Comment Amazon S3 autorise une demande

Lorsqu’Amazon S3 reçoit une demande : par exemple, une opération de compartiment ou d’objet, il vérifie que le demandeur possède les autorisations nécessaires. Amazon S3 évalue toutes les stratégies d’accès, les politiques utilisateur et les politiques basées sur les ressources (politique de compartiment, liste ACL de compartiment, liste ACL d’objet) pertinentes pour décider d’autoriser ou non la demande.

Note

Si le contrôle des autorisations Amazon S3 ne permet pas de trouver des autorisations valides, une erreur (403 Forbidden) liée à un refus d’accès est renvoyée. Pour plus d’informations, consultez Résolution des erreurs d’accès refusé (403 Forbidden) dans Amazon S3.

Afin de déterminer si le demandeur a l’autorisation d’exécuter l’opération spécifique, Amazon S3 procède comme suit dès réception d’une demande :

Convertit toutes les politiques d'accès pertinentes (politique utilisateur, politique de compartiment, etc. ACLs) au moment de l'exécution en un ensemble de politiques à évaluer.
Evalue l’ensemble de stratégies obtenu au cours des étapes suivantes. Dans chaque étape, Amazon S3 évalue un sous-ensemble de stratégies dans un contexte spécifique, basé sur l’autorité du contexte.
1. Contexte d’utilisateur – Dans le contexte d’utilisateur, le compte parent auquel appartient l’utilisateur est l’autorité du contexte.
  
  Amazon S3 évalue un sous-ensemble de stratégies détenues par le compte parent. Ce sous-ensemble inclut la stratégie d’utilisateur que le parent attache à l’utilisateur. Si le parent possède également la ressource de la demande (compartiment ou objet), Amazon S3 évalue aussi les politiques de ressources correspondantes (politique de compartiment, liste ACL de compartiment et liste ACL d’objet) en même temps.
  
  Un utilisateur doit avoir l’autorisation du compte parent pour exécuter l’opération.
  
  Cette étape s’applique uniquement si la demande est faite par un utilisateur dans un Compte AWS. Si la demande est faite à l'aide des informations d'identification de l'utilisateur root d'un Compte AWS, Amazon S3 ignore cette étape.
2. Contexte du compartiment : dans le contexte du compartiment, Amazon S3 évalue les politiques détenues par Compte AWS le propriétaire du compartiment.
  
  Si la demande concerne une opération de compartiment, le demandeur doit avoir l’autorisation du propriétaire du compartiment. Si la demande concerne un objet, Amazon S3 évalue toutes les stratégies détenues par le propriétaire du compartiment pour vérifier que ce dernier n’a pas refusé explicitement l’accès à l’objet. Si un refus explicite est configuré, Amazon S3 n’autorise pas la demande.
3. Contexte d’objet – Si la demande concerne un objet, Amazon S3 évalue le sous-ensemble de stratégies détenues par le propriétaire de l’objet.

Voici quelques exemples de scénarios qui illustrent comment Amazon S3 autorise une demande.

Exemple – Le demandeur est un principal IAM

Si le demandeur est un principal IAM, Amazon S3 doit déterminer si le parent auquel Compte AWS appartient le principal a accordé au principal l'autorisation nécessaire pour effectuer l'opération. De plus, si la demande concerne une opération de compartiment, comme une demande pour lister le contenu du compartiment, Amazon S3 doit vérifier que le propriétaire du compartiment a accordé l’autorisation au demandeur d’exécuter l’opération. Pour effectuer une opération spécifique sur une ressource, un principal IAM doit obtenir l'autorisation du parent Compte AWS auquel il appartient et du Compte AWS propriétaire de la ressource.

Exemple – Le demandeur est un principal IAM : si la demande concerne une opération sur un objet que le propriétaire du compartiment ne possède pas

Si la demande concerne une opération sur un objet que le propriétaire du compartiment ne possède pas, Amazon S3 doit veiller à ce que le demandeur possède l’autorisation du propriétaire de l’objet, mais aussi à ce que la politique de compartiment garantisse que le propriétaire du compartiment n’a pas configuré un refus explicite sur l’objet. Le propriétaire du compartiment (qui paie la facture) peut refuser explicitement l’accès aux objets dans le compartiment, quel que soit le propriétaire. Le propriétaire du compartiment peut également supprimer tout objet du compartiment.

Par défaut, lorsqu'un autre Compte AWS utilisateur télécharge un objet dans votre compartiment à usage général S3, ce compte (le rédacteur de l'objet) est propriétaire de l'objet, y a accès et peut autoriser d'autres utilisateurs à y accéder via des listes de contrôle d'accès (ACLs). Vous pouvez utiliser Object Ownership pour modifier ce comportement par défaut afin qu'il soit ACLs désactivé et que vous, en tant que propriétaire du bucket, soyez automatiquement propriétaire de tous les objets de votre bucket à usage général. Par conséquent, le contrôle d'accès à vos données est basé sur des politiques, telles que les politiques utilisateur IAM, les politiques relatives aux compartiments S3, les politiques relatives aux points de terminaison du cloud privé virtuel (VPC) AWS Organizations et les politiques de contrôle des services (). SCPs Pour de plus amples informations, veuillez consulter Contrôle de la propriété des objets et désactivation ACLs pour votre compartiment.

Pour en savoir plus sur la façon dont Amazon S3 évalue les stratégies d’accès pour autoriser ou refuser les demandes d’opérations de compartiment et d’objets, consultez les rubriques suivantes :

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Fonctionnement d’Amazon S3 avec IAM

Pour une opération de compartiment