Gestion de l’accès avec S3 Access Grants

Pour respecter le principe du moindre privilège, vous définissez un accès granulaire à vos données Amazon S3 en fonction des applications, des personas, des groupes ou des unités organisationnelles. Vous pouvez utiliser diverses approches pour mettre en place un accès granulaire aux données dans Amazon S3, en fonction de l’échelle et de la complexité des modèles d’accès.

L’approche la plus simple pour gérer l’accès à un nombre réduit ou moyen de jeux de données dans Amazon S3 par des principaux AWS Identity and Access Management (IAM) consiste à définir des politiques d’autorisation IAM et des stratégies de compartiment S3. Cette stratégie fonctionne, à condition que les politiques nécessaires respectent les limites de taille des stratégies de compartiment S3 (20 Ko) et des politiques IAM (5 Ko), ainsi que le nombre de principaux IAM autorisés par compte.

Avec l’augmentation du nombre de jeux de données et de cas d’utilisation, il se peut que vous ayez besoin de plus d’espace de politique. Une approche qui offre beaucoup plus d’espace pour les déclarations de politique consiste à utiliser les points d’accès S3 comme points de terminaison supplémentaires pour les compartiments S3, car chaque point d’accès peut avoir sa propre politique. Vous pouvez définir des modèles de contrôle d’accès très précis, car vous pouvez avoir des milliers de points d’accès par Région AWS par compte, avec une politique d’une taille maximale de 20 Ko pour chaque point d’accès. Bien que les points d’accès S3 augmentent la quantité d’espace de politique disponible, ils nécessitent un mécanisme permettant aux clients de découvrir le point d’accès approprié pour le jeu de données approprié.

Une troisième approche consiste à implémenter un modèle d’agent de session IAM, dans lequel vous implémentez une logique de décision d’accès et générez dynamiquement des informations d’identification de session IAM à court terme pour chaque session d’accès. L’approche de l’agent de session IAM prend en charge les modèles d’autorisations arbitrairement dynamiques et s’adapte efficacement, mais vous devez élaborer la logique des modèles d’accès.

Au lieu d’utiliser ces approches, vous pouvez utiliser S3 Access Grants pour gérer l’accès à vos données Amazon S3. S3 Access Grants fournit un modèle simplifié pour définir les autorisations d’accès aux données dans Amazon S3 par préfixe, compartiment ou objet. En outre, vous pouvez utiliser S3 Access Grants pour accorder l’accès à la fois aux principaux IAM et directement aux utilisateurs ou groupes de votre annuaire d’entreprise.

Vous définissez généralement les autorisations d’accès aux données dans Amazon S3 en mappant les utilisateurs et les groupes aux jeux de données. Vous pouvez utiliser S3 Access Grants pour définir des mappages d’accès direct des préfixes S3 aux utilisateurs et aux rôles au sein des compartiments et des objets Amazon S3. Grâce au schéma d’accès simplifié de S3 Access Grants, vous pouvez accorder un accès en lecture seule, en écriture seule ou en lecture-écriture en fonction d’un préfixe S3 à la fois aux principaux IAM et directement aux utilisateurs ou groupes d’un annuaire d’entreprise. Grâce à ces fonctionnalités de S3 Access Grants, les applications peuvent demander des données à Amazon S3 au nom de l’utilisateur authentifié actuel de l’application.

Lorsque vous intégrez les autorisations d’accès S3 avec la fonctionnalité de propagation d’identité approuvée d’AWS IAM Identity Center, vos applications peuvent envoyer des demandes aux Services AWS (y compris aux autorisations d’accès S3) directement au nom d’un utilisateur authentifié de l’annuaire d’entreprise. Vos applications n’ont plus besoin de commencer par mapper l’utilisateur à un principal IAM. En outre, étant donné que les identités des utilisateurs finaux sont propagées jusqu’à Amazon S3, l’audit permettant de vérifier quel utilisateur a accédé à quel objet S3 est simplifié. Il n’est plus nécessaire de reconstruire la relation entre les différents utilisateurs et les sessions IAM. Lorsque vous utilisez S3 Access Grants avec la propagation d’identité approuvée d’IAM Identity Center, chaque événement de données AWS CloudTrail pour Amazon S3 contient une référence directe à l’utilisateur final pour le compte duquel les données ont été consultées.

La propagation fiable des identités est une fonctionnalité AWS IAM Identity Center que les administrateurs de Services AWS connectés peuvent utiliser pour accorder et auditer l’accès aux données de service. L'accès à ces données est basé sur les attributs de l'utilisateur tels que les associations de groupes. La mise en place d'une propagation d'identité sécurisée nécessite une collaboration entre les administrateurs de Services AWS connectés et les administrateurs d'IAM Identity Center. Pour plus d’informations, consultez Prérequis et considérations.

Pour plus d’informations sur S3 Access Grants, consultez les rubriques suivantes.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Suppression d’une balise d’un point d’accès

Concepts de S3 Access Grants