Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation de balises avec des points d’accès S3 pour les compartiments de répertoires
Une AWS balise est une paire clé-valeur qui contient des métadonnées relatives aux ressources, en l'occurrence les points d'accès Amazon S3 pour les compartiments d'annuaire. Vous pouvez baliser les points d’accès lorsque vous les créez ou gérer les balises de points d’accès existants. Pour plus d’informations sur les balises, consultez [Balisage pour la répartition des coûts ou le contrôle d’accès par attributs (ABAC)](tagging.md).
**Note**
L’utilisation de balises sur les points d’accès de compartiments de répertoires n’occasionne aucun coût supplémentaire, en dehors des tarifs standard des demandes d’API S3. Pour plus d’informations, consultez [Tarification Amazon S3](https://aws.amazon.com/s3/pricing/).
## Méthodes courantes d’utilisation de balises avec des points d’accès de compartiments de répertoires
Le contrôle d’accès par attributs (ABAC) vous permet de mettre à l’échelle les autorisations d’accès et d’autoriser l’accès à des points d’accès de compartiments de répertoires en fonction de leurs balises. Pour plus d’informations sur l’ABAC dans Amazon S3, consultez [Utilisation de balises pour l’ABAC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-abac).
### ABAC pour points d’accès S3
Les points d’accès Amazon S3 prennent désormais en charge le contrôle d’accès par attributs (ABAC) à l’aide de balises. Utilisez des clés de condition basées sur des balises dans vos politiques AWS d'organisation, d'IAM et de points d'accès. Pour les entreprises, l'ABAC d'Amazon S3 prend en charge l'autorisation sur plusieurs AWS comptes.
Dans vos politiques IAM, vous pouvez contrôler l’accès aux points d’accès des compartiments de répertoires en fonction des balises des compartiments à l’aide des [clés de condition globale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys) suivantes :
+ `aws:ResourceTag/key-name`
+ Utilisez cette clé pour comparer la paire valeur clé d'étiquette que vous spécifiez dans la politique avec la paire valeur clé attachée à la ressource. Par exemple, vous pouvez exiger que l'accès à une ressource soit autorisé uniquement si la clé de balise `Dept` est attachée à la ressource avec la valeur `Marketing`. Pour plus d'informations, consultez la section [Contrôle de l'accès aux AWS ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources).
+ `aws:RequestTag/key-name`
+ Utilisez cette clé pour comparer la paire clé-valeur de balise qui a été transmise dans la demande avec la paire de balises spécifiée dans la politique. Par exemple, vous pouvez vérifier que la demande comprend la clé de balise `Dept` et qu'elle a la valeur `Accounting`. Pour plus d'informations, consultez la section [Contrôle de l'accès lors AWS des demandes](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests). Vous pouvez utiliser cette clé de condition pour restreindre les paires clé-valeur de balise pouvant être transmises pendant les opérations d’API `TagResource` et `CreateAccessPoint`.
+ `aws:TagKeys`
+ Utilisez cette clé pour comparer les clés de balise d’une demande avec celles spécifiées dans la politique. Nous vous recommandons, lorsque vous utilisez des politiques pour contrôler l'accès à l'aide de balises, d'utiliser la clé de condition `aws:TagKeys` pour définir quelles clés de balises sont autorisées. Pour des exemples de stratégies et plus d’informations, consultez [Contrôle de l’accès en fonction des clés de balise](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys). Vous pouvez créer un point d’accès de compartiments de répertoires avec des balises. Pour autoriser le balisage pendant l’opération d’API `CreateAccessPoint`, vous devez créer une stratégie qui inclut les actions `s3express:TagResource` et `s3express:CreateAccessPoint`. Vous pouvez ensuite utiliser la clé de condition `aws:TagKeys` pour imposer l’utilisation de clés de balise spécifiques dans la demande `CreateAccessPoint`.
+ `s3express:AccessPointTag/tag-key`
+ Utilisez cette clé de condition pour accorder des autorisations à des données spécifiques via des points d’accès utilisant des balises. Quand vous utilisez `aws:ResourceTag/tag-key` dans le cadre d’une politique IAM, le point d’accès et le compartiment vers lequel il pointe doivent avoir la même balise, car ils sont tous deux pris en compte lors de l’autorisation. Si vous souhaitez contrôler l’accès à vos données uniquement via la balise du point d’accès, vous pouvez utiliser la clé de condition `s3express:AccessPointTag/tag-key`.
### Exemples de stratégies ABAC pour les points d’accès de compartiments de répertoires
Consultez les exemples de stratégies ABAC suivants pour les points d’accès de compartiments de répertoires.
#### 1.1 - Politique IAM permettant de créer ou de modifier des points d’accès avec des balises spécifiques
Dans cette politique IAM, les utilisateurs ou les rôles dotés de cette politique ne peuvent créer des points d’accès que s’ils les balisent avec la clé de balise `project` et la valeur de balise `Trinity` dans la demande de création du point d’accès. Ils peuvent également ajouter ou modifier des balises sur des points d’accès existants de compartiments de répertoires, à condition que la demande `TagResource` inclue la paire clé-valeur de balise `project:Trinity`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateAccessPointWithTags",
"Effect": "Allow",
"Action": [
"s3express:CreateAccessPoint",
"s3express:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/project": [
"{{Trinity}}"
]
}
}
}
]
}
```
#### 1.2 - Stratégie de point d’accès permettant de restreindre les opérations sur le compartiment à l’aide de balises
Dans cette stratégie de point d’accès, les principaux IAM (utilisateurs et rôles) peuvent effectuer des opérations à l’aide de l’action `CreateSession` sur le point d’accès uniquement si la valeur de la balise `project` du point d’accès correspond à la valeur de la balise `project` du principal.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowObjectOperations",
"Effect": "Allow",
"Principal": {
"AWS": "{{111122223333}}"
},
"Action": "s3express:CreateSession",
"Resource": "arn:aws::s3express:{{region}}:{{111122223333}}:access-point/{{{{my-access-point}}}}",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
}
}
}
]
}
```
#### 1.3 - Politique IAM permettant de modifier des balises de ressources existantes tout en maintenant la gouvernance des balises
Dans cette politique IAM, les principaux IAM (utilisateurs ou rôles) peuvent modifier les balises d’un point d’accès uniquement si la valeur de la balise `project` du point d’accès correspond à la valeur de la balise `project` du principal. Seules les quatre balises `project`, `environment`, `owner` et `cost-center` spécifiées dans les clés de condition `aws:TagKeys` sont autorisées pour ces points d’accès. Cela permet de renforcer la gouvernance des balises, d’empêcher les modifications non autorisées des balises et de garantir la cohérence du schéma de balisage sur l’ensemble de vos points d’accès.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EnforceTaggingRulesOnModification",
"Effect": "Allow",
"Action": [
"s3express:TagResource"
],
"Resource": "arn:aws::s3express:{{region}}:{{111122223333}}:accesspoint/{{{{my-access-point}}}}",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"{{project}}",
"{{environment}}",
"{{owner}}",
"{{cost-center}}"
]
}
}
}
]
}
```
#### 1.4 - Utilisation de la clé de condition s3express : AccessPointTag
Dans cette politique IAM, l’instruction de la condition autorise l’accès aux données du compartiment uniquement si le point d’accès utilisé pour accéder au compartiment possède la clé `Environment` et la valeur de balise `Production`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSpecificAccessPoint",
"Effect": "Allow",
"Action": "*",
"Resource": "arn:aws::s3express:{{region}}:{{111122223333}}:accesspoint/{{{{my-access-point}}}}",
"Condition": {
"StringEquals": {
"s3express:AccessPointTag/Environment": "Production"
}
}
}
]
}
```
## Utilisation de balises pour des points d’accès de compartiments de répertoire
Vous pouvez ajouter ou gérer des balises pour les points d'accès aux compartiments de répertoire à l'aide de la console Amazon S3, de l'interface de ligne de AWS commande (CLI) AWS SDKs, ou à l'aide du S3 APIs : [TagResource[UntagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html)](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html), et [ListTagsForResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html). Pour en savoir plus, consultez :
**Topics**
+ [Méthodes courantes d’utilisation de balises avec des points d’accès de compartiments de répertoires](#common-ways-to-use-tags-access-points-db)
+ [Utilisation de balises pour des points d’accès de compartiments de répertoire](#working-with-tags-access-points-db)
+ [Création de points d’accès de compartiments de répertoires avec des balises](access-points-db-create-tag.md)
+ [Ajout d’une balise à un point d’accès de compartiments de répertoires](access-points-db-tag-add.md)
+ [Affichage des balises d’un point d’accès de compartiments de répertoires](access-points-db-tag-view.md)
+ [Suppression d’une balise d’un point d’accès de compartiments de répertoires](access-points-db-tag-delete.md)