Comment Amazon S3 autorise une demande pour une opération de compartiment - Amazon Simple Storage Service
Exemple 1 : Opération de compartiment demandée par le propriétaire du compartimentExemple 2 : opération de compartiment demandée par une personne Compte AWS qui n'est pas le propriétaire du compartimentExemple 3 : opération de compartiment demandée par un directeur IAM dont le parent Compte AWS est également le propriétaire du compartimentExemple 4 : opération de compartiment demandée par un principal IAM dont le parent n' Compte AWS est pas le propriétaire du compartiment

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment Amazon S3 autorise une demande pour une opération de compartiment

Lorsqu’Amazon S3 reçoit une demande d’opération de compartiment, Amazon S3 convertit toutes les autorisations pertinentes en un ensemble de stratégies à évaluer lors de l’exécution. Les autorisations pertinentes incluent les autorisations basées sur les ressources (par exemple, les stratégies de compartiment et les listes de contrôle d’accès des compartiments) et les stratégies utilisateur si la demande provient d’un principal IAM. Amazon S3 évalue ensuite l’ensemble de politiques obtenu au cours d’une série d’étapes conformément à un contexte spécifique : contexte de l’utilisateur ou du compartiment.

  1. Contexte utilisateur — Si le demandeur est un principal IAM, le principal doit avoir l'autorisation du parent Compte AWS auquel il appartient. Dans cette étape, Amazon S3 évalue un sous-ensemble de stratégies détenues par le compte parent (également appelé autorité du contexte). Ce sous-ensemble de stratégies inclut la stratégie d’utilisateur que le compte parent attache au principal. Si le parent détient également la ressource de la demande (dans ce cas, le compartiment), Amazon S3 évalue également les stratégies de ressources correspondantes (politique de compartiment et liste ACL de compartiment) en même temps. Lorsqu’une demande pour une opération de compartiment est faite, les journaux d’accès au serveur enregistre l’ID canonique du demandeur. Pour plus d’informations, consultez Enregistrement de demandes avec journalisation des accès au serveur.

  2. Contexte de compartiment – Le demandeur doit avoir l’autorisation du propriétaire du compartiment pour exécuter une opération de compartiment spécifique. Au cours de cette étape, Amazon S3 évalue un sous-ensemble de politiques appartenant au propriétaire du Compte AWS compartiment.

    Le propriétaire du compartiment peut accorder l’autorisation grâce à la politique de compartiment ou la liste ACL de compartiment. Si le Compte AWS qui détient le compartiment est également le compte parent d’un principal IAM, il peut configurer les autorisations du compartiment dans une politique utilisateur.

Voici un schéma de l’évaluation basée sur le contexte pour les opérations de compartiment.

Illustration qui montre l’évaluation basée sur le contexte pour l’opération de compartiment.

Les exemples suivants illustrent la logique d’évaluation.

Exemple 1 : Opération de compartiment demandée par le propriétaire du compartiment

Dans cet exemple, le propriétaire du compartiment envoie une demande pour une opération de compartiment grâce aux informations d’identification racine du Compte AWS.

Illustration qui montre une opération de compartiment demandée par le propriétaire du compartiment.

Amazon S3 réalise l’évaluation du contexte comme suit :

  1. Étant donné que la demande a été faite grâce aux informations d’identification d’utilisateur root d’un Compte AWS, le contexte d’utilisateur n’est pas évalué.

  2. Dans le contexte de compartiment, Amazon S3 examine la politique de compartiment pour déterminer si le demandeur a l’autorisation d’exécuter l’opération. Amazon S3 autorise la demande.

Exemple 2 : opération de compartiment demandée par une personne Compte AWS qui n'est pas le propriétaire du compartiment

Dans cet exemple, une demande est faite grâce aux informations d’identification d’utilisateur root du Compte AWS 1111-1111-1111 pour une opération de compartiment détenue par le Compte AWS 2222-2222-2222. Aucun utilisateur IAM n’est impliqué dans cette demande.

Illustration qui montre une opération de compartiment demandée par un Compte AWS qui n’est pas le propriétaire du compartiment.

Dans cet exemple, Amazon S3 évalue le contexte comme suit :

  1. Comme la demande est faite à l'aide des informations d'identification de l'utilisateur root d'un Compte AWS, le contexte utilisateur n'est pas évalué.

  2. Dans le contexte de compartiment, Amazon S3 examine la politique de compartiment. Si le propriétaire du compartiment (Compte AWS 2222-2222-2222) n'a pas autorisé le Compte AWS 1111-1111-1111 à effectuer l'opération demandée, Amazon S3 refuse la demande. Sinon, Amazon S3 accorde la demande et exécute l’opération.

Exemple 3 : opération de compartiment demandée par un directeur IAM dont le parent Compte AWS est également le propriétaire du compartiment

Dans l’exemple, la demande est envoyée par Jill, une utilisatrice IAM du Compte AWS 1111-1111-1111, qui détient également le compartiment.

Illustration qui montre une opération de compartiment demandée par un principal IAM et un propriétaire de compartiment.

Amazon S3 réalise l’évaluation suivante du contexte :

  1. Comme la demande provient d'un principal IAM, dans le contexte de l'utilisateur, Amazon S3 évalue toutes les politiques appartenant au parent Compte AWS afin de déterminer si Jill est autorisée à effectuer l'opération.

    Dans cet exemple, le parent Compte AWS 1111-1111-1111, auquel appartient le principal, est également le propriétaire du compartiment. Ainsi, outre la politique utilisateur, Amazon S3 évalue également la politique de compartiment et la liste ACL de compartiment dans le même contexte, car elles appartiennent au même compte.

  2. Amazon S3 a évalué la politique de compartiment et la liste ACL de compartiment dans le contexte d’utilisateur, il n’a dont pas évalué le contexte de compartiment.

Exemple 4 : opération de compartiment demandée par un principal IAM dont le parent n' Compte AWS est pas le propriétaire du compartiment

Dans cet exemple, la demande est envoyée par Jill, une utilisatrice IAM dont le parent Compte AWS est 1111-1111-1111, mais le bucket appartient à un autre utilisateur, 2222-2222-2222. Compte AWS

Illustration qui montre une opération de compartiment demandée par un principal IAM qui n’est pas le propriétaire du compartiment.

Jill aura besoin des autorisations du parent Compte AWS et du propriétaire du compartiment. Amazon S3 évalue le contexte comme suit :

  1. Étant donné que la demande provient d’un principal IAM, Amazon S3 évalue le contexte d’utilisateur en examinant les stratégies autorisées par le compte pour vérifier que Jill possède les autorisations nécessaires. Si Jill a l’autorisation, Amazon S3 passe à l’évaluation du contexte du compartiment. Si Jill n’a pas l’autorisation, la demande est refusée.

  2. Dans le contexte du compartiment, Amazon S3 vérifie que le propriétaire du compartiment 2222-2222-2222 a accordé à Jill (ou à ses parents Compte AWS) l'autorisation d'effectuer l'opération demandée. Si elle a cette autorisation, Amazon S3 autorise la demande et exécute l’opération. Sinon, Amazon S3 refuse la demande.