Répertorier les autorisations d’accès de l’appelant - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Répertorier les autorisations d’accès de l’appelant

Les propriétaires de données S3 peuvent utiliser les subventions d'accès S3 pour créer des autorisations d'accès pour les identités AWS Identity and Access Management (IAM) ou pour les identités AWS IAM Identity Center d'annuaires d'entreprise. Les identités IAM et les identités d’annuaire IAM Identity Center peuvent à leur tour utiliser l’API ListCallerAccessGrants pour répertorier tous les compartiments, préfixes et objets Amazon S3 auxquels elles peuvent accéder, tels que définis par leurs autorisations d’accès S3. Utilisez cette API pour découvrir toutes les données S3 auxquelles une identité IAM ou une identité d’annuaire peut accéder via les autorisations d’accès S3.

Vous pouvez utiliser cette fonctionnalité pour créer des applications qui affichent les données accessibles à des utilisateurs finaux spécifiques. Par exemple, le navigateur de AWS stockage pour S3, un composant d'interface utilisateur open source que les clients utilisent pour accéder aux compartiments S3, utilise cette fonctionnalité pour présenter aux utilisateurs finaux les données auxquelles ils ont accès dans Amazon S3, en fonction de leurs autorisations d'accès S3. Autre exemple : lorsque vous créez une application pour parcourir, charger ou télécharger des données dans Amazon S3, vous pouvez utiliser cette fonctionnalité pour créer une arborescence dans votre application qu’un utilisateur final pourra ensuite parcourir.

Note

Pour les identités d'annuaire d'entreprise, lors de la liste des autorisations d'accès de l'appelant, S3 Access Grants renvoie les autorisations de l'identité IAM utilisée pour la session basée sur l'identité. Pour plus d'informations sur les sessions basées sur l'identité, consultez la section Octroi d'autorisations pour utiliser des sessions de console basées sur l'identité dans le Guide de l'utilisateur.AWS Identity and Access Management

Le bénéficiaire, qu'il s'agisse d'une identité IAM ou d'une identité d'annuaire d'entreprise, peut obtenir la liste de ses autorisations d'accès en utilisant le AWS Command Line Interface (AWS CLI), l'API REST Amazon S3 et le. AWS SDKs

Pour l'installer AWS CLI, reportez-vous à la section Installation du AWS CLI dans le guide de AWS Command Line Interface l'utilisateur.

Pour utiliser l’exemple de commande suivant, remplacez les user input placeholders par vos propres informations.

Exemple Affichage des autorisations d’accès accordées à un appelant

Requête :

aws s3control list-caller-access-grants \
--account-id 111122223333 \
--region us-east-2
--max-results 5

Réponse :

{
	"NextToken": "6J9S...",
	"CallerAccessGrantsList": [
		{
			"Permission": "READWRITE",
			"GrantScope": "s3://amzn-s3-demo-bucket/prefix1/sub-prefix1/*",
			"ApplicationArn": "NA"
		},
		{
			"Permission": "READWRITE",
			"GrantScope": "s3://amzn-s3-demo-bucket/prefix1/sub-prefix2/*",
			"ApplicationArn": "ALL"
		},
		{
			"Permission": "READWRITE",
			"GrantScope": "s3://amzn-s3-demo-bucket/prefix1/sub-prefix3/*",
			"ApplicationArn": "arn:aws:sso::111122223333:application/ssoins-ssoins-1234567890abcdef/apl-abcd1234a1b2c3d"
		}
	]
}
Exemple Répertorier les autorisations d’accès d’un appelant pour un compartiment

Vous pouvez limiter la portée des résultats à l’aide du paramètre grantscope.

Requête :

aws s3control list-caller-access-grants \
--account-id 111122223333 \
--region us-east-2
--grant-scope "s3://amzn-s3-demo-bucket""
--max-results 1000

Réponse :

{
	"NextToken": "6J9S...",
	"CallerAccessGrantsList": [
		{
			"Permission": "READ",
			"GrantScope": "s3://amzn-s3-demo-bucket*",
			"ApplicationArn": "ALL"
		},
		{
			"Permission": "READ",
			"GrantScope": "s3://amzn-s3-demo-bucket/prefix1/*",
			"ApplicationArn": "arn:aws:sso::111122223333:application/ssoins-ssoins-1234567890abcdef/apl-abcd1234a1b2c3d"
		}
	]
}

Pour plus d'informations sur la prise en charge de l'API REST d'Amazon S3 pour obtenir une liste des autorisations d'accès accordées à l'appelant ListCallerAccessGrantsà l'API, consultez le manuel Amazon Simple Storage Service API Reference.

Cette section fournit un exemple de la façon dont les bénéficiaires demandent des informations d'identification temporaires à S3 Access Grants en utilisant le AWS SDKs.

Java

L'exemple de code suivant renvoie les autorisations d'accès de l'appelant de l'API aux données S3 d'un utilisateur donné Compte AWS. Pour utiliser cet exemple de code, remplacez les user input placeholders par vos propres informations.

Exemple Affichage des autorisations d’accès accordées à un appelant

Requête :

Public void ListCallerAccessGrants() {
	ListCallerAccessGrantsRequest listRequest = ListCallerAccessGrantsRequest.builder()
				.withMaxResults(1000)
				.withGrantScope("s3://")
				.accountId("111122223333");
	ListCallerAccessGrantsResponse listResponse = s3control.listCallerAccessGrants(listRequest);
	LOGGER.info("ListCallerAccessGrantsResponse: " + listResponse);
	}

Réponse :

ListCallerAccessGrantsResponse(
CallerAccessGrantsList=[
	ListCallerAccessGrantsEntry(
		S3Prefix=s3://amzn-s3-demo-bucket/prefix1/,
		Permission=READ,
		ApplicationArn=ALL
	)
])