Gestion des accès

Amazon S3 fournit une variété d'outils de gestion des accès. Vous trouverez ci-dessous une liste de ces fonctionnalités et outils. Vous n'avez pas besoin de tous ces outils de gestion des accès, mais vous devez en utiliser un ou plusieurs pour accorder l'accès à vos compartiments, objets et autres Ressources S3 objets Amazon S3. L'application appropriée de ces outils peut contribuer à garantir que vos ressources ne sont accessibles qu'aux utilisateurs visés.

L'outil de gestion des accès le plus couramment utilisé est une politique d'accès. Une politique d'accès peut être une politique basée sur les ressources attachée à une AWS ressource, telle qu'une politique de compartiment pour un compartiment. Une politique d'accès peut également être une politique basée sur l'identité attachée à une AWS Identity and Access Management (IAM) identité, telle qu'un IAM utilisateur, un groupe ou un rôle. Une politique d'accès décrit qui a accès à quels éléments. Rédigez une politique d'accès pour accorder Comptes AWS IAM aux utilisateurs, aux groupes et aux rôles l'autorisation d'effectuer des opérations sur une ressource. Par exemple, vous pouvez accorder une PUT Object autorisation à un autre compte Compte AWS afin qu'il puisse télécharger des objets dans votre compartiment.

Les outils de gestion des accès disponibles dans Amazon S3 sont les suivants. Pour un guide plus complet sur le contrôle d'accès Amazon S3, consultezContrôle d'accès dans Amazon S3.

Politique de compartiment

Une politique de compartiment Amazon S3 est une politique basée sur les ressources JSON -formatted AWS Identity and Access Management (IAM) attachée à un compartiment particulier. Utilisez des politiques de compartiment pour accorder des autorisations à d'autres IAM personnes Comptes AWS ou à des identités pour le compartiment et les objets qu'il contient. De nombreux cas d'utilisation de la gestion des accès S3 peuvent être satisfaits à l'aide d'une politique de compartiment. Grâce aux politiques relatives aux compartiments, vous pouvez personnaliser l'accès aux compartiments pour vous assurer que seules les identités que vous avez approuvées peuvent accéder aux ressources et effectuer des actions au sein de celles-ci. Pour de plus amples informations, veuillez consulter Politiques relatives aux compartiments pour Amazon S3.

Politique basée sur l'identité

Une politique basée sur l'identité ou basée sur IAM l'utilisateur est un type de stratégie AWS Identity and Access Management (IAM). Une politique basée sur l'identité est une stratégie JSON formatée attachée aux IAM utilisateurs, aux groupes ou aux rôles de votre compte. AWS Vous pouvez utiliser des politiques basées sur l'identité pour accorder à une IAM identité l'accès à vos compartiments ou à vos objets. Vous pouvez créer des IAM utilisateurs, des groupes et des rôles dans votre compte et leur associer des politiques d'accès. Vous pouvez ensuite accorder l'accès aux AWS ressources, notamment aux ressources Amazon S3. Pour de plus amples informations, veuillez consulter Politiques basées sur l'identité pour Amazon S3.

Octrois d’accès S3

Utilisez S3 Access Grants pour créer des autorisations d'accès à vos données Amazon S3 pour les deux identités dans les annuaires d'identité d'entreprise, tels que Active Directory, et à AWS Identity and Access Management (IAM) identités. S3 Access Grants vous aide à gérer les autorisations de données à grande échelle. En outre, S3 Access Grants enregistre l'identité de l'utilisateur final et l'application utilisée pour accéder aux AWS CloudTrail données S3. Cela fournit un historique d'audit détaillé jusqu'à l'identité de l'utilisateur final pour tous les accès aux données de vos compartiments S3. Pour de plus amples informations, veuillez consulter Gestion de l’accès avec les octrois d’accès S3.

Points d'accès

Amazon S3 Access Points simplifie la gestion de l'accès aux données à grande échelle pour les applications qui utilisent des ensembles de données partagés sur S3. Les points d'accès sont appelés points de terminaison réseau attachés à un bucket. Vous pouvez utiliser les points d'accès pour effectuer des opérations sur des objets S3 à grande échelle, telles que le téléchargement et la récupération d'objets. Un bucket peut contenir jusqu'à 10 000 points d'accès, et pour chaque point d'accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts afin de contrôler en détail l'accès à vos objets S3. Les points d'accès S3 peuvent être associés à des buckets dans le même compte ou dans un autre compte fiable. Les politiques de points d'accès sont des politiques basées sur les ressources qui sont évaluées conjointement avec la politique de compartiment sous-jacente. Pour de plus amples informations, veuillez consulter Gestion de l'accès aux ensembles de données partagés à l'aide de points d'accès.

Liste de contrôle d'accès (ACL)

An ACL est une liste de subventions identifiant le bénéficiaire et l'autorisation accordée. ACLsaccorder des autorisations de lecture ou d'écriture de base à d'autres Comptes AWS. ACLsutilisez un schéma spécifique à Amazon S3XML. An ACL est un type de politique AWS Identity and Access Management (IAM). Un objet ACL est utilisé pour gérer l'accès à un objet, et un bucket ACL est utilisé pour gérer l'accès à un bucket. Avec les politiques de compartiment, il existe une seule politique pour l'ensemble du compartiment, mais ACLs les objets sont spécifiés pour chaque objet. Nous vous recommandons de rester ACLs éteint, sauf dans des circonstances exceptionnelles où vous devez contrôler l'accès individuellement pour chaque objet. Pour plus d'informations sur l'utilisationACLs, consultezContrôle de la propriété des objets et désactivation ACLs pour votre compartiment.

Avertissement

La majorité des cas d'utilisation modernes d'Amazon S3 ne nécessitent pas l'utilisation deACLs.

Propriété de l'objet

Pour gérer l'accès à vos objets, vous devez en être le propriétaire. Vous pouvez utiliser le paramètre Object Ownership au niveau du bucket pour contrôler la propriété des objets chargés dans votre bucket. Utilisez également la propriété des objets pour l'activerACLs. Par défaut, Object Ownership est défini sur le paramètre imposé par le propriétaire du bucket et tous les paramètres ACLs sont désactivés. Lorsqu'ils ACLs sont désactivés, le propriétaire du compartiment possède tous les objets du compartiment et gère exclusivement l'accès aux données. Pour gérer l'accès, le propriétaire du compartiment utilise des politiques ou un autre outil de gestion des accès, à l'exception deACLs. Pour de plus amples informations, veuillez consulter Contrôle de la propriété des objets et désactivation ACLs pour votre compartiment.

Pour un guide plus complet sur le contrôle d'accès Amazon S3 et d'autres bonnes pratiques, consultezContrôle d'accès dans Amazon S3.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration et analyse des vulnérabilités

Protection des données