Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Création d’une stratégie IAM pour accéder aux ressources Amazon S3 Aurora peut accéder aux ressources Amazon S3 pour charger des données ou enregistrer des données à partir d’un cluster de bases de données Aurora. Toutefois, vous devez créer au préalable une stratégie IAM pour fournir les autorisations de compartiment et d’objet permettant à Aurora d’accéder à Amazon S3. Le tableau ci-dessous répertorie les fonctions Aurora qui peuvent accéder à un compartiment Amazon S3 en votre nom, ainsi que les autorisations de compartiment et d’objet minimales requises pour chaque fonction. | Fonctionnalité | Permissions de compartiment | Autorisations d’objet | | --- | --- | --- | | `LOAD DATA FROM S3` | `ListBucket` | `GetObject` `GetObjectVersion` | | LOAD XML FROM S3 | `ListBucket` | `GetObject` `GetObjectVersion` | | `SELECT INTO OUTFILE S3` | `ListBucket` | `AbortMultipartUpload` `DeleteObject` `GetObject` `ListMultipartUploadParts` `PutObject` | La stratégie suivante ajoute les autorisations pouvant être requises par Aurora pour accéder à un compartiment Amazon S3 en votre nom. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowAuroraToExampleBucket", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:AbortMultipartUpload", "s3:ListBucket", "s3:DeleteObject", "s3:GetObjectVersion", "s3:ListMultipartUploadParts" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*", "arn:aws:s3:::amzn-s3-demo-bucket" ] } ] } ``` ------ **Note** Veillez à inclure les deux entrées pour la valeur `Resource`. Aurora a besoin des autorisations sur le compartiment lui-même et sur tous les objets à l’intérieur du compartiment. En fonction de votre cas d’utilisation, vous n’avez peut-être pas besoin d’ajouter toutes les autorisations dans l’exemple de stratégie. Aussi, d’autres autorisations peuvent être requises. Par exemple, si votre compartiment Amazon S3 est chiffré, vous devez ajouter les autorisations `kms:Decrypt`. Vous pouvez effectuer les étapes ci-dessous pour créer une stratégie IAM qui fournit les autorisations minimales nécessaires à Aurora pour accéder à un compartiment Amazon S3 en votre nom. Pour autoriser Aurora à accéder à tous vos compartiments Amazon S3, vous pouvez ignorer ces étapes et utiliser la stratégie IAM prédéfinie `AmazonS3ReadOnlyAccess` ou `AmazonS3FullAccess` au lieu d’en créer une. **Pour créer une stratégie IAM accordant l’accès à vos ressources Amazon S3** 1. Ouvrez [IAM Management Console](https://console.aws.amazon.com/iam/home?#home). 1. Dans le panneau de navigation, choisissez **Politiques**. 1. Choisissez **Create Policy** (Créer une politique). 1. Sous l’onglet **Visual editor (Éditeur visuel)**, choisissez **Choose a service (Choisir un service)**, puis **S3**. 1. Sous **Actions**, choisissez **Expand all (Développer tout)**, puis choisissez les autorisations de compartiment et d’objet nécessaires à la stratégie IAM. Les autorisations d’objet sont des autorisations pour les opérations d’objet dans Amazon S3. Elles doivent être accordées pour les objets d’un compartiment et non pour le compartiment lui-même. Pour plus d’informations sur les autorisations liées aux opérations d’objet dans Amazon S3, consultez [Autorisations pour des opérations d’objet](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-with-s3-actions.html#using-with-s3-actions-related-to-objects). 1. Choisissez **Resources (Ressources)**, puis **Add ARN (Ajouter un ARN)** pour **bucket (compartiment)**. 1. Dans la boîte de dialogue **Add ARN(s) (Ajouter un ou des ARN)**, fournissez les détails sur votre ressource, puis choisissez **Add (Ajouter)**. Spécifiez le compartiment Amazon S3 auquel autoriser l'accès. Par exemple, si vous voulez autoriser Aurora à accéder au compartiment Amazon S3 nommé *amzn-s3-demo-bucket*, définissez la valeur de l'Amazon Resource Name (ARN) sur `arn:aws:s3:::amzn-s3-demo-bucket`. 1. Si la ressource **object (objet)** est répertoriée, choisissez **Add ARN (Ajouter un ARN)** pour **object (objet)**. 1. Dans la boîte de dialogue **Add ARN(s) (Ajouter un ou des ARN)**, fournissez les détails sur votre ressource. Pour le compartiment Amazon S3, spécifiez le compartiment Amazon S3 auquel autoriser l’accès. Pour l’objet, vous pouvez choisir **Any (Tous)** pour accorder des autorisations à tous les objets du compartiment. **Note** Vous pouvez affecter à **Amazon Resource Name (ARN)** une valeur d’ARN plus spécifique afin d’autoriser Aurora à accéder uniquement à des fichiers ou des dossiers spécifiques dans un compartiment Amazon S3. Pour plus d’informations sur la définition d’une stratégie d’accès pour Amazon S3, consultez [Gestion des autorisations d’accès de vos ressources Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html). 1. (Facultatif) Choisissez **Add ARN (Ajouter un ARN)** pour **bucket (compartiment)** pour ajouter un autre compartiment Amazon S3 à la stratégie, puis répétez les étapes précédentes pour le compartiment. **Note** Vous pouvez répéter ces étapes pour ajouter les instructions d’autorisation de compartiment correspondantes à votre stratégie pour chaque compartiment Amazon S3 auquel Aurora doit accéder. Si vous le souhaitez, vous pouvez également accorder l’accès à tous les compartiments et à tous les objets dans Amazon S3. 1. Choisissez **Examiner une stratégie**. 1. Dans ** Name (Name)**, attribuez un nom à votre stratégie IAM, par exemple `AllowAuroraToExampleBucket`. Vous utilisez ce nom lorsque vous créez un rôle IAM à associer à votre cluster de bases de données Aurora. Vous pouvez également ajouter une valeur **Description** facultative. 1. Choisissez **Créer une stratégie**. 1. Suivez les étapes de [Création d'un rôle IAM pour permettre à Amazon Aurora d'accéder aux services AWS](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md).