Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration des politiques IAM pour l'utilisation des points d'accès pour les compartiments d'annuaire
Politiques de ressources de support des points d'accès AWS Identity and Access Management (IAM) qui vous permettent de contrôler l'utilisation du point d'accès par ressource, par utilisateur ou selon d'autres conditions. Pour qu'une application ou un utilisateur puisse accéder à des objets via un point d'accès, le point d'accès et la politique de compartiment sous-jacente doivent autoriser la demande.
Important
L'ajout d'un point d'accès à un bucket de répertoire ne modifie pas le comportement du bucket lorsque le bucket est accessible directement via le nom du bucket. Toutes les opérations existantes sur le compartiment continueront de fonctionner comme auparavant. Les restrictions que vous incluez dans une politique de point d'accès ou dans l'étendue d'un point d'accès ne s'appliquent qu'aux demandes effectuées via ce point d'accès.
Lorsque vous utilisez des politiques de ressources IAM, veillez à résoudre les avertissements de sécurité, les erreurs, les avertissements généraux et les suggestions AWS Identity and Access Management Access Analyzer avant d'enregistrer votre politique. IAM Access Analyzer exécute des vérifications de politiques pour valider votre politique par rapport à la grammaire de politique et aux bonnes pratiques IAM. Ces vérifications génèrent des résultats et fournissent des recommandations pour vous aider à créer des stratégies fonctionnelles et conformes aux bonnes pratiques en matière de sécurité.
Pour en savoir plus sur la validation des politiques à l’aide d’IAM Access Analyzer, consultez Validation de politique IAM Access Analyzer dans le Guide de l’utilisateur IAM. Pour afficher la liste des avertissements, erreurs et suggestions renvoyés par IAM Access Analyzer, consultez la Référence de vérification de politique IAM Access Analyzer.
Exemples de politiques relatives aux points d'accès pour les compartiments d'annuaire
Les politiques de point d'accès suivantes montrent comment contrôler les demandes adressées à un bucket d'annuaire. Les politiques relatives aux points d'accès nécessitent un compartiment ARNs ou un point d'accès ARNs. Les alias de point d'accès ne sont pas pris en charge dans les politiques. Voici un exemple d'ARN de point d'accès :
arn:aws:s3express:region:account-id:accesspoint/myaccesspoint--zoneID--xa-s3
Vous pouvez consulter l'ARN du point d'accès dans les détails d'un point d'accès. Pour de plus amples informations, veuillez consulter Afficher les détails de vos points d'accès pour les compartiments d'annuaire.
Note
Les autorisations accordées dans une politique de point d’accès ne sont effectives que si le compartiment sous-jacent autorise également le même accès. Vous pouvez y parvenir de deux façons :
-
(Recommandé) Déléguer le contrôle d’accès du compartiment au point d’accès, comme décrit à la section Délégation du contrôle d’accès aux points d’accès.
-
Ajoutez les mêmes autorisations contenues dans la stratégie de point d’accès à la stratégie du compartiment sous-jacent.
Exemple 1 — Politique de contrôle des services pour limiter les points d'accès aux origines du réseau VPC
La politique de contrôle des services suivante exige que tous les nouveaux points d'accès soient créés à partir d'un réseau de cloud privé virtuel (VPC). Avec cette politique en place, les utilisateurs de votre organisation ne peuvent créer aucun point d'accès accessible depuis Internet.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "s3express:CreateAccessPoint", "Resource": "*", "Condition": { "StringNotEquals": { "s3express:AccessPointNetworkOrigin": "VPC" } } } ] }
Exemple 2 — Politique de point d'accès pour limiter l'accès au bucket aux points d'accès provenant d'un réseau VPC
La politique de point d'accès suivante limite tous les accès au bucket amzn-s3-demo-bucket--zoneID--x-s3 à un point d'accès d'origine réseau VPC.
{ "Version": "2012-10-17", "Statement": [ { "Principal": "*", "Action": "s3express:CreateSession", "Effect": "Deny", "Resource": "arn:aws:s3express:region:111122223333:bucket/amzn-s3-demo-bucket--zoneID--x-s3", "Condition": { "StringNotEqualsIfExists": { "s3express:AccessPointNetworkOrigin": "VPC" } } } ] }
Clés de condition
Les points d'accès pour les compartiments d'annuaire sont dotés de clés de condition que vous pouvez utiliser dans les politiques IAM pour contrôler l'accès à vos ressources. Les clés de condition suivantes ne représentent qu’une partie d’une politique IAM. Pour obtenir des exemples complets de politiques, consultez Exemples de politiques relatives aux points d'accès pour les compartiments d'annuaire, Délégation du contrôle d’accès aux points d’accès et Octroi d’autorisations pour les points d’accès intercompte.
s3express:DataAccessPointArn-
Cet exemple montre comment filtrer l'accès en fonction du nom de ressource Amazon (ARN) d'un point d'accès et fait correspondre tous les points d'accès Compte AWS
111122223333de la régionregion:"Condition" : { "StringLike": { "s3express:DataAccessPointArn": "arn:aws:s3express:region:111122223333:accesspoint/*" } } s3express:DataAccessPointAccount-
Cet exemple présente un opérateur de chaîne que vous pouvez utiliser pour établir une correspondance sur l’ID de compte du propriétaire d’un point d’accès. L’exemple suivant correspond à tous les points d’accès appartenant au Compte AWS
111122223333"Condition" : { "StringEquals": { "s3express:DataAccessPointAccount": "111122223333" } } s3express:AccessPointNetworkOrigin-
Cet exemple présente un opérateur de chaîne que vous pouvez utiliser pour faire correspondre sur l’origine du réseau, soit
Internet, soitVPC. L’exemple suivant ne correspond qu’aux points d’accès ayant une origine VPC."Condition" : { "StringEquals": { "s3express:AccessPointNetworkOrigin": "VPC" } } s3express:Permissions-
Vous pouvez l'utiliser
s3express:Permissionspour restreindre l'accès à des opérations d'API spécifiques dans le périmètre du point d'accès. Les opérations d'API suivantes sont prises en charge :PutObjectGetObjectDeleteObjectListBucket(obligatoire pourListObjectsV2)GetObjectAttributesAbortMultipartUploadListBucketMultipartUploadsListMultipartUploadParts
Note
Lorsque vous utilisez des clés de condition à valeurs multiples, nous vous recommandons de les utiliser
ForAllValuesavecAllowdes instructions etForAnyValueavec desDenyinstructions. Pour plus d'informations, consultez la section Clés contextuelles à valeurs multiples dans le guide de l'utilisateur IAM.
Pour plus d’informations sur l’utilisation des clés de condition avec Amazon S3, consultez Actions, ressources et clés de condition pour Amazon S3 dans la Référence de l’autorisation de service.
Pour plus d'informations sur les autorisations requises pour les opérations d'API S3 par type de ressource S3, consultezAutorisations requises pour les opérations d’API Amazon S3.
Délégation du contrôle d’accès aux points d’accès
Vous pouvez déléguer le contrôle d'accès de la politique de compartiment à la politique de point d'accès. Dans l’exemple suivant, la politique de compartiment permet un accès complet à tous les points d’accès appartenant au compte du propriétaire du compartiment. Une fois la politique appliquée, tous les accès à ce compartiment sont contrôlés par des politiques de point d'accès. Nous vous recommandons de configurer vos compartiments de cette façon pour tous les cas d’utilisation qui ne demandent pas d’accès direct au compartiment.
Exemple politique de compartiment qui délègue le contrôle d'accès aux points d'accès
{ "Version": "2012-10-17", "Statement" : [ { "Effect": "Allow", "Principal" : { "AWS": "*" }, "Action" : "*", "Resource" : [ "Bucket ARN", "Condition": { "StringEquals" : { "s3express:DataAccessPointAccount" : "Bucket owner's account ID" } } }] }
Octroi d’autorisations pour les points d’accès intercompte
Pour créer un point d’accès à un compartiment qui appartient à un autre compte, vous devez d’abord créer le point d’accès en spécifiant le nom du compartiment et l’ID du propriétaire du compte. Ensuite, le propriétaire du compartiment doit mettre à jour la politique de compartiment pour autoriser les requêtes du point d’accès. La création d’un point d’accès est similaire à la création d’un DNS CNAME dans la mesure où le point d’accès ne donne pas accès au contenu du compartiment. Tous les accès aux compartiments sont contrôlés par la politique des compartiments. L’exemple de politique de compartiment suivant autorise les requêtes GET et LIST sur le compartiment depuis un point d’accès appartenant à un Compte AWS de confiance.
Bucket ARNRemplacez-le par l'ARN du bucket.
Exemple de la politique du bucket déléguant des autorisations à un autre Compte AWS
{ "Version": "2012-10-17", "Statement" : [ { "Effect": "Allow", "Principal" : { "AWS": "*" }, "Action" : "s3express:CreateSession", "Resource" : [ "Bucket ARN" ], "Condition": { "StringEquals" : { "s3express:DataAccessPointAccount": "Access point owner's account ID" }, "ForAllValues:StringEquals": { "s3express:Permissions": [ "GetObject", "ListBucket" ] } } }] }
