Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Exemples de politique de compartiment
<a name="S3Outposts-example-bucket-policies"></a>

Grâce aux politiques de compartiments S3 sur Outposts, vous pouvez sécuriser l’accès aux objets de vos compartiments S3 sur Outposts, afin que seuls les utilisateurs disposant des autorisations appropriées puissent y accéder. Vous pouvez même empêcher les utilisateurs authentifiés ne disposant pas des autorisations appropriées d’accéder à vos ressources S3 sur Outposts.

Cette section présente des exemples de cas d’utilisation standard de politiques de compartiments S3 sur Outposts. Pour tester ces politiques, remplacez `user input placeholders` par vos propres informations (comme le nom de votre compartiment). 

Pour accorder ou refuser des autorisations à un ensemble d'objets, vous pouvez utiliser des caractères génériques (`*`) dans Amazon Resource Names (ARNs) et d'autres valeurs. Par exemple, vous pouvez contrôler l’accès aux groupes d’objets qui commencent par un [préfixe](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html#keyprefix)courant ou se terminent par une extension donnée, comme `.html`. 

Pour plus d'informations sur le langage de politique Gestion des identités et des accès AWS (IAM), consultez[Configuration d’IAM avec S3 sur Outposts](S3OutpostsIAM.md).

**Note**  
Lors du test des autorisations [https://docs.aws.amazon.com/cli/latest/reference/s3outposts/](https://docs.aws.amazon.com/cli/latest/reference/s3outposts/) à l’aide de la console Amazon S3, vous devez accorder les autorisations supplémentaires requises par la console, telles que `s3outposts:createendpoint`, `s3outposts:listendpoints`, etc.

**Ressources supplémentaires pour créer des politiques de compartiment**
+ Pour obtenir la liste des actions, des ressources et des clés de condition de politique IAM que vous pouvez utiliser lors de la création d’une politique de compartiment S3 sur Outposts, consultez [Actions, ressources et clés de condition pour Amazon S3 sur Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3onoutposts.html).
+ Pour obtenir des conseils sur la création de votre politique S3 sur Outposts, consultez [Ajout ou modification d'une politique de compartiment pour un compartiment Amazon S3 on Outposts.](S3OutpostsBucketPolicyEdit.md).

**Topics**
+ [Gestion de l’accès à un compartiment Amazon S3 sur Outposts en fonction d’adresses IP spécifiques](#S3OutpostsBucketPolicyManageIPaccess)

## Gestion de l’accès à un compartiment Amazon S3 sur Outposts en fonction d’adresses IP spécifiques
<a name="S3OutpostsBucketPolicyManageIPaccess"></a>

Une politique de compartiment est une politique basée sur les ressources Gestion des identités et des accès AWS (IAM) que vous pouvez utiliser pour accorder des autorisations d'accès à votre compartiment et aux objets qu'il contient. Seul le propriétaire du compartiment peut associer une politique à un compartiment. Les autorisations attachées au compartiment s’appliquent à tous les objets du compartiment appartenant au compte propriétaire du compartiment. Les politiques de compartiment sont limitées à une taille de 20 Ko. Pour de plus amples informations, veuillez consulter [Politique de compartiment](S3onOutposts.md#S3OutpostsBucketPolicies).

### Restriction de l’accès à des adresses IP spécifiques
<a name="S3Outposts-example-bucket-policies-IP-1"></a>

L’exemple suivant interdit à tous les utilisateurs d’effectuer des [opérations S3 sur Outposts](https://docs.aws.amazon.com/AmazonS3/latest/userguide/S3OutpostsWorkingBuckets.html) sur les objets des compartiments spécifiés, sauf si la demande provient de la plage d’adresses IP spécifiée. 

**Note**  
Lorsque vous limitez l’accès à une adresse IP spécifique, veillez à spécifier également les points de terminaison de VPC, les adresses IP sources de VPC ou les adresses IP externes qui peuvent accéder au compartiment S3 sur Outposts. Dans le cas contraire, vous risquez de perdre l’accès au compartiment si votre politique interdit à tous les utilisateurs d’effectuer des opérations [https://docs.aws.amazon.com/cli/latest/reference/s3outposts/](https://docs.aws.amazon.com/cli/latest/reference/s3outposts/) sur les objets de votre compartiment S3 sur Outposts sans que les autorisations appropriées ne soient déjà en place.

La `Condition` déclaration de cette politique s'identifie *`192.0.2.0/24`* comme la plage d'adresses IP autorisées version 4 (IPv4). 

Le `Condition` bloc utilise la `NotIpAddress` condition et la clé de `aws:SourceIp` condition, qui est une clé AWS de condition large. La clé de condition `aws:SourceIp` ne peut être utilisée que pour les plages d’adresses IP publiques. Pour plus d’informations sur ces clés de condition, consultez [Actions, ressources et clés de condition pour S3 sur Outposts](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazons3onoutposts.html). Les `aws:SourceIp` IPv4 valeurs utilisent la notation CIDR standard. Pour plus d’informations, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Conditions_IPAddress) dans le *Guide de l’utilisateur IAM*. 

**Avertissement**  
Avant d’employer cette politique S3 sur Outposts, remplacez la plage d’adresses IP *`192.0.2.0/24`* de cet exemple par une valeur appropriée pour votre cas d’utilisation. Dans le cas contraire, vous perdrez la possibilité d’accéder à votre compartiment.

```
 1. {
 2.     "Version": "2012-10-17",		 	 	 
 3.     "Id": "S3OutpostsPolicyId1",
 4.     "Statement": [
 5.         {
 6.             "Sid": "IPAllow",
 7.             "Effect": "Deny",
 8.             "Principal": "*",
 9.             "Action": "s3-outposts:*",
10.             "Resource": [
11.                 "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/accesspoint/EXAMPLE-ACCESS-POINT-NAME",
12.                 "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/amzn-s3-demo-bucket"
13.             ],
14.             "Condition": {
15.                 "NotIpAddress": {
16.                     "aws:SourceIp": "192.0.2.0/24"
17.                 }
18.             }
19.         }
20.     ]
21. }
```

### Autoriser à la fois IPv4 et IPv6 les adresses
<a name="S3Outposts-example-bucket-policies-IP-2"></a>

Lorsque vous commencez à utiliser IPv6 des adresses, nous vous recommandons de mettre à jour toutes les politiques de votre organisation avec vos plages d' IPv6 adresses en plus de vos IPv4 plages existantes. Cela vous aidera à faire en sorte que les politiques continuent de fonctionner pendant la transition vers IPv6.

L'exemple de politique de compartiment S3 on Outposts suivant montre comment combiner des plages IPv4 d' IPv6 adresses pour couvrir toutes les adresses IP valides de votre organisation. Dans cet exemple, la politique autorise l’accès aux exemples d’adresses IP *`192.0.2.1`* et *`2001:DB8:1234:5678::1`* et le refuse aux adresses *`203.0.113.1`* et *`2001:DB8:1234:5678:ABCD::1`*.

La clé de condition `aws:SourceIp` ne peut être utilisée que pour les plages d’adresses IP publiques. Les IPv6 valeurs pour `aws:SourceIp` doivent être au format CIDR standard. En IPv6 effet, nous prenons en charge l'utilisation `::` pour représenter une plage de 0 (par exemple,`2001:DB8:1234:5678::/64`). Pour plus d’informations, consultez [Opérateurs de condition d’adresse IP](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress) dans le *guide de l’utilisateur IAM*.

**Avertissement**  
Remplacez les plages d’adresses IP de cet exemple par des valeurs appropriées pour votre cas d’utilisation avant d’employer cette politique S3 sur Outposts. Dans le cas contraire, vous pourriez perdre la possibilité d’accéder à votre compartiment.

------
#### [ JSON ]

****  

```
{
    "Id": "S3OutpostsPolicyId2",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowIPmix",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "s3-outposts:GetObject",
                "s3-outposts:PutObject",
                "s3-outposts:ListBucket"
            ],
            "Resource": [            
                "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/amzn-s3-demo-bucket",
                "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "2001:DB8:1234:5678::/64"
                    ]
                },
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "203.0.113.0/24",
                        "2001:DB8:1234:5678:ABCD::/80"
                    ]
                }
            }
        }
    ]
}
```

------