Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Configuration du navigateur de stockage pour S3

PDF
RSS
Mode de mise au point
Configuration du navigateur de stockage pour S3 - Amazon Simple Storage Service
Méthode 1 : gérer l’accès aux données pour vos clients et partenaires tiersMéthode 2 : gestion de l'accès aux données pour vos principaux IAM pour votre compte AWSMéthode 3 : gestion de l’accès aux données à l’échelle

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour connecter les utilisateurs finaux aux emplacements Amazon S3, vous devez d’abord configurer une méthode d’authentification et d’autorisation. Il existe trois méthodes pour configurer une méthode d’authentification et d’autorisation avec le navigateur de stockage :

Méthode 1 : gérer l’accès aux données pour vos clients et partenaires tiers

Avec cette méthode, vous pouvez utiliser AWS Amplify Auth pour gérer le contrôle d’accès et la sécurité des fichiers. Cette méthode est idéale lorsque vous souhaitez connecter vos clients ou partenaires tiers aux données dans S3. Grâce à cette option, vos clients peuvent s’authentifier à l’aide de fournisseurs d’identité sociaux ou d’entreprise.

Vous fournissez des informations d'identification IAM à vos utilisateurs finaux et à des partenaires tiers à l'aide d' AWS Amplify Auth avec un compartiment S3 configuré pour utiliser Amplify Storage. AWS Amplify Auth repose sur Amazon Cognito, un service de gestion de l'identité et de l'accès des clients entièrement géré qui vous permet d'authentifier et d'autoriser les utilisateurs à partir d'un annuaire d'utilisateurs ou d'un annuaire d'entreprise intégré, ou auprès de fournisseurs d'identité de consommateurs. Le modèle d’autorisation Amplify définit les préfixes auxquels l’utilisateur authentifié actif peut accéder. Pour plus d’informations sur la configuration de l’autorisation pour AWS Amplify, consultez Configuration du stockage.

Pour initialiser le composant avec les méthodes d’authentification et de stockage Amplify, ajoutez l’extrait de code suivant à votre application web :

import {
  createAmplifyAuthAdapter,
  createStorageBrowser,
} from '@aws-amplify/ui-react-storage/browser';
import "@aws-amplify/ui-react-storage/styles.css";

import config from './amplify_outputs.json';

Amplify.configure(config);

export const { StorageBrowser } = createStorageBrowser({
  config: createAmplifyAuthAdapter(),
});

Méthode 2 : gestion de l'accès aux données pour vos principaux IAM pour votre compte AWS

Si vous souhaitez gérer l'accès pour vos principaux IAM ou Compte AWS directement, vous pouvez créer un rôle IAM autorisé à invoquer le GetDataAccessFonctionnement de l'API S3. Pour configurer cela, vous devez créer une instance d’autorisations d’accès S3 afin de mapper les autorisations pour les compartiments S3 et les préfixes aux identités IAM spécifiées. Le composant Storage Browser (qui doit être appelé côté client après avoir obtenu les informations d'identification IAM) invoquera ensuite le ListCallerAccessGrantsOpération de l'API S3 pour récupérer les autorisations disponibles pour le demandeur d'identité et renseigner les emplacements dans le composant. Une fois que vous avez obtenu l’autorisation s3:GetDataAccess, ces informations d’identification sont ensuite utilisées par le composant Navigateur de stockage pour demander l’accès aux données à S3.

import {
  createManagedAuthAdapter,
  createStorageBrowser,
} from '@aws-amplify/ui-react-storage/browser';
import "@aws-amplify/ui-react-storage/styles.css";

export const { StorageBrowser } = createStorageBrowser({
  config: createManagedAuthAdapter({
    credentialsProvider: async (options?: { forceRefresh?: boolean }) => {
      // return your credentials object
      return {
        credentials: {
          accessKeyId: 'my-access-key-id',
          secretAccessKey: 'my-secret-access-key',
          sessionToken: 'my-session-token',
          expiration: new Date()
        },
      }
    },
    // AWS `region` and `accountId`
    region: '',
    accountId: '',
    // call `onAuthStateChange` when end user auth state changes 
    // to clear sensitive data from the `StorageBrowser` state
    registerAuthListener: (onAuthStateChange) => {},
  })
});

Méthode 3 : gestion de l’accès aux données à l’échelle

Si vous souhaitez associer une instance d’autorisations d’accès S3 à IAM Identity Center pour bénéficier d’une solution plus évolutive (par exemple, si vous souhaitez fournir l’accès aux données à l’ensemble de votre entreprise), vous pouvez demander des données à Amazon S3 au nom de l’utilisateur authentifié actuel. Par exemple, vous pouvez autoriser les groupes d’utilisateurs de votre annuaire d’entreprise à accéder à vos données dans S3. Cette approche vous permet de gérer de manière centralisée les autorisations d’octroi d’accès S3 pour vos utilisateurs et groupes, y compris celles hébergées par des fournisseurs externes tels que Microsoft Entra, Okta, etc.

Lorsque vous utilisez cette méthode, l’intégration à l’IAM Identity Center vous permet d’utiliser les annuaires d’utilisateurs existants. Un autre avantage de la propagation d’identité approuvée d’IAM Identity Center est que chaque événement de données AWS CloudTrail pour Amazon S3 contient une référence directe à l’identité de l’utilisateur final qui a accédé aux données S3.

Si votre application prend en charge la OAuth version 2.0 et que vos utilisateurs ont besoin d'accéder à des AWS services depuis ces applications, nous vous recommandons d'utiliser la propagation d'identité sécurisée. Grâce à la propagation sécurisée des identités, un utilisateur peut se connecter à une application, et cette application peut transmettre son identité dans toutes les demandes d'accès aux données des AWS services. Cette application interagit avec IAM Identity Center pour le compte de tous les utilisateurs authentifiés. Pour plus d’informations, consultez Utilisation de la propagation d’identité approuvée entre applications.

Configuration

Pour configurer l'authentification du navigateur de stockage dans le cadre de la propagation des identités fiables à AWS Management Console l'aide de S3 Access Grants et d'IAM Identity Center, vos applications doivent demander des données à Amazon S3 au nom de l'utilisateur authentifié actuel. Grâce à cette approche, vous pouvez donner aux utilisateurs ou aux groupes d’utilisateurs de votre annuaire d’entreprise un accès direct à vos compartiments, préfixes ou objets S3. Votre application n’a donc pas besoin de mapper des utilisateurs à un principal IAM.

Le flux de travail suivant décrit les étapes de configuration du navigateur de stockage pour S3, à l’aide d’IAM Identity Center et des autorisations d’accès S3 :

Étapes Description
1 Activation d’IAM Identity Center pour AWS Organizations
2 Configuration de la fédération AWS Identity and Access Management Identity Center
3 Ajout d’un émetteur de jetons approuvés dans la console AWS Identity and Access Management Identity Center

L’émetteur de jetons approuvés représente votre fournisseur d’identité (IdP) externe au sein d’IAM Identity Center, ce qui lui permet de reconnaître les jetons d’identité des utilisateurs authentifiés de votre application.
4 Création d’un rôle IAM pour l’application bootstrap et le identity bearer
5 Création et configuration de votre application dans IAM Identity Center

Cette application interagit avec IAM Identity Center pour le compte des utilisateurs authentifiés.
6 Ajout des autorisations d’accès S3 en tant qu’application approuvée pour la propagation des identités

Cette étape connecte votre application aux autorisations d’accès S3, afin qu’elle puisse envoyer des demandes aux autorisations d’accès S3 au nom des utilisateurs authentifiés.
7 Création d’une autorisation pour un utilisateur ou un groupe d’utilisateurs

Cette étape synchronise les utilisateurs depuis AWS Identity and Access Management Identity Center avec le système de gestion des identités interdomaines (SCIM). SCIM synchronise les identités de votre IAM Identity Center avec les identités de votre fournisseur d’identité (IdP).
8 Création du composant Navigateur de stockage pour S3

Activation d’IAM Identity Center pour AWS Organizations

Pour activer IAM Identity Center pour votre AWS Organizations, effectuez les opérations suivantes :

  1. Connectez-vous au AWS Management Console, en utilisant l'une des méthodes suivantes :

    1. Nouvel utilisateur AWS (utilisateur root) : connectez-vous en tant que propriétaire du compte en choisissant Utilisateur root et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.

    2. Vous utilisez déjà AWS (informations d'identification IAM) : connectez-vous à l'aide de vos informations d'identification IAM avec des autorisations administratives.

  2. Ouvrez la console IAM Identity Center.

  3. Sous Activer IAM Identity Center, sélectionnez Activer.

    Note

    IAM Identity Center nécessite la configuration de. AWS Organizations Si vous n'avez pas créé d'organisation, vous pouvez choisir d'en AWS créer une pour vous. Choisissez Créer une AWS organisation pour terminer ce processus.

  4. Choisissez Activer avec AWS Organizations.

  5. Choisissez Continuer.

  6. (Facultatif) Ajoutez les balises que vous souhaitez associer à l’instance de cette organisation.

  7. (Facultatif) Configurez l’administration déléguée.

    Note

    Si vous utilisez un environnement à plusieurs comptes, nous vous recommandons de configurer l’administration déléguée. Grâce à l’administration déléguée, vous pouvez limiter le nombre de personnes ayant besoin d’accéder au compte de gestion dans AWS Organizations. Pour plus d’informations, consultez Administration déléguée.

  8. Choisissez Save (Enregistrer).

AWS Organizations envoie automatiquement un e-mail de vérification à l'adresse associée à votre compte de gestion. Il peut y avoir un délai avant la réception de l’e-mail de vérification. Assurez-vous de vérifier votre adresse e-mail dans les 24 heures, avant l’expiration de l’e-mail de vérification.

Configuration de la fédération AWS Identity and Access Management Identity Center

Pour utiliser le navigateur de stockage pour S3 avec les utilisateurs de l’annuaire d’entreprise, vous devez configurer IAM Identity Center pour qu’il utilise un fournisseur d’identité (IdP) externe. Vous pouvez utiliser le fournisseur d’identité de votre choix. Sachez toutefois que chaque fournisseur d’identité utilise des paramètres de configuration différents. Pour en savoir plus sur l’utilisation de différents fournisseurs d’identité externes, consultez les didacticiels sources d’IAM Identity Center.

Note

Assurez-vous d’enregistrer l’URL de l’émetteur et les attributs d’audience du fournisseur d’identité que vous avez configuré, car vous devrez vous y référer ultérieurement. Si vous ne disposez pas de l’accès ni des autorisations nécessaires pour configurer un fournisseur d’identité externe, vous devrez peut-être contacter l’administrateur de ce fournisseur pour les obtenir.

Ajout d’un émetteur de jetons approuvés dans la console AWS Identity and Access Management Identity Center

L’émetteur de jetons approuvés représente votre fournisseur d’identité externe au sein d’ AWS Identity and Access Management Identity Center, et reconnaît les jetons d’identité des utilisateurs authentifiés de votre application. Le propriétaire du compte de l'instance IAM Identity Center de votre ordinateur AWS Organizations doit effectuer ces étapes. Cela peut avoir lieu soit dans la console IAM Identity Center, soit par programmation.

Pour ajouter un émetteur de jetons de confiance dans la console AWS Identity and Access Management Identity Center, effectuez les opérations suivantes :

  1. Ouvrez la console IAM Identity Center.

  2. Sélectionnez Paramètres.

  3. Choisissez l’onglet Authentification.

  4. Accédez à la section Émetteurs de jetons approuvés et renseignez les informations suivantes :

    1. Sous URL de l’émetteur, entrez l’URL du fournisseur d’identité externe qui sert d’émetteur de jetons approuvés. Vous devrez peut-être contacter l’administrateur du fournisseur d’identité externe pour obtenir ces informations. Pour plus d’informations, consultez Utilisation d’applications avec un émetteur de jetons approuvés.

    2. Sous Nom de l’émetteur de jeton approuvé, entrez le nom de l’émetteur de jetons approuvés. Ce nom apparaît dans la liste des émetteurs de jetons approuvés que vous pouvez sélectionner à l’étape 8, lorsqu’une ressource d’application est configurée pour la propagation des identités.

  5. Mettez à jour la section Mapper les attributs en fonction de l’attribut de votre application préférée. Notez que chaque attribut du fournisseur d’identité est mappé à un attribut d’IAM Identity Center. Par exemple, vous pouvez mapper l’attribut d’application email à l’attribut utilisateur IAM Identity Center email. Pour consulter la liste des attributs utilisateur autorisés dans IAM Identity Center, consultez le tableau figurant dans la section Mappages d'attributs pour le répertoire AWS Microsoft AD géré.

  6. (Facultatif) Si vous souhaitez ajouter une balise de ressource, entrez la paire clé/valeur. Pour ajouter plusieurs balises de ressources, choisissez Ajouter une nouvelle balise afin de générer une nouvelle entrée, puis saisissez les paires clé/valeur.

  7. Choisissez Créer un émetteur de jetons approuvés.

  8. Une fois que vous avez créé l’émetteur de jetons approuvés, contactez l’administrateur de l’application pour lui communiquer le nom de l’émetteur de jetons approuvés, afin qu’il puisse confirmer que cet émetteur est visible dans la console appropriée.

  9. Assurez-vous que l’administrateur de l’application sélectionne cet émetteur de jetons approuvés dans la console applicable pour permettre l’accès utilisateur à l’application à partir d’applications configurées pour la propagation d’identité approuvée.

Création d’un rôle IAM pour l’application bootstrap et le identity bearer

Pour que l’application bootstrap et les utilisateurs du identity bearer puissent interagir de manière appropriée, veillez à créer deux rôles IAM. Un rôle IAM est requis pour l’application bootstrap, et l’autre rôle IAM doit être utilisé pour le porteur d’identité ou pour les utilisateurs finaux qui accèdent à l’application web demandant l’accès via les autorisations d’accès S3. L’application bootstrap recevra le jeton émis par le fournisseur d’identité et invoquera l’API CreateTokenWithIAM, en échangeant ce jeton avec celui émis par Identity Center.

Créez un rôle IAM, comme bootstrap-role, avec les autorisations suivantes. L’exemple suivant de politique IAM donne les autorisations nécessaires pour que bootstrap-role effectue l’échange de jetons :

{
    "Version": "2012-10-17",
    "Statement": [{
        "Action": [
            "sso-oauth:CreateTokenWithIAM",
        ],
        "Resource": "arn:${Partition}:sso::${AccountId}:application/${InstanceId}/${ApplicationId}",
        "Effect": "Allow"
    },
    {
        "Action": [
            "sts:AssumeRole",
            "sts:SetContext"
        ],
        "Resource": "arn:aws:iam::${AccountId}:role/identity-bearer-role",
        "Effect": "Allow"
    }]
}

Créez ensuite un deuxième rôle IAM (comme identity-bearer-role), que le fournisseur d’identité utilisera pour générer les informations d’identification IAM. Les informations d’identification IAM renvoyées par le fournisseur d’identité à l’application web sont utilisées par le composant Navigateur de stockage pour S3 afin d’autoriser l’accès aux données S3 :

{
    "Action": [
        "s3:GetDataAccess",
        "s3:ListCallerAccessGrants",
    ],
    "Resource": "arn:${Partition}:s3:${Region}:${Account}:access-grants/default",
    "Effect": "Allow"
}

Ce rôle IAM (identity-bearer-role) doit utiliser une politique d’approbation avec l’instruction suivante :

{
   "Effect": "Allow",
   "Principal": {
      "AWS": "arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}"
   },
   "Action": [
       "sts:AssumeRole",
       "sts:SetContext"
   ]
}

Création et configuration de votre application dans IAM Identity Center

Note

Avant de commencer, vérifiez que vous avez créé les rôles IAM requis à l’étape précédente. Vous devrez spécifier l’un de ces rôles IAM au cours de cette étape.

Pour créer et configurer une application gérée par le client dans AWS IAM Identity Center, effectuez les étapes suivantes :

  1. Ouvrez la console IAM Identity Center.

  2. Choisissez Applications.

  3. Choisissez l’onglet Gérée par le client.

  4. Choisissez Add application (Ajouter une application).

  5. Sur la page Sélectionner le type d’application, sous Préférence de configuration, choisissez J’ai une application que je souhaite configurer.

  6. Sous Type d'application, choisissez OAuth2.0.

  7. Choisissez Suivant. La page Spécifier l’application s’affiche.

  8. Dans la section Nom et description de l’application, entrez un nom d’affichage pour l’application, tel que storage-browser-oauth.

  9. Saisissez une Description. La description de l'application apparaît dans la console IAM Identity Center et dans les demandes d'API, mais pas dans le portail AWS d'accès.

  10. Sous Procédé d’affectation des utilisateurs et des groupes, choisissez Ne pas exiger d’affectations. Cette option permet à tous les utilisateurs et groupes autorisés d’IAM Identity Center d’accéder à cette application.

  11. Sous Portail d’accès AWS , entrez l’URL de l’application à laquelle les utilisateurs peuvent accéder.

  12. (Facultatif) Si vous souhaitez ajouter une balise de ressource, entrez la paire clé/valeur. Pour ajouter plusieurs balises de ressources, choisissez Ajouter une nouvelle balise afin de générer une nouvelle entrée, puis saisissez les paires clé/valeur.

  13. Choisissez Suivant. La page de spécification de l’authentification s’affiche.

  14. Sous Authentification avec un émetteur de jetons approuvés, cochez la case pour sélectionner l’émetteur de jetons approuvés que vous avez créé précédemment.

  15. Sous Configurer les émetteurs de jeton approuvé sélectionné, entrez la réclamation Aud. La réclamation Aud identifie l’audience du jeton web JSON, ou jeton JWT. Il s’agit du nom sous lequel l’émetteur de jetons approuvés identifie cette application.

    Note

    Vous devrez peut-être contacter l’administrateur du fournisseur d’identité externe pour obtenir ces informations.

  16. Choisissez Suivant. La page de spécification des informations d’identification pour l’authentification s’affiche.

  17. Sous Méthode de configuration, choisissez Saisir un ou plusieurs rôles IAM.

  18. Sous Saisir les rôles IAM, ajoutez le rôle IAM ou l’ Amazon Resource Name (ARN) du jeton porteur d’identité. Vous devez saisir le rôle IAM que vous avez créé à l’étape précédente pour l’application de fournisseur d’identité (par exemple, bootstrap-role).

  19. Choisissez Suivant.

  20. Sur la page Vérification et configuration, passez en revue les détails de la configuration de votre application. Si vous devez modifier des paramètres, choisissez Modifier pour la section que vous souhaitez modifier, puis apportez les modifications nécessaires.

  21. Sélectionnez Envoyer. La page de détails de l’application que vous venez d’ajouter s’affiche.

Une fois que vous avez configuré vos applications, vos utilisateurs peuvent y accéder depuis leur portail AWS d'accès en fonction des ensembles d'autorisations que vous avez créés et de l'accès utilisateur que vous avez attribué.

Ajout des autorisations d’accès S3 en tant qu’application approuvée pour la propagation des identités

Après avoir configuré votre application gérée par le client, vous devez spécifier les autorisations d’accès S3 pour la propagation des identités. Les autorisations d’accès S3 fournissent des informations d’identification aux utilisateurs pour qu’ils puissent accéder aux données Amazon S3. Lorsque vous vous connectez à votre application gérée par le client, les autorisations d’accès S3 transmettent votre identité d’utilisateur à l’application approuvée.

Prérequis : assurez-vous d’avoir configuré les autorisations d’accès S3 (par exemple, en créant une instance d’autorisations d’accès S3 et en enregistrant un emplacement) avant de suivre ces étapes. Pour plus d’informations, consultez Bien démarrer avec les autorisations d’accès S3.

Pour ajouter des autorisations d’accès S3 à des fins de propagation d’identité à votre application gérée par le client, effectuez les opérations suivantes :

  1. Ouvrez la console IAM Identity Center.

  2. Choisissez Applications.

  3. Choisissez l’onglet Gérée par le client.

  4. Dans la liste des applications gérées par le client, sélectionnez l'application OAuth 2.0 pour laquelle vous souhaitez lancer des demandes d'accès. Il s’agit de l’application à laquelle vos utilisateurs se connecteront.

  5. Sur la page Détails, sous Applications approuvées pour la propagation d’identité, choisissez Spécifier les applications approuvées.

  6. Sous Type de configuration, sélectionnez Applications individuelles et spécifiez l’accès, puis choisissez Suivant.

  7. Sur la page Sélectionner un service, choisissez Autorisations d’accès S3. Les autorisations d’accès S3 comprennent des applications que vous pouvez utiliser pour définir votre propre application web pour la propagation d’identité approuvée.

  8. Choisissez Suivant. Vous sélectionnerez vos applications à l’étape suivante.

  9. Sur la page Sélectionner les applications, choisissez Applications individuelles, cochez la case correspondant à chaque application pouvant recevoir des demandes d’accès, puis choisissez Suivant.

  10. Sur la page Configuration d’accès, sous Méthode de configuration, sélectionnez l’une des options suivantes :

    • Sélectionnez l’accès pour chaque application : sélectionnez cette option pour configurer différents niveaux d’accès pour chaque application. Choisissez l’application pour laquelle vous souhaitez configurer le niveau d’accès, puis choisissez Modifier l’accès. Dans Niveau d’accès à appliquer, modifiez les niveaux d’accès selon vos besoins, puis sélectionnez Enregistrer les modifications.

    • Appliquer le même niveau d’accès à toutes les applications : sélectionnez cette option si vous n’avez pas besoin de configurer les niveaux d’accès pour chaque application.

  11. Choisissez Suivant.

  12. Sur la page Vérifier la configuration, passez en revue les choix que vous avez effectués.

    Note

    Assurez-vous que l’autorisation s3:access_grants:read_write est accordée à vos utilisateurs. Cette autorisation permet à vos utilisateurs de récupérer les informations d’identification leur permettant d’accéder à Amazon S3. Assurez-vous d’utiliser la politique IAM que vous avez créée précédemment, ou les autorisations d’accès S3, pour limiter l’accès aux opérations d’écriture.

  13. Pour apporter des modifications, choisissez Modifier pour la section de configuration à laquelle vous voulez apporter des modifications. Effectuez les modifications nécessaires, puis sélectionnez Enregistrer les modifications.

  14. Choisissez Applications approuvées pour ajouter l’application sécurisée pour la propagation d’identité.

Création d’une autorisation pour un utilisateur ou un groupe d’utilisateurs

Au cours de cette étape, vous utiliserez IAM Identity Center pour provisionner vos utilisateurs. Vous pouvez utiliser SCIM pour le provisionnement automatique ou manuel des utilisateurs et des groupes. SCIM synchronise les identités de votre IAM Identity Center avec les identités de votre fournisseur d’identité (IdP). Cela inclut le provisionnement, les mises à jour et le déprovisionnement des utilisateurs entre votre fournisseur d’identité et IAM Identity Center.

Note

Cette étape est nécessaire, car lorsque les autorisations d’accès S3 sont utilisées avec IAM Identity Center, les utilisateurs locaux d’IAM Identity Center ne sont pas utilisés. Au lieu de cela, les utilisateurs doivent être synchronisés depuis le fournisseur d’identité avec IAM Identity Center.

Pour synchroniser les utilisateurs du fournisseur d’identité avec IAM Identity Center, effectuez les opérations suivantes :

  1. Activez le provisionnement automatique.

  2. Générez un jeton d’accès.

Pour obtenir des exemples de configuration du fournisseur d’identité avec IAM Identity Center pour votre cas d’utilisation spécifique, consultez les didacticiels sur les sources d’identité d’IAM Identity Center.

Création du composant Navigateur de stockage pour S3

Après avoir configuré une instance IAM Identity Center et après avoir créé des autorisations dans les autorisations d’accès S3, ouvrez l’application React. Dans l’application React, utilisez createManagedAuthAdapter pour configurer les règles d’autorisation. Vous devez indiquer un fournisseur d’informations d’identification pour renvoyer les informations d’identification que vous avez obtenues auprès d’IAM Identity Center. Vous pouvez ensuite appeler createStorageBrowser pour initialiser le composant Navigateur de stockage pour S3 :

import {
    createManagedAuthAdapter,
    createStorageBrowser,
} from '@aws-amplify/ui-react-storage/browser';
import '@aws-amplify/ui-react-storage/styles.css';

export const { StorageBrowser } = createStorageBrowser({
   config: createManagedAuthAdapter({
    credentialsProvider: async (options?: { forceRefresh?: boolean }) => {
      // return your credentials object
      return {
        credentials: {
          accessKeyId: 'my-access-key-id',
          secretAccessKey: 'my-secret-access-key',
          sessionToken: 'my-session-token',
          expiration: new Date(),
        },
      }
    },
    // AWS `region` and `accountId` of the S3 Access Grants Instance.
    region: '',
    accountId: '',
    // call `onAuthStateChange` when end user auth state changes 
    // to clear sensitive data from the `StorageBrowser` state
    registerAuthListener: (onAuthStateChange) => {},
  })
});

Créez ensuite un mécanisme pour échanger les jetons Web JSON (JWTs) de votre application Web avec les informations d'identification IAM d'IAM Identity Center. Pour plus d’informations sur l’échange de jetons JWT, consultez les ressources suivantes :

Configurez ensuite un point de terminaison d’API pour gérer les demandes d’extraction d’informations d’identification. Pour valider l’échange de jetons web JSON (JWT), effectuez les opérations suivantes :

  1. Récupérez le jeton web JSON à partir de l’en-tête d’autorisation des demandes entrantes.

  2. Validez le jeton à l’aide des clés publiques de l’URL du jeu JWKS (JSON Web Key Set) spécifié.

  3. Vérifiez les déclarations relatives à l’expiration, à l’émetteur, au sujet et à l’audience du jeton.

Pour échanger le jeton Web JSON du fournisseur d'identité avec les informations d'identification AWS IAM, effectuez les opérations suivantes :

Astuce

Évitez de consigner des informations sensibles. Nous vous recommandons d’utiliser des contrôles de gestion des erreurs pour les autorisations manquantes, les jetons ayant expiré et les autres exceptions. Pour plus d'informations, consultez l'article Implémentation des modèles de gestion des AWS Lambda erreurs sur le blog AWS Compute.

  1. Vérifiez que les paramètres Autorisation et Portée requis sont fournis dans la demande.

  2. Utilisation de la CreateTokenWithIAMAPI pour échanger le jeton Web JSON contre un jeton IAM Identity Center.

    Note

    Une fois que le jeton Web JSON du fournisseur d’identité a été utilisé, il ne peut pas être réutilisé. Un nouveau jeton devra être utilisé pour l’échange avec IAM Identity Center.

  3. Utilisez l'opération AssumeRoleAPI pour assumer un rôle transitoire à l'aide du jeton IAM Identity Center. Assurez-vous d’utiliser le rôle du porteur d’identité, également connu sous le nom de rôle porteur du contexte d’identité (par exemple, identity-bearer-role), pour demander les informations d’identification.

  4. Renvoyez les informations d’identification IAM à l’application web.

    Note

    Assurez-vous d’avoir mis en place un mécanisme de journalisation approprié. Les réponses sont renvoyées dans un format JSON standardisé avec un code d’état HTTP approprié.

Sur cette page

Related resources

Amazon S3 Référence d'API
AWS CLI commandes pour Amazon S3
SDKs et outils 

Related resources

Amazon S3 Référence d'API
AWS CLI commandes pour Amazon S3
SDKs et outils 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.