Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Définition de la propriété d’un objet sur un compartiment existant
Vous pouvez configurer la propriété des objets S3 sur un compartiment S3 existant. Pour appliquer la propriété d’objet lors de la création d’un compartiment, consultez Définition de la propriété d’objet lors de la création d’un compartiment.
La propriété des objets S3 est un paramètre au niveau du compartiment Amazon S3 que vous pouvez utiliser pour désactiver les listes de contrôle d'accès (ACLs) et prendre possession de chaque objet de votre compartiment, simplifiant ainsi la gestion des accès aux données stockées dans Amazon S3. Par défaut, S3 Object Ownership est défini sur le paramètre imposé par le propriétaire du compartiment et ACLs est désactivé pour les nouveaux compartiments. Lorsque cette option est ACLs désactivée, le propriétaire du compartiment possède tous les objets du compartiment et gère l'accès aux données exclusivement à l'aide de politiques de gestion des accès. Nous vous recommandons de rester ACLs désactivé, sauf dans des circonstances exceptionnelles où vous devez contrôler l'accès à chaque objet individuellement.
La propriété des objets comporte trois paramètres que vous pouvez utiliser pour contrôler la propriété des objets chargés dans votre bucket et pour désactiver ou activer ACLs :
ACLs handicapé
-
Appliqués par le propriétaire du compartiment (par défaut) : ACLs sont désactivés, et le propriétaire du compartiment possède automatiquement tous les objets du compartiment et en a le contrôle total. ACLs n'affectent plus les autorisations relatives aux données du compartiment S3. Le compartiment utilise des stratégies pour définir le contrôle des accès.
ACLs enabled
-
Bucket owner preferred (Préféré par le propriétaire du compartiment) – Le propriétaire du compartiment possède les nouveaux objets que d’autres comptes écrivent dans le compartiment avec la liste ACL
bucket-owner-full-controlprête à l’emploi, et en a le contrôle total. -
Auteur d'objets : celui Compte AWS qui télécharge un objet est propriétaire de l'objet, en a le contrôle total et peut autoriser d'autres utilisateurs à y accéder par le biais ACLs de celui-ci.
Conditions préalables : avant d'appliquer le paramètre de désactivation obligatoire par le propriétaire du bucket ACLs, vous devez migrer les autorisations ACL du bucket vers les politiques du bucket et réinitialiser votre bucket ACLs avec l'ACL privée par défaut. Nous vous recommandons également de migrer les autorisations ACL des objets vers les politiques de compartiment et de modifier les politiques de compartiment qui nécessitent un contrôle total ACLs autre que le propriétaire du compartiment ACLs. Pour de plus amples informations, veuillez consulter Conditions préalables à la désactivation ACLs.
Autorisations : pour pouvoir utiliser cette opération, vous devez disposer de l’autorisation s3:PutBucketOwnershipControls. Pour plus d’informations sur les autorisations Amazon S3, consultez Actions, ressources et clés de condition pour Amazon S3 dans la Référence de l’autorisation de service.
Pour plus d’informations sur les autorisations relatives aux opérations d’API S3 par type de ressource S3, consultez Autorisations requises pour les opérations d’API Amazon S3.
-
Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/
. -
Dans la liste Compartiments, choisissez le nom du compartiment auquel vous souhaitez appliquer le paramètre de propriété d’objet S3.
-
Choisissez l'onglet Permissions (Autorisations).
-
Sous Object Ownership (Propriétaire de l’objet), sélectionnez Edit (Modifier).
-
Sous Propriété des objets, pour désactiver ou activer ACLs et contrôler la propriété des objets chargés dans votre bucket, sélectionnez l'un des paramètres suivants :
ACLs handicapé
-
Appliqués par le propriétaire du compartiment : ACLs ils sont désactivés, et le propriétaire du compartiment possède automatiquement tous les objets du compartiment et en a le contrôle total. ACLs n'affectent plus les autorisations relatives aux données du compartiment S3. Le compartiment utilise des stratégies pour définir le contrôle des accès.
Pour exiger que tous les nouveaux compartiments soient créés et ACLs désactivés à l'aide d'IAM ou de AWS Organizations politiques, consultez. Désactivation ACLs pour tous les nouveaux compartiments (obligatoire par le propriétaire du compartiment)
ACLs enabled
-
Bucket owner preferred (Préféré par le propriétaire du compartiment) – Le propriétaire du compartiment possède les nouveaux objets que d'autres comptes écrivent dans le compartiment avec la liste ACL
bucket-owner-full-controlprête à l'emploi, et en a le contrôle total.Si vous appliquez le paramètre préféré par le propriétaire du compartiment pour exiger que tous les téléchargements Amazon S3 incluent la liste ACL
bucket-owner-full-controlprête à l’emploi, vous pouvez ajouter une politique de compartiment qui autorise uniquement les téléchargements d’objets utilisant cette liste ACL. -
Auteur d'objets : celui Compte AWS qui télécharge un objet est propriétaire de l'objet, en a le contrôle total et peut autoriser d'autres utilisateurs à y accéder par le biais ACLs de celui-ci.
-
-
Choisissez Save (Enregistrer).
Pour appliquer un paramètre de propriété d’objet à un compartiment existant, utilisez la commande put-bucket-ownership-controlsavec le paramètre --ownership-controls. Les valeurs valides pour la propriété sont BucketOwnerEnforced, BucketOwnerPreferred ou ObjectWriter.
Cet exemple applique le paramètre Propriétaire du compartiment appliqué pour un compartiment existant à l’aide de l’ AWS CLI :
aws s3api put-bucket-ownership-controls --bucketamzn-s3-demo-bucket--ownership-controls="Rules=[{ObjectOwnership=BucketOwnerEnforced}]"
Pour de plus amples informations sur put-bucket-ownership-controls, veuillez consulter .put-bucket-ownership-controls
Cet exemple applique le paramètre BucketOwnerEnforced de Propriété d’objet à un compartiment existant à l’aide d’ AWS SDK for Java :
// Build the ObjectOwnership for BucketOwnerEnforced OwnershipControlsRule rule = OwnershipControlsRule.builder() .objectOwnership(ObjectOwnership.BucketOwnerEnforced) .build(); OwnershipControls ownershipControls = OwnershipControls.builder() .rules(rule) .build() // Build the PutBucketOwnershipControlsRequest PutBucketOwnershipControlsRequest putBucketOwnershipControlsRequest = PutBucketOwnershipControlsRequest.builder() .bucket(BUCKET_NAME) .ownershipControls(ownershipControls) .build(); // Send the request to Amazon S3 s3client.putBucketOwnershipControls(putBucketOwnershipControlsRequest);
À utiliser AWS CloudFormation pour appliquer un paramètre de propriété d'objet à un bucket existant, voir AWS::S3::Bucket OwnershipControls dans le guide de l'utilisateur AWS CloudFormation .
Pour utiliser l’API REST afin d’appliquer un paramètre de propriété d’objet à un compartiment S3 existant, utilisez PutBucketOwnershipControls. Pour plus d’informations, consultez .PutBucketOwnershipControlsdans le manuel Amazon Simple Storage Service API Reference.
Étapes suivantes : une fois que vous avez appliqué les paramètres Propriétaire du compartiment appliqué ou Propriétaire du compartiment préféré pour Propriété d’objets, vous pouvez suivre les étapes suivantes :
-
Obligation imposée par le propriétaire du bucket — Exigez que tous les nouveaux compartiments soient créés et ACLs désactivés en utilisant une politique IAM ou Organizations.
-
Bucket owner preferred (Préféré par le propriétaire du compartiment) – Ajoutez une stratégie de compartiment S3 pour exiger que la liste ACL
bucket-owner-full-controlprédéfinie pour tous les téléchargements d'objets vers votre compartiment.
