Conditions préalables à la désactivation des listes ACL - Amazon Simple Storage Service
Examinez les listes ACL de compartiment et d’objet et migrez les autorisations ACLIdentifier toutes les demandes qui ont nécessité une liste ACL pour l’autorisationVérifiez et mettez à jour les stratégies de compartiment qui utilisent des clés de condition associées à ACLExemples de cas d’utilisation

Conditions préalables à la désactivation des listes ACL

Une liste de contrôle d’accès (ACL) d’Amazon S3 est un mécanisme qui vous permet de définir des autorisations détaillées pour les objets d’un compartiment S3, en spécifiant les comptes ou groupes AWS qui peuvent y accéder et les modifier. La majorité des cas d’utilisation modernes dans Amazon S3 ne nécessitent plus l’utilisation des listes ACL. Nous vous recommandons d’utiliser des AWS Identity and Access Management (IAM) et des stratégies de compartiment pour gérer les accès et maintenir les listes ACL désactivées, sauf si vous devez contrôler l’accès individuellement à chaque objet.

Si des listes ACL sont activées sur votre compartiment, remplissez les prérequis suivants avant de les désactiver :

Examinez les listes ACL de compartiment et d’objet et migrez les autorisations ACL

Lorsque vous désactivez les listes ACL, les autorisations accordées par les listes ACL de compartiment et d’objets n’affectent plus l’accès. Avant de désactiver les listes ACL, vérifiez les listes ACL de votre compartiment et de vos objets.

Chacune de vos listes ACL de compartiment et d’objet existantes possède un équivalent dans une politique IAM. Les exemples de stratégie de compartiment suivants montrent comment les autorisations READ et WRITE pour les listes ACL de compartiment et d’objet correspondent aux autorisations IAM. Pour plus d’informations sur la façon dont chaque liste ACL se traduit par des autorisations IAM, consultez Mappage des autorisations de liste ACL et de stratégie d’accès.

Avant de désactiver des listes ACL :

  • Si la liste ACL de votre compartiment accorde un accès externe à votre compte AWS, vous devez d’abord migrer les autorisations ACL de votre compartiment vers votre stratégie de compartiment.

  • Rétablissez ensuite la liste ACL par défaut de votre compartiment.

  • Nous vous recommandons également de passer en revue les autorisations ACL au niveau de vos objets et de les migrer vers votre stratégie de compartiment.

Si les listes ACL de votre compartiment accordent des autorisations de lecture ou d’écriture à des personnes extérieures à votre compte, vous devez migrer ces autorisations vers votre stratégie de compartiment. Après avoir migré ces autorisations, vous pouvez définir Propriétaire de l’objet sur Propriétaire du compartiment appliqué. Si vous ne migrez pas les listes ACL de compartiment qui accordent un accès en lecture ou en écriture hors de votre compte, votre demande d’application du paramètre Propriétaire du compartiment appliqué échoue et renvoie le code d’erreur InvalidBucketAclWithObjectOwnership.

Si la liste ACL de votre compartiment accorde un accès en dehors de votre Compte AWS, avant de désactiver les listes ACL, vous devez migrer les autorisations ACL de votre compartiment vers votre stratégie de compartiment et rétablir la liste ACL privée par défaut. Si vous ne le faites pas, votre demande d’application du paramètre Propriétaire du compartiment appliqué pour désactiver les listes ACL échoue et renvoie le code d’erreur InvalidBucketAclWithObjectOwnership. Nous vous recommandons également de revoir les autorisations ACL de votre objet et de les migrer vers votre stratégie de compartiment.

Pour consulter et migrer les autorisations ACL vers des stratégies de compartiment, consultez les rubriques suivantes.

Exemples de stratégies de compartiment

Ces exemples de stratégies de compartiment vous montrent comment effectuer la migration des autorisations de READ et de WRITE pour les compartiments et les objets pour un Compte AWS tiers vers une stratégie de compartiment. Les listes ACL READ_ACP et WRITE_ACP sont moins pertinentes pour les stratégies, car elles accordent des autorisations liées à l’ACL (s3:GetBucketAcl, s3:GetObjectAcl, s3:PutBucketAcl, et s3:PutObjectAcl).

Exemple  : liste ACL READ pour un compartiment

Si votre compartiment possédait une autorisation READ de liste ACL qui permet au Compte AWS 111122223333 de lister le contenu de votre compartiment, vous pouvez écrire une stratégie de compartiment qui accorde les autorisations s3:ListBucket, s3:ListBucketVersions et s3:ListBucketMultipartUploads pour votre compartiment.

JSON
{
		"Version":"2012-10-17",		 	 	 
		"Statement": [
			{
				"Sid": "Permission to list the objects in a bucket",
				"Effect": "Allow",
				"Principal": {
					"AWS": [

						"arn:aws:iam::111122223333:root"
					]
				},
				"Action": [
					"s3:ListBucket",
					"s3:ListBucketVersions",
					"s3:ListBucketMultipartUploads"
				],
				"Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
			}
		]
	}
Exemple  : listes ACL READ pour chaque objet d’un compartiment

Si chaque objet de votre compartiment possède une autorisation READ de liste ACL qui accorde l’accès au Compte AWS 111122223333, vous pouvez écrire une stratégie de compartiment qui accorde les autorisations s3:GetObject et s3:GetObjectVersion sur ce compte pour chaque objet de votre compartiment.

JSON
{
		"Version":"2012-10-17",		 	 	 
		"Statement": [
			{
				"Sid": "Read permission for every object in a bucket",
				"Effect": "Allow",
				"Principal": {
					"AWS": [
						"arn:aws:iam::111122223333:root"
					]
				},
				"Action": [
					"s3:GetObject",
					"s3:GetObjectVersion"
				],
				"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
			}
		]
	}

Cet exemple d’élément de ressource accorde l’accès à un objet spécifique.

"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/OBJECT-KEY"
Exemple  : liste ACL WRITE qui accorde les autorisations d’écriture d’objets dans un compartiment

Si votre compartiment possède une autorisation WRITE de liste ACL qui permet au Compte AWS 111122223333 d’écrire des objets dans votre compartiment, vous pouvez écrire une stratégie de compartiment qui accorde une autorisation s3:PutObject pour votre compartiment.

JSON
{
		"Version":"2012-10-17",		 	 	 
		"Statement": [
			{
				"Sid": "Permission to write objects to a bucket",
				"Effect": "Allow",
				"Principal": {
					"AWS": [
						"arn:aws:iam::111122223333:root"
					]
				},
				"Action": [
					"s3:PutObject"
				],
				"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
			}
		]
	}

Utilisation de la console S3 pour réviser et migrer les autorisations ACL

Pour passer en revue les autorisations ACL d’un compartiment

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l’adresse https://console.aws.amazon.com/s3/.

  2. Dans la liste Compartiments, sélectionnez le nom de votre compartiment.

  3. Choisissez l’onglet Permissions (Autorisations).

  4. Sous Access control list (ACL) (Liste de contrôle d’accès [ACL]), vérifiez les autorisations ACL de votre compartiment.

Pour passer en revue les autorisations ACL d’un objet

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l’adresse https://console.aws.amazon.com/s3/.

  2. Dans la liste Compartiments, choisissez le nom du compartiment qui contient votre objet.

  3. Dans la liste Objets, choisissez le nom de votre objet.

  4. Choisissez l’onglet Permissions (Autorisations).

  5. Sous Access control list (ACL) (Liste de contrôle d’accès [ACL]), vérifiez les autorisations ACL de votre objet.

Pour migrer les autorisations ACL et mettre à jour la liste ACL de votre compartiment

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l’adresse https://console.aws.amazon.com/s3/.

  2. Dans la liste Compartiments, sélectionnez le nom de votre compartiment.

  3. Dans l’onglet Autorisations, sous Stratégie de compartiment, choisissez Modifier.

  4. Dans la boîte Policy (Stratégie), ajoutez ou mettez à jour la stratégie de compartiment.

    Si vous souhaitez consulter des exemples de stratégies de compartiment, consultez Exemples de stratégies de compartiment et Exemples de cas d’utilisation .

  5. Sélectionnez Save Changes.

  6. Mettez à jour la liste ACL de votre compartiment pour supprimer les autorisations ACL à d’autres groupes ou Comptes AWS.

  7. Appliquez le paramètre Propriétaire du compartiment appliqué pour Propriété d’objets.

Utilisation de l’AWS CLI pour réviser et migrer les autorisations ACL

  1. Pour renvoyer la liste ACL de compartiment de votre compartiment, utilisez la commande get-bucket-acl AWS CLI :

    aws s3api get-bucket-acl --bucket amzn-s3-demo-bucket

    Par exemple, cette liste ACL de compartiment accorde l’accès en WRITE et en READ à un compte tiers. Dans cette liste ACL, le compte tiers est identifié par l’ID d’utilisateur canonique. Pour appliquer le paramètre Propriétaire du compartiment appliqué et désactiver les listes ACL, vous devez migrer ces autorisations pour le compte tiers vers une stratégie de compartiment. 

    {
		"Owner": {
			"DisplayName": "DOC-EXAMPLE-ACCOUNT-OWNER",
			"ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID"
		},
		"Grants": [
			{
				"Grantee": {
					"DisplayName": "DOC-EXAMPLE-ACCOUNT-OWNER",
					"ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID",
					"Type": "CanonicalUser"
				},
				"Permission": "FULL_CONTROL"
			},
			{
				"Grantee": {
					"DisplayName": "THIRD-PARTY-EXAMPLE-ACCOUNT",
					"ID": "72806de9d1ae8b171cca9e2494a8d1335dfced4ThirdPartyAccountCanonicalUserID",
					"Type": "CanonicalUser"
				},
				"Permission": "READ"
			},
			{
				"Grantee": {
					"DisplayName": "THIRD-PARTY-EXAMPLE-ACCOUNT",
					"ID": "72806de9d1ae8b171cca9e2494a8d1335dfced4ThirdPartyAccountCanonicalUserID",
					"Type": "CanonicalUser"
				},
				"Permission": "WRITE"
			}
		]
	}

    Pour d’autres exemples de listes ACL, voir Exemples de cas d’utilisation .

  2. Migrez les autorisations ACL de votre compartiment vers une stratégie de compartiment :

    Cet exemple de stratégie de compartiment accorde des autorisations s3:PutObject et s3:ListBucket pour un compte tiers. Dans la stratégie de compartiment, le compte tiers est identifié par l’ID du Compte AWS (111122223333).

    aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://policy.json

	policy.json:
	{
		"Version": "2012-10-17"		 	 	 ,		 	 	 TCX5-2025-waiver;,
		"Statement": [
			{
				"Sid": "PolicyForCrossAccountAllowUpload",
				"Effect": "Allow",
				"Principal": {
					"AWS": [
						"arn:aws:iam::111122223333:root"
					]
				},
				"Action": [
					"s3:PutObject",
					"s3:ListBucket"
				],
				"Resource": [
					"arn:aws:s3:::amzn-s3-demo-bucket",
					"arn:aws:s3:::amzn-s3-demo-bucket/*"
			}
		]
	}

    Si vous souhaitez consulter d’autres exemples de stratégies de compartiment, consultez Exemples de stratégies de compartiment et Exemples de cas d’utilisation .

  3. Pour renvoyer l’ACL pour un objet spécifique, utilisez la commande get-object-acl AWS CLI.

    aws s3api get-object-acl --bucket amzn-s3-demo-bucket --key EXAMPLE-OBJECT-KEY

  4. Si nécessaire, migrez les autorisations ACL d’objet vers votre stratégie de compartiment.

    Cet exemple d’élément de ressource accorde l’accès à un objet spécifique dans une stratégie de compartiment.

    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/EXAMPLE-OBJECT-KEY"

  5. Réinitialisez la liste ACL de votre compartiment à la liste ACL par défaut.

    aws s3api put-bucket-acl --bucket amzn-s3-demo-bucket --acl private

  6. Appliquez le paramètre Propriétaire du compartiment appliqué pour Propriété d’objets.

Identifier toutes les demandes qui ont nécessité une liste ACL pour l’autorisation

Pour identifier les demandes Amazon S3 qui ont nécessité des listes ACL pour l’autorisation, vous pouvez utiliser la valeur aclRequired dans les journaux d’accès du serveur Amazon S3 ou AWS CloudTrail. Si la demande a nécessité une liste ACL pour l’autorisation ou si vous avez des demandes PUT qui spécifient une liste ACL, la chaîne est Yes. Si aucune liste ACL n’était requise, si vous définissez une liste ACL bucket-owner-full-control prédéfinie ou si les demandes sont autorisées par votre stratégie de compartiment, la chaîne de valeur aclRequired est « - » dans les journaux d’accès au serveur Amazon S3 et est absente dans CloudTrail. Pour plus d’informations sur les valeurs aclRequired attendues, consultez Valeurs aclRequired pour les demandes Amazon S3 courantes.

Si vous avez des demandes PutBucketAcl et PutObjectAcl contenant des en-têtes qui accordent des autorisations basées sur des listes ACL, à l’exception de la liste ACL bucket-owner-full-control prédéfinie, vous devez supprimer ces en-têtes avant de pouvoir désactiver les listes ACL. Dans le cas contraire, vos demandes échoueront.

Pour toutes les autres demandes nécessitant une liste ACL pour l’autorisation, migrez ces autorisations de liste ACL vers des stratégies de compartiment. Supprimez ensuite toutes les listes ACL du compartiment avant d’activer le paramètre appliqué par le propriétaire du compartiment.

Note

Ne supprimez pas les listes ACL d’objet. Sinon, les applications qui s’appuient sur des listes ACL d’objet pour les autorisations perdent l’accès.

Si vous constatez qu’aucune demande ne nécessite une liste ACL pour l’autorisation, vous pouvez procéder à la désactivation des listes ACL. Pour plus d’informations sur l’identification des demandes, consultez Utilisation des journaux d’accès au serveur Amazon S3 pour identifier des demandes et Identification des demandes Amazon S3 à l’aide de CloudTrail.

Vérifiez et mettez à jour les stratégies de compartiment qui utilisent des clés de condition associées à ACL

Une fois que vous avez appliqué le paramètre Propriétaire du compartiment appliqué pour désactiver les listes ACL, les nouveaux objets peuvent être téléchargés dans votre compartiment uniquement si la demande utilise des listes ACL de contrôle total du propriétaire du compartiment ou ne spécifie pas de liste ACL. Avant de désactiver les listes ACL, consultez votre stratégie de compartiment pour les clés de condition associées à la liste ACL.

Si votre stratégie de compartiment utilise une clé de condition associée à la liste ACL pour exiger la liste ACL bucket-owner-full-control prédéfinie (par exemple, s3:x-amz-acl), vous n’avez pas besoin de mettre à jour votre stratégie de compartiment. La stratégie de compartiment suivante utilise la s3:x-amz-acl pour exiger la liste ACL bucket-owner-full-control prédéfinie pour les demandes PutObject S3. Cette politique demande encore au rédacteur d’objets qu’il spécifie la liste ACL bucket-owner-full-control prédéfinie. Toutefois, les compartiments dont les listes ACL sont désactivées acceptent toujours cette liste ACL, de sorte que les demandes continuent d’aboutir sans modification côté client requise.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "OnlyAllowWritesToMyBucketWithBucketOwnerFullControl",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/ExampleUser"
                ]
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

Cependant, si votre stratégie de compartiment utilise une clé de condition associée à la liste ACL qui nécessite une liste ACL différente, vous devez supprimer cette clé de condition. Cet exemple de stratégie de compartiment nécessite la liste ACL public-read pour les demandes S3 PutObject et doit donc être mis à jour avant de désactiver les listes ACL.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Only allow writes to my bucket with public read access",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/ExampleUser"                ]
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "public-read"
                }
            }
        }
    ]
}

Exemples de cas d’utilisation

Les exemples suivants vous montrent comment migrer les autorisations ACL vers des stratégies de compartiment pour des cas d’utilisation spécifiques.

Octroi de l’accès au groupe de livraison des journaux S3 pour la journalisation des accès au serveur

Si vous souhaitez appliquer le paramètre Propriétaire du compartiment appliqué pour désactiver les listes ACL pour un compartiment de destination de journalisation des accès au serveur (également appelé compartiment cible), vous devez migrer les autorisations ACL de compartiment pour le groupe de livraison des journaux S3 vers le principal du service de journalisation (logging.s3.amazonaws.com) dans une stratégie de compartiment. Pour plus d’informations sur les autorisations de la diffusion des journaux, consultez Autorisations de diffusion de journaux.

Ce compartiment ACL accorde un accès en WRITE et en READ_ACP au groupe de mise à disposition des journaux S3 :

{
    "Owner": {
        "DisplayName": "DOC-EXAMPLE-ACCOUNT-OWNER", 
        "ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID"
    }, 
    "Grants": [
        {
            "Grantee": {
                "Type": "CanonicalUser", 
                "DisplayName": "DOC-EXAMPLE-ACCOUNT-OWNER", 
                "ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID"
            }, 
            "Permission": "FULL_CONTROL"
        }, 
        {
            "Grantee": {
                "Type": "Group", 
                "URI": "http://acs.amazonaws.com/groups/s3/LogDelivery"
            }, 
            "Permission": "WRITE"
        }, 
        {
            "Grantee": {
                "Type": "Group", 
                "URI": "http://acs.amazonaws.com/groups/s3/LogDelivery"
            }, 
            "Permission": "READ_ACP"
        }
    ]
}
Pour migrer les autorisations ACL du compartiment pour le groupe de mise à disposition du journal S3 vers le principal du service de journalisation dans une stratégie de compartiment

  1. Ajoutez la stratégie de compartiment suivante à votre compartiment de destination, en remplaçant les exemples de valeurs.

    aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://policy.json

policy.json:						{
    {
    "Version": "2012-10-17"		 	 	 ,		 	 	 TCX5-2025-waiver;,
    "Statement": [
        {
            "Sid": "S3ServerAccessLogsPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "logging.s3.amazonaws.com"
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/EXAMPLE-LOGGING-PREFIX*",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3:::SOURCE-BUCKET-NAME"
                },
                "StringEquals": {
                    "aws:SourceAccount": "SOURCE-AWS-ACCOUNT-ID"
                }
            }
        }
    ]
}

  2. Réinitialisez la liste ACL de votre compartiment de destination sur la liste ACL par défaut.

    aws s3api put-bucket-acl --bucket amzn-s3-demo-bucket --acl private

  3. Appliquez le paramètre Propriétaire du compartiment appliqué pour Propriété d’objets à votre compartiment de destination.

Accordez un accès public en lecture aux objets se trouvant dans un compartiment.

Si vos listes ACL d’objet accordent un accès public en lecture à tous les objets de votre compartiment, vous pouvez migrer ces autorisations ACL vers une stratégie de compartiment.

Cette liste ACL d’objet accorde un accès public en lecture à un objet dans un compartiment :

{
    "Owner": {
        "DisplayName": "DOC-EXAMPLE-ACCOUNT-OWNER",
        "ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID"
    },
    "Grants": [
        {
            "Grantee": {
                "DisplayName": "DOC-EXAMPLE-ACCOUNT-OWNER",
                "ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID",
                "Type": "CanonicalUser"
            },
            "Permission": "FULL_CONTROL"
        },
        {
            "Grantee": {
                "Type": "Group",
                "URI": "http://acs.amazonaws.com/groups/global/AllUsers"
            },
            "Permission": "READ"
        }
    ]
}
Pour migrer les autorisations ACL publiques en lecture vers une stratégie de compartiment

  1. Pour accorder un accès public en lecture à tous les objets de votre compartiment, ajoutez la stratégie de compartiment suivante, en remplaçant les exemples de valeurs.

    aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://policy.json

policy.json:
{
    "Version": "2012-10-17"		 	 	 ,		 	 	 TCX5-2025-waiver;,
    "Statement": [
        {
            "Sid": "PublicReadGetObject",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

    Pour accorder l’accès public à un objet spécifique dans une stratégie de compartiment, utilisez le format suivant pour l’élément Resource. 

    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/OBJECT-KEY"

    Pour accorder l’accès public à tous les objets avec un préfixe spécifique, utilisez le format suivant pour l’élément Resource. 

    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/PREFIX/*"

  2. Appliquez le paramètre Propriétaire du compartiment appliqué pour Propriété d’objets.

Octroi de l’accès Amazon ElastiCache (Redis OSS) à votre compartiment S3

Vous pouvez exporter votre sauvegarde ElastiCache (Redis OSS) vers un compartiment S3, qui vous permet d’accéder à la sauvegarde sans être dans ElastiCache. Pour exporter votre sauvegarde vers un compartiment S3, vous devez accorder à ElastiCache les autorisations nécessaires à la copie d’un instantané dans le compartiment. Si vous avez accordé des autorisations à ElastiCache dans une liste ACL de compartiment, vous devez migrer ces autorisations vers une stratégie de compartiment avant d’appliquer le paramètre Propriétaire du compartiment appliqué pour désactiver les listes ACL. Pour plus d’informations, consultez Accorder l’accès ElastiCache à votre compartiment Amazon S3 dans le Guide de l’utilisateur Amazon ElastiCache.

L’exemple suivant illustre les autorisations ACL du compartiment qui accordent des autorisations à ElastiCache. 

{
    "Owner": {
        "DisplayName": "DOC-EXAMPLE-ACCOUNT-OWNER",
        "ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID"
    },
    "Grants": [
        {
            "Grantee": {
                "DisplayName": "DOC-EXAMPLE-ACCOUNT-OWNER",
                "ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID",
                "Type": "CanonicalUser"
            },
            "Permission": "FULL_CONTROL"
        },
        {
            "Grantee": {
                "DisplayName": "aws-scs-s3-readonly",
                "ID": "540804c33a284a299d2547575ce1010f2312ef3da9b3a053c8bc45bf233e4353",
                "Type": "CanonicalUser"
            },
            "Permission": "READ"
        },
        {
            "Grantee": {
                "DisplayName": "aws-scs-s3-readonly",
                "ID": "540804c33a284a299d2547575ce1010f2312ef3da9b3a053c8bc45bf233e4353",
                "Type": "CanonicalUser"
            },
            "Permission": "WRITE"
        },
        {
            "Grantee": {
                "DisplayName": "aws-scs-s3-readonly",
                "ID": "540804c33a284a299d2547575ce1010f2312ef3da9b3a053c8bc45bf233e4353",
                "Type": "CanonicalUser"
            },
            "Permission": "READ_ACP"
        }
    ]
}
Pour migrer les autorisations ACL de compartiment pour ElastiCache (Redis OSS) vers une stratégie de compartiment

  1. Ajoutez la stratégie de compartiment suivante à votre compartiment, en remplaçant les exemples de valeurs.

    aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://policy.json

policy.json:
{
    "Version": "2012-10-17"		 	 	 ,		 	 	 TCX5-2025-waiver;,
    "Statement": [
        {
            "Sid": "Stmt15399483",
            "Effect": "Allow",
            "Principal": {
                "Service": "Region.elasticache-snapshot.amazonaws.com"
            },
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:GetBucketAcl",
                "s3:ListMultipartUploadParts",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

  2. Réinitialisez la liste ACL de votre compartiment à la liste ACL par défaut :

    aws s3api put-bucket-acl --bucket amzn-s3-demo-bucket --acl private

  3. Appliquez le paramètre Propriétaire du compartiment appliqué pour Propriété d’objets.