Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Contrôle de l’accès à partir des points de terminaison d’un VPC avec des stratégies de compartiment

PDF
RSS
Mode de mise au point
Contrôle de l’accès à partir des points de terminaison d’un VPC avec des stratégies de compartiment - Amazon Simple Storage Service
Restriction de l’accès à un point de terminaison d’un VPC spécifiqueRestriction de l’accès à un VPC spécifique

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vous pouvez utiliser les politiques relatives aux compartiments Amazon S3 pour contrôler l'accès aux compartiments à partir de points de terminaison de cloud privé virtuel (VPC) spécifiques ou spécifiques. VPCs Cette section contient des exemples de politiques de compartiment qui peuvent être utilisés pour contrôler l’accès aux compartiments Amazon S3 à partir des points de terminaison d’un VPC. Pour apprendre à configurer les points de terminaison d’un VPC, consultez Points de terminaison d’un VPC dans le Guide de l’utilisateur VPC.

Un VPC vous permet de lancer des AWS ressources dans un réseau virtuel que vous définissez. Le point de terminaison d’un VPC vous permet de créer une connexion privée entre votre VPC et un autre Service AWS. Cette connexion privée ne nécessite pas d’accès via Internet, via une connexion de réseau privé virtuel (VPN), via une instance NAT ou via AWS Direct Connect.

Le point de terminaison d’un VPC pour Amazon S3 est une entité logique au sein d’un VPC qui permet uniquement une connexion à Amazon S3. Le point de terminaison d’un VPC achemine les demandes vers Amazon S3 et les réponses renvoyées au VPC. Les points de terminaison d’un VPC changent uniquement la manière dont les demandes sont acheminées. Les points de terminaison publics Amazon S3 et les noms DNS continuent de fonctionner avec les points de terminaison d’un VPC. Pour obtenir des informations importantes concernant l’utilisation des points de terminaison d’un VPC avec Amazon S3, consultez Points de terminaison de passerelle et Points de terminaison de passerelle pour Amazon S3 dans le Guide de l’utilisateur VPC.

Les points de terminaison d’un VPC pour Amazon S3 offrent deux façons de contrôler l’accès à vos données Amazon S3 :

  • Vous pouvez contrôler les demandes, les utilisateurs ou les groupes autorisés à traverser un point de terminaison d’un VPC spécifique. Pour plus d’informations sur ce type de contrôle d’accès, consultez Contrôle de l’accès aux points de terminaison d’un VPC à l’aide de politiques de point de terminaison dans le Guide de l’utilisateur VPC.

  • Vous pouvez contrôler quels points de terminaison VPCs ou quels points de terminaison VPC ont accès à vos compartiments en utilisant les politiques relatives aux compartiments Amazon S3. Pour obtenir des exemples de ce type de contrôle d’accès avec politique de compartiment, consultez les rubriques suivantes sur les restrictions d’accès.

Important

Lors de l’application de politiques de compartiment Amazon S3 pour les points de terminaison d’un VPC décrits dans cette section, vous pouvez bloquer involontairement l’accès au compartiment. Les autorisations attribuées à un compartiment dans le but de restreindre l’accès aux connexions issues du point de terminaison de votre VPC peuvent bloquer toutes les connexions à ce compartiment. Pour plus d’informations sur la résolution de ce problème, consultez Comment corriger ma politique de compartiment lorsqu’elle a le mauvais VPC ou le mauvais ID de point de terminaison du VPC ? dans le Centre de connaissances AWS Support .

Restriction de l’accès à un point de terminaison d’un VPC spécifique

Voici un exemple de politique de compartiment Amazon S3 qui restreint l’accès à un compartiment spécifique, awsexamplebucket1, uniquement à partir du point de terminaison d’un VPC doté de l’ID vpce-1a2b3c4d. Si le point de terminaison spécifié n’est pas utilisé, la politique refuse tout accès au compartiment. La condition aws:SourceVpce spécifie le point de terminaison. La condition aws:SourceVpce ne requiert pas d’Amazon Resource Name (ARN) pour la ressource du point de terminaison de VPC, uniquement l’ID de point de terminaison du VPC. Pour plus d’informations sur l’utilisation de conditions dans une stratégie, consultez Exemples de politiques de compartiment utilisant des clés de condition.

Important

  • Avant d’utiliser l’exemple de stratégie suivant, remplacez l’ID de point de terminaison du VPC par une valeur appropriée pour votre cas d’utilisation. Dans le cas contraire, vous ne parviendrez pas à accéder à votre compartiment.

  • Cette politique désactive l’accès de la console au compartiment spécifié, car les demandes de la console ne proviennent pas du point de terminaison du VPC défini.

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::awsexamplebucket1",
                    "arn:aws:s3:::awsexamplebucket1/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpce": "vpce-1a2b3c4d"
         }
       }
     }
   ]
}

Restriction de l’accès à un VPC spécifique

Vous pouvez créer une politique de compartiment qui restreint l’accès à un VPC spécifique en utilisant la condition aws:SourceVpc. Ceci est utile si vous avez plusieurs points de terminaison d’un VPC configurés pour le même VPC et que vous voulez gérer l’accès à vos compartiments Amazon S3 pour tous vos points de terminaison. Voici un exemple de politique qui refuse l’accès à awsexamplebucket1 et ses objets à toute personne extérieure au VPC vpc-111bbb22. Si le VPC spécifié n’est pas utilisé, la politique refuse tout accès au compartiment. Cette instruction n’accorde pas l’accès au compartiment. Pour autoriser l’accès, vous devez ajouter une instruction Allow séparée. La clé de condition vpc-111bbb22 ne requiert pas d’ARN pour la ressource VPC, uniquement l’ID du VPC.

Important

  • Avant d’utiliser l’exemple de stratégie suivant, remplacez l’ID du VPC par une valeur appropriée pour votre cas d’utilisation. Dans le cas contraire, vous ne parviendrez pas à accéder à votre compartiment.

  • Cette politique désactive l’accès de la console au compartiment spécifié, car les demandes de la console ne proviennent pas du VPC défini.

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909153",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPC-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::awsexamplebucket1",
                    "arn:aws:s3:::awsexamplebucket1/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpc": "vpc-111bbb22"
         }
       }
     }
   ]
}

Sur cette page

Related resources

Amazon S3 Référence d'API
AWS CLI commandes pour Amazon S3
SDKs et outils 

Related resources

Amazon S3 Référence d'API
AWS CLI commandes pour Amazon S3
SDKs et outils 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.