Définition de la propriété d'objet lors de la création d'un compartiment - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Définition de la propriété d'objet lors de la création d'un compartiment

Lorsque vous créez un compartiment, vous pouvez configurer la propriété d'objet S3. Pour définir la propriété d'un objet pour un compartiment existant, voir Définition de la propriété d'un objet sur un compartiment existant.

La propriété des objets S3 est un paramètre au niveau du compartiment Amazon S3 que vous pouvez utiliser pour désactiver les listes de contrôle d'accès (ACLs) et prendre possession de chaque objet de votre compartiment, simplifiant ainsi la gestion des accès aux données stockées dans Amazon S3. Par défaut, S3 Object Ownership est défini sur le paramètre imposé par le propriétaire du compartiment et ACLs est désactivé pour les nouveaux compartiments. Lorsque cette option est ACLs désactivée, le propriétaire du compartiment possède tous les objets du compartiment et gère l'accès aux données exclusivement à l'aide de politiques de gestion des accès. Nous vous recommandons de rester ACLs désactivé, sauf dans des circonstances exceptionnelles où vous devez contrôler l'accès à chaque objet individuellement.

La propriété des objets comporte trois paramètres que vous pouvez utiliser pour contrôler la propriété des objets chargés dans votre bucket et pour désactiver ou activer ACLs :

ACLshandicapé

  • Appliqués par le propriétaire du compartiment (par défaut) : ACLs sont désactivés, et le propriétaire du compartiment possède automatiquement tous les objets du compartiment et en a le contrôle total. ACLsn'affectent plus les autorisations relatives aux données du compartiment S3. Le compartiment utilise des stratégies pour définir le contrôle des accès.

ACLsactivé

  • Propriétaire du compartiment préféré : le propriétaire du compartiment possède et contrôle totalement les nouveaux objets que d'autres comptes écrivent dans le compartiment avec le code bucket-owner-full-control prédéfiniACL.

  • Rédacteur d'objets — The Compte AWS qui télécharge un objet est propriétaire de l'objet, en a le contrôle total et peut autoriser d'autres utilisateurs à y accéder par le biais ACLs de celui-ci.

Permissions (Autorisations) : pour appliquer le paramètre Bucket owner enforced (Propriétaire du compartiment imposé) ou le paramètre Bucket owner preferred (Propriétaire du compartiment préféré), vous devez disposer des autorisations suivantes : s3:CreateBucket et s3:PutBucketOwnershipControls. Aucune autorisation supplémentaire n'est nécessaire lors de la création d'un compartiment avec le paramètre Object writer (Rédacteur d'objets) appliqué. Pour plus d'informations sur les autorisations Amazon S3, consultez la section Actions, ressources et clés de condition pour Amazon S3 dans la référence d'autorisation de service.

Pour plus d'informations sur les autorisations relatives aux API opérations S3 par type de ressource S3, consultezAutorisations requises pour les API opérations Amazon S3.

Important

La majorité des cas d'utilisation modernes d'Amazon S3 ne nécessitent plus l'utilisation deACLs, et nous vous recommandons de le désactiver, ACLs sauf dans des circonstances exceptionnelles où vous devez contrôler l'accès à chaque objet individuellement. Avec Object Ownership, vous pouvez désactiver les politiques de contrôle d'accès ACLs et vous appuyer sur celles-ci. Lorsque vous le désactivezACLs, vous pouvez facilement gérer un bucket contenant des objets téléchargés par différents AWS comptes. En tant que propriétaire du compartiment, vous êtes propriétaire de tous les objets du compartiment et pouvez gérer l'accès à ces derniers au moyen de stratégies.

  1. Connectez-vous au AWS Management Console et ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans la barre de navigation en haut de la page, choisissez le nom du fichier actuellement affiché Région AWS. Choisissez ensuite la région dans laquelle vous souhaitez créer un bucket.

    Note

    Pour limiter la latence et les coûts, et répondre aux exigences légales, choisissez une région proche de vous. Les objets stockés dans une Région ne la quittent jamais, sauf si vous les transférez explicitement vers une autre Région. Pour obtenir la liste d'Amazon S3 Régions AWS, voir Service AWS points de terminaison dans le Référence générale d'Amazon Web Services.

  3. Dans le panneau de navigation de gauche, choisissez Compartiments.

  4. Choisissez Créer un compartiment.

    La page Créer un compartiment s'ouvre.

  5. Sous Configuration générale, consultez Région AWS où votre bucket sera créé.

  6. Sous Type de compartiment, sélectionnez Usage général.

  7. Pour Nom du compartiment, saisissez le nom de votre compartiment.

    Le nom du compartiment doit présenter les caractéristiques suivantes :

    • Être unique dans une partition. Une partition est un groupement de régions. AWS possède actuellement trois partitions : aws (Régions standard), aws-cn (Régions chinoises) et aws-us-gov (AWS GovCloud (US) Regions).

    • Il doit comporter entre 3 et 63 caractères.

    • Être uniquement composé de lettres minuscules, de chiffres, de points (.) et de traits d'union (-). Pour une meilleure compatibilité, nous vous recommandons d'éviter d'utiliser des points (.) dans les noms de compartiment, à l'exception des compartiments utilisés uniquement pour l'hébergement de sites web statiques.

    • Commencer et se terminer par une lettre ou un chiffre.

    Une fois le compartiment créé, vous ne pouvez pas changer son nom. Le Compte AWS qui crée le bucket en est propriétaire. Pour plus d'informations sur l'attribution de noms à des compartiments, consultez Règles de dénomination de compartiment.

    Important

    Évitez d’inclure des informations sensibles, notamment des numéros de compte, dans le nom du compartiment. Le nom du bucket est visible URLs là où pointent les objets du bucket.

  8. AWS Management Console vous permet de copier les paramètres d'un bucket existant dans votre nouveau bucket. Si vous ne souhaitez pas copier les paramètres d'un bucket existant, passez à l'étape suivante.

    Note

    Cette option :

    • N'est pas disponible dans AWS CLI et n'est disponible qu'en console

    • Non disponible pour les compartiments de répertoire

    • Ne copie pas la politique de compartiment du compartiment existant vers le nouveau compartiment

    Pour copier les paramètres d'un compartiment existant, sous Copier les paramètres d'un compartiment existant, sélectionnez Choisir un compartiment. La fenêtre Choose bucket s'ouvre. Recherchez le compartiment contenant les paramètres que vous souhaitez copier, puis sélectionnez Choisir un compartiment. La fenêtre Choisir un compartiment se ferme et la fenêtre Créer un compartiment s'ouvre à nouveau.

    Sous Copier les paramètres d'un bucket existant, vous pouvez maintenant voir le nom du bucket que vous avez sélectionné. Vous verrez également une option Restaurer les paramètres par défaut que vous pouvez utiliser pour supprimer les paramètres du bucket copiés. Passez en revue les autres paramètres du compartiment sur la page Créer un compartiment. Vous verrez qu'ils correspondent désormais aux paramètres du bucket que vous avez sélectionné. Vous pouvez passer à la dernière étape.

  9. Sous Propriété des objets, pour désactiver ou activer ACLs et contrôler la propriété des objets chargés dans votre bucket, sélectionnez l'un des paramètres suivants :

    ACLshandicapé

    • Appliqués par le propriétaire du compartiment (par défaut) : ACLs sont désactivés, et le propriétaire du compartiment possède automatiquement tous les objets du compartiment et en a le contrôle total. ACLsn'affecte plus les autorisations d'accès aux données du compartiment S3. Le compartiment utilise des stratégies exclusivement pour définir le contrôle des accès.

      Par défaut, ACLs sont désactivés. La majorité des cas d'utilisation modernes d'Amazon S3 ne nécessitent plus l'utilisation deACLs. Nous vous recommandons de rester ACLs désactivé, sauf dans des circonstances exceptionnelles où vous devez contrôler l'accès à chaque objet individuellement. Pour de plus amples informations, veuillez consulter Contrôle de la propriété des objets et désactivation ACLs pour votre compartiment.

    ACLsactivé

    • Propriétaire du compartiment préféré : le propriétaire du compartiment possède et contrôle totalement les nouveaux objets que d'autres comptes écrivent dans le compartiment avec le code bucket-owner-full-control prédéfiniACL.

      Si vous appliquez le paramètre préféré du propriétaire du compartiment, afin d'exiger que tous les téléchargements Amazon S3 incluent le bucket-owner-full-control scanACL, vous pouvez ajouter une politique de compartiment autorisant uniquement les téléchargements d'objets utilisant ce paramètre. ACL

    • Rédacteur d'objets — The Compte AWS qui télécharge un objet est propriétaire de l'objet, en a le contrôle total et peut autoriser d'autres utilisateurs à y accéder par le biais ACLs de celui-ci.

    Note

    Le paramètre par défaut est Propriétaire du compartiment appliqué. Pour appliquer le paramètre par défaut et le maintenir ACLs désactivé, seule l's3:CreateBucketautorisation est nécessaire. Pour l'activerACLs, vous devez avoir l's3:PutBucketOwnershipControlsautorisation.

  10. Dans Paramètres de blocage de l'accès public pour ce compartiment, choisissez les paramètres Bloquer l'accès public que vous souhaitez appliquer au compartiment.

    Par défaut, les quatre paramètres de blocage de l'accès public sont activés. Nous vous recommandons de maintenir tous les paramètres activés, sauf si vous savez que vous devez en désactiver un ou plusieurs pour votre cas d'utilisation spécifique. Pour en savoir plus sur le blocage de l'accès public, consultez Blocage de l'accès public à votre stockage Amazon S3.

    Note

    Pour activer tous les paramètres de blocage de l'accès public, seule l'autorisation s3:CreateBucket est requise. Pour désactiver les paramètres de blocage de l'accès public, vous devez disposer de l'autorisation s3:PutBucketPublicAccessBlock.

  11. (Facultatif) Sous Bucket Versioning (Gestion des versions du compartiment), vous pouvez choisir de conserver les variantes des objets dans votre compartiment. Pour plus d’informations sur la gestion des versions, consultez Utilisation de la gestion des versions dans les compartiments S3.

    Pour désactiver ou activer la gestion des versions sur votre compartiment, choisissez Disable (Désactiver) ou Enable (Activer).

  12. (Facultatif) Sous Tags (Balises), vous pouvez choisir d'ajouter des balises à votre compartiment. Les balises sont des paires clé-valeur utilisées pour catégoriser le stockage.

    Pour ajouter une balise de compartiment, saisissez une Key (Clé) et éventuellement une Value (Valeur), puis choisissez Add Tag (Ajouter une balise).

  13. Sous Default encryption (Chiffrement par défaut), choisissez Edit (Modifier).

  14. Pour configurer le chiffrement par défaut, dans Type de chiffrement, choisissez l'une des options suivantes :

    • Clé gérée par Amazon S3 (SSE-S3)

    • AWS Key Management Service clé (SSE-KMS)

      Important

      Si vous utilisez l'KMSoption SSE - pour votre configuration de chiffrement par défaut, vous êtes soumis au quota de demandes par seconde (RPS) de AWS KMS. Pour plus d'informations sur AWS KMS les quotas et comment demander une augmentation de quota, voir Quotas dans le AWS Key Management Service Guide du développeur.

    Les compartiments et les nouveaux objets sont chiffrés à l'aide d'un chiffrement côté serveur avec une clé gérée par Amazon S3 comme niveau de base de configuration du chiffrement. Pour plus d'informations sur le chiffrement par défaut, consultez Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3.

    Pour en savoir plus sur l'utilisation du chiffrement côté serveur Amazon S3 pour chiffrer vos données, consultez Utilisation du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3).

  15. Si tu as choisi AWS Key Management Service touche (SSE-KMS), procédez comme suit :

    1. Sous AWS KMS clé, spécifiez votre KMS clé de l'une des manières suivantes :

      • Pour choisir parmi une liste de KMS touches disponibles, choisissez Choisir parmi votre AWS KMS keys, puis choisissez votre KMSclé dans la liste des clés disponibles.

        Les deux Clé gérée par AWS (aws/s3) et vos clés gérées par le client apparaissent dans cette liste. Pour plus d'informations sur les clés gérées par le client, voir Clés client et AWS clés dans le AWS Key Management Service Guide du développeur.

      • Pour saisir la KMS cléARN, choisissez Enter AWS KMS key ARN, et entrez votre KMS clé ARN dans le champ qui apparaît.

      • Pour créer une nouvelle clé gérée par le client dans le AWS KMS console, choisissez Créer une KMS clé.

        Pour plus d'informations sur la création d'un AWS KMS key, voir Création de clés dans AWS Key Management Service Guide du développeur.

      Important

      Vous ne pouvez utiliser que KMS les touches disponibles dans le même Région AWS comme le seau. La console Amazon S3 répertorie uniquement les 100 premières KMS clés de la même région que le compartiment. Pour utiliser une KMS clé qui n'est pas répertoriée, vous devez saisir votre KMS cléARN. Si vous souhaitez utiliser une KMS clé appartenant à un autre compte, vous devez d'abord être autorisé à utiliser la clé, puis vous devez la KMS saisirARN. Pour plus d'informations sur les autorisations intercomptes relatives aux KMS clés, consultez la section Création de KMS clés utilisables par d'autres comptes dans le AWS Key Management Service Guide du développeur. Pour plus d'informations sur SSE -KMS, voirSpécification du chiffrement côté serveur avec AWS KMS (SSE-KMS).

      Lorsque vous utilisez un AWS KMS key pour le chiffrement côté serveur dans Amazon S3, vous devez choisir une clé de chiffrement symétrique. KMS Amazon S3 ne prend en charge que les clés de chiffrement symétriques et non KMS les clés asymétriquesKMS. Pour plus d'informations, consultez la section Identification des KMS clés symétriques et asymétriques dans le AWS Key Management Service Guide du développeur.

      Pour plus d'informations sur la création d'un AWS KMS key, voir Création de clés dans AWS Key Management Service Guide du développeur. Pour plus d'informations sur l'utilisation AWS KMS avec Amazon S3, voirUtilisation du chiffrement côté serveur avec AWS KMS clés (SSE-KMS).

    2. Lorsque vous configurez votre compartiment pour utiliser le chiffrement par défaut avec SSE -KMS, vous pouvez également activer les clés de compartiment S3. Les clés de compartiment S3 réduisent le coût du chiffrement en diminuant le trafic de demandes provenant d'Amazon S3 vers AWS KMS. Pour plus d'informations, consultezRéduction du coût de SSE : KMS avec les clés de compartiment Amazon S3.

      Pour utiliser les clés de compartiment S3, sous la Clé de compartiment, choisissez Activer.

  16. (Facultatif) Si vous souhaitez activer le verrouillage des objets S3, procédez comme suit :

    1. Choisissez Advanced Settings (Paramètres avancés).

      Important

      L'activation du verrouillage d'objet active également la gestion des versions pour le compartiment. Après l'avoir activé, vous devez configurer les paramètres de conservation et de mise en suspens juridique par défaut du verrouillage d'objets pour protéger les nouveaux objets contre la suppression ou l'écrasement.

    2. Pour activer le verrouillage d'objets, choisissez Enable (Activer), lisez l'avertissement qui s'affiche et confirmez-le.

    Pour plus d’informations, consultez Utilisation du verrouillage des objets S3.

    Note

    Pour créer un compartiment prenant en charge le verrouillage d'objets, vous devez disposer des autorisations suivantes : s3:CreateBucket, s3:PutBucketVersioning et s3:PutBucketObjectLockConfiguration.

  17. Choisissez Créer un compartiment.

Pour définir la propriété de l'objet lorsque vous créez un nouveau compartiment, utilisez create-bucket AWS CLI commande avec le --object-ownership paramètre.

Cet exemple applique le paramètre imposé par le propriétaire du compartiment pour un nouveau compartiment à l'aide du AWS CLI:

aws s3api create-bucket --bucket  amzn-s3-demo-bucket --region us-east-1 --object-ownership BucketOwnerEnforced
Important

Si vous ne définissez pas la propriété de l'objet lorsque vous créez un bucket à l'aide du AWS CLI, le paramètre par défaut sera ObjectWriter (ACLsactivé).

Cet exemple définit le paramètre imposé par le propriétaire du compartiment pour un nouveau compartiment à l'aide du AWS SDK for Java:

    // Build the ObjectOwnership for CreateBucket
    CreateBucketRequest createBucketRequest = CreateBucketRequest.builder()
            .bucket(bucketName)
            .objectOwnership(ObjectOwnership.BucketOwnerEnforced)
            .build()

     // Send the request to Amazon S3 
     s3client.createBucket(createBucketRequest);

Pour utiliser l'AWS::S3::Bucket AWS CloudFormation ressource permettant de définir la propriété de l'objet lorsque vous créez un nouveau compartiment, voir OwnershipControls dans AWS::S3::Bucket dans le .AWS CloudFormation Guide de l'utilisateur.

Pour appliquer le paramètre imposé par le propriétaire du compartiment pour la propriété des objets S3, utilisez l'CreateBucketAPIopération avec l'en-tête de x-amz-object-ownership demande défini surBucketOwnerEnforced. Pour plus d'informations et des exemples, voir CreateBucketdans le Amazon Simple Storage Service API Reference.

Étapes suivantes : une fois que vous avez appliqué les paramètres Propriétaire du compartiment appliqué ou Propriétaire du compartiment préféré pour Propriété d’objets, vous pouvez suivre les étapes suivantes :