Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Accès aux données S3 à l’aide des informations d’identification fournies par les autorisations d’accès S3
Une fois qu’un bénéficiaire a obtenu des informations d’identification temporaires via son autorisation d’accès, il peut utiliser ces informations d’identification temporaires pour appeler les opérations d’API Amazon S3 afin d’accéder à vos données.
Les bénéficiaires peuvent accéder aux données S3 en utilisant le AWS Command Line Interface (AWS CLI) AWS SDKs, le et l'API REST Amazon S3. En outre, vous pouvez utiliser les plugins AWS Python
Une fois que le bénéficiaire a obtenu ses informations d’identification temporaires auprès des autorisations d’accès S3, il peut configurer un profil avec ces informations d’identification pour récupérer les données.
Pour l'installer AWS CLI, reportez-vous à la section Installation du AWS CLI dans le guide de AWS Command Line Interface l'utilisateur.
Pour utiliser les exemples de commandes suivants, remplacez les user input
placeholders
Exemple : Configurer un profil
aws configure set aws_access_key_id "$accessKey" --profileaccess-grants-consumer-access-profileaws configure set aws_secret_access_key "$secretKey" --profileaccess-grants-consumer-access-profileaws configure set aws_session_token "$sessionToken" --profileaccess-grants-consumer-access-profile
Pour utiliser l’exemple de commande suivant, remplacez les user input
placeholders
Exemple : Obtenir les données S3
Le bénéficiaire peut utiliser la get-object AWS CLI commande pour accéder aux données. Le bénéficiaire peut également utiliser put-objectls, et d'autres AWS CLI commandes S3.
aws s3api get-object \ --bucketamzn-s3-demo-bucket1\ --keymyprefix\ --regionus-east-2\ --profileaccess-grants-consumer-access-profile
Cette section fournit des exemples de la manière dont les bénéficiaires peuvent accéder à vos données S3 à l'aide du AWS SDKs.
Actions S3 prises en charge dans les autorisations d’accès S3
Un bénéficiaire peut utiliser les informations d’identification temporaires fournies par les autorisations d’accès S3 pour effectuer des actions S3 sur les données S3 auxquelles il a accès. Voici une liste des actions S3 qui peuvent être autorisées et qu’un bénéficiaire peut effectuer. Les actions qui peuvent être autorisées dépendent du niveau d’autorisation accordé dans l’autorisation d’accès : READ, WRITE ou READWRITE.
Note
Outre les autorisations Amazon S3 répertoriées ci-dessous, Amazon S3 peut appeler l'autorisation AWS Key Management Service (AWS KMS) Decrypt (kms:decrypt) ou l'READautorisation AWS KMS GenerateDataKey(kms:generateDataKey)WRITE. Ces autorisations ne permettent pas d'accéder directement à la AWS KMS clé.
| Action IAM S3 | Action d’API et documentation | Autorisation d’octroi d’accès S3 | Ressource S3 |
|---|---|---|---|
s3:GetObject |
GetObject | READ |
Objet |
s3:GetObjectVersion |
GetObject | READ |
Objet |
s3:GetObjectAcl |
GetObjectAcl | READ |
Objet |
s3:GetObjectVersionAcl |
GetObjectAcl | READ |
Objet |
s3:ListMultipartUploads |
ListParts | READ |
Objet |
s3:PutObject |
PutObject, CreateMultipartUpload, UploadPart, UploadPartCopy, CompleteMultipartUpload | WRITE |
Objet |
s3:PutObjectAcl |
PutObjectAcl | WRITE |
Objet |
s3:PutObjectVersionAcl |
PutObjectAcl | WRITE |
Objet |
s3:DeleteObject |
DeleteObject | WRITE |
Objet |
s3:DeleteObjectVersion |
DeleteObject | WRITE |
Objet |
s3:AbortMultipartUpload |
AbortMultipartUpload | WRITE |
Objet |
s3:ListBucket |
HeadBucket, ListObjectsV2, ListObjects | READ |
Compartiment |
s3:ListBucketVersions |
ListObjectVersions | READ |
Compartiment |
s3:ListBucketMultipartUploads |
ListMultipartUploads | READ |
Compartiment |
