Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Concepts de S3 Access Grants
**Flux de travail de S3 Access Grants**
Le flux de travail de S3 Access Grants est le suivant :
1. Créez une instance S3 Access Grants. Consultez [Utilisation de S3 Access Grants](access-grants-instance.md).
1. Dans votre instance S3 Access Grants, enregistrez des emplacements dans vos données Amazon S3 et associez ces emplacements à des rôles Gestion des identités et des accès AWS (IAM). Consultez [Enregistrement d’un emplacement](access-grants-location-register.md).
1. Créez des autorisations pour les bénéficiaires, qui leur permettent d’accéder à vos ressources S3. Consultez [Octroi d’autorisations avec S3 Access Grants](access-grants-grant.md).
1. Le bénéficiaire demande des informations d’identification temporaires à S3 Access Grants. Consultez [Demande d’un accès aux données Amazon S3 via S3 Access Grants](access-grants-credentials.md).
1. Le bénéficiaire accède aux données S3 à l’aide de ces informations d’identification temporaires. Consultez [Accès aux données S3 à l’aide des informations d’identification fournies par S3 Access Grants](access-grants-get-data.md).
Pour de plus amples informations, veuillez consulter [Bien démarrer avec S3 Access Grants](access-grants-get-started.md).
**Instances S3 Access Grants**
Une *instance S3 Access Grants* est un conteneur logique pour les *autorisations* individuelles. Lorsque vous créez une instance S3 Access Grants, vous devez spécifier une Région AWS. Chacun Région AWS d'entre vous Compte AWS peut avoir une instance S3 Access Grants. Pour de plus amples informations, veuillez consulter [Utilisation de S3 Access Grants](access-grants-instance.md).
Si vous souhaitez utiliser S3 Access Grants pour accorder l'accès aux identités d'utilisateurs et de groupes à partir de votre annuaire d'entreprise, vous devez également associer votre instance S3 Access Grants à une AWS IAM Identity Center instance. Pour de plus amples informations, veuillez consulter [S3 Access Grants et identités d’annuaire d’entreprise](access-grants-directory-ids.md).
Une instance S3 Access Grants qui vient d’être créée est vide. Vous devez enregistrer un emplacement dans l’instance, qui peut être le chemin par défaut S3 (`s3://`), un compartiment ou un préfixe au sein d’un compartiment. Après avoir enregistré au moins un emplacement, vous pouvez créer des autorisations d’accès qui donnent accès aux données de cet emplacement.
**Emplacements**
Un *emplacement S3 Access Grants associe* des compartiments ou des préfixes à un rôle Gestion des identités et des accès AWS (IAM). S3 Access Grants endossera ce rôle IAM pour fournir des informations d’identification temporaires au bénéficiaire qui accédera à cet emplacement particulier. Vous devez d’abord enregistrer au moins un emplacement auprès de votre instance d’autorisations d’accès S3 avant de pouvoir créer des autorisations d’accès.
Nous vous recommandons d’enregistrer l’emplacement par défaut (`s3://`) et de le mapper à un rôle IAM. L'emplacement sur le chemin S3 par défaut (`s3://`) couvre l'accès à tous vos compartiments S3 Région AWS de votre compte. Lorsque vous créez une autorisation d’accès, vous pouvez restreindre la portée de cette autorisation à un compartiment, à un préfixe ou à un objet situé à l’emplacement par défaut.
Les cas d’utilisation plus complexes liés à la gestion des accès peuvent vous obliger à enregistrer un autre emplacement que l’emplacement par défaut. Voici quelques exemples de tels cas d’utilisation :
+ Supposons qu’*amzn-s3-demo-bucket* soit un emplacement enregistré dans votre instance d’autorisations d’accès S3 et qu’un rôle IAM lui soit associé, mais que ce rôle IAM se voit refuser l’accès à un préfixe particulier dans le compartiment. Dans ce cas, vous pouvez enregistrer le préfixe auquel le rôle IAM n’a pas accès en tant qu’emplacement distinct et associer cet emplacement à un autre rôle IAM disposant de l’accès nécessaire.
+ Supposons que vous souhaitiez créer des autorisations qui limitent l’accès aux utilisateurs au sein d’un point de terminaison de cloud privé virtuel (VPC). Dans ce cas, vous pouvez enregistrer un emplacement pour un compartiment dans lequel le rôle IAM restreint l’accès à ce point de terminaison du VPC. Ultérieurement, lorsqu’un bénéficiaire demandera des informations d’identification aux autorisations d’accès S3, les autorisations d’accès S3 endosseront le rôle IAM de l’emplacement pour fournir des informations d’identification temporaires. Ces informations d’identification refuseront l’accès au compartiment spécifique, sauf si l’appelant se trouve dans le point de terminaison du VPC. Cette autorisation de refus sera appliquée en plus de l’autorisation READ, WRITE ou READWRITE habituellement spécifiée dans l’autorisation d’accès.
Si votre cas d’utilisation vous oblige à enregistrer plusieurs emplacements dans votre instance d’autorisations d’accès S3, vous pouvez enregistrer l’un des emplacements suivants :
+ Emplacement S3 par défaut (`s3://`)
+ Un compartiment (par exemple, *amzn-s3-demo-bucket*) ou plusieurs compartiments
+ Un compartiment et un préfixe (par exemple, `amzn-s3-demo-bucket/prefix*`) ou plusieurs préfixes
Pour connaître le nombre maximal d’emplacements que vous pouvez enregistrer dans votre instance S3 Access Grants, consultez [Limitations de S3 Access Grants](access-grants-limitations.md). Pour plus d’informations sur l’enregistrement d’un emplacement S3 Access Grants, consultez [Enregistrement d’un emplacement](access-grants-location-register.md).
Une fois que vous avez enregistré le premier emplacement dans votre instance d’autorisations d’accès S3, celle-ci ne dispose toujours d’aucune autorisation d’accès individuelle. Aucun accès n’a donc encore été accordé à aucune de vos données S3. Vous pouvez désormais créer des autorisations d’accès pour accorder un accès. Pour plus d’informations sur la création d’autorisations d’accès, consultez [Octroi d’autorisations avec S3 Access Grants](access-grants-grant.md).
**Autorisations**
Une *autorisation* individuelle dans une instance S3 Access Grants permet à une identité spécifique, à savoir un principal IAM ou un utilisateur/groupe dans un annuaire d’entreprise, d’obtenir l’accès à un emplacement qui est enregistré dans votre instance S3 Access Grants.
Lorsque vous créez une autorisation, vous n’êtes pas obligé d’accorder l’accès à l’ensemble de l’emplacement enregistré. Vous pouvez limiter l’étendue de l’accès de l’autorisation au sein d’un emplacement. Si l’emplacement enregistré est le chemin S3 par défaut (`s3://`), vous devez limiter la portée de l’autorisation à un compartiment, à un préfixe dans un compartiment ou à un objet spécifique. Si l’emplacement enregistré de l’autorisation est un compartiment ou un préfixe, vous pouvez donner accès à l’intégralité du compartiment ou du préfixe, ou vous pouvez aussi restreindre la portée de l’autorisation à un préfixe, un sous-préfixe ou un objet.
Dans l’autorisation, vous définissez également son niveau d’accès sur READ, WRITE ou READWRITE. Supposons que vous disposiez d’une autorisation qui donne au groupe de l’annuaire d’entreprise `01234567-89ab-cdef-0123-456789abcdef` l’accès en lecture au compartiment `s3://amzn-s3-demo-bucket/projects/items/*`. Les utilisateurs de ce groupe peuvent avoir un accès READ à chaque objet dont le nom de clé d’objet commence par le préfixe `projects/items/` dans le compartiment nommé *amzn-s3-demo-bucket*.
Pour le nombre maximum d’autorisations d’accès que vous pouvez créer dans votre instance d’autorisations d’accès S3, consultez [Limitations de S3 Access Grants](access-grants-limitations.md). Pour plus d’informations sur la création d’autorisations d’accès, consultez [Création d’octrois](access-grants-grant-create.md).
**Informations d’identification temporaires S3 Access Grants**
Une fois que vous avez créé une autorisation, une application autorisée qui utilise l'identité spécifiée dans l'autorisation peut demander des *informations d'just-in-time accès.* Pour ce faire, l'application appelle l'opération d'API [GetDataAccess](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetDataAccess.html)S3. Les bénéficiaires peuvent utiliser cette opération d’API pour demander l’accès aux données S3 que vous avez partagées avec eux.
L’instance S3 Access Grants évalue la demande `GetDataAccess` par rapport aux autorisations dont elle dispose. S’il existe une autorisation correspondante pour le demandeur, S3 Access Grants endosse le rôle IAM associé à l’emplacement de cette autorisation. S3 Access Grants délimite ensuite les autorisations de la session IAM précisément au compartiment, préfixe ou objet S3 spécifié par l’étendue de l’octroi.
Le délai d’expiration des informations d’identification d’accès temporaire est défini par défaut sur 1 heure, mais vous pouvez le définir sur une valeur quelconque comprise entre 15 minutes et 12 heures. Consultez la durée maximale de session dans la référence de [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)l'API.
## Comment ça marche
Dans le schéma suivant, un emplacement Amazon S3 par défaut avec la ^portée `s3://` est enregistré avec le rôle IAM `s3ag-location-role`. Ce rôle IAM est autorisé à effectuer des actions Amazon S3 dans le compte lorsque ses informations d’identification sont obtenues via S3 Access Grants.
Au sein de cet emplacement, deux autorisations d’accès individuelles sont créées pour deux utilisateurs IAM. L’utilisateur IAM Bob se voit octroyer l’accès `READ` et l’accès `WRITE` sur le préfixe `bob/` dans le compartiment `DOC-BUCKET-EXAMPLE`. Un autre rôle IAM, Alice, se voit octroyer uniquement l’accès `READ` sur le préfixe `alice/` dans le compartiment `DOC-BUCKET-EXAMPLE`. Un octroi, coloré en bleu, est défini pour permettre à Bob d’accéder au préfixe `bob/` dans le compartiment `DOC-BUCKET-EXAMPLE`. Un octroi, coloré en vert, est défini pour permettre à Alice d’accéder au préfixe `alice/` dans le compartiment `DOC-BUCKET-EXAMPLE`.
Lorsqu'il est temps pour Bob d'accéder aux `READ` données, le rôle IAM associé à l'emplacement dans lequel se trouve sa subvention appelle l'opération d'[GetDataAccess](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetDataAccess.html)API S3 Access Grants. Si Bob essaie de lire (`READ`) un préfixe ou un objet S3 quelconque commençant par `s3://DOC-BUCKET-EXAMPLE/bob/*`, la demande `GetDataAccess` renvoie un ensemble d’informations d’identification de session IAM temporaires avec l’autorisation à `s3://DOC-BUCKET-EXAMPLE/bob/*`. De même, Bob peut écrire (`WRITE`) sur n’importe quel préfixe ou objet S3 commençant par `s3://DOC-BUCKET-EXAMPLE/bob/*`, car l’octroi le permet également.
De même, Alice peut lire (`READ`) tout ce qui commence par `s3://DOC-BUCKET-EXAMPLE/alice/`. Toutefois, si elle essaie d’écrire (`WRITE`) sur un compartiment, un préfixe ou un objet quelconque dans `s3://`, elle recevra une erreur Accès refusé (403 Forbidden), car aucun octroi ne lui donne l’accès `WRITE` sur aucune donnée. En outre, si Alice demande un niveau d’accès quelconque (`READ` ou `WRITE`) à des données situées en dehors de `s3://DOC-BUCKET-EXAMPLE/alice/`, elle recevra à nouveau une erreur Accès refusé.
![\[Fonctionnement de S3 Access Grants\]](http://docs.aws.amazon.com/fr_fr/AmazonS3/latest/userguide/images/s3ag-how-it-works.png)
Ce modèle s’adapte à un nombre élevé d’utilisateurs et de compartiments, et simplifie la gestion de ces autorisations. Au lieu de modifier des stratégies de compartiment S3 potentiellement volumineuses chaque fois que vous souhaitez ajouter ou supprimer une relation individuelle d’accès par préfixe utilisateur, vous pouvez ajouter et supprimer des octrois discrets et individuels.