Octroi d’autorisations pour la publication de messages de notification d’événement vers une destination - Amazon Simple Storage Service
Octroi d’autorisations pour invoquer une fonction AWS LambdaOctroi d’autorisations pour la publication de messages dans une rubrique SNS ou une file d’attente SQS

Octroi d’autorisations pour la publication de messages de notification d’événement vers une destination

Vous devez accorder au principal Amazon S3 les autorisations nécessaires pour appeler l’API appropriée afin de publier des messages dans une rubrique SNS, une file d’attente SQS ou une fonction Lambda. Amazon S3 peut ainsi publier des messages de notification d’événement vers une destination.

Pour résoudre les problèmes liés à la publication de messages de notification d’événements vers une destination, consultez Troubleshoot to publish Amazon S3 event notifications to an Amazon Simple Notification Service topic (Résoudre les problèmes liés à la publication de notifications d’événements Amazon S3 sur une rubrique Amazon Simple Notification Service).

Octroi d’autorisations pour invoquer une fonction AWS Lambda

Amazon S3 publie des messages d’événement sur AWS Lambda en invoquant une fonction Lambda et en fournissant le message d’événement comme argument.

Lorsque vous utilisez la console Amazon S3 pour configurer les notifications d’événements sur un compartiment Amazon S3 pour une fonction Lambda, la console définit les autorisations nécessaires au niveau de la fonction Lambda. Amazon S3 dispose ainsi d’autorisations pour invoquer la fonction à partir du compartiment. Pour plus d’informations, consultez Activation et configuration des notifications d’événements à l’aide de la console Amazon S3.

Vous pouvez également accorder à Amazon S3 des autorisations AWS Lambda pour invoquer votre fonction Lambda. Pour plus d’informations, consultez Didacticiel : Utilisation de AWS Lambda avec Amazon S3 dans le Guide du développeur AWS Lambda.

Octroi d’autorisations pour la publication de messages dans une rubrique SNS ou une file d’attente SQS

Pour autoriser Amazon S3 à publier des messages dans une rubrique SNS ou une file d’attente SQS, attachez une stratégie AWS Identity and Access Management (IAM) à la rubrique SNS ou à la file d’attente SQS de destination.

Pour afficher un exemple montrant comment associer une stratégie à une rubrique SNS ou à une file d’attente SQS, consultez Démonstration : configuration d’un compartiment pour les notifications (rubrique SNS ou file d’attente SQS). Pour en savoir plus sur les autorisations, consultez les rubriques suivantes :

Politique IAM pour une rubrique SNS de destination

Voici un exemple de stratégie AWS Identity and Access Management (IAM) que vous associez à la rubrique SNS de destination. Pour savoir comment utiliser cette politique pour configurer une rubrique Amazon SNS de destination pour les notifications d’événements, consultez Démonstration : configuration d’un compartiment pour les notifications (rubrique SNS ou file d’attente SQS).

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Id": "example-ID",
    "Statement": [
        {
            "Sid": "Example SNS topic policy",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "SNS:Publish"
            ],
            "Resource": "arn:aws:sns:us-east-1:111122223333:example-sns-topic",
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:s3:::amzn-s3-demo-bucket"
                },
                "StringEquals": {
                    "aws:SourceAccount": "bucket-owner-account-id"
                }
            }
        }
    ]
}

Politique IAM pour une file d’attente SQS de destination

Voici un exemple de politique IAM que vous associez à la file d’attente SQS de destination. Pour savoir comment utiliser cette politique pour configurer une file d’attente Amazon SQS de destination pour les notifications d’événements, consultez Démonstration : configuration d’un compartiment pour les notifications (rubrique SNS ou file d’attente SQS).

Pour utiliser cette politique, vous devez mettre à jour l’ARN de la file d’attente Amazon SQS, le nom de compartiment et l’ID du propriétaire du compartiment Compte AWS.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Id": "example-ID",
    "Statement": [
        {
            "Sid": "example-statement-ID",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "SQS:SendMessage"
            ],
            "Resource": "arn:aws:sqs:us-east-1:111122223333:queue-name",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3:*:*:amzn-s3-demo-bucket"
                },
                "StringEquals": {
                    "aws:SourceAccount": "bucket-owner-account-id"
                }
            }
        }
    ]
}

Qu’il s’agisse de la politique IAM Amazon SNS ou de la politique IAM Amazon SQS, vous pouvez spécifier la condition StringLike en lieu et place de la condition ArnLike dans la stratégie.

Lorsque ArnLike est utilisé, les éléments partition, service, ID de compte, type de ressource et ID de ressource partiel de l’ARN doivent correspondre exactement à l’ARN dans le contexte de la demande. Seuls la région et le chemin de ressource autorisent une correspondance partielle.

Lorsque StringLike est utilisé à la place de ArnLike, la correspondance ignore la structure de l’ARN et autorise une correspondance partielle, quelle que soit l’élément remplacé par le caractère générique. Pour plus d’informations, consultez Éléments de politique JSON IAM dans le Guide de l’utilisateur IAM.

"Condition": {         
  "StringLike": { "aws:SourceArn": "arn:aws:s3:*:*:amzn-s3-demo-bucket" }
  }

AWS KMSpolitique de clé

Si la file d’attente SQS ou les rubriques SNS sont chiffrées à l’aide d’une clé gérée par le client AWS Key Management Service (AWS KMS), vous devrez accorder au service principal Amazon S3 l’autorisation de travailler avec les rubriques chiffrées ou la file d’attente. Ajoutez l’instruction suivante à la politique de la clé gérée par le client afin d’accorder l’autorisation au principal de service Amazon S3.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Id": "example-ID",
    "Statement": [
        {
            "Sid": "example-statement-ID",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
    ]
}

Pour plus d’informations sur les politiques de clé AWS KMS, consultez Utilisation des politiques de clé dans AWS KMS dans le guide du développeur AWS Key Management Service.

Pour plus d’informations sur l’utilisation du chiffrement côté serveur avec AWS KMS pour Amazon SQS et Amazon SNS, consultez les informations suivantes :