Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des accès aux jeux de données partagés dans des compartiments de répertoires avec des points d’accès
Les points d’accès Amazon S3 simplifient la gestion des accès aux données à grande échelle des jeux de données partagés dans S3. Les points d’accès sont des noms d’hôte uniques que vous créez pour appliquer des autorisations et des contrôles réseau distincts à toutes les demandes effectuées via un point d’accès. Vous pouvez créer des centaines de points d’accès par compartiment, avec pour chacun un nom distinct et des autorisations personnalisées pour chaque application. Chaque point d’accès fonctionne en conjonction avec la stratégie de compartiment attachée au compartiment sous-jacent.
Dans les compartiments d'annuaire, le nom d'un point d'accès se compose du nom de base que vous fournissez, suivi de l'ID de zone (zone de AWS disponibilité ou zone locale) de l'emplacement de votre compartiment de répertoire, puis`--xa-s3`. Par exemple, `accesspointname--zoneID--xa-s3`. Une le point d’accès créé, vous ne pouvez modifier ni son nom ni son ID de zone.
Vous pouvez utiliser l’étendue des points d’accès des compartiments de répertoires pour restreindre l’accès à des préfixes ou à des opérations d’API spécifiques. Vous pouvez spécifier n’importe quel nombre de préfixes, mais la longueur totale des caractères de tous les préfixes doit être inférieure à 256 octets.
Vous pouvez configurer un point d’accès pour qu’il accepte uniquement les demandes provenant d’un cloud privé virtuel (VPC). Il restreint l’accès aux données Amazon S3 à un réseau privé.
Dans cette section, les rubriques expliquent comment utiliser des points d’accès pour compartiment de répertoires. Pour plus d’informations sur les compartiments de répertoires, consultez [Utilisation des compartiments de répertoires](directory-buckets-overview.md).
**Topics**
+ [Règles de dénomination, restrictions et limitations des points d’accès pour compartiments de répertoires](access-points-directory-buckets-restrictions-limitations-naming-rules.md)
+ [Référence aux points d’accès de compartiments de répertoires](access-points-directory-buckets-naming.md)
+ [Opérations sur des objets via des points d’accès de compartiments de répertoires](access-points-directory-buckets-service-api-support.md)
+ [Configuration de politiques IAM pour l’utilisation de points d’accès de compartiments de répertoires](access-points-directory-buckets-policies.md)
+ [Surveillance et journalisation de points d’accès de compartiments de répertoires](access-points-directory-buckets-monitoring-logging.md)
+ [Création de points d’accès de compartiments de répertoires](creating-access-points-directory-buckets.md)
+ [Gestion des points d’accès de compartiments de répertoires](access-points-directory-buckets-manage.md)
+ [Utilisation de balises avec des points d’accès S3 pour les compartiments de répertoires](access-points-db-tagging.md)
# Règles de dénomination, restrictions et limitations des points d’accès pour compartiments de répertoires
Les points d'accès simplifient la gestion de l'accès aux données à grande échelle pour les ensembles de données partagés dans Amazon S3. Les rubriques suivantes fournissent des informations sur les règles de dénomination, les restrictions et les limitations des points d’accès.
**Topics**
+ [Règles de dénomination des points d’accès de compartiments de répertoires](#access-points-directory-buckets-names)
+ [Restrictions et limitations des points d’accès pour compartiments de répertoires](#access-points-directory-buckets-restrictions-limitations)
## Règles de dénomination des points d’accès de compartiments de répertoires
Un point d’accès doit être créé dans la même zone que le compartiment. Le nom du point d’accès doit être unique dans la zone.
Les noms des point d’accès doivent être conformes à DNS et remplir les conditions suivantes :
+ Ils doivent commencer par un chiffre ou une lettre minuscule.
+ Le nom de base que vous fournissez doit comporter entre 3 et 50 caractères.
+ Ils ne peuvent pas commencer ou se terminer par un trait d’union (`-`)
+ Ils ne peuvent contenir ni traits de soulignement (`_`), ni lettres majuscules, ni espaces, ni points (`.`)
+ Ils ne peuvent pas se terminer par le suffixe `zoneid--xa--s3`.
## Restrictions et limitations des points d’accès pour compartiments de répertoires
Les points d’accès de compartiments de répertoires présentent les restrictions et limitations suivantes :
+ Chaque point d’accès est associé à un compartiment de répertoires. Une fois que vous avez créé un point d’accès, vous ne pouvez pas l’associer à un autre compartiment. Toutefois, vous pouvez supprimer un point d’accès, puis en créer un autre du même nom et l’associer à un autre compartiment.
+ Après avoir créé un point d’accès, vous ne pouvez pas modifier sa configuration VPC (virtual private cloud).
+ Les stratégies de point d’accès sont limitées à une taille de 20 Ko.
+ Les préfixes des points d’accès sont limités à 256 octets au total.
+ Vous pouvez créer un maximum de 10 000 points d'accès Compte AWS par personne Région AWS. Si vous avez besoin de plus de 10 000 points d’accès pour un seul compte dans une même région, vous pouvez demander une augmentation des quotas de service. Pour plus d’informations sur les quotas de service et la demande d’une augmentation, consultez [AWS Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) dans *Références générales AWS*.
+ Vous ne pouvez utiliser que des points d’accès pour effectuer des opérations sur des objets. Vous ne pouvez pas utiliser les points d’accès pour effectuer des opérations Amazon S3 sur des compartiments (modification, suppression, par exemple). Pour obtenir la liste complète des opérations prises en charge, consultez [Opérations sur des objets via des points d’accès de compartiments de répertoires](access-points-directory-buckets-service-api-support.md).
+ Vous pouvez faire référence aux points d'accès par leur nom, leur alias ou leur virtual-hosted-style URI. Vous ne pouvez pas y faire référence par leur ARN. Pour de plus amples informations, veuillez consulter [Référence aux points d’accès de compartiments de répertoires](access-points-directory-buckets-naming.md).
+ Les opérations d'API qui contrôlent les fonctionnalités du point d'accès (par exemple, `PutAccessPointPolicy` et`GetAccessPointPolicy`) doivent spécifier le AWS compte propriétaire du point d'accès.
+ Vous devez utiliser AWS Signature Version 4 lorsque vous envoyez des demandes à un point d'accès à l'aide de l'API REST. Pour plus d'informations sur l'authentification des demandes, consultez [Authentification des demandes (AWS Signature version 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) dans le manuel *Amazon Simple Storage Service API* Reference.
+ Les points d’accès prennent uniquement en charge les demandes via HTTPS. Amazon S3 répond automatiquement par une redirection HTTP des demandes HTTP afin de les mettre à niveau vers HTTPS.
+ Les points d’accès ne prennent pas en charge l’accès anonyme.
+ Si vous créez un point d’accès pour un compartiment appartenant à un autre compte (point d’accès intercompte), le point d’accès intercompte ne vous accorde pas l’accès aux données tant que le propriétaire du compartiment ne vous autorise pas à accéder à celui-ci. Le propriétaire du compartiment conserve toujours le contrôle ultime sur l’accès aux données et doit mettre à jour la politique du compartiment pour autoriser les demandes provenant du point d’accès intercompte. Pour afficher un exemple de politique de compartiment, consultez [Configuration de politiques IAM pour l’utilisation de points d’accès de compartiments de répertoires](access-points-directory-buckets-policies.md).
# Référence aux points d’accès de compartiments de répertoires
Après avoir créé un point d’accès, vous pouvez l’utiliser comme point de terminaison pour exécuter des opérations sur des objets. Pour les points d’accès de compartiments de répertoires, l’alias du point d’accès est identique au nom du point d’accès. Vous pouvez utiliser le nom du point d’accès au lieu du nom de compartiment pour toutes les opérations de données. Pour obtenir la liste des opérations prises en charge, consultez [Opérations sur des objets via des points d’accès de compartiments de répertoires](access-points-directory-buckets-service-api-support.md).
## En faisant référence aux points d'accès par virtual-hosted-style URIs
Les points d'accès prennent uniquement en charge l' virtual-host-styleadressage. Les points d’accès utilisent le même format que les points de terminaison de compartiments de répertoires. Pour de plus amples informations, veuillez consulter [Points de terminaison d’API régionaux et zonaux des compartiments de répertoires](s3-express-Regions-and-Zones.md).
Les points d’accès S3 ne prennent pas en charge l’accès via HTTP. Les points d’accès prennent uniquement en charge l’accès sécurisé par HTTPS.
# Opérations sur des objets via des points d’accès de compartiments de répertoires
Vous pouvez utiliser des points d’accès pour accéder à un objet à l’aide des opérations de données S3 suivantes.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)
# Configuration de politiques IAM pour l’utilisation de points d’accès de compartiments de répertoires
Politiques de ressources de support des points d'accès Gestion des identités et des accès AWS (IAM) qui vous permettent de contrôler l'utilisation du point d'accès par ressource, par utilisateur ou selon d'autres conditions. Pour qu’une application ou un utilisateur accède à des objets via un point d’accès, le point d’accès et la stratégie de compartiment sous-jacente doivent autoriser la demande.
**Important**
L’ajout d’un point d’accès à un compartiment de répertoires ne modifie pas le comportement du compartiment lorsque celui-ci est accessible directement via son nom. Toutes les opérations existantes sur le compartiment continueront de fonctionner comme auparavant. Les restrictions que vous incluez dans une stratégie ou une portée de point d’accès s’appliquent uniquement aux demandes effectuées via ce point d’accès.
Lorsque vous utilisez des politiques de ressources IAM, veillez à résoudre les avertissements de sécurité, les erreurs, les avertissements généraux et les suggestions AWS Identity and Access Management Access Analyzer avant d'enregistrer votre politique. IAM Access Analyzer exécute des vérifications de politiques pour valider votre politique par rapport à la [grammaire de politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html) et aux [bonnes pratiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) IAM. Ces vérifications génèrent des résultats et fournissent des recommandations pour vous aider à créer des stratégies fonctionnelles et conformes aux bonnes pratiques en matière de sécurité.
Pour en savoir plus sur la validation des politiques à l’aide d’IAM Access Analyzer, consultez [Validation de politique IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*. Pour afficher la liste des avertissements, erreurs et suggestions renvoyés par IAM Access Analyzer, consultez la [Référence de vérification de politique IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html).
## Exemples de stratégies de compartiment pour des points d’accès de compartiments de répertoires
Les stratégies de point d’accès suivantes montrent comment contrôler les demandes adressées à un compartiment de répertoires. Les politiques relatives aux points d'accès nécessitent un compartiment ARNs ou un point d'accès ARNs. Les stratégies ne prennent pas en charge les alias de points d’accès. Voici un exemple d’ARN de point d’accès :
```
arn:aws:s3express:region:account-id:accesspoint/myaccesspoint--zoneID--xa-s3
```
Vous pouvez consulter l’ARN du point d’accès dans les détails de ce dernier. Pour de plus amples informations, veuillez consulter [Affichage des détails des points d’accès de vos compartiments de répertoires](access-points-directory-buckets-details.md).
**Note**
Les autorisations accordées dans une politique de point d’accès ne sont effectives que si le compartiment sous-jacent autorise également le même accès. Vous pouvez y parvenir de deux façons :
**(Recommandé)** Déléguer le contrôle d’accès du compartiment au point d’accès, comme décrit à la section [Délégation du contrôle d’accès aux points d’accès](#access-points-directory-buckets-delegating-control).
Ajoutez les mêmes autorisations contenues dans la stratégie de point d’accès à la stratégie du compartiment sous-jacent.
**Example 1 – Politique de contrôle des services pour limiter les points d’accès aux origines réseau du VPC**
La politique de contrôle de service suivante exige que tous les nouveaux points d’accès soient créés avec une origine réseau de cloud privé virtuel (VPC). Lorsque cette politique est mise en place, les utilisateurs de votre organisation ne peuvent pas créer de points d’accès accessibles à partir d’Internet.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "s3express:CreateAccessPoint",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"s3express:AccessPointNetworkOrigin": "VPC"
}
}
}
]
}
```
**Example 2 – Stratégie de point d’accès pour limiter l’accès du compartiment aux points d’accès possédant une origine réseau VPC**
La politique de point d'accès suivante limite tous les accès au bucket *amzn-s3-demo-bucket--zoneID--x-s3* à un point d'accès d'origine réseau VPC.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyCreateSessionFromNonVPC",
"Principal": "*",
"Action": "s3express:CreateSession",
"Effect": "Deny",
"Resource": "arn:aws:s3express:us-east-1:111122223333:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3"
}
]
}
```
## Clés de condition
Les points d’accès de compartiments de répertoires comportent des clés de condition que vous pouvez utiliser dans vos politiques IAM pour contrôler l’accès à vos ressources. Les clés de condition suivantes ne représentent qu’une partie d’une politique IAM. Pour obtenir des exemples complets de politiques, consultez [Exemples de stratégies de compartiment pour des points d’accès de compartiments de répertoires](#access-points-directory-buckets-policy-examples), [Délégation du contrôle d’accès aux points d’accès](#access-points-directory-buckets-delegating-control) et [Octroi d’autorisations pour les points d’accès intercompte](#access-points-directory-buckets-cross-account).
**`s3express:DataAccessPointArn`**
Cet exemple montre comment filtrer l'accès en fonction du nom de ressource Amazon (ARN) d'un point d'accès et fait correspondre tous les points d'accès Compte AWS *111122223333* de la région *region* :
```
"Condition" : {
"StringLike": {
"s3express:DataAccessPointArn": "arn:aws:s3express:region:111122223333:accesspoint/*"
}
}
```
**`s3express:DataAccessPointAccount`**
Cet exemple présente un opérateur de chaîne que vous pouvez utiliser pour établir une correspondance sur l’ID de compte du propriétaire d’un point d’accès. L’exemple suivant correspond à tous les points d’accès appartenant au Compte AWS *`111122223333`*.
```
"Condition" : {
"StringEquals": {
"s3express:DataAccessPointAccount": "111122223333"
}
}
```
**`s3express:AccessPointNetworkOrigin`**
Cet exemple présente un opérateur de chaîne que vous pouvez utiliser pour faire correspondre sur l’origine du réseau, soit `Internet`, soit `VPC`. L’exemple suivant ne correspond qu’aux points d’accès ayant une origine VPC.
```
"Condition" : {
"StringEquals": {
"s3express:AccessPointNetworkOrigin": "VPC"
}
}
```
**`s3express:Permissions`**
Vous pouvez utiliser `s3express:Permissions` pour restreindre l’accès à des opérations d’API spécifiques dans la portée du point d’accès. Les opérations d'API suivantes sont prises en charge :
+ `PutObject`
+ `GetObject`
+ `DeleteObject`
+ `ListBucket` (requise pour `ListObjectsV2`)
+ `GetObjectAttributes`
+ `AbortMultipartUpload`
+ `ListBucketMultipartUploads`
+ `ListMultipartUploadParts`
Lorsque vous utilisez des clés de condition à valeurs multiples, nous vous recommandons d’utiliser `ForAllValues` avec les instructions `Allow`, et `ForAnyValue` avec les instructions `Deny`. Pour plus d’informations, consultez [Clés de contexte à valeurs multiples](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html#reference_policies_condition-multi-valued-context-keys) dans le Guide de l’utilisateur IAM.
Pour plus d’informations sur l’utilisation des clés de condition avec Amazon S3, consultez [Actions, ressources et clés de condition pour Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) dans la *Référence de l’autorisation de service*.
Pour plus d’informations sur les autorisations requises pour les opérations d’API S3 par type de ressource S3, consultez [Autorisations requises pour les opérations d’API Amazon S3](using-with-s3-policy-actions.md).
## Délégation du contrôle d’accès aux points d’accès
Vous pouvez déléguer le contrôle des accès de la stratégie de compartiment à la stratégie de point d’accès. Dans l’exemple suivant, la politique de compartiment permet un accès complet à tous les points d’accès appartenant au compte du propriétaire du compartiment. Une fois la stratégie appliquée, tous les accès à ce compartiment sont contrôlés par la stratégie de point d’accès. Nous vous recommandons de configurer vos compartiments de cette façon pour tous les cas d’utilisation qui ne demandent pas d’accès direct au compartiment.
**Example stratégie de compartiment qui délègue le contrôle des accès aux points d’accès**
```
{
"Version": "2012-10-17",
"Statement" : [
{
"Effect": "Allow",
"Principal" : { "AWS": "*" },
"Action" : "*",
"Resource" : [ "Bucket ARN",
"Condition": {
"StringEquals" : { "s3express:DataAccessPointAccount" : "Bucket owner's account ID" }
}
}]
}
```
## Octroi d’autorisations pour les points d’accès intercompte
Pour créer un point d’accès à un compartiment qui appartient à un autre compte, vous devez d’abord créer le point d’accès en spécifiant le nom du compartiment et l’ID du propriétaire du compte. Ensuite, le propriétaire du compartiment doit mettre à jour la politique de compartiment pour autoriser les requêtes du point d’accès. La création d’un point d’accès est similaire à la création d’un DNS CNAME dans la mesure où le point d’accès ne donne pas accès au contenu du compartiment. Tous les accès aux compartiments sont contrôlés par la politique des compartiments. L’exemple de politique de compartiment suivant autorise les requêtes `GET` et `LIST` sur le compartiment depuis un point d’accès appartenant à un Compte AWS de confiance.
*Bucket ARN*Remplacez-le par l'ARN du bucket.
**Example de la politique du bucket déléguant des autorisations à un autre Compte AWS**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid": "AllowCreateSessionForDirectoryBucket",
"Effect": "Allow",
"Principal" : { "AWS": "*" },
"Action" : "s3express:CreateSession",
"Resource" : [ "arn:aws:s3express:us-west-2:111122223333:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3" ],
"Condition": {
"ForAllValues:StringEquals": {
"s3express:Permissions": [
"GetObject",
"ListBucket"
]
}
}
}]
}
```
# Surveillance et journalisation de points d’accès de compartiments de répertoires
Vous pouvez enregistrer les demandes effectuées via les points d'accès et les demandes adressées aux points d'accès APIs qui gèrent les points d'accès, `GetAccessPointPolicy,` par exemple `CreateAccessPoint` et en utilisant AWS CloudTrail. CloudTrail les entrées du journal pour les demandes effectuées via les points d'accès incluent l'ARN du point d'accès (qui inclut le nom du point d'accès) dans la `resources` section du journal.
Par exemple, supposons que vous ayez la configuration suivante :
+ Un compartiment nommé `amzn-s3-demo-bucket--zone-id--x-s3` dans la région `region` qui contient un objet nommé `my-image.jpg`.
+ Un point d’accès nommé `my-bucket-ap--zoneID--xa-s3` associé à `amzn-s3-demo-bucket--zone-id--x-s3`
+ Un Compte AWS identifiant de `123456789012`
L'exemple suivant montre la `resources` section d'une entrée de CloudTrail journal pour la configuration précédente :
```
"resources": [
{"type": "AWS::S3Express::Object",
"ARN": "arn:aws:s3express-region:123456789012:bucket/amzn-s3-demo-bucket--zone-id--x-s3/my-image.jpg"
},
{"accountId": "c",
"type": "AWS::S3Express::DirectoryBucket",
"ARN": "arn:aws::s3express:region:123456789012:bucket/amzn-s3-demo-bucket--zone-id--x-s3"
},
{"accountId": "123456789012",
"type": "AWS::S3::AccessPoint",
"ARN": "arn:aws:s3express:region:123456789012:accesspoint/my-bucket-ap--zoneID--xa-s3"
}
]
```
Pour plus d'informations AWS CloudTrail, voir [Qu'est-ce que c'est AWS CloudTrail ?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) dans le *guide de AWS CloudTrail l'utilisateur*.
# Création de points d’accès de compartiments de répertoires
À l’instar des compartiments de répertoires, les points d’accès peuvent être créés dans des zones de disponibilité ou des zones locales dédiées. Le point d’accès doit être créé dans la même zone que le compartiment de répertoires qui lui est associé.
Un point d’accès est associé à un seul compartiment de répertoires Amazon S3. Si vous souhaitez utiliser un compartiment de répertoire dans votre répertoire Compte AWS, vous devez d'abord créer un compartiment de répertoire. Pour plus d’informations sur la création de compartiments de répertoires, consultez [Création de compartiments de répertoires dans une zone de disponibilité](directory-bucket-create.md) ou [Création d’un compartiment de répertoires dans une zone locale](create-directory-bucket-LZ.md).
Vous pouvez également créer un point d’accès intercompte associé à un compartiment dans un autre compte Compte AWS, à condition de connaître le nom du compartiment et l’ID du compte du propriétaire du compartiment. Cependant, la création de points d’accès intercompte ne vous donne pas accès aux données du compartiment tant que vous n’avez pas obtenu les autorisations du propriétaire du compartiment. Le propriétaire du compartiment doit accorder au compte du propriétaire du point d’accès (votre compte) l’accès au compartiment par le biais de la stratégie du compartiment. Pour de plus amples informations, veuillez consulter [Octroi d’autorisations pour les points d’accès intercompte](access-points-policies.md#access-points-cross-account).
Vous pouvez créer un point d'accès pour n'importe quel compartiment de répertoire à l' AWS Management Console aide de l'API REST, ou AWS SDKs. AWS CLI Chaque point d’accès est associé à un seul compartiment de répertoires. Vous pouvez créer des centaines de points d’accès par compartiment. Lorsque vous créez un point d’accès, vous choisissez son nom et le compartiment de répertoires auquel l’associer. Le nom d’un point d’accès se compose d’un nom de base que vous fournissez et d’un suffixe qui inclut l’ID de la zone où se trouve votre compartiment, suivi de `--xa-s3`. Par exemple, `myaccesspoint-zoneID--xa-s3`. Vous pouvez également restreindre l’accès au point d’accès via un cloud privé virtuel (VPC). Ensuite, vous pouvez commencer immédiatement à lire et à écrire des données via votre point d’accès en utilisant son nom, comme vous le feriez avec un nom de compartiment de répertoires.
Vous pouvez utiliser la portée du point d’accès pour restreindre l’accès au compartiment de répertoires via le point d’accès à des préfixes ou à des opérations d’API spécifiques. Si vous n’ajoutez pas de portée au point d’accès, tous les préfixes du compartiment de répertoires et toutes les opérations d’API peuvent être exécutés sur les objets du compartiment lorsque celui-ci est accessible via le point d’accès. Après avoir créé le point d'accès, vous pouvez ajouter, modifier ou supprimer une étendue à l'aide de l'API AWS CLI AWS SDKs, ou de l'API REST. Pour de plus amples informations, veuillez consulter [Gestion de la portée des points d’accès de compartiments de répertoires](access-points-directory-buckets-manage-scope.md).
Après avoir créé le point d’accès, vous pouvez configurer sa politique de ressources IAM. Pour de plus amples informations, veuillez consulter [Affichage, modification ou suppression de stratégies de point d’accès](access-points-directory-buckets-policy.md).
## Utilisation de la console S3
**Note**
Vous pouvez également créer un point d’accès pour un compartiment de répertoires à partir de l’écran de ce dernier. Dans ce cas, le nom du compartiment de répertoires est fourni et il n’est pas nécessaire de choisir un compartiment lors de la création du point d’accès. Pour de plus amples informations, veuillez consulter [Établissement de la liste des compartiments de répertoires](directory-buckets-objects-ListExamples.md).
**Pour créer un point d’accès de compartiments de répertoires**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans la barre de navigation en haut de la page, choisissez le nom du fichier actuellement affiché Région AWS. Choisissez ensuite la région dans laquelle vous souhaitez créer un point d’accès. Le point d’accès doit être créé dans la même région que le compartiment auquel il est associé.
1. Dans le volet de navigation de gauche, choisissez **Points d’accès pour compartiments de répertoires**.
1. Dans la page **Points d’accès**, choisissez **Créer un point d’accès**.
1. Vous pouvez créer un point d’accès pour un compartiment de répertoires de votre compte ou d’un autre compte. Pour créer un point d’accès pour un compartiment de répertoires d’un autre compte, procédez comme suit :
**Note**
Si vous utilisez un bucket dans un autre endroit Compte AWS, le propriétaire du bucket doit mettre à jour la politique du bucket afin d'autoriser les demandes provenant du point d'accès. Pour un exemple de politique de compartiment, consultez [Octroi d’autorisations pour les points d’accès intercompte](access-points-directory-buckets-policies.md#access-points-directory-buckets-cross-account).
1. Dans le champ **Compartiment de répertoires**, choisissez **Spécifier un compartiment dans un autre compte**.
1. Dans le champ **ID de compte du propriétaire du compartiment**, entrez l' Compte AWS identifiant du propriétaire du compartiment.
1. Dans le champ **Nom du compartiment**, saisissez le nom du compartiment, y compris son nom de base et son ID de zone. Par exemple, ***bucket-base-name*--*zone-id*--x-s3**.
1. Pour créer un point d’accès pour un compartiment de répertoires de votre compte :
1. Dans le champ **Compartiment de répertoires**, sélectionnez **Choisir un compartiment dans ce compte**.
1. Dans le champ **Nom du compartiment**, saisissez le nom du compartiment, y compris son nom de base et son ID de zone. Par exemple, ***bucket-base-name*--*zone-id*--x-s3**. Pour choisir le compartiment dans une liste, choisissez **Parcourir S3** et choisissez le compartiment de répertoires.
1. Dans **Nom du point d’accès**, dans le champ **Nom de base**, saisissez le nom de base du point d’accès. L’ID de zone et le nom complet du point d’accès s’affichent. Pour en savoir plus sur l’attribution de noms aux points d’accès, consultez [Règles de dénomination des points d’accès de compartiments de répertoires](access-points-directory-buckets-restrictions-limitations-naming-rules.md#access-points-directory-buckets-names).
1. Dans **Origine du réseau**, choisissez **Cloud privé virtuel (VPC)** ou **Internet**. Si vous choisissez **Cloud privé virtuel (VPC)**, dans le champ **ID de VPC**, saisissez l’ID du VPC que vous souhaitez utiliser avec le point d’accès.
1. (Facultatif) Dans **Portée du point d’accès**, pour appliquer une portée à ce point d’accès, choisissez **Limiter la portée de ce point d’accès à l’aide de préfixes ou d’autorisations**.
1. Pour limiter l’accès aux préfixes du compartiment de répertoires, dans **Préfixes**, saisissez un ou plusieurs préfixes. Pour ajouter un autre préfixe, choisissez **Ajouter un préfixe**. Pour supprimer un préfixe, choisissez **Supprimer**.
**Note**
La portée d’un point d’accès est limitée à 512 caractères au total pour tous les préfixes. Vous pouvez voir le nombre de caractères restant sous **Ajouter un préfixe**.
1. Dans **Autorisations**, choisissez une ou plusieurs opérations d’API que le point d’accès autorisera. Pour supprimer une opération de données, choisissez le **X** en regard du nom de l’opération de données.
1. Pour ne pas appliquer de portée au point d’accès et autoriser l’accès à tous les préfixes du compartiment de répertoires et à toutes les opérations d’API via le point d’accès, dans **Portée du point d’accès**, choisissez **Appliquer l’accès à l’ensemble du compartiment**.
1. Choisissez **Créer un point d’accès pour le compartiment de répertoires**. Le nom du point d’accès et d’autres informations le concernant s’affichent dans la liste **Points d’accès pour compartiments de répertoires**.
## En utilisant le AWS CLI
L’exemple de commande suivant crée un point d’accès nommé *example-ap* pour le compartiment **amzn-s3-demo-bucket*--*zone-id*--x-s3* dans le compte *111122223333*.
```
aws s3control create-access-point --name example-ap--zoneID--xa-s3 --account-id 111122223333 --bucket amzn-s3-demo-bucket--zone-id--x-s3
```
Pour restreindre l’accès au point d’accès via un VPC, incluez le paramètre `--vpc` et l’ID du VPC.
```
aws s3control create-access-point --name example-ap--zoneID--xa-s3 --account-id 111122223333 --bucket amzn-s3-demo-bucket--zone-id--x-s3 --vpc vpc-id
```
Lorsque vous créez un point d’accès pour un compartiment intercompte, incluez le paramètre `--bucket-account-id`. L'exemple de commande suivant crée un point d'accès dans le Compte AWS *111122223333*, pour le compartiment**amzn-s3-demo-bucket*--*zone-id*--x-s3*, appartenant au Compte AWS *444455556666*.
```
aws s3control create-access-point --name example-ap--zoneID--xa-s3 --account-id 111122223333 --bucket amzn-s3-demo-bucket--zone-id--x-s3 --bucket-account-id 444455556666
```
Pour plus d'informations et des exemples, reportez-vous [create-access-point](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/create-access-point.html)à la référence des AWS CLI commandes.
## Utilisation de l'API REST
L'exemple de commande suivant crée un point d'accès nommé *example-ap* d'après le bucket **amzn-s3-demo-bucket*--*zone-id*--x-s3* du compte *111122223333* et l'accès est restreint via le VPC *vpc-id* (facultatif).
```
PUT /v20180820/accesspoint/example-ap--zoneID--xa-s3 HTTP/1.1
Host: s3express-control.region.amazonaws.com
x-amz-account-id: 111122223333
amzn-s3-demo-bucket--zone-id--x-s3s
111122223333
vpc-id
```
Réponse :
```
HTTP/1.1 200
"arn:aws:s3express:region:111122223333:accesspoint/example-ap--zoneID--xa-s3"
example-ap--zoneID--xa-s3
```
## À l'aide du AWS SDKs
Vous pouvez utiliser le AWS SDKs pour créer un point d'accès. Pour plus d'informations, consultez [la liste des produits pris SDKs en charge](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html#API_control_CreateAccessPoint_SeeAlso) dans le manuel Amazon Simple Storage Service API Reference.
# Gestion des points d’accès de compartiments de répertoires
Cette section explique comment gérer vos points d'accès pour les compartiments de répertoire à l'aide de l' AWS Command Line Interface API REST ou du AWS SDK Amazon S3.
**Topics**
+ [Liste des points d’accès de compartiments de répertoires](access-points-directory-buckets-list.md)
+ [Affichage des détails des points d’accès de vos compartiments de répertoires](access-points-directory-buckets-details.md)
+ [Affichage, modification ou suppression de stratégies de point d’accès](access-points-directory-buckets-policy.md)
+ [Gestion de la portée des points d’accès de compartiments de répertoires](access-points-directory-buckets-manage-scope.md)
+ [Suppression de points d’accès de compartiments de répertoires](access-points-directory-buckets-delete.md)
# Liste des points d’accès de compartiments de répertoires
Cette section explique comment répertorier les points d'accès pour un bucket de répertoire à l'aide de l'API AWS Management Console, AWS Command Line Interface (AWS CLI), REST ou AWS SDKs.
## Utilisation de la console S3
**Pour répertorier les points d'accès dans votre Compte AWS**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans la barre de navigation en haut de la page, choisissez le nom du fichier actuellement affiché Région AWS. Choisissez ensuite la région pour laquelle vous souhaitez afficher la liste des points d’accès.
1. Dans le volet de navigation de gauche de la console, choisissez **Points d’accès pour compartiments de répertoires**.
1. (Facultatif) Recherchez les points d’accès par leur nom. Seuls les points d'accès que vous avez sélectionnés Région AWS apparaîtront ici.
1. Choisissez le nom du point d’accès que vous souhaitez gérer.
## En utilisant le AWS CLI
L'`list-access-points-for-directory-buckets`exemple de commande suivant montre comment vous pouvez utiliser le AWS CLI pour répertorier les points d'accès détenus par un AWS compte et associés à un bucket d'annuaire.
La commande suivante répertorie les points Compte AWS *111122223333* d'accès associés au bucket**amzn-s3-demo-bucket*--*zone-id*--x-s3*.
```
aws s3control list-access-points-for-directory-buckets --account-id 111122223333 --directory-bucket amzn-s3-demo-bucket--zone-id--x-s3
```
Pour plus d'informations et des exemples, consultez [list-access-points-for-directory-buckets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points-for-directory-buckets.html) dans le manuel de référence des commandes. AWS CLI
## Utilisation de l'API REST
L’exemple suivant montre comment utiliser l’API REST pour répertorier vos points d’accès.
```
GET /v20180820/directoryaccesspoint?directoryBucket=amzn-s3-demo-bucket--zone-id--x-s3
&maxResults=maxResults HTTP/1.1
Host: s3express-control.region.amazonaws.com
x-amz-account-id: 111122223333
```
**Example de réponse `ListAccessPointsForDirectoryBuckets`**
```
HTTP/1.1 200
arn:aws:s3express:region:111122223333:accesspoint/example-access-point--zoneID--xa-s3
example-access-point--zoneID--xa-s3
amzn-s3-demo-bucket--zone-id--x-s3
111122223333
example-access-point--zoneID--xa-s3
VPC
VPC-1
```
## À l'aide du AWS SDKs
Vous pouvez utiliser le AWS SDKs pour répertorier vos points d'accès. Pour plus d'informations, consultez [la liste des produits pris SDKs en charge](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPointsForDirectoryBuckets.html#API_control_ListAccessPointsForDirectoryBuckets_SeeAlso) dans le manuel Amazon Simple Storage Service API Reference.
# Affichage des détails des points d’accès de vos compartiments de répertoires
Cette section explique comment afficher les détails de votre point d'accès pour les compartiments de répertoire à l'aide de l'API AWS Management Console AWS CLI, AWS SDKs, ou REST.
## Utilisation de la console S3
Affichez les détails d’un point d’accès de compartiments de répertoires afin de consulter les informations suivantes sur le point d’accès et le compartiment de répertoires associé :
+ Propriétés :
+ Nom du compartiment de répertoires
+ ID du compte du propriétaire du compartiment de répertoires
+ Région AWS
+ Type d’emplacement du compartiment de répertoires
+ Nom de l’emplacement du compartiment de répertoires
+ Date de création du point d’accès
+ Origine réseau
+ VPC ID
+ S3 URI
+ ARN de point d’accès
+ Alias du point d’accès
+ Autorisations :
+ Résultats de l’analyseur d’accès externe IAM
+ Portée du point d’accès
+ Stratégie du point d’accès
**Pour consulter les détails de votre point d'accès dans votre Compte AWS**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans la barre de navigation en haut de la page, choisissez le nom du fichier actuellement affiché Région AWS. Choisissez ensuite la région pour laquelle vous souhaitez afficher la liste des points d’accès.
1. Dans le volet de navigation de gauche de la console, choisissez **Points d’accès pour compartiments de répertoires**.
1. (Facultatif) Recherchez les points d’accès par leur nom. Seuls les points d'accès que vous avez sélectionnés Région AWS apparaîtront ici.
1. Choisissez le nom du point d’accès que vous souhaitez gérer.
1. Choisissez l’onglet **Propriétés** ou **Autorisations**.
## En utilisant le AWS CLI
L'`get-access-point`exemple de commande suivant montre comment vous pouvez utiliser le AWS CLI pour afficher les détails de votre point d'accès.
La commande suivante répertorie les détails du point d'accès **my-access-point*--*zoneID*--xa-s3* pour Compte AWS *111122223333*.
```
aws s3control get-access-point --name my-access-point--zoneID--xa-s3 --account-id 111122223333
```
**Example de sortie de commande `get-access-point`**
```
{
"Name": "example-access-point--zoneID--xa-s3",
"Bucket": "amzn-s3-demo-bucket--zone-id--x-s3",
"NetworkOrigin": "Internet",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"IgnorePublicAcls": true,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2025-04-23T18:26:22.146000+00:00",
"Alias": "example-access-point--zoneID--xa-s3",
"AccessPointArn": "arn:aws:s3express:region:111122223333:accesspoint/example-access-point--zoneID--xa-s3",
"BucketAccountId": "296805379465"
}
```
Pour plus d’informations et des exemples, consultez [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point.html) dans la *Référence des commandes de l’AWS CLI *.
## Utilisation de l'API REST
Vous pouvez utiliser l’API REST pour afficher les détails de votre point d’accès. Pour plus d’informations, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html) dans la *Référence d’API Amazon Simple Storage Service*.
## À l'aide du AWS SDKs
Vous pouvez utiliser le AWS SDKs pour afficher les détails de vos points d'accès. Pour plus d'informations, consultez [la liste des produits pris SDKs en charge](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html#API_control_GetAccessPoint_SeeAlso) dans le manuel Amazon Simple Storage Service API Reference.
# Affichage, modification ou suppression de stratégies de point d’accès
Vous pouvez utiliser une politique de point d'accès Gestion des identités et des accès AWS (IAM) pour contrôler le principal et la ressource autorisés à accéder au point d'accès. La portée du point d’accès gère les préfixes et les autorisations d’API du point d’accès. Vous pouvez créer, modifier et supprimer une politique de point d'accès à l' AWS Command Line Interface aide de l'API REST ou AWS SDKs. Pour plus d’informations sur la portée des points d’accès, consultez [Gestion de la portée des points d’accès de compartiments de répertoires](access-points-directory-buckets-manage-scope.md).
**Note**
Étant donné que les compartiment de répertoires utilisent une autorisation basée sur la session, votre stratégie doit toujours inclure l’action `s3express:CreateSession`.
## Utilisation de la console S3
**Pour afficher, modifier ou supprimer une stratégie de point d’accès**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans la barre de navigation en haut de la page, choisissez le nom du fichier actuellement affiché Région AWS. Choisissez ensuite la région pour laquelle vous souhaitez afficher la liste des points d’accès.
1. Dans le volet de navigation de gauche de la console, choisissez **Points d’accès pour compartiments de répertoires**.
1. (Facultatif) Recherchez les points d’accès par leur nom. Seuls les points d'accès que vous avez sélectionnés Région AWS apparaîtront ici.
1. Choisissez le nom du point d’accès que vous souhaitez gérer.
1. Sélectionnez l’onglet **Autorisations**.
1. Pour créer ou modifier la stratégie de point d’accès, dans **Stratégie de point d’accès**, choisissez **Modifier**. Modifiez la stratégie. Choisissez **Enregistrer**.
1. Pour supprimer la stratégie de point d’accès, dans **Stratégie de point d’accès**, choisissez **Supprimer**. Dans la fenêtre **Supprimer la stratégie de point d’accès**, tapez **confirm** et choisissez **Supprimer**.
## En utilisant le AWS CLI
Vous pouvez utiliser les commandes `get-acccess-point-policy`, `put-access-point-policy` et `delete-access-point-policy` pour afficher, modifier ou supprimer une stratégie de point d’accès. Pour plus d'informations, consultez [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point-policy.html#get-access-point-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point-policy.html#get-access-point-policy), ou [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point-policy.html#delete-access-point-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point-policy.html#delete-access-point-policy)dans le manuel de référence des AWS CLI commandes.
## Utilisation de l'API REST
Vous pouvez utiliser les opérations `GetAccessPointPolicy`, `DeleteAccessPointPolicy` et `PutAccessPointPolicy` de l’API REST pour afficher, supprimer ou modifier une stratégie de point d’accès. Pour plus d’informations, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessPointPolicy.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html) ou [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicy.html) dans la Référence des API Amazon Simple Storage Service.
## À l'aide du AWS SDKs
Vous pouvez utiliser le AWS SDKs pour afficher, supprimer ou modifier une politique de point d'accès. Pour plus d'informations, consultez la liste des produits pris en charge SDKs pour [GetAccessControlPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html#API_control_PutAccessPointPolicy_SeeAlso)et [PutAccessControlPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessPointPolicy.html#API_control_PutAccessPointPolicy_SeeAlso)dans le manuel Amazon Simple Storage Service API Reference. [DeleteAccessControlPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicy.html#API_control_PutAccessPointPolicy_SeeAlso)
# Gestion de la portée des points d’accès de compartiments de répertoires
Cette section explique comment afficher et modifier l'étendue de vos points d'accès pour les compartiments de répertoire à l'aide de l' AWS Command Line Interface API REST ou AWS SDKs. Vous pouvez utiliser la portée du point d’accès pour restreindre l’accès à des préfixes ou à des opérations d’API spécifiques.
**Topics**
+ [Affichage de la portée des points d’accès de compartiments de répertoires](#access-points-directory-buckets-view-scope)
+ [Modification de la portée des points d’accès de compartiments de répertoires](#access-points-directory-buckets-modify-scope)
+ [Suppression de la portée de points d’accès de compartiments de répertoires](#access-points-directory-buckets-delete-scope)
## Affichage de la portée des points d’accès de compartiments de répertoires
Vous pouvez utiliser l'API REST AWS Management Console AWS Command Line Interface, ou AWS SDKs pour afficher l'étendue de votre point d'accès pour les buckets de répertoires.
### Utilisation de la console S3
**Pour afficher la portée des points d’accès de vos compartiments de répertoires**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans la barre de navigation en haut de la page, choisissez le nom du fichier actuellement affiché Région AWS. Choisissez ensuite la région pour laquelle vous souhaitez afficher la liste des points d’accès.
1. Dans le volet de navigation de gauche de la console, choisissez **Points d’accès pour compartiments de répertoires**.
1. (Facultatif) Recherchez les points d’accès par leur nom. Seuls les points d'accès que vous avez sélectionnés Région AWS apparaîtront ici.
1. Choisissez le nom du point d’accès que vous souhaitez gérer.
1. Sélectionnez l’onglet **Autorisations**.
1. Dans **Portée du point d’accès**, vous pouvez voir les préfixes et les autorisations appliqués au point d’accès.
### En utilisant le AWS CLI
L'`get-access-point-scope`exemple de commande suivant montre comment vous pouvez utiliser le AWS CLI pour afficher l'étendue de votre point d'accès.
La commande suivante montre l'étendue du point d'accès **my-access-point** -- *zoneID* --xa-s3 for. Compte AWS *111122223333*
```
aws s3control get-access-point-scope --name my-access-point--zoneID--xa-s3 --account-id 111122223333
```
Pour plus d'informations et des exemples, reportez-vous [get-access-point-scope](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point-scope.html)à la référence des AWS CLI commandes.
**Example résultat de `get-access-point-scope`**
```
{
"Scope": {
"Permissions": [
"ListBucket",
"PutObject"
]
"Prefixes": [
"Prefix": "MyPrefix1*",
"Prefix": "MyObjectName.csv"
]
}
}
```
### Utilisation de l'API REST
L’exemple de demande `GetAccessPointScope` suivant montre comment vous pouvez utiliser l’API REST pour afficher la portée de votre point d’accès.
La requête suivante indique l'étendue du point d'accès **my-access-point** -- *region* - *zoneID* --xa-s3 pour. Compte AWS *111122223333*
```
GET /v20180820/accesspoint/my-access-point--zoneID--xa-s3/scope HTTP/1.1
Host: s3express-control.region.amazonaws.com
x-amz-account-id: 111122223333
```
**Example résultat de `GetAccessPointScope`**
```
HTTP/1.1 200
MyPrefix1*
MyObjectName.csv
ListBucket
PutObject
```
### À l'aide du AWS SDKs
Vous pouvez utiliser le AWS SDKs pour afficher l'étendue de votre point d'accès. Pour plus d'informations, consultez [la liste des produits pris SDKs en charge](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointScope.html#API_control_GetAccessPointScope_SeeAlso) dans le manuel Amazon Simple Storage Service API Reference.
## Modification de la portée des points d’accès de compartiments de répertoires
Vous pouvez utiliser l'API REST AWS Management Console AWS Command Line Interface, ou AWS SDKs pour modifier l'étendue de vos points d'accès pour les buckets de répertoires. La portée du point d’accès permet de restreindre l’accès à des préfixes spécifiques, à des opérations d’API ou à une combinaison des deux.
Vous pouvez inclure une ou plusieurs des opérations d’API suivantes en tant qu’autorisations :
+ `PutObject`
+ `GetObject`
+ `DeleteObject`
+ `ListBucket` (requise pour `ListObjectsV2`)
+ `GetObjectAttributes`
+ `AbortMultipartUploads`
+ `ListBucketMultipartUploads`
+ `ListMultipartUploadParts`
**Note**
Vous pouvez spécifier n’importe quel nombre de préfixes, mais la longueur totale des caractères de tous les préfixes doit être inférieure à 256 octets.
### Utilisation de la console S3
**Pour modifier la portée d’un point d’accès**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans la barre de navigation en haut de la page, choisissez le nom du fichier actuellement affiché Région AWS. Choisissez ensuite la région pour laquelle vous souhaitez afficher la liste des points d’accès.
1. Dans le volet de navigation de gauche de la console, choisissez **Points d’accès pour compartiments de répertoires**.
1. (Facultatif) Recherchez les points d’accès par leur nom. Seuls les points d'accès que vous avez sélectionnés Région AWS apparaîtront ici.
1. Choisissez le nom du point d’accès que vous souhaitez gérer.
1. Sélectionnez l’onglet **Autorisations**.
1. Dans la section **Portée du point d’accès**, choisissez **Modifier**.
1. Pour ajouter ou supprimer des préfixes :
1. Pour ajouter un préfixe, choisissez **Ajouter un préfixe**. Dans le champ **Préfixe**, saisissez le préfixe du compartiment de répertoires. Répétez l’opération pour ajouter d’autres préfixes.
1. Pour supprimer un préfixe, choisissez **Supprimer**.
1. Pour ajouter ou supprimer des autorisations :
1. Pour ajouter une autorisation, dans le champ **Choisissez les opérations relatives aux données**, sélectionnez l’autorisation.
1. Pour supprimer une autorisation, cliquez sur le **X** en regard de l’autorisation.
1. Sélectionnez **Enregistrer les modifications**.
### En utilisant le AWS CLI
L'`put-access-point-scope`exemple de commande suivant montre comment vous pouvez utiliser le AWS CLI pour modifier l'étendue de votre point d'accès.
La commande suivante modifie l'étendue du point d'accès de **my-access-point** -- *zoneID* --xa-s3 for. Compte AWS *111122223333*
**Note**
Vous pouvez utiliser l’astérisque (\$1) comme caractère générique dans les préfixes. Si vous souhaitez utiliser l’astérisque comme littéral, ajoutez une barre oblique inversée (\$1) avant celui-ci pour l’échapper.
Tous les préfixes ont une terminaison implicite « \$1 », ce qui signifie que tous les chemins compris dans le préfixe sont inclus.
Lorsque vous modifiez l'étendue d'un point d'accès par le AWS CLI, vous remplacez l'étendue existante.
```
aws s3control put-access-point-scope --name my-access-point--zoneID--xa-s3 --account-id 111122223333 --scope Prefixes=string,Permissions=string
```
Pour plus d'informations et des exemples, reportez-vous [put-access-point-scope](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/put-access-point-scope.html)à la référence des AWS CLI commandes.
### Utilisation de l'API REST
L’exemple de demande `PutAccessPointScope` suivant montre comment vous pouvez utiliser l’API REST pour modifier la portée de votre point d’accès.
La requête suivante modifie l'étendue du point d'accès de **my-access-point** -- *zoneID* --xa-s3 for. Compte AWS *111122223333*
**Note**
Vous pouvez utiliser l’astérisque (\$1) comme caractère générique dans les préfixes. Si vous souhaitez utiliser l’astérisque comme littéral, ajoutez une barre oblique inversée (\$1) avant celui-ci pour l’échapper.
Tous les préfixes ont une terminaison implicite « \$1 », ce qui signifie que tous les chemins compris dans le préfixe sont inclus.
Lorsque vous modifiez la portée d’un point d’accès avec l’API, vous remplacez la portée existante.
```
PUT /v20180820/accesspoint/my-access-point--zoneID--xa-s3/scope HTTP/1.1
Host: s3express-control.region.amazonaws.com
x-amz-account-id: 111122223333
Jane/*
PutObject
GetObject
```
### À l'aide du AWS SDKs
Vous pouvez utiliser l'API AWS CLI AWS SDKs, ou REST pour modifier l'étendue de votre point d'accès. Pour plus d'informations, consultez [la liste des produits pris SDKs en charge](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessPointScope.html#API_control_PutAccessPointScope_SeeAlso) dans le manuel Amazon Simple Storage Service API Reference.
## Suppression de la portée de points d’accès de compartiments de répertoires
Vous pouvez utiliser l'API REST AWS Management Console AWS Command Line Interface, ou AWS SDKs pour supprimer l'étendue de vos points d'accès pour les buckets de répertoires.
**Note**
Lorsque vous supprimez la portée d’un point d’accès, tous les préfixes et autorisations sont supprimés.
### Utilisation de la console S3
**Pour supprimer la portée d’un point d’accès**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans la barre de navigation en haut de la page, choisissez le nom du fichier actuellement affiché Région AWS. Choisissez ensuite la région pour laquelle vous souhaitez afficher la liste des points d’accès.
1. Dans le volet de navigation de gauche de la console, choisissez **Points d’accès pour compartiments de répertoires**.
1. (Facultatif) Recherchez les points d’accès par leur nom. Seuls les points d'accès que vous avez sélectionnés Région AWS apparaîtront ici.
1. Choisissez le nom du point d’accès que vous souhaitez gérer.
1. Sélectionnez l’onglet **Autorisations**.
1. Dans **Portée du point d’accès**, choisissez **Supprimer**.
1. Dans le champ **Pour confirmer cette suppression, saisissez « confirmer »** saisissez **confirm**.
1. Sélectionnez **Delete (Supprimer)**.
### En utilisant le AWS CLI
L'`delete-access-point-scope`exemple de commande suivant montre comment vous pouvez utiliser le AWS CLI pour supprimer l'étendue de votre point d'accès.
La commande suivante supprime l'étendue du point d'accès **my-access-point** -- *zoneID* --xa-s3 for. Compte AWS *111122223333*
```
aws s3control delete-access-point-scope --name my-access-point--region-zoneID--xa-s3 --account-id 111122223333
```
Pour plus d'informations et des exemples, reportez-vous [delete-access-point-scope](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point-scope.html)à la référence des AWS CLI commandes.
### Utilisation de l'API REST
La requête suivante supprime l'étendue du point d'accès **my-access-point** -- *zoneID* --xa-s3 for. Compte AWS *111122223333*
```
DELETE /v20180820/accesspoint/my-access-point--zoneID--xa-s3/scope HTTP/1.1
Host: s3express-control.region.amazonaws.com
x-amz-account-id: 111122223333
```
### À l'aide du AWS SDKs
Vous pouvez utiliser le AWS SDKs pour supprimer l'étendue de votre point d'accès. Pour plus d'informations, consultez [la liste des produits pris SDKs en charge](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointScope.html#API_control_DeleteAccessPointScope_SeeAlso) dans le manuel Amazon Simple Storage Service API Reference.
# Suppression de points d’accès de compartiments de répertoires
Cette section explique comment supprimer votre point d'accès à l' AWS Management Console aide de l'API REST, ou AWS SDKs. AWS Command Line Interface
**Note**
Avant de supprimer un compartiment de répertoires attaché à un point d’accès, vous devez supprimer le point d’accès.
## Utilisation de la console S3
**Pour supprimer des points d'accès pour les compartiments de répertoire de votre Compte AWS**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans la barre de navigation en haut de la page, choisissez le nom du fichier actuellement affiché Région AWS. Choisissez ensuite la région pour laquelle vous souhaitez afficher la liste des points d’accès.
1. Dans le volet de navigation de gauche de la console, choisissez **Points d’accès pour compartiments de répertoires**.
1. (Facultatif) Recherchez les points d’accès par leur nom. Seuls les points d'accès que vous avez sélectionnés Région AWS apparaîtront ici.
1. Choisissez le nom du point d’accès que vous souhaitez supprimer.
1. Sélectionnez **Delete (Supprimer)**.
1. Pour confirmer la suppression, tapez **confirm** et choisissez **Supprimer**.
## En utilisant le AWS CLI
L'`delete-access-point`exemple de commande suivant montre comment vous pouvez utiliser le AWS CLI pour supprimer votre point d'accès.
La commande suivante supprime le point d'accès **my-access-point** -- *zoneID* --xa-s3 for. Compte AWS *111122223333*
```
aws s3control delete-access-point --name my-access-point--zoneID--xa-s3 --account-id 111122223333
```
Pour plus d’informations et des exemples, consultez [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point.html) dans la *Référence des commandes de l’AWS CLI *.
## Utilisation de l'API REST
Vous pouvez utiliser l’API REST pour supprimer votre point d’accès. Pour plus d’informations, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html) dans la *Référence d’API Amazon Simple Storage Service*.
## À l'aide du AWS SDKs
Vous pouvez utiliser le AWS SDKs pour supprimer vos points d'accès. Pour plus d'informations, consultez [la liste des produits pris SDKs en charge](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html#API_control_DeleteAccessPoint_SeeAlso) dans le manuel Amazon Simple Storage Service API Reference.
# Utilisation de balises avec des points d’accès S3 pour les compartiments de répertoires
Une AWS balise est une paire clé-valeur qui contient des métadonnées relatives aux ressources, en l'occurrence les points d'accès Amazon S3 pour les compartiments d'annuaire. Vous pouvez baliser les points d’accès lorsque vous les créez ou gérer les balises de points d’accès existants. Pour plus d’informations sur les balises, consultez [Balisage pour la répartition des coûts ou le contrôle d’accès par attributs (ABAC)](tagging.md).
**Note**
L’utilisation de balises sur les points d’accès de compartiments de répertoires n’occasionne aucun coût supplémentaire, en dehors des tarifs standard des demandes d’API S3. Pour plus d’informations, consultez [Tarification Amazon S3](https://aws.amazon.com/s3/pricing/).
## Méthodes courantes d’utilisation de balises avec des points d’accès de compartiments de répertoires
Le contrôle d’accès par attributs (ABAC) vous permet de mettre à l’échelle les autorisations d’accès et d’autoriser l’accès à des points d’accès de compartiments de répertoires en fonction de leurs balises. Pour plus d’informations sur l’ABAC dans Amazon S3, consultez [Utilisation de balises pour l’ABAC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-abac).
### ABAC pour points d’accès S3
Les points d’accès Amazon S3 prennent désormais en charge le contrôle d’accès par attributs (ABAC) à l’aide de balises. Utilisez des clés de condition basées sur des balises dans vos politiques AWS d'organisation, d'IAM et de points d'accès. Pour les entreprises, l'ABAC d'Amazon S3 prend en charge l'autorisation sur plusieurs AWS comptes.
Dans vos politiques IAM, vous pouvez contrôler l’accès aux points d’accès des compartiments de répertoires en fonction des balises des compartiments à l’aide des [clés de condition globale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys) suivantes :
+ `aws:ResourceTag/key-name`
+ Utilisez cette clé pour comparer la paire valeur clé d'étiquette que vous spécifiez dans la politique avec la paire valeur clé attachée à la ressource. Par exemple, vous pouvez exiger que l'accès à une ressource soit autorisé uniquement si la clé de balise `Dept` est attachée à la ressource avec la valeur `Marketing`. Pour plus d'informations, consultez la section [Contrôle de l'accès aux AWS ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources).
+ `aws:RequestTag/key-name`
+ Utilisez cette clé pour comparer la paire clé-valeur de balise qui a été transmise dans la demande avec la paire de balises spécifiée dans la politique. Par exemple, vous pouvez vérifier que la demande comprend la clé de balise `Dept` et qu'elle a la valeur `Accounting`. Pour plus d'informations, consultez la section [Contrôle de l'accès lors AWS des demandes](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests). Vous pouvez utiliser cette clé de condition pour restreindre les paires clé-valeur de balise pouvant être transmises pendant les opérations d’API `TagResource` et `CreateAccessPoint`.
+ `aws:TagKeys`
+ Utilisez cette clé pour comparer les clés de balise d’une demande avec celles spécifiées dans la politique. Nous vous recommandons, lorsque vous utilisez des politiques pour contrôler l'accès à l'aide de balises, d'utiliser la clé de condition `aws:TagKeys` pour définir quelles clés de balises sont autorisées. Pour des exemples de stratégies et plus d’informations, consultez [Contrôle de l’accès en fonction des clés de balise](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys). Vous pouvez créer un point d’accès de compartiments de répertoires avec des balises. Pour autoriser le balisage pendant l’opération d’API `CreateAccessPoint`, vous devez créer une stratégie qui inclut les actions `s3express:TagResource` et `s3express:CreateAccessPoint`. Vous pouvez ensuite utiliser la clé de condition `aws:TagKeys` pour imposer l’utilisation de clés de balise spécifiques dans la demande `CreateAccessPoint`.
+ `s3express:AccessPointTag/tag-key`
+ Utilisez cette clé de condition pour accorder des autorisations à des données spécifiques via des points d’accès utilisant des balises. Quand vous utilisez `aws:ResourceTag/tag-key` dans le cadre d’une politique IAM, le point d’accès et le compartiment vers lequel il pointe doivent avoir la même balise, car ils sont tous deux pris en compte lors de l’autorisation. Si vous souhaitez contrôler l’accès à vos données uniquement via la balise du point d’accès, vous pouvez utiliser la clé de condition `s3express:AccessPointTag/tag-key`.
### Exemples de stratégies ABAC pour les points d’accès de compartiments de répertoires
Consultez les exemples de stratégies ABAC suivants pour les points d’accès de compartiments de répertoires.
#### 1.1 - Politique IAM permettant de créer ou de modifier des points d’accès avec des balises spécifiques
Dans cette politique IAM, les utilisateurs ou les rôles dotés de cette politique ne peuvent créer des points d’accès que s’ils les balisent avec la clé de balise `project` et la valeur de balise `Trinity` dans la demande de création du point d’accès. Ils peuvent également ajouter ou modifier des balises sur des points d’accès existants de compartiments de répertoires, à condition que la demande `TagResource` inclue la paire clé-valeur de balise `project:Trinity`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateAccessPointWithTags",
"Effect": "Allow",
"Action": [
"s3express:CreateAccessPoint",
"s3express:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/project": [
"Trinity"
]
}
}
}
]
}
```
#### 1.2 - Stratégie de point d’accès permettant de restreindre les opérations sur le compartiment à l’aide de balises
Dans cette stratégie de point d’accès, les principaux IAM (utilisateurs et rôles) peuvent effectuer des opérations à l’aide de l’action `CreateSession` sur le point d’accès uniquement si la valeur de la balise `project` du point d’accès correspond à la valeur de la balise `project` du principal.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowObjectOperations",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": "s3express:CreateSession",
"Resource": "arn:aws::s3express:region:111122223333:access-point/my-access-point",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
}
}
}
]
}
```
#### 1.3 - Politique IAM permettant de modifier des balises de ressources existantes tout en maintenant la gouvernance des balises
Dans cette politique IAM, les principaux IAM (utilisateurs ou rôles) peuvent modifier les balises d’un point d’accès uniquement si la valeur de la balise `project` du point d’accès correspond à la valeur de la balise `project` du principal. Seules les quatre balises `project`, `environment`, `owner` et `cost-center` spécifiées dans les clés de condition `aws:TagKeys` sont autorisées pour ces points d’accès. Cela permet de renforcer la gouvernance des balises, d’empêcher les modifications non autorisées des balises et de garantir la cohérence du schéma de balisage sur l’ensemble de vos points d’accès.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EnforceTaggingRulesOnModification",
"Effect": "Allow",
"Action": [
"s3express:TagResource"
],
"Resource": "arn:aws::s3express:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"project",
"environment",
"owner",
"cost-center"
]
}
}
}
]
}
```
#### 1.4 - Utilisation de la clé de condition s3express : AccessPointTag
Dans cette politique IAM, l’instruction de la condition autorise l’accès aux données du compartiment uniquement si le point d’accès utilisé pour accéder au compartiment possède la clé `Environment` et la valeur de balise `Production`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSpecificAccessPoint",
"Effect": "Allow",
"Action": "*",
"Resource": "arn:aws::s3express:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"s3express:AccessPointTag/Environment": "Production"
}
}
}
]
}
```
## Utilisation de balises pour des points d’accès de compartiments de répertoire
Vous pouvez ajouter ou gérer des balises pour les points d'accès aux compartiments de répertoire à l'aide de la console Amazon S3, de l'interface de ligne de AWS commande (CLI) AWS SDKs, ou à l'aide du S3 APIs : [TagResource[UntagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html)](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html), et [ListTagsForResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html). Pour en savoir plus, consultez :
**Topics**
+ [Méthodes courantes d’utilisation de balises avec des points d’accès de compartiments de répertoires](#common-ways-to-use-tags-access-points-db)
+ [Utilisation de balises pour des points d’accès de compartiments de répertoire](#working-with-tags-access-points-db)
+ [Création de points d’accès de compartiments de répertoires avec des balises](access-points-db-create-tag.md)
+ [Ajout d’une balise à un point d’accès de compartiments de répertoires](access-points-db-tag-add.md)
+ [Affichage des balises d’un point d’accès de compartiments de répertoires](access-points-db-tag-view.md)
+ [Suppression d’une balise d’un point d’accès de compartiments de répertoires](access-points-db-tag-delete.md)
# Création de points d’accès de compartiments de répertoires avec des balises
Vous pouvez baliser les points d’accès Amazon S3 de compartiments de répertoires lorsque vous les créez. Pour plus d’informations, consultez [Utilisation de balises avec des points d’accès S3 pour les compartiments de répertoires](access-points-db-tagging.md).
## Permissions
Pour créer un point d’accès de compartiments de répertoires avec des balises, vous devez disposer des autorisations suivantes :
+ `s3express:CreateAccessPoint`
+ `s3express:TagResource`
## Résolution des erreurs
Si vous rencontrez une erreur lorsque vous tentez de créer un point d’accès de compartiments de répertoires avec des balises :
+ Vérifiez que vous disposez des [Permissions](#access-points-db-create-tag-permissions) requises pour créer le point d’accès de compartiments de répertoires et y ajouter une balise.
+ Vérifiez votre politique utilisateur IAM pour connaître les conditions du contrôle d’accès par attributs (ABAC). Il peut vous être demandé de baliser vos points d’accès de compartiments de répertoires uniquement avec des clés et des valeurs de balise spécifiques. Pour de plus amples informations, veuillez consulter [Utilisation de balises pour le contrôle d’accès par attributs (ABAC)](tagging.md#using-tags-for-abac).
## Étapes
Vous pouvez créer un point d'accès pour les compartiments de répertoire avec des balises appliquées à l'aide de la console Amazon S3, du AWS Command Line Interface (AWS CLI), de l'API REST Amazon S3 et AWS SDKs.
## Utilisation de la console S3
Pour créer un point d’accès de compartiments de répertoires avec des balises à l’aide de la console Amazon S3 :
1. Connectez-vous à la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans le volet de navigation de gauche, choisissez **Points d’accès (compartiments de répertoires)**.
1. Choisissez **Créer un point d’accès** pour créer un point d’accès.
1. Nommez le point d’accès. Pour de plus amples informations, veuillez consulter [Règles de dénomination, restrictions et limitations des points d’accès pour compartiments de répertoires](access-points-directory-buckets-restrictions-limitations-naming-rules.md).
1. Sur la page **Créer un point d’accès**, l’option **Balises** s’affiche lors de la création d’un point d’accès.
1. Choisissez **Ajouter une nouvelle balise** pour ouvrir l’éditeur Balises et saisissez une paire clé-valeur de balise. La clé de balise est obligatoire, mais la valeur est facultative.
1. Pour ajouter une autre balise, sélectionnez à nouveau **Ajouter une nouvelle balise**. Vous pouvez saisir jusqu’à 50 paires clé-valeur.
1. Après avoir spécifié les options de votre nouveau point d’accès, choisissez **Créer un point d’accès**.
## À l'aide du AWS SDKs
------
#### [ SDK for Java 2.x ]
Cet exemple montre comment créer un point d’accès avec des balises à l’aide du AWS SDK for Java 2.x. Pour utiliser la commande, remplacez les *user input placeholders* par vos propres informations.
```
CreateAccessPointRequest createAccessPointRequest = CreateAccessPointRequest.builder()
.accountId(111122223333)
.name(my-access-point)
.bucket(amzn-s3-demo-bucket--zone-id--x-s3)
.tags(Collections.singletonList(Tag.builder().key("key1").value("value1").build()))
.build();
awss3Control.createAccessPoint(createAccessPointRequest);
```
------
## Utilisation de l'API REST
Pour plus d’informations sur la prise en charge de l’API REST Amazon S3 pour la création d’un compartiment de répertoires avec des balises, consultez la section suivante dans la *Référence des API Amazon Simple Storage Service* :
+ [CreateBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html)
## En utilisant le AWS CLI
Pour installer la AWS CLI, reportez-vous à la section [Installation de la AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) dans le *guide de AWS Command Line Interface l'utilisateur*.
L’exemple d’interface de ligne de commande suivant montre comment créer un point d’accès de compartiments de répertoires avec des balises à l’aide de l’ AWS CLI. Pour utiliser la commande, remplacez les *user input placeholders* par vos propres informations.
Lorsque vous créez un point d’accès pour un compartiment de répertoires, vous devez fournir les détails de la configuration et utiliser la convention de dénomination suivante : `my-access-point`
**Requête :**
```
aws s3control create-access-point \
--account-id 111122223333 \
--name my-access-point \
--bucket amzn-s3-demo-bucket--zone-id--x-s3 \
--profile personal \
--tags Key=key1,Value=value1 Key=MyKey2,Value=value2 \
--region region
```
# Ajout d’une balise à un point d’accès de compartiments de répertoires
Vous pouvez ajouter des balises à des points d’accès Amazon S3 de compartiments de répertoires et modifier ces balises. Pour plus d’informations, consultez [Utilisation de balises avec des points d’accès S3 pour les compartiments de répertoires](access-points-db-tagging.md).
## Permissions
Pour ajouter une balise à un point d’accès de compartiments de répertoires, vous devez disposer des autorisations suivantes :
+ `s3express:TagResource`
## Résolution des erreurs
Si vous rencontrez une erreur lorsque vous tentez d’ajouter une balise à un point d’accès de compartiments de répertoires :
+ Vérifiez que vous disposez des [Permissions](#access-points-db-tag-add-permissions) requises pour ajouter une balise à un point d’accès de compartiments de répertoires.
+ Si vous avez essayé d'ajouter une clé de balise commençant par le préfixe AWS réservé`aws:`, modifiez la clé de balise et réessayez.
## Étapes
Vous pouvez ajouter des balises aux points d'accès pour les compartiments de répertoire à l'aide de la console Amazon S3, de l'interface de ligne de AWS commande (AWS CLI), de l'API REST Amazon S3 et AWS SDKs.
## Utilisation de la console S3
Pour ajouter des balises à un point d’accès de compartiments de répertoires à l’aide de la console Amazon S3 :
1. Connectez-vous à la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans le volet de navigation de gauche, choisissez **Points d’accès (compartiments de répertoires)**.
1. Choisissez le nom du point d’accès.
1. Choisissez l’onglet **Propriétés**.
1. Faites défiler la section **Balises** et choisissez **Ajouter une balise**.
1. La page **Ajouter des balises** s’ouvre. Vous pouvez saisir jusqu’à 50 paires clé-valeur de balise.
1. Si vous ajoutez une nouvelle balise portant le même nom de clé qu’une balise existante, la valeur de la nouvelle balise remplace celle de l’ancienne balise.
1. Vous pouvez également modifier les valeurs des clés existantes sur cette page.
1. Après avoir ajouté les balises, choisissez **Enregistrer les modifications**.
## À l'aide du AWS SDKs
------
#### [ SDK for Java 2.x ]
Cet exemple montre comment ajouter des balises à un point d’accès pour compartiment de répertoires à l’aide du AWS SDK for Java 2.x. Pour utiliser la commande, remplacez les *user input placeholders* par vos propres informations.
```
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.s3control.S3ControlClient;
import software.amazon.awssdk.services.s3control.model.Tag;
import software.amazon.awssdk.services.s3control.model.TagResourceRequest;
import software.amazon.awssdk.services.s3control.model.TagResourceResponse;
public class TagResourceExample {
public static void tagResourceExample() {
S3ControlClient s3Control = S3ControlClient.builder().region(Region.US_WEST_2).build();
TagResourceRequest tagResourceRequest = TagResourceRequest.builder()
.resourceArn("arn:aws::s3:region:111122223333:accesspoint/my-access-point/*")
.accountId("111122223333")
.tags(Tag.builder().key("key1").value("value1").build())
.build();
TagResourceResponse response = s3Control.tagResource(tagResourceRequest);
System.out.println("Status code (should be 204):");
System.out.println(response.sdkHttpResponse().statusCode());
}
}
```
------
## Utilisation de l'API REST
Pour plus d’informations sur la prise en charge de l’API REST Amazon S3 pour l’ajout de balises à un point d’accès de compartiments de répertoires, consultez la section suivante dans la *Référence des API Amazon Simple Storage Service* :
+ [TagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html)
## En utilisant le AWS CLI
Pour installer la AWS CLI, reportez-vous à la section [Installation de la AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) dans le *guide de AWS Command Line Interface l'utilisateur*.
L’exemple d’interface de ligne de commande suivant montre comment ajouter des balises à un compartiment de répertoires à l’aide de l’ AWS CLI. Pour utiliser la commande, remplacez les *user input placeholders* par vos propres informations.
**Requête :**
```
aws s3control tag-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3express:region:444455556666:bucket/prefix--use1-az4--x-s3 \
--tags "Key=key1,Value=value1"
```
**Réponse :**
```
{
"ResponseMetadata": {
"RequestId": "EXAMPLE123456789",
"HTTPStatusCode": 200,
"HTTPHeaders": {
"date": "Wed, 19 Jun 2025 10:30:00 GMT",
"content-length": "0"
},
"RetryAttempts": 0
}
}
```
# Affichage des balises d’un point d’accès de compartiments de répertoires
Vous pouvez afficher ou répertorier les balises appliquées à des points d’accès Amazon S3 de compartiment de répertoires. Pour plus d’informations, consultez [Utilisation de balises avec des compartiments de répertoires S3](directory-buckets-tagging.md).
## Permissions
Pour afficher les balises appliquées à un point d’accès, vous devez disposer de l’autorisation suivante :
+ `s3express:ListTagsForResource`
## Résolution des erreurs
Si vous rencontrez une erreur lorsque vous tentez de répertorier ou d’afficher les balises d’un point d’accès de compartiments de répertoires :
+ Vérifiez que vous disposez des [Permissions](#access-points-db-tag-view-permissions) requises pour afficher ou répertorier les balises du point d’accès de compartiments de répertoires.
## Étapes
Vous pouvez consulter les balises appliquées aux points d'accès pour les compartiments d'annuaire à l'aide de la console Amazon S3, du AWS Command Line Interface (AWS CLI), de l'API REST Amazon S3 et AWS SDKs.
## Utilisation de la console S3
Pour afficher les balises appliquées à un point d’accès de compartiments de répertoires à l’aide de la console Amazon S3 :
1. Connectez-vous à la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans le volet de navigation de gauche, choisissez **Points d’accès (compartiments de répertoires)**.
1. Choisissez le nom du point d’accès.
1. Choisissez l’onglet **Propriétés**.
1. Faites défiler la section **Balises** pour afficher toutes les balises appliquées au point d’accès de compartiments de répertoires.
1. La section **Balises** affiche les **balises définies par l’utilisateur** par défaut. Vous pouvez sélectionner l'onglet **balises AWS générées** pour afficher les balises appliquées à votre point d'accès par les AWS services.
## À l'aide du AWS SDKs
Cette section fournit un exemple de la manière d'afficher les balises appliquées à un point d'accès pour les compartiments de répertoire à l'aide du AWS SDKs.
------
#### [ SDK for Java 2.x ]
Cet exemple montre comment afficher les balises appliquées à un point d’accès de compartiments de répertoires à l’aide du AWS SDK for Java 2.x.
```
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.s3control.S3ControlClient;
import software.amazon.awssdk.services.s3control.model.ListTagsForResourceRequest;
import software.amazon.awssdk.services.s3control.model.ListTagsForResourceResponse;
public class ListTagsForResourceExample {
public static void listTagsForResourceExample() {
S3ControlClient s3Control = S3ControlClient.builder().region(Region.US_WEST_2).build();
ListTagsForResourceRequest listTagsForResourceRequest = ListTagsForResourceRequest.builder()
.resourceArn("arn:aws::s3:us-west-2:111122223333:accesspoint/my-access-point/*")
.accountId("111122223333")
.build();
ListTagsForResourceResponse response = s3Control.listTagsForResource(listTagsForResourceRequest);
System.out.println("Tags on my resource:");
System.out.println(response.toString());
}
}
```
------
## Utilisation de l'API REST
Pour plus d’informations sur la prise en charge de l’API REST Amazon S3 pour l’affichage des balises appliquées à un compartiment de répertoires, consultez la section suivante dans la *Référence des API Amazon Simple Storage Service* :
+ [ListTagsforResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html)
## En utilisant le AWS CLI
Pour installer la AWS CLI, reportez-vous à la section [Installation de la AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) dans le *guide de AWS Command Line Interface l'utilisateur*.
L’exemple d’interface de ligne de commande suivant montre comment afficher les balises appliquées à un point d’accès de compartiments de répertoires à l’aide de l’interface de ligne de commande. Pour utiliser la commande, remplacez les *user input placeholders* par vos propres informations.
**Requête :**
```
aws s3control list-tags-for-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3express:region:444455556666:bucket/prefix--use1-az4--x-s3 \
```
**Réponse : balises présentes :**
```
{
"Tags": [
{
"Key": "MyKey1",
"Value": "MyValue1"
},
{
"Key": "MyKey2",
"Value": "MyValue2"
},
{
"Key": "MyKey3",
"Value": "MyValue3"
}
]
}
```
**Réponse : aucune balise présente :**
```
{
"Tags": []
}
```
# Suppression d’une balise d’un point d’accès de compartiments de répertoires
Vous pouvez supprimer des balises des points d’accès de compartiments de répertoires. Pour plus d’informations, consultez [Utilisation de balises avec des points d’accès S3 pour les compartiments de répertoires](access-points-db-tagging.md).
**Note**
Si vous supprimez une balise et apprenez par la suite qu’elle était utilisée pour suivre les coûts ou pour contrôler les accès, vous pouvez la rajouter au point d’accès de compartiments de répertoires.
## Permissions
Pour supprimer une balise d’un point d’accès de compartiments de répertoires, vous devez disposer de l’autorisation suivante :
+ `s3express:UntagResource`
## Résolution des erreurs
Si vous rencontrez une erreur lorsque vous tentez de supprimer une balise d’un point d’accès de compartiments de répertoires :
+ Vérifiez que vous disposez des [Permissions](#access-points-db-tag-delete-permissions) requises pour supprimer une balise d’un point d’accès de compartiments de répertoires.
## Étapes
Vous pouvez supprimer des balises des points d'accès pour les compartiments de répertoire à l'aide de la console Amazon S3, du AWS Command Line Interface (AWS CLI), de l'API REST Amazon S3 et AWS SDKs.
## Utilisation de la console S3
Pour supprimer des balises d’un point d’accès de compartiments de répertoires à l’aide de la console Amazon S3 :
1. Connectez-vous à la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans le volet de navigation de gauche, choisissez **Points d’accès (compartiments de répertoires)**.
1. Choisissez le nom du point d’accès.
1. Choisissez l’onglet **Propriétés**.
1. Faites défiler la section **Balises** et cochez la case en regard de la ou des balises que vous souhaitez supprimer.
1. Sélectionnez **Delete (Supprimer)**.
1. La fenêtre contextuelle **Supprimer les balises définies par l’utilisateur** s’affiche et vous demande de confirmer la suppression de la ou des balises que vous avez sélectionnées.
1. Choisissez **Supprimer** pour confirmer.
## À l'aide du AWS SDKs
------
#### [ SDK for Java 2.x ]
Cet exemple montre comment supprimer des balises d’un compartiment de répertoires à l’aide du AWS SDK for Java 2.x. Pour utiliser la commande, remplacez les *user input placeholders* par vos propres informations.
```
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.s3control.S3ControlClient;
import software.amazon.awssdk.services.s3control.model.ListTagsForResourceRequest;
import software.amazon.awssdk.services.s3control.model.ListTagsForResourceResponse;
public class ListTagsForResourceExample {
public static void listTagsForResourceExample() {
S3ControlClient s3Control = S3ControlClient.builder().region(Region.US_WEST_2).build();
UntagResourceRequest untagResourceRequest = UntagResourceRequest.builder()
.resourceArn("arn:aws::s3:region:111122223333:accesspoint/my-access-point/*")
.accountId("111122223333")
.tagKeys("key1")
.build();
UntagResourceResponse response = s3Control.untagResource(untagResourceRequest);
System.out.println("Status code (should be 204):");
System.out.println(response.sdkHttpResponse().statusCode());
}
}
```
------
## Utilisation de l'API REST
Pour plus d’informations sur la prise en charge de l’API REST Amazon S3 pour la suppression de balises d’un point d’accès, consultez la section suivante dans la *Référence des API Amazon Simple Storage Service* :
+ [UnTagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html)
## En utilisant le AWS CLI
Pour installer la AWS CLI, reportez-vous à la section [Installation de la AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) dans le *guide de AWS Command Line Interface l'utilisateur*.
L’exemple d’interface de ligne de commande suivant vous montre comment supprimer des balises d’un point d’accès à l’aide de l’ AWS CLI. Pour utiliser la commande, remplacez les *user input placeholders* par vos propres informations.
**Requête :**
```
aws s3control untag-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:111122223333:accesspoint/my-access-point/* \
--tag-keys "key1" "key2"
```
**Réponse :**
```
{
"ResponseMetadata": {
"RequestId": "EXAMPLE123456789",
"HTTPStatusCode": 204,
"HTTPHeaders": {
"date": "Wed, 19 Jun 2025 10:30:00 GMT",
"content-length": "0"
},
"RetryAttempts": 0
}
}
```