à votre cas d'utilisation. Pour de plus amples informations, veuillez consulter Politiques relatives aux compartiments pour Amazon S3. Sinon, avec AWS Identity and Access Management (IAM), vous pouvez créer des IAM utilisateurs, des groupes et des rôles au sein de votre entreprise Compte AWS et gérer leur accès aux compartiments et aux objets par le biais de politiques basées sur l'identité. Pour de plus amples informations, veuillez consulter Politiques basées sur l'identité pour Amazon S3.

Pour vous aider à naviguer dans ces options de gestion des accès, vous trouverez ci-dessous des cas d'utilisation courants des clients Amazon S3 et des recommandations pour chacun des outils de gestion des accès S3.

Tous les outils de gestion des accès peuvent répondre à ce cas d'utilisation de base. Nous recommandons les outils de gestion des accès suivants pour ce cas d'utilisation :

  • Politique de compartiment : si vous souhaitez accorder l'accès à un compartiment ou à un petit nombre de compartiments, ou si vos autorisations d'accès aux compartiments sont similaires d'un compartiment à l'autre, utilisez une politique de compartiment. Avec les politiques de compartiment, vous gérez une politique pour chaque compartiment. Pour de plus amples informations, veuillez consulter Politiques relatives aux compartiments pour Amazon S3.

  • Stratégie basée sur l'identité : si vous avez un très grand nombre de compartiments dotés d'autorisations d'accès différentes pour chaque compartiment et que vous ne devez gérer que quelques rôles d'utilisateur, vous pouvez utiliser une IAM politique pour les utilisateurs, les groupes ou les rôles. IAMles politiques sont également une bonne option si vous gérez l'accès des utilisateurs à d'autres AWS ressources, ainsi qu'aux ressources Amazon S3. Pour de plus amples informations, veuillez consulter Exemple 1 : propriétaire d'un compartiment accordant à ses utilisateurs des autorisations sur un compartiment.

  • Attributions d'accès S3 — Vous pouvez utiliser les subventions d'accès S3 pour accorder l'accès à vos compartiments, préfixes ou objets S3. S3 Access Grants vous permet de spécifier différentes autorisations au niveau des objets à grande échelle, tandis que les politiques relatives aux compartiments sont limitées à 20 Ko. Pour de plus amples informations, veuillez consulter Bien démarrer avec les octrois d’accès S3.

  • Points d'accès : vous pouvez utiliser des points d'accès, appelés points de terminaison réseau attachés à un bucket. Un bucket peut contenir jusqu'à 10 000 points d'accès, et pour chaque point d'accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts afin de vous donner un contrôle détaillé de l'accès à vos objets S3. Pour de plus amples informations, veuillez consulter Gestion de l'accès aux ensembles de données partagés à l'aide de points d'accès.

Pour accorder une autorisation à une autre personne Compte AWS, vous devez utiliser une politique de compartiment ou l'un des outils de gestion des accès recommandés ci-dessous. Vous ne pouvez pas utiliser de politique d'accès basée sur l'identité pour ce cas d'utilisation. Pour plus d'informations sur l'octroi d'un accès entre comptes, consultez Comment fournir un accès entre comptes aux objets qui se trouvent dans des compartiments Amazon S3 ?

Nous recommandons les outils de gestion des accès suivants pour ce cas d'utilisation :

  • Politique de compartiment : avec les politiques de compartiment, vous gérez une politique pour chaque compartiment. Pour de plus amples informations, veuillez consulter Politiques relatives aux compartiments pour Amazon S3.

  • Subventions d'accès S3 — Vous pouvez utiliser les subventions d'accès S3 pour accorder des autorisations entre comptes à vos compartiments, préfixes ou objets S3. Vous pouvez utiliser les subventions d'accès S3 pour spécifier différentes autorisations au niveau des objets à grande échelle, tandis que les politiques relatives aux compartiments sont limitées à 20 Ko. Pour de plus amples informations, veuillez consulter Bien démarrer avec les octrois d’accès S3.

  • Points d'accès : vous pouvez utiliser des points d'accès, appelés points de terminaison réseau attachés à un bucket. Un bucket peut contenir jusqu'à 10 000 points d'accès, et pour chaque point d'accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts afin de vous donner un contrôle détaillé de l'accès à vos objets S3. Pour de plus amples informations, veuillez consulter Gestion de l'accès aux ensembles de données partagés à l'aide de points d'accès.

Dans une politique de compartiment, par exemple, vous pouvez accorder l'accès aux objets d'un compartiment qui partagent un préfixe de nom de clé spécifique ou possèdent une balise spécifique. Vous pouvez accorder une autorisation de lecture aux objets commençant par le préfixe logs/ du nom de clé. Toutefois, si vos autorisations d'accès varient en fonction de l'objet, il n'est peut-être pas pratique d'accorder des autorisations à des objets individuels à l'aide d'une politique de compartiment, d'autant plus que la taille des politiques de compartiment est limitée à 20 Ko.

Nous recommandons les outils de gestion des accès suivants pour ce cas d'utilisation :

  • Attributions d'accès S3 : vous pouvez utiliser les subventions d'accès S3 pour gérer les autorisations au niveau de l'objet ou au niveau du préfixe. Contrairement aux politiques relatives aux compartiments, vous pouvez utiliser S3 Access Grants pour spécifier différentes autorisations au niveau des objets à grande échelle. Les stratégies de compartiment sont limitées à une taille de 20 Ko. Pour de plus amples informations, veuillez consulter Bien démarrer avec les octrois d’accès S3.

  • Points d'accès : vous pouvez utiliser des points d'accès pour gérer les autorisations au niveau de l'objet ou au niveau du préfixe. Les points d'accès sont appelés points de terminaison réseau attachés à un bucket. Un bucket peut contenir jusqu'à 10 000 points d'accès, et pour chaque point d'accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts afin de vous donner un contrôle détaillé de l'accès à vos objets S3. Pour de plus amples informations, veuillez consulter Gestion de l'accès aux ensembles de données partagés à l'aide de points d'accès.

  • ACLs— Nous vous déconseillons d'utiliser les listes de contrôle d'accès (ACLs), notamment parce qu'ACLselles sont limitées à 100 autorisations par objet. Toutefois, si vous choisissez de l'activerACLs, dans les paramètres de votre bucket, définissez Object Ownership sur Bucket owner preferred and ACLsenabled. Avec ce paramètre, les nouveaux objets écrits avec le code prédéfini bucket-owner-full-control ACL sont automatiquement détenus par le propriétaire du compartiment plutôt que par le rédacteur de l'objet. Vous pouvez ensuite utiliser un objetACLs, qui est une politique d'accès XML formatée, pour autoriser d'autres utilisateurs à accéder à l'objet. Pour de plus amples informations, veuillez consulter Vue d'ensemble de la liste de contrôle d'accès (ACL).

Nous recommandons les outils de gestion des accès suivants pour ce cas d'utilisation :

  • Politique de compartiment : avec les politiques de compartiment, vous gérez une politique pour chaque compartiment. Pour de plus amples informations, veuillez consulter Politiques relatives aux compartiments pour Amazon S3.

  • Points d'accès : les points d'accès sont appelés points de terminaison réseau attachés à un bucket. Un bucket peut contenir jusqu'à 10 000 points d'accès, et pour chaque point d'accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts afin de vous donner un contrôle détaillé de l'accès à vos objets S3. Pour de plus amples informations, veuillez consulter Gestion de l'accès aux ensembles de données partagés à l'aide de points d'accès.

Nous recommandons l'outil de gestion des accès suivant pour ce cas d'utilisation :

  • Points d'accès : les points d'accès sont appelés points de terminaison réseau attachés à un bucket. Un bucket peut contenir jusqu'à 10 000 points d'accès, et pour chaque point d'accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts afin de vous donner un contrôle détaillé de l'accès à vos objets S3. Chaque point d'accès applique une stratégie de point d'accès personnalisée qui fonctionne conjointement avec la stratégie de compartiment associée au compartiment sous-jacent. Pour de plus amples informations, veuillez consulter Gestion de l'accès aux ensembles de données partagés à l'aide de points d'accès.

Les points de terminaison Virtual Private Cloud (VPC) pour Amazon S3 sont des entités logiques au sein d'un VPC environnement qui autorisent la connectivité uniquement à S3. Nous recommandons les outils de gestion des accès suivants pour ce cas d'utilisation :

  • Compartiments dans un VPC paramètre : vous pouvez utiliser une politique de compartiment pour contrôler qui est autorisé à accéder à vos compartiments et à quels VPC points de terminaison ils peuvent accéder. Pour de plus amples informations, veuillez consulter Contrôle de l'accès depuis les VPC terminaux à l'aide de politiques relatives aux compartiments.

  • Points d'accès — Si vous choisissez de configurer des points d'accès, vous pouvez utiliser une politique de point d'accès. Vous pouvez configurer n'importe quel point d'accès pour accepter uniquement les demandes provenant d'un cloud privé virtuel (VPC) afin de restreindre l'accès aux données Amazon S3 à un réseau privé. Vous pouvez également configurer des paramètres de blocage de l'accès public personnalisés pour chaque point d'accès. Pour de plus amples informations, veuillez consulter Gestion de l'accès aux ensembles de données partagés à l'aide de points d'accès.

Avec S3, vous pouvez héberger un site Web statique et autoriser tout le monde à consulter le contenu du site Web, qui est hébergé à partir d'un compartiment S3.

Nous recommandons les outils de gestion des accès suivants pour ce cas d'utilisation :

  • Amazon CloudFront — Cette solution vous permet d'héberger un site Web statique Amazon S3 accessible au public tout en continuant à bloquer tout accès public au contenu d'un compartiment. Si vous souhaitez conserver les quatre paramètres S3 Block Public Access activés et héberger un site Web statique S3, vous pouvez utiliser Amazon CloudFront Origin Access Control (OAC). Amazon CloudFront fournit les fonctionnalités requises pour configurer un site Web statique sécurisé. De plus, les sites Web statiques Amazon S3 qui n'utilisent pas cette solution ne peuvent prendre en charge que les HTTP points de terminaison. CloudFront utilise le stockage durable d'Amazon S3 tout en fournissant des en-têtes de sécurité supplémentaires, tels queHTTPS. HTTPSrenforce la sécurité en chiffrant une HTTP demande normale et en protégeant contre les cyberattaques courantes.

    Pour plus d'informations, consultez Getting started with a secure static website in the Amazon CloudFront Developer Guide.

  • Rendre votre compartiment Amazon S3 accessible au public : vous pouvez configurer un compartiment pour qu'il soit utilisé comme site Web statique accessible au public.

    Avertissement

    Nous ne recommandons pas cette méthode. Nous vous recommandons plutôt d'utiliser les sites Web statiques Amazon S3 dans le cadre d'Amazon CloudFront. Pour plus d'informations, consultez l'option précédente ou la section Commencer à utiliser un site Web statique sécurisé.

    Pour créer un site Web statique Amazon S3, sans Amazon CloudFront, vous devez d'abord désactiver tous les paramètres de blocage de l'accès public. Lorsque vous rédigez la politique de compartiment pour votre site Web statique, veillez à autoriser uniquement des actions s3:GetObject, et non pas des autorisations ListObject ni PutObject. Cela permet de s'assurer que les utilisateurs ne peuvent pas voir tous les objets de votre compartiment ou ajouter leur propre contenu. Pour de plus amples informations, veuillez consulter Définition des autorisations pour l'accès au site web.

Lors de la création d'un nouveau compartiment Amazon S3, le paramètre Bloquer l'accès public est activé par défaut. Pour en savoir plus sur le blocage de l'accès public, consultez Blocage de l'accès public à votre stockage Amazon S3.

Nous vous déconseillons d'autoriser l'accès public à votre bucket. Toutefois, si vous devez le faire pour un cas d'utilisation particulier, nous vous recommandons l'outil de gestion des accès suivant pour ce cas d'utilisation :

  • Désactiver le paramètre Bloquer l'accès public : le propriétaire d'un compartiment peut autoriser les demandes non authentifiées adressées au compartiment. Par exemple, les demandes d'PUTobjet non authentifiées sont autorisées lorsqu'un bucket dispose d'une politique de bucket public ou lorsqu'un bucket ACL accorde un accès public. Toutes les demandes non authentifiées sont faites par d'autres AWS utilisateurs arbitraires, ou même par des utilisateurs anonymes non authentifiés. Cet utilisateur est représenté ACLs par l'ID 65a011a29cdf8ec533ec3d1ccaae921c utilisateur canonique spécifique. Si un objet est chargé vers un WRITE ouFULL_CONTROL, cela donne spécifiquement accès au groupe Tous les utilisateurs ou à l'utilisateur anonyme. Pour plus d'informations sur les politiques relatives aux compartiments publics et les listes de contrôle d'accès public (ACLs), consultezLa signification du mot « public ».

Les politiques de compartiment et les politiques basées sur l'identité ont une limite de taille de 20 Ko. Si vos exigences en matière d'autorisation d'accès sont complexes, vous risquez de dépasser cette limite de taille.

Nous avons recommandé les outils de gestion des accès suivants pour ce cas d'utilisation :

  • Points d'accès : utilisez des points d'accès si cela correspond à votre cas d'utilisation. Dans le cas des points d'accès, chaque compartiment possède plusieurs points de terminaison réseau nommés, chacun ayant sa propre politique de point d'accès qui fonctionne avec la politique de compartiment sous-jacente. Toutefois, les points d'accès ne peuvent agir que sur des objets, et non sur des compartiments, et ne prennent pas en charge la réplication entre régions. Pour de plus amples informations, veuillez consulter Gestion de l'accès aux ensembles de données partagés à l'aide de points d'accès.

  • Subventions d'accès S3 : utilisez les subventions d'accès S3, qui prennent en charge un très grand nombre de subventions donnant accès à des compartiments, à des préfixes ou à des objets. Pour de plus amples informations, veuillez consulter Bien démarrer avec les octrois d’accès S3.

Au lieu de gérer les utilisateurs, les groupes et les rôles via AWS Identity and Access Management (IAM), vous pouvez y ajouter votre annuaire d'entreprise AWS IAM Identity Center. Pour plus d'informations, consultez Qu'est-ce qu'IAMIdentity Center ? .

Après avoir ajouté votre annuaire d'entreprise à AWS IAM Identity Center, nous vous recommandons d'utiliser l'outil de gestion des accès suivant pour accorder aux identités de l'annuaire d'entreprise l'accès à vos ressources S3 :

  • Subventions d'accès S3 : utilisez les subventions d'accès S3, qui permettent d'accorder l'accès à des utilisateurs ou à des rôles dans votre annuaire d'entreprise. Pour de plus amples informations, veuillez consulter Bien démarrer avec les octrois d’accès S3.

Nous avons recommandé l'outil de gestion des accès suivant pour ce cas d'utilisation :

  • Bucket ACL — Le seul cas d'utilisation recommandé pour le bucket ACLs est d'accorder des autorisations à certains Services AWS, tels que le CloudFront awslogsdelivery compte Amazon. Lorsque vous créez ou mettez à jour une distribution et que vous activez la CloudFront journalisation, le compartiment est mis ACL à CloudFront jour pour autoriser FULL_CONTROL le awslogsdelivery compte à écrire des journaux dans votre compartiment. Pour plus d'informations, consultez la section Autorisations requises pour configurer la journalisation standard et pour accéder à vos fichiers journaux dans le manuel Amazon CloudFront Developer Guide. Si le compartiment qui stocke les journaux utilise le paramètre imposé par le propriétaire du compartiment pour désactiver la propriété des objets S3ACLs, il CloudFront ne peut pas écrire de journaux dans le compartiment. Pour de plus amples informations, veuillez consulter Contrôle de la propriété des objets et désactivation ACLs pour votre compartiment.

Vous pouvez autoriser d'autres comptes à télécharger des objets dans votre compartiment en utilisant une politique de compartiment, un point d'accès ou des autorisations d'accès S3. Si vous avez accordé un accès multicompte à votre compartiment, vous pouvez vous assurer que tous les objets chargés dans votre compartiment restent sous votre contrôle total.

Nous avons recommandé l'outil de gestion des accès suivant pour ce cas d'utilisation :

  • Propriété de l'objet : maintenez le paramètre Propriété de l'objet au niveau du compartiment au niveau du paramètre par défaut imposé par le propriétaire du compartiment.

Résolution des problèmes de gestion des accès

Les ressources suivantes peuvent vous aider à résoudre les problèmes liés à la gestion des accès S3 :

Résolution des erreurs d'accès refusé (403 – Interdit)

Si vous rencontrez des problèmes de refus d'accès, vérifiez les paramètres au niveau du compte et au niveau du compartiment. Vérifiez également la fonctionnalité de gestion des accès que vous utilisez pour accorder l'accès afin de vous assurer que la politique, le paramètre ou la configuration sont corrects. Pour plus d'informations sur les causes courantes des erreurs d'accès refusé (403 – Interdit) dans Amazon S3, consultez Résoudre les problèmes d'accès refusé (403 Forbidden) erreurs dans Amazon S3.

IAMAnalyseur d'accès pour S3

Si vous ne souhaitez rendre aucune de vos ressources accessible au public, ou si vous souhaitez limiter l'accès public à vos ressources, vous pouvez utiliser IAM Access Analyzer pour S3. Sur la console Amazon S3, utilisez IAM Access Analyzer for S3 pour examiner tous les compartiments dotés de listes de contrôle d'accès aux compartiments (ACLs), de politiques de compartiment ou de politiques de point d'accès qui accordent un accès public ou partagé. IAMAccess Analyzer for S3 vous avertit de la présence de compartiments configurés pour autoriser l'accès à toute personne sur Internet ou autre Comptes AWS, y compris Comptes AWS en dehors de votre organisation. Pour chaque compartiment public ou partagé, vous recevez des résultats qui signalent la source et le niveau d'accès public ou partagé.

Dans IAM Access Analyzer for S3, vous pouvez bloquer tout accès public à un bucket en une seule action. Nous vous recommandons de bloquer tout accès public à vos buckets, sauf si vous avez besoin d'un accès public pour prendre en charge un cas d'utilisation spécifique. Avant de bloquer tout accès public, assurez-vous que vos applications continueront de fonctionner correctement sans accès public. Pour de plus amples informations, veuillez consulter Blocage de l'accès public à votre stockage Amazon S3.

Vous pouvez également consulter vos paramètres d'autorisation au niveau du compartiment pour configurer des niveaux d'accès détaillés. Pour les cas d'utilisation spécifiques et vérifiés nécessitant un accès public ou partagé, vous pouvez confirmer et enregistrer votre intention de maintenir le niveau d'accès public ou partagé en archivant les résultats pour le compartiment. Vous pouvez revisiter et modifier ces configurations de compartiments à tout moment. Vous pouvez également télécharger vos résultats sous forme de CSV rapport à des fins d'audit.

IAMAccess Analyzer for S3 est disponible sans frais supplémentaires sur la console Amazon S3. IAMAccess Analyzer pour S3 est alimenté par AWS Identity and Access Management (IAM) IAM Access Analyzer. Pour utiliser IAM Access Analyzer for S3 sur la console Amazon S3, vous devez visiter la IAMconsole et créer un analyseur au niveau du compte dans IAM Access Analyzer pour chaque région individuelle.

Pour plus d'informations sur IAM Access Analyzer pour S3, consultezRévision de l'accès aux compartiments à l'aide IAM d'Access Analyzer pour S3.

Journalisation et surveillance

La surveillance joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances de vos solutions Amazon S3 afin que vous puissiez corriger plus facilement une défaillance d'accès. La journalisation peut fournir un aperçu des erreurs reçues par les utilisateurs, ainsi que du moment et des demandes qui leur sont adressées. AWS fournit plusieurs outils pour surveiller vos ressources Amazon S3, tels que les suivants :

  • AWS CloudTrail

  • Journaux d'accès Amazon S3

  • AWS Trusted Advisor

  • Amazon CloudWatch

Pour de plus amples informations, veuillez consulter Journalisation et surveillance dans Amazon S3.