Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Ajout d'un partage de fichiers
Une fois que votre passerelle de fichiers S3 est activée et est en cours d'exécution, vous pouvez ajouter des partages de fichiers supplémentaires et accorder l'accès aux compartiments Amazon S3. Les compartiments auxquels vous pouvez accorder l'accès incluent les compartiments dans un autreCompte AWSque votre partage de fichiers. Pour plus d'informations sur la façon d'ajouter un partage de fichiers, consultez Création d'un partage de fichiers.
Rubriques
Octroi d'accès à un compartiment Amazon S3
Lorsque vous créez un partage de fichiers, votre passerelle de fichiers nécessite un accès pour charger des fichiers dans votre compartiment Amazon S3 et pour effectuer des actions sur tous les points d'accès ou les points de terminaison de cloud privé virtuel (VPC) qu'elle utilise pour se connecter au compartiment. Pour accorder cet accès, votre passerelle de fichiers prend en compte uneAWS Identity and Access Management(IAM) associé à une stratégie IAM qui octroie cet accès.
Le rôle requiert cette stratégie IAM avec une relation d'approbation de service de jetons de sécurité (STS). La stratégie détermine les actions que le rôle peut effectuer. De plus, votre compartiment S3 et tous les points d'accès ou points de terminaison VPC associés doivent avoir une stratégie d'accès qui permet au rôle IAM d'y accéder.
Vous pouvez créer vous-même le rôle et la stratégie d'accès, ou votre passerelle de fichiers peut les créer pour vous. Si votre passerelle de fichiers crée la stratégie pour vous, celle-ci contient une liste d'actions S3. Pour plus d'informations sur les rôles et les autorisations, consultezCréation d'un rôle pour la délégation d'autorisations à unService AWSdans leIAM User Guide.
L'exemple de stratégie d'approbation suivant permet à votre passerelle de fichiers d'assumer un rôle IAM.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "storagegateway.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Si vous ne voulez pas que votre passerelle de fichiers crée une stratégie en votre nom, créez-en une vous-même et attachez-la à votre partage de fichiers. Pour plus d'informations sur cette étape, consultez Création d'un partage de fichiers.
L'exemple de stratégie suivant autorise votre passerelle de fichiers à effectuer toutes les actions Amazon S3 qui y sont répertoriées. La première partie de l'instruction permet de toutes les actions répertoriées d'être exécutées sur le compartiment S3 nommé TestBucket. La seconde partie autorise les actions répertoriées sur tous les objets dans TestBucket.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetAccelerateConfiguration", "s3:GetBucketLocation", "s3:GetBucketVersioning", "s3:ListBucket", "s3:ListBucketVersions", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::TestBucket", "Effect": "Allow" }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectVersion", "s3:ListMultipartUploadParts", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::TestBucket/*", "Effect": "Allow" } ] }
L'exemple de stratégie suivant est similaire à la stratégie précédente, mais permet à votre passerelle de fichiers d'effectuer les actions nécessaires pour accéder à un compartiment via un point d'accès.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectVersion", "s3:ListMultipartUploadParts", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:us-east-1:123456789:accesspoint/TestAccessPointName/*", "Effect": "Allow" } ] }
Note
Si vous devez connecter votre partage de fichiers à un compartiment S3 via un point de terminaison VPC, consultezStratégies de point de terminaison pour Amazon S3dans leAWS PrivateLinkGuide de l'utilisateur.
Prévention du député confus entre services
Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. Dans AWS, l'emprunt d'identité entre services peut entraîner le problème de député confus. L'emprunt d'identité entre services peut se produire lorsqu'un service (le service appelant) appelle un autre service (le service appelé). Le service appelant peut être manipulé pour utiliser ses autorisations afin d'agir sur les ressources d'un autre client de manière à ce qu’il ne soit pas autorisé à y accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services avec des principaux de service qui ont eu accès aux ressources de votre compte.
Nous vous recommandons d'utiliser les clés de contexte de condition globale aws:SourceArn et aws:SourceAccount dans les politiques de ressources pour limiter les autorisations à la ressource octroyées par AWS Storage Gateway à un autre service. Si vous utilisez les deux clés de contexte de condition globale, la valeur aws:SourceAccount et le compte de la valeur aws:SourceArn doit utiliser le même ID de compte lorsqu’il est utilisé dans la même déclaration de politique.
Pouraws:SourceArndoit être l'ARN de Storage Gateway auquel votre partage de fichiers est associé.
Le moyen le plus efficace de se protéger contre le problème de député confus consiste à utiliser la clé de contexte de condition globale aws:SourceArn avec l'ARN complet de la ressource. Si vous ne connaissez pas l'ARN complet de la ressource ou si vous spécifiez plusieurs ressources, utilisez la clé de contexte de condition globale aws:SourceArn avec des caractères génériques (*) pour les parties inconnues de l'ARN. Par exemple, arn:aws:. servicename::123456789012:*
L'exemple suivant montre comment utiliser leaws:SourceArnetaws:SourceAccountclés de contexte de condition globale dans Storage Gateway pour éviter le problème confus des adjoints.
{ "Version": "2012-10-17", "Statement": { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "storagegateway.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:storagegateway:us-east-1:123456789012:gateway/sgw-712345DA" } } } ] }
Utilisation d'un partage de fichiers pour l'accès entre comptes
Cross-comptesl'accès s'effectue lorsqu'un compte Amazon Web Services et les utilisateurs de ce compte obtiennent l'accès à des ressources qui appartiennent à un autre compte Amazon Web Services. Avec les passerelles de fichiers, vous pouvez utiliser un partage de fichiers dans un compte Amazon Web Services pour accéder à des objets figurant dans un compartiment Amazon S3 qui appartient à un autre compte Amazon Web Services.
Pour utiliser un partage de fichiers appartenant à un compte Amazon Web Services afin d'accéder à un compartiment S3 dans un autre compte Amazon Web Services
-
Assurez-vous que le propriétaire du compartiment S3 a accordé à votre compte Amazon Web Services l'accès au compartiment S3 auquel vous avez besoin d'accéder et aux objets de ce compartiment. Pour plus d'informations sur la façon d'accorder cet accès, consultezExemple 2 : Propriétaire d'un compartiment octroyant des autorisations entre comptes sur undans leManuel de l'utilisateur Amazon Simple Storage Service. Pour obtenir la liste des autorisations requises, consultez Octroi d'accès à un compartiment Amazon S3.
-
Assurez-vous que le rôle IAM que votre partage de fichiers utilise pour accéder au compartiment S3 inclut des autorisations pour les opérations telles que
s3:GetObjectAclets3:PutObjectAcl. De plus, assurez-vous que le rôle IAM inclut une stratégie d'approbation qui autorise votre compte à assumer ce rôle IAM. Pour voir un exemple d'une telle stratégie d'approbation, consultez Octroi d'accès à un compartiment Amazon S3.Si votre partage de fichiers utilise un rôle existant pour accéder au compartiment S3, vous devez inclure des autorisations pour les opérations telles que
s3:GetObjectAcets3:PutObjectAcl. Le rôle a également besoin d'une stratégie d'approbation qui autorise votre compte à endosser ce rôle. Pour voir un exemple d'une telle stratégie d'approbation, consultez Octroi d'accès à un compartiment Amazon S3. Ouvrez la console Storage Gateway surhttps://console.aws.amazon.com/storagegateway/home
. -
Choisissez Accorder le contrôle total au propriétaire du compartiment dans les paramètres Métadonnées d'objet dans la boîte de dialogue Configurer les paramètres du partage de fichiers.
Une fois que vous avez créé ou mis à jour votre partage de fichiers pour l'accès entre comptes et monté le partage de fichiers sur site, nous vous recommandons vivement de tester votre configuration. Pour ce faire, vous pouvez répertorier le contenu du répertoire ou écrire des fichiers de test et vérifier que les fichiers apparaissent en tant qu'objets dans le compartiment S3.
Important
Assurez-vous de configurer les stratégies correctement pour accorder un accès entre comptes au compte utilisé par votre partage de fichiers. Dans le cas contraire, les mises à jour des fichiers par le biais de vos applications sur site ne se propagent pas dans le compartiment Amazon S3 que vous utilisez.
Ressources
Pour plus d'informations sur les stratégies d'accès et les listes de contrôle d'accès, consultez les ressources suivantes :
Instructions d'utilisation des options de stratégie d'accès disponiblesdans leManuel de l'utilisateur Amazon Simple Storage Service
Présentation de la liste de contrôle d'accès (ACL)dans leManuel de l'utilisateur Amazon Simple Storage Service
