Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activation de l'ABAC dans les compartiments à usage général
Le contrôle d'accès basé sur les attributs (ABAC) est une stratégie d'autorisation que vous utilisez pour définir des autorisations basées sur des attributs, c'est-à-dire des balises. Par défaut, ABAC est désactivé pour tous les compartiments à usage général Amazon S3. Pour utiliser ABAC pour des seaux à usage général, vous devez l'activer.
Avant d'activer ABAC pour votre bucket à usage général, nous vous recommandons d'effectuer d'abord les tâches décrites dans les rubriques suivantes :
Audit de vos politiques avant d’activer l’ABAC
Avant d'activer ABAC pour votre compartiment, si celui-ci contient des balises, vérifiez vos politiques de contrôle d'accès pour vérifier si les conditions basées sur les balises font référence à l'une des balises existantes sur vos compartiments. Si tel est le cas, vérifiez que ces politiques sont configurées comme prévu et que l'activation du contrôle d'accès basé sur des balises ne crée pas de modifications d'autorisation involontaires dans vos flux de travail Amazon S3. Cela vous aidera à garantir que vos politiques fonctionnent comme prévu une fois l'ABAC activé sur vos buckets. Pour des exemples d'utilisation de conditions basées sur les attributs avec des balises, consultez. Utilisation de balises avec des compartiments S3 à usage général
Inclure les autorisations requises dans vos politiques IAM
Vous devez disposer des autorisations Amazon S3 suivantes pour activer ABAC pour votre compartiment :
s3:PutBucketAbac— Mettez à jour le statut ABAC de votre compartiment à usage général.s3:GetBucketAbac— Consultez le statut ABAC de votre bucket à usage général
Après avoir activé ABAC, les autorisations que vous utilisiez précédemment pour ajouter des balises à un bucket ou supprimer des tags d'un bucket, PutBucketTagging ouDeleteBucketTagging, ne fonctionneront plus. Utilisez plutôt le TagResource et UntagResource APIs pour effectuer ces tâches.
Nous vous recommandons d'utiliser TagResource et UntagResource APIs de gérer le balisage avant d'activer ABAC sur vos buckets. La console Amazon S3 et utilisez CloudFormation désormais le TagResource et UntagResource APIs par défaut. Vous pouvez également désactiver ABAC sur votre bucket à l'aide de l'PutBucketAbacAPI. Vous pouvez l'utiliser GetBucketTagging pour répertorier les tags de vos buckets. Cette API continuera de fonctionner une fois que vous aurez activé ABAC pour vos buckets. Vous pouvez également l'utiliser ListTagsForResource pour répertorier toutes les balises de vos buckets.
Vous aurez besoin des autorisations suivantes pour appliquer des balises et les supprimer des compartiments à usage général.
s3:TagResource- Ajoutez des balises à une AWS ressource, telle qu'un compartiment à usage général Amazon S3.s3:UntagResource- Supprimez les balises d'une AWS ressource, telle qu'un compartiment à usage général Amazon S3.s3:ListTagsForResource- Affichez les balises appliquées à une AWS ressource, telle qu'un compartiment à usage général Amazon S3.
La politique IAM suivante accorde l'autorisation d'activer ABAC et de consulter son statut pour votre compartiment.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutBucketAbac", "s3:GetBucketAbac" ], "Resource": "arn:aws:s3:::my-s3-bucket/*" } ] }
Pour plus d'informations sur le balisage des compartiments à usage général et des exemples de politiques ABAC pour les compartiments à usage général, consultez. Utilisation de balises avec des compartiments S3 à usage général
Étapes
Si vous êtes s3:PutBucketAbac autorisé à utiliser un compartiment à usage général, vous pouvez activer ABAC pour le compartiment à l'aide de la console Amazon S3, de l'interface de ligne de AWS commande (AWS CLI), de l'API REST Amazon S3 et AWS SDKs.
Pour activer ABAC pour un compartiment à usage général à l'aide de la console Amazon S3 :
Connectez-vous à la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/
. Dans le volet de navigation de gauche, choisissez buckets.
Choisissez le nom du compartiment.
Choisissez l’onglet Propriétés.
Dans le panneau Bucket ABAC, sélectionnez Modifier.
Cliquez sur le bouton Activer.
Vérifiez et confirmez les autorisations dont vous aurez besoin pour gérer les balises après avoir activé ABAC :
TagResourceUntagResource, etListTagsForResource.Sélectionnez Enregistrer les modifications.
Pour plus d'informations sur la prise en charge de l'API REST Amazon S3 pour l'ajout de balises à un compartiment à usage général, consultez la section suivante du manuel Amazon Simple Storage Service API Reference :
Pour installer la AWS CLI, reportez-vous à la section Installation de la AWS CLI dans le guide de AWS Command Line Interface l'utilisateur.
L'exemple de CLI suivant vous montre comment activer ABAC pour un bucket à usage général à l'aide du AWS CLI. Pour utiliser la commande, remplacez les user input placeholders par vos propres informations.
Requête :
# Enable ABAC on a general purpose bucket aws s3api put-bucket-abac --bucket amzn-s3-demo-bucket --abac-status Status=Enabled --region us-east-2 # Disable ABAC on a general purpose bucket aws s3api put-bucket-abac --bucket amzn-s3-demo-bucket --abac-status Status=Disabled --region us-east-2 # Get ABAC status on a general purpose bucket aws s3api get-bucket-abac --bucket amzn-s3-demo-bucket --region us-east-2
