Octroi d'autorisations pour appeler une AWS Lambda fonction Octroi d’autorisations pour la publication de messages dans une rubrique SNS ou une file d’attente SQS

Octroi d’autorisations pour la publication de messages de notification d’événement vers une destination

Vous devez accorder au principal Amazon S3 les autorisations nécessaires pour appeler l’API appropriée afin de publier des messages dans une rubrique SNS, une file d’attente SQS ou une fonction Lambda. Amazon S3 peut ainsi publier des messages de notification d’événement vers une destination.

Pour résoudre les problèmes liés à la publication de messages de notification d’événements vers une destination, consultez Troubleshoot to publish Amazon S3 event notifications to an Amazon Simple Notification Service topic (Résoudre les problèmes liés à la publication de notifications d’événements Amazon S3 sur une rubrique Amazon Simple Notification Service).

Rubriques

Octroi d'autorisations pour appeler une AWS Lambda fonction
Octroi d’autorisations pour la publication de messages dans une rubrique SNS ou une file d’attente SQS

Octroi d'autorisations pour appeler une AWS Lambda fonction

Amazon S3 publie des messages d'événement sur AWS Lambda en invoquant une fonction Lambda et en fournissant le message d'événement comme argument.

Lorsque vous utilisez la console Amazon S3 pour configurer les notifications d’événements sur un compartiment Amazon S3 pour une fonction Lambda, la console définit les autorisations nécessaires au niveau de la fonction Lambda. Amazon S3 dispose ainsi d’autorisations pour invoquer la fonction à partir du compartiment. Pour de plus amples informations, veuillez consulter Activation et configuration des notifications d’événements à l’aide de la console Amazon S3.

Vous pouvez également accorder à Amazon S3 des autorisations AWS Lambda pour appeler votre fonction Lambda. Pour plus d'informations, consultez Tutoriel : Utilisation AWS Lambda avec Amazon S3 dans le Guide du AWS Lambda développeur.

Pour accorder à Amazon S3 l'autorisation de publier des messages sur la rubrique SNS ou la file d'attente SQS, associez une politique AWS Identity and Access Management (IAM) à la rubrique SNS ou à la file d'attente SQS de destination.

Pour afficher un exemple montrant comment associer une stratégie à une rubrique SNS ou à une file d’attente SQS, consultez Démonstration : configuration d’un compartiment pour les notifications (rubrique SNS ou file d’attente SQS). Pour en savoir plus sur les autorisations, consultez les rubriques suivantes :

Cas d’utilisation du contrôle des accès Amazon SNS dans le Manuel du développeur Amazon Simple Notification Service
Identity and Access Management dans Amazon SQS dans le Manuel du développeur Amazon Simple Queue Service

Voici un exemple de stratégie AWS Identity and Access Management (IAM) que vous associez à la rubrique SNS de destination. Pour savoir comment utiliser cette politique pour configurer une rubrique Amazon SNS de destination pour les notifications d’événements, consultez Démonstration : configuration d’un compartiment pour les notifications (rubrique SNS ou file d’attente SQS).


{
    "Version": "2012-10-17",
    "Id": "example-ID",
    "Statement": [
        {
            "Sid": "Example SNS topic policy",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "SNS:Publish"
            ],
            "Resource": "SNS-topic-ARN",
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:s3:::amzn-s3-demo-bucket"
                },
                "StringEquals": {
                    "aws:SourceAccount": "bucket-owner-account-id"
                }
            }
        }
    ]
}

Politique IAM pour une file d’attente SQS de destination

Voici un exemple de politique IAM que vous associez à la file d’attente SQS de destination. Pour savoir comment utiliser cette politique pour configurer une file d’attente Amazon SQS de destination pour les notifications d’événements, consultez Démonstration : configuration d’un compartiment pour les notifications (rubrique SNS ou file d’attente SQS).

Pour utiliser cette politique, vous devez mettre à jour l'ARN de la file d'attente Amazon SQS, le nom du bucket et l'ID du propriétaire du Compte AWS bucket.


{
    "Version": "2012-10-17",
    "Id": "example-ID",
    "Statement": [
        {
            "Sid": "example-statement-ID",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "SQS:SendMessage"
            ],
            "Resource": "arn:aws:sqs:Region:account-id:queue-name",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3:*:*:awsexamplebucket1"
                },
                "StringEquals": {
                    "aws:SourceAccount": "bucket-owner-account-id"
                }
            }
        }
    ]
}

Qu’il s’agisse de la politique IAM Amazon SNS ou de la politique IAM Amazon SQS, vous pouvez spécifier la condition StringLike en lieu et place de la condition ArnLike dans la stratégie.

Lorsque ArnLike est utilisé, les parties partition, service, ID de compte, type de ressource et ID de ressource partiel de l’ARN doivent correspondre exactement à l’ARN dans le contexte de la demande. Seuls la région et le chemin de ressource permettent une correspondance partielle.

Lorsque StringLike est utilisé à la place de ArnLike, la correspondance ignore la structure de l’ARN et permet une correspondance partielle, quelle que soit la partie qui a été marquée par un caractère générique. Pour plus d’informations, consultez Éléments de politique JSON IAM dans le Guide de l’utilisateur IAM.


"Condition": {         
  "StringLike": { "aws:SourceArn": "arn:aws:s3:*:*:amzn-s3-demo-bucket" }
  }

Si la file d'attente SQS ou les sujets SNS sont chiffrés à l'aide d'une clé gérée par le client AWS Key Management Service (AWS KMS), vous devez accorder au principal du service Amazon S3 l'autorisation d'utiliser les sujets ou la file d'attente chiffrés. Ajoutez l’instruction suivante à la politique de la clé gérée par le client afin d’accorder l’autorisation au principal de service Amazon S3.


{
    "Version": "2012-10-17",
    "Id": "example-ID",
    "Statement": [
        {
            "Sid": "example-statement-ID",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
    ]
}

Pour plus d'informations sur les politiques AWS KMS clés, consultez la section Utilisation des politiques clés AWS KMS dans le Guide du AWS Key Management Service développeur.

Pour plus d'informations sur l'utilisation du chiffrement côté serveur AWS KMS pour Amazon SQS et Amazon SNS, consultez ce qui suit :

Gestion des clés dans le Manuel du développeur Amazon Simple Notification Service.
Gestion des clés dans le Manuel du développeur Amazon Simple Queue Service.
Chiffrement des messages publiés vers Amazon SNS avec AWS KMS dans le Blog sur le calcul AWS .

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation de SQS, SNS et Lambda

Activation des notifications dans la console S3

Octroi d’autorisations pour la publication de messages de notification d’événement vers une destination

Rubriques

Octroi d'autorisations pour appeler une AWS Lambda fonction

Octroi d’autorisations pour la publication de messages dans une rubrique SNS ou une file d’attente SQS

Politique IAM pour une rubrique SNS de destination

Politique IAM pour une file d’attente SQS de destination

AWS KMS politique clé