Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Politiques, stratégies et autorisations dans Amazon S3

PDF
RSS
Mode de mise au point
Politiques, stratégies et autorisations dans Amazon S3 - Amazon Simple Storage Service
Délégation d’autorisationsTitularité d’objet et de compartiment

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Cette page fournit un aperçu des politiques relatives aux compartiments et aux utilisateurs dans Amazon S3 et décrit les éléments de base d'une politique AWS Identity and Access Management (IAM). Chaque élément répertorié renvoie vers des informations complémentaires sur cet élément et des exemples de son utilisation.

Pour obtenir la liste complète des actions, des ressources et des conditions Amazon S3, consultez Actions, ressources et clés de condition pour Amazon S3 dans la Référence de l’autorisation de service.

Pour plus d’informations sur les autorisations relatives aux opérations d’API S3 par type de ressource S3, consultez Autorisations requises pour les opérations d’API Amazon S3.

Une stratégie de base contient les éléments suivants :

  • Resource : compartiment, objet, point d’accès ou tâche Amazon S3 auxquels s’applique la politique. Utilisez l’Amazon Resource Name (ARN) du compartiment, de l’objet, du point d’accès ou de la tâche pour identifier la ressource.

    Exemple d’opérations au niveau du compartiment :

    "Resource": "arn:aws:s3:::bucket_name"

    Exemples d’opérations au niveau de l’objet :

    • "Resource": "arn:aws:s3:::bucket_name/*" pour tous les objets du compartiment.

    • "Resource": "arn:aws:s3:::bucket_name/prefix/*" pour les objets placés sous un certain préfixe dans le compartiment.

    Pour de plus amples informations, veuillez consulter Ressources de politique pour Amazon S3.

  • Actions : pour chaque ressource, Amazon S3 prend en charge un ensemble d’opérations. Vous identifiez les opérations de ressource que vous accordez (ou refusez) en utilisant des mots clés d’action.

    Par exemple, l's3:ListBucketautorisation permet à l'utilisateur d'utiliser Amazon S3 ListObjectsV2opération. (L’autorisation s3:ListBucket est un cas où le nom de l’action ne correspond pas directement au nom de l’opération.) Pour plus d’informations sur l’utilisation des actions Amazon S3, consultez Actions de politique pour Amazon S3. Pour obtenir la liste complète des actions Amazon S3, consultez Actions dans la Référence d’API Amazon Simple Storage Service.

  • Effect : effet produit lorsque l’utilisateur demande l’action spécifique, qui peut être Allow ou Deny.

    Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez également explicitement refuser l’accès à une ressource. Vous pouvez le faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une stratégie différente accorde cet accès. Pour plus d’informations, consultez Éléments de politique JSON IAM : Effect dans le Guide de l’utilisateur IAM.

  • Principal : compte ou utilisateur autorisé à accéder aux actions et aux ressources dans l’instruction. Dans une politique de compartiment, le principal est l’utilisateur, le compte, le service ou toute autre entité destinataire de cette autorisation. Pour de plus amples informations, veuillez consulter Principaux pour les politiques de compartiment.

  • Condition – Conditions relatives au moment où une stratégie ou politique entre en vigueur. Vous pouvez utiliser AWS des clés larges et des clés spécifiques à Amazon S3 pour spécifier les conditions d'une politique d'accès Amazon S3. Pour de plus amples informations, veuillez consulter Exemples de politiques de compartiment utilisant des clés de condition.

L’exemple de politique de compartiment suivant montre les éléments Effect, Principal, Action et Resource. Cette politique accorde à Akua, utilisateur du compte 123456789012, les autorisations Amazon S3 s3:GetObject, s3:GetBucketLocation et s3:ListBucket au niveau du compartiment amzn-s3-demo-bucket1.

{
    "Version": "2012-10-17",
    "Id": "ExamplePolicy01",
    "Statement": [
        {
            "Sid": "ExampleStatement01",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/Akua"
            },
            "Action": [
                "s3:GetObject",
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket1"
            ]
        }
    ]
}

Pour obtenir des informations complètes sur le langage des politiques, consultez Politiques et autorisations dans IAM et Référence de politique JSON IAM dans le Guide de l’utilisateur IAM.

Délégation d’autorisations

Si une personne Compte AWS possède une ressource, elle peut accorder ces autorisations à une autre personne Compte AWS. Ce compte peut alors déléguer à ces utilisateurs, l’ensemble de ces autorisations ou un sous-ensemble de celles-ci. Cela s’appelle une délégation d’autorisations. Cependant, un compte qui reçoit des autorisations d’un autre compte ne peut pas déléguer cette autorisation intercomptes à un autre Compte AWS.

Propriété du compartiment et de l’objet Amazon S3

Les compartiments et les objets sont des ressources Amazon S3. Par défaut, seul le propriétaire de ressource peut accéder à ces ressources. Le propriétaire de la ressource fait référence à Compte AWS celui qui crée la ressource. Par exemple :

  • Celui Compte AWS que vous utilisez pour créer des buckets et télécharger des objets possède ces ressources.

  • Si vous chargez un objet à l'aide des informations d'identification d'utilisateur ou de rôle AWS Identity and Access Management (IAM), l' Compte AWS utilisateur ou le rôle auquel appartient l'utilisateur ou le rôle est propriétaire de l'objet.

  • Un propriétaire de compartiment peut accorder à un autre Compte AWS (ou à des utilisateurs d'un autre compte) des autorisations inter-comptes pour charger des objets. Dans ce cas, le Compte AWS qui charge les objets est propriétaire de ceux-ci. Le propriétaire du compartiment n’a aucune autorisation sur les objets dont sont propriétaires d’autres comptes, à l’exception des cas suivants :

    • Le propriétaire du compartiment paie les factures. Le propriétaire du compartiment peut refuser l'accès aux objets ou supprimer des objets dans le compartiment, quel que soit le propriétaire de ces derniers.

    • Le propriétaire du compartiment peut archiver n’importe quel objet ou restaurer des objets archivés, quel qu’en soit le propriétaire. L'archivage fait référence à la classe de stockage utilisée pour stocker les objets. Pour plus d’informations, consultez Gestion du cycle de vie des objets.

Titularité et authentification de demande

Toutes les demandes à un compartiment sont soit authentifiées ou non authentifiées. Les demandes authentifiées doivent inclure une valeur de signature qui authentifie l’expéditeur de la demande, alors que les demandes non authentifiées. Pour plus d’informations sur l’authentification des demandes, consultez Demandes dans la Référence d’API Amazon S3.

Un propriétaire de compartiment peut choisir d’autoriser les demandes non authentifiées. Par exemple, non authentifié PutObjectles demandes sont autorisées lorsqu'un bucket dispose d'une politique de bucket public, ou lorsqu'une ACL de bucket accorde WRITE un FULL_CONTROL accès au All Users groupe ou à l'utilisateur anonyme en particulier. Pour plus d'informations sur les politiques relatives aux compartiments publics et les listes de contrôle d'accès public (ACLs), consultezLa signification du mot « public ».

Toutes les demandes non authentifiées sont faites par l’utilisateur anonyme. Cet utilisateur est représenté ACLs par l'ID 65a011a29cdf8ec533ec3d1ccaae921c utilisateur canonique spécifique. Si un objet est chargé sur un compartiment via une demande non authentifiée, l’utilisateur anonyme est propriétaire de l’objet. L’ACL d’objet par défaut autorise le FULL_CONTROL pour l’utilisateur anonyme en tant que propriétaire de l’objet. Ainsi, Amazon S3 autorise les demandes non authentifiées pour récupérer l’objet ou modifier son ACL.

Pour empêcher les objets d'être modifiés par l'utilisateur anonyme, nous vous recommandons de ne pas mettre en œuvre de politiques de bucket qui autorisent les écritures publiques anonymes dans votre bucket ou d'utiliser des politiques ACLs permettant à l'utilisateur anonyme d'accéder en écriture à votre bucket. Vous pouvez faire appliquer ce comportement recommandé à l’aide du blocage de l’accès public Amazon S3.

Pour en savoir plus sur le blocage de l’accès public, consultez Blocage de l’accès public à votre stockage Amazon S3. Pour plus d’informations sur ACLs, consultez Présentation de la liste de contrôle d’accès (ACL).

Important

Nous vous recommandons de ne pas utiliser les informations d'identification de l'utilisateur Compte AWS root pour effectuer des demandes authentifiées. Il est préférable de créer un rôle IAM, puis de lui accorder un accès total. Nous appelons les utilisateurs possédant ce rôle des administrateurs. Vous pouvez utiliser les informations d'identification attribuées au rôle d'administrateur, au lieu des informations d'identification de l'utilisateur Compte AWS root, pour interagir avec AWS et effectuer des tâches, telles que créer un bucket, créer des utilisateurs et accorder des autorisations. Pour plus d’informations, consultez Informations d’identification de sécuritéAWS et Bonnes pratiques de sécurité dans IAM dans le Guide de l’utilisateur IAM.

Sur cette page

Related resources

Amazon S3 Référence d'API
AWS CLI commandes pour Amazon S3
SDKs et outils 

Related resources

Amazon S3 Référence d'API
AWS CLI commandes pour Amazon S3
SDKs et outils 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.