Utilisation de balises avec des points d'accès S3 pour des compartiments à usage général - Amazon Simple Storage Service
Méthodes courantes d'utilisation des balises avec les points d'accèsUtilisation de balises pour les points d'accès pour les compartiments à usage général

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de balises avec des points d'accès S3 pour des compartiments à usage général

Une AWS balise est une paire clé-valeur qui contient des métadonnées sur les ressources, en l'occurrence les points d'accès Amazon S3. Vous pouvez étiqueter les points d'accès lorsque vous les créez ou gérer les balises sur les points d'accès existants. Pour des informations générales sur les balises, consultezMarquage pour la répartition des coûts ou le contrôle d'accès basé sur les attributs (ABAC).

Note

L'utilisation de balises sur les points d'accès est gratuite, au-delà des taux de requêtes standard de l'API S3. Pour plus d’informations, consultez Tarification Amazon S3.

Méthodes courantes d'utilisation des balises avec les points d'accès

Le contrôle d'accès basé sur les attributs (ABAC) vous permet d'ajuster les autorisations d'accès et d'accorder l'accès aux points d'accès en fonction de leurs balises. Pour plus d'informations sur ABAC dans Amazon S3, consultez Utilisation de balises pour ABAC.

ABAC pour points d'accès S3

Les points d'accès Amazon S3 prennent en charge le contrôle d'accès basé sur les attributs (ABAC) à l'aide de balises. Utilisez des clés de condition basées sur des balises dans vos politiques AWS d'organisation, d'IAM et de points d'accès. Pour les entreprises, l'ABAC d'Amazon S3 prend en charge l'autorisation sur plusieurs AWS comptes.

Dans vos politiques IAM, vous pouvez contrôler l'accès aux points d'accès en fonction des balises des points d'accès à l'aide des clés de condition globales suivantes :

  • aws:ResourceTag/key-name

    • Utilisez cette clé pour comparer la paire valeur clé d'étiquette que vous spécifiez dans la politique avec la paire valeur clé attachée à la ressource. Par exemple, vous pouvez exiger que l'accès à une ressource soit autorisé uniquement si la clé de balise Dept est attachée à la ressource avec la valeur Marketing. Pour plus d'informations, consultez la section Contrôle de l'accès aux AWS ressources.

  • aws:RequestTag/key-name

    • Utilisez cette clé pour comparer la paire clé-valeur de balise qui a été transmise dans la demande avec la paire de balises spécifiée dans la politique. Par exemple, vous pouvez vérifier que la demande comprend la clé de balise Dept et qu'elle a la valeur Accounting. Pour plus d'informations, consultez la section Contrôle de l'accès lors AWS des demandes. Vous pouvez utiliser cette clé de condition pour restreindre les paires clé-valeur de balise qui peuvent être transmises pendant les opérations d'CreateAccessPointAPI TagResource et d'API.

  • aws:TagKeys

    • Utilisez cette clé pour comparer les clés de balise d’une demande avec celles spécifiées dans la politique. Nous vous recommandons, lorsque vous utilisez des politiques pour contrôler l'accès à l'aide de balises, d'utiliser la clé de condition aws:TagKeys pour définir quelles clés de balises sont autorisées. Pour des exemples de politiques et pour plus d'informations, consultez la section Contrôle de l'accès en fonction des clés de balise. Vous pouvez créer un point d'accès avec des balises. Pour autoriser le balisage pendant le fonctionnement de l'CreateAccessPointAPI, vous devez créer une politique qui inclut à la fois les s3:CreateAccessPoint actions s3:TagResource et. Vous pouvez ensuite utiliser la clé de aws:TagKeys condition pour appliquer l'utilisation de balises spécifiques dans la CreateAccessPoint demande.

  • s3:AccessPointTag/tag-key

    • Utilisez cette clé de condition pour accorder des autorisations à des données spécifiques via des points d'accès utilisant des balises. Lors de l'utilisation aws:ResourceTag/tag-key dans le cadre d'une politique IAM, le point d'accès ainsi que le compartiment vers lequel le point d'accès pointe doivent avoir la même balise sont pris en compte lors de l'autorisation. Si vous souhaitez contrôler l'accès à vos données uniquement via la balise de point d'accès, vous pouvez utiliser la clé de s3:AccessPointTag/tag-key condition.

Exemple de politiques ABAC pour les points d'accès

Consultez les exemples de politiques ABAC suivants pour les points d'accès Amazon S3.

1.1 - Politique IAM pour créer ou modifier des buckets avec des balises spécifiques

Dans cette stratégie IAM, les utilisateurs ou les rôles dotés de cette politique ne peuvent créer des points d'accès que s'ils balisent les points d'accès avec la clé de balise project et la valeur de balise Trinity dans la demande de création de points d'accès. Ils peuvent également ajouter ou modifier des balises sur les points d'accès existants tant que la TagResource demande inclut la paire clé-valeur de la balise. project:Trinity 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CreateAccessPointWithTags",
      "Effect": "Allow",
      "Action": [
        "s3:CreateAccessPoint",
        "s3:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "Trinity"
          ]
        }
      }
    }
  ]
}

1.2 - Politique du point d'accès visant à restreindre les opérations sur le point d'accès à l'aide de balises

Dans cette politique de point d'accès, les principaux IAM (utilisateurs et rôles) peuvent effectuer des opérations à l'aide de l'GetObjectaction sur le point d'accès uniquement si la valeur de la project balise du point d'accès correspond à la valeur de la balise du project principal.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowObjectOperations",
      "Effect": "Allow",
      "Principal": {
        "AWS": "111122223333"
      },
      "Action": "s3:GetObject",
      "Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        }
      }
    }
  ]
}

1.3 - Politique IAM visant à modifier les balises sur les ressources existantes tout en maintenant la gouvernance du balisage

Dans cette politique IAM, les principaux IAM (utilisateurs ou rôles) peuvent modifier les balises d'un point d'accès uniquement si la valeur de la project balise du point d'accès correspond à la valeur de la balise du principal. project Seules les quatre balisesproject, environmentowner, et cost-center spécifiées dans les clés de aws:TagKeys condition sont autorisées pour ces points d'accès. Cela permet de renforcer la gouvernance des balises, d'empêcher les modifications non autorisées des balises et de garantir la cohérence du schéma de balisage sur l'ensemble de vos points d'accès.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3:TagResource"
      ],
      "Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "project",
            "environment",
            "owner",
            "cost-center"
          ]
        }
      }
    }
  ]
}

1.4 - Utilisation de la clé de AccessPointTag condition s3 :

Dans cette politique IAM, l'énoncé de condition autorise l'accès aux données du bucket si le point d'accès possède la clé de balise Environment et la valeur Production de balise. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAccessToSpecificAccessPoint",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
      "Condition": {
        "StringEquals": {
          "s3:AccessPointTag/Environment": "Production"
        }
      }
    }
  ]
}

1.5 - Utilisation d'une politique de délégation de compartiments

Dans Amazon S3, vous pouvez déléguer l'accès ou le contrôle de votre politique de compartiment S3 à un autre AWS compte, à un utilisateur ou à un rôle spécifique AWS Identity and Access Management (IAM) dans l'autre compte. La politique de compartiment délégué accorde à cet autre compte, utilisateur ou rôle l'autorisation d'accéder à votre compartiment et à ses objets. Pour plus d'informations, consultez la section Délégation d'autorisations.

Si vous utilisez une politique de compartiment délégué, telle que la suivante : 

{
  "Version": "2012-10-17",
    "Statement": {
      "Principal": {"AWS": "*"},
        "Effect": "Allow",
        "Action": ["s3:*"],
        "Resource":["arn:aws::s3:::amzn-s3-demo-bucket/*", "arn:aws::s3:::amzn-s3-demo-bucket"],
           "Condition": {
             "StringEquals" : {
                "s3:DataAccessPointAccount" : "111122223333"
             }
           }
    }
}

Dans la politique IAM suivante, l'énoncé de condition autorise l'accès aux données du bucket si le point d'accès possède la clé de balise Environment et la valeur Production de balise. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAccessToSpecificAccessPoint",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
      "Condition": {
        "StringEquals": {
          "s3:AccessPointTag/Environment": "Production"
        }
      }
    }
  ]
}

Utilisation de balises pour les points d'accès pour les compartiments à usage général

Vous pouvez ajouter ou gérer des balises pour les points d'accès à l'aide de la console Amazon S3, de l'interface de ligne de AWS commande (CLI) ou du S3 APIs : TagResourceUntagResource, et ListTagsForResource. AWS SDKs Pour plus d'informations, consultez :

Rubriques