Définition de la propriété d’objet lors de la création d’un compartiment - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Définition de la propriété d’objet lors de la création d’un compartiment

Lorsque vous créez un compartiment, vous pouvez configurer la propriété d’objet S3. Pour définir la propriété d’un objet pour un compartiment existant, voir Définition de la propriété d’un objet sur un compartiment existant.

La propriété des objets S3 est un paramètre au niveau du compartiment Amazon S3 que vous pouvez utiliser pour désactiver les listes de contrôle d'accès (ACLs) et prendre possession de chaque objet de votre compartiment, simplifiant ainsi la gestion des accès aux données stockées dans Amazon S3. Par défaut, S3 Object Ownership est défini sur le paramètre imposé par le propriétaire du compartiment et ACLs est désactivé pour les nouveaux compartiments. Lorsque cette option est ACLs désactivée, le propriétaire du compartiment possède tous les objets du compartiment et gère l'accès aux données exclusivement à l'aide de politiques de gestion des accès. Nous vous recommandons de rester ACLs désactivé, sauf dans des circonstances exceptionnelles où vous devez contrôler l'accès à chaque objet individuellement.

La propriété des objets comporte trois paramètres que vous pouvez utiliser pour contrôler la propriété des objets chargés dans votre bucket et pour désactiver ou activer ACLs :

ACLs handicapé

  • Appliqués par le propriétaire du compartiment (par défaut) : ACLs sont désactivés, et le propriétaire du compartiment possède automatiquement tous les objets du compartiment et en a le contrôle total. ACLs n'affectent plus les autorisations relatives aux données du compartiment S3. Le compartiment utilise des stratégies pour définir le contrôle des accès.

ACLs enabled

  • Bucket owner preferred (Préféré par le propriétaire du compartiment) – Le propriétaire du compartiment possède les nouveaux objets que d’autres comptes écrivent dans le compartiment avec la liste ACL bucket-owner-full-control prête à l’emploi, et en a le contrôle total.

  • Auteur d'objets : celui Compte AWS qui télécharge un objet est propriétaire de l'objet, en a le contrôle total et peut autoriser d'autres utilisateurs à y accéder par le biais ACLs de celui-ci.

Permissions (Autorisations) : pour appliquer le paramètre Bucket owner enforced (Propriétaire du compartiment imposé) ou le paramètre Bucket owner preferred (Propriétaire du compartiment préféré), vous devez disposer des autorisations suivantes : s3:CreateBucket et s3:PutBucketOwnershipControls. Aucune autorisation supplémentaire n’est nécessaire lors de la création d’un compartiment avec le paramètre Object writer (Rédacteur d’objets) appliqué. Pour plus d’informations sur les autorisations Amazon S3, consultez Actions, ressources et clés de condition pour Amazon S3 dans la Référence de l’autorisation de service.

Pour plus d’informations sur les autorisations relatives aux opérations d’API S3 par type de ressource S3, consultez Autorisations requises pour les opérations d’API Amazon S3.

Important

La majorité des cas d'utilisation modernes d'Amazon S3 ne nécessitent plus l'utilisation de ACLs, et nous vous recommandons de le désactiver, ACLs sauf dans des circonstances exceptionnelles où vous devez contrôler l'accès à chaque objet individuellement. Avec Object Ownership, vous pouvez désactiver les politiques de contrôle d'accès ACLs et vous appuyer sur celles-ci. Lorsque vous le désactivez ACLs, vous pouvez facilement gérer un bucket contenant des objets téléchargés par différents AWS comptes. En tant que propriétaire du compartiment, vous êtes propriétaire de tous les objets du compartiment et pouvez gérer l’accès à ces derniers au moyen de stratégies.

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans la barre de navigation en haut de la page, choisissez le nom du fichier actuellement affiché Région AWS. Choisissez ensuite la région dans laquelle vous souhaitez créer un compartiment.

    Note

    • Une fois le compartiment créé, vous ne pouvez pas changer sa région.

    • Pour limiter la latence et les coûts, et répondre aux exigences légales, choisissez une région proche de vous. Les objets stockés dans une Région ne la quittent jamais, sauf si vous les transférez explicitement vers une autre Région. Pour obtenir la liste d'Amazon S3 Régions AWS, consultez la section sur les Service AWS points de terminaison dans le Référence générale d'Amazon Web Services.

  3. Dans le volet de navigation de gauche, choisissez Compartiments à usage général.

  4. Choisissez Créer un compartiment. La page Créer un compartiment s’ouvre.

  5. Pour Nom du compartiment, saisissez le nom de votre compartiment.

    Le nom du compartiment doit présenter les caractéristiques suivantes :

    • Être unique dans une partition. Une partition est un regroupement de régions. AWS possède actuellement trois partitions : aws (Régions commerciales), aws-cn (Régions de Chine) et aws-us-gov (AWS GovCloud (US) Regions).

    • Il doit comporter entre 3 et 63 caractères.

    • Composé uniquement de lettres minuscules, de chiffres, de points (.) et de traits d'union (). - Pour une compatibilité optimale, nous vous recommandons d'éviter d'utiliser des points (.) dans les noms de bucket, sauf pour les buckets utilisés uniquement pour l'hébergement de sites Web statiques.

    • Il doit commencer et se terminer par une lettre ou un chiffre.

    • Pour une liste complète des règles de dénomination des compartiments, voir. Règles de dénomination des compartiments à usage général

    Important

    • Une fois le compartiment créé, vous ne pouvez pas changer son nom.

    • N'incluez pas d'informations sensibles dans le nom du bucket. Le nom du bucket est visible URLs là où pointent les objets du bucket.

  6. (Facultatif) Sous Configuration générale, vous pouvez choisir de copier les paramètres d'un bucket existant dans votre nouveau bucket. Si vous ne souhaitez pas copier les paramètres d'un bucket existant, passez à l'étape suivante.

    Note

    Cette option :

    • N'est pas disponible dans AWS CLI et n'est disponible que dans la console Amazon S3

    • Ne copie pas la politique du compartiment existant vers le nouveau compartiment

    Pour copier les paramètres d’un compartiment existant, sous Copier les paramètres d’un compartiment existant, sélectionnez Choisir un compartiment. La fenêtre Choisir un compartiment s’ouvre. Recherchez le compartiment contenant les paramètres que vous souhaitez copier, puis sélectionnez Choisir un compartiment. La fenêtre Choisir un compartiment se ferme et la fenêtre Créer un compartiment s'ouvre à nouveau.

    Sous Copier les paramètres d'un bucket existant, vous pouvez désormais voir le nom du bucket que vous avez sélectionné. Les paramètres de votre nouveau compartiment correspondent désormais aux paramètres du compartiment que vous avez sélectionné. Si vous souhaitez supprimer les paramètres copiés, choisissez Restaurer les paramètres par défaut. Passez en revue les autres paramètres du bucket sur la page Créer un bucket. Si vous ne souhaitez apporter aucune modification, vous pouvez passer à l'étape finale.

  7. Sous Propriété des objets, pour désactiver ou activer ACLs et contrôler la propriété des objets chargés dans votre bucket, sélectionnez l'un des paramètres suivants :

    ACLs handicapé

    • Application par le propriétaire du compartiment (par défaut) : ACLs cette option est désactivée, et le propriétaire du compartiment possède automatiquement tous les objets du compartiment à usage général et en a le contrôle total. ACLs n'affectent plus les autorisations d'accès aux données du compartiment à usage général S3. Le compartiment utilise des stratégies exclusivement pour définir le contrôle des accès.

      Par défaut, ACLs sont désactivés. La majorité des cas d'utilisation modernes d'Amazon S3 ne nécessitent plus l'utilisation de ACLs. Nous vous recommandons de rester ACLs désactivé, sauf dans des circonstances exceptionnelles où vous devez contrôler l'accès à chaque objet individuellement. Pour de plus amples informations, veuillez consulter Contrôle de la propriété des objets et désactivation ACLs pour votre compartiment.

    ACLs enabled

    • Bucket owner preferred (Préféré par le propriétaire du compartiment) – Le propriétaire du compartiment possède les nouveaux objets que d’autres comptes écrivent dans le compartiment avec la liste ACL bucket-owner-full-control prête à l’emploi, et en a le contrôle total.

      Si vous appliquez le paramètre Propriétaire du compartiment préféré, pour exiger que tous les chargements Amazon S3 incluent la liste ACL prédéfinie bucket-owner-full-control, vous pouvez ajouter une politique de compartiment qui autorise uniquement les chargements d’objets utilisant cette liste ACL.

    • Auteur d'objets : celui Compte AWS qui télécharge un objet est propriétaire de l'objet, en a le contrôle total et peut autoriser d'autres utilisateurs à y accéder par le biais ACLs de celui-ci.

    Note

    Le paramètre par défaut est Propriétaire du compartiment appliqué. Pour appliquer le paramètre par défaut et le maintenir ACLs désactivé, seule l's3:CreateBucketautorisation est nécessaire. Pour l'activer ACLs, vous devez avoir l's3:PutBucketOwnershipControlsautorisation.

  8. Dans Paramètres de blocage de l’accès public pour ce compartiment, choisissez les paramètres Bloquer l’accès public que vous souhaitez appliquer au compartiment.

    Par défaut, les quatre paramètres de blocage de l’accès public sont activés. Nous vous recommandons de maintenir tous les paramètres activés, sauf si vous savez que vous devez en désactiver un ou plusieurs pour votre cas d’utilisation spécifique. Pour en savoir plus sur le blocage de l’accès public, consultez Blocage de l’accès public à votre stockage Amazon S3.

    Note

    Pour activer tous les paramètres de blocage de l’accès public, seule l’autorisation s3:CreateBucket est requise. Pour désactiver les paramètres de blocage de l’accès public, vous devez disposer de l’autorisation s3:PutBucketPublicAccessBlock.

  9. (Facultatif) Par défaut, le versionnement des compartiments est désactivé. La gestion des versions est un moyen de conserver plusieurs variantes d'un objet dans un même compartiment. Vous pouvez utiliser la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment. Le contrôle de version permet de récupérer facilement les données en cas d'action involontaire d'un utilisateur ou de défaillance applicative. Pour plus d’informations sur la gestion des versions, consultez Conservation de plusieurs versions d’objets grâce à la gestion des versions S3.

    Pour activer le versionnement sur votre compartiment, choisissez Enable.

  10. (Facultatif) Sous Tags (Balises), vous pouvez choisir d’ajouter des balises à votre compartiment. Avec la répartition des AWS coûts, vous pouvez utiliser des balises de compartiment pour annoter la facturation liée à l'utilisation d'un compartiment. Une balise correspond à une paire clé-valeur représentant un libellé que vous affectez à un compartiment. Pour de plus amples informations, veuillez consulter Utilisation des balises de répartition des coûts pour les compartiments S3.

    Pour ajouter une balise de compartiment, saisissez une Key (Clé) et éventuellement une Value (Valeur), puis choisissez Add Tag (Ajouter une balise).

  11. Pour configurer le chiffrement par défaut, sous Type de chiffrement, sélectionnez l'une des options suivantes :

    • Chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3)

    • Chiffrement côté serveur avec AWS Key Management Service clés (SSE-KMS)

    • Chiffrement double couche côté serveur avec clés AWS Key Management Service (AWS KMS) (DSSE-KMS)

      Important

      Si vous utilisez l'option SSE-KMS ou DSSE-KMS pour votre configuration de chiffrement par défaut, vous êtes soumis au quota de demandes par seconde (RPS) de. AWS KMS Pour plus d'informations sur les AWS KMS quotas et sur la manière de demander une augmentation de quota, consultez la section Quotas dans le guide du AWS Key Management Service développeur.

    Les buckets et les nouveaux objets sont chiffrés en utilisant le chiffrement côté serveur avec les clés gérées Amazon S3 (SSE-S3) comme niveau de base de configuration de chiffrement. Pour plus d’informations sur le chiffrement par défaut, consultez Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3. Pour en savoir plus sur SSE-S3, consultez Utilisation du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3).

    Pour plus d'informations sur l'utilisation du chiffrement côté serveur pour chiffrer vos données, consultez. Protection des données à l’aide du chiffrement

  12. Si vous avez choisi le chiffrement côté serveur avec des clés gérées Amazon S3 (SSE-S3) ou le chiffrement côté serveur double couche avec des clés () AWS Key Management Service (DSSE-KMS AWS KMS), procédez comme suit :

    1. Sous CléAWS KMS , spécifiez votre clé KMS de l’une des manières suivantes :

      • Pour choisir parmi une liste de clés KMS disponibles, choisissez Choisir parmi vos AWS KMS keys, puis choisissez votre clé KMS dans la liste des clés disponibles.

        La clé Clé gérée par AWS (aws/s3) et la clé gérée par votre client apparaissent toutes deux dans cette liste. Pour plus d’informations sur les clés gérées par le client, consultez Clés de client et clés AWS dans le Guide du développeur AWS Key Management Service .

      • Pour saisir l’ARN de la clé KMS, choisissez Saisir l’ARN de AWS KMS key , puis saisissez l’ARN de votre clé KMS dans le champ qui s’affiche.

      • Pour créer une nouvelle clé gérée par le client dans la AWS KMS console, choisissez Create a KMS key.

        Pour plus d'informations sur la création d'un AWS KMS key, consultez la section Création de clés dans le Guide du AWS Key Management Service développeur.

      Important

      Vous ne pouvez utiliser que les clés KMS disponibles dans le même compartiment Région AWS que le bucket. La console Amazon S3 répertorie uniquement les 100 premières clés KMS dans la même région que le compartiment. Pour utiliser une clé KMS qui n'est pas répertoriée, vous devez saisir l'ARN de votre clé KMS. Si vous souhaitez utiliser une clé KMS appartenant à un autre compte, vous devez d'abord être autorisé à utiliser la clé, puis saisir l'ARN de la clé KMS. Pour plus d'informations sur les autorisations entre comptes pour les clés KMS, consultez la section Création de clés KMS utilisables par d'autres comptes dans le guide du AWS Key Management Service développeur. Pour en savoir plus sur SSE-KMS, consultez Spécification du chiffrement côté serveur avec AWS KMS (SSE-KMS). Pour en savoir plus sur DSSE-KMS, consultez Utilisation du chiffrement double couche côté serveur avec AWS KMS clés (DSSE-KMS).

      Lorsque vous utilisez un AWS KMS key pour le chiffrement côté serveur dans Amazon S3, vous devez choisir une clé KMS de chiffrement symétrique. Amazon S3 prend uniquement en charge les clés KMS symétriques de chiffrement et ne prend pas en charge les clés KMS asymétriques. Pour plus d’informations, consultez Identification des clés KMS symétriques et asymétriques dans le Guide du développeur AWS Key Management Service .

    2. Lorsque vous configurez votre compartiment pour utiliser le chiffrement par défaut avec SSE-KMS, vous pouvez également utiliser les clés de compartiment S3. Les clés de compartiment S3 réduisent le coût du chiffrement en diminuant le trafic de demandes d'Amazon S3 vers AWS KMS. Pour de plus amples informations, veuillez consulter Réduction du coût du SSE-KMS avec les clés de compartiment Amazon S3. Les clés de compartiment S3 ne sont pas prises en charge pour DSSE-KMS.

      Par défaut, les clés de compartiment S3 sont activées dans la console Amazon S3. Nous vous recommandons de laisser les clés de compartiment S3 activées pour réduire vos coûts. Pour désactiver les clés de compartiment S3 pour votre compartiment, sous Clé de compartiment, choisissez Disable.

  13. (Facultatif) S3 Object Lock permet de protéger les nouveaux objets contre la suppression ou le remplacement. Pour de plus amples informations, veuillez consulter Verrouillage d’objets avec la fonctionnalité de verrouillage d’objet. Si vous souhaitez activer S3 Object Lock, procédez comme suit :

    1. Choisissez Paramètres avancés.

      Important

      L'activation d'Object Lock active automatiquement le versionnement du bucket. Après avoir activé et créé le bucket avec succès, vous devez également configurer les paramètres de rétention par défaut et de conservation légale d'Object Lock dans l'onglet Propriétés du bucket.

    2. Pour activer le verrouillage d’objets, choisissez Enable (Activer), lisez l’avertissement qui s’affiche et confirmez-le.

    Note

    Pour créer un bucket activé pour Object Lock, vous devez disposer des autorisations suivantes : s3:CreateBuckets3:PutBucketVersioning, ets3:PutBucketObjectLockConfiguration.

  14. Choisissez Créer un compartiment.

Pour définir la propriété de l'objet lorsque vous créez un nouveau compartiment, utilisez la create-bucket AWS CLI commande avec le --object-ownership paramètre.

Cet exemple applique le paramètre Propriétaire du compartiment appliqué à un nouveau compartiment à l’aide de l’interface AWS CLI :

aws s3api create-bucket --bucket  amzn-s3-demo-bucket --region us-east-1 --object-ownership BucketOwnerEnforced
Important

Si vous ne définissez pas la propriété de l'objet lorsque vous créez un bucket à l'aide de AWS CLI, le paramètre par défaut sera ObjectWriter (ACLs activé).

Cet exemple définit le paramètre Propriétaire du compartiment appliqué à un nouveau compartiment à l’aide du kit AWS SDK pour Java :

    // Build the ObjectOwnership for CreateBucket
    CreateBucketRequest createBucketRequest = CreateBucketRequest.builder()
            .bucket(bucketName)
            .objectOwnership(ObjectOwnership.BucketOwnerEnforced)
            .build()

     // Send the request to Amazon S3 
     s3client.createBucket(createBucketRequest);

Pour utiliser la AWS::S3::Bucket AWS CloudFormation ressource afin de définir la propriété de l'objet lorsque vous créez un nouveau bucket, reportez-vous OwnershipControlsAWS::S3::Bucketau Guide de l'AWS CloudFormation utilisateur.

Pour appliquer le paramètre Propriétaire du compartiment appliqué pour la propriété d’objets S3, utilisez l’opération d’API CreateBucket avec l’en-tête de demande x-amz-object-ownership défini sur BucketOwnerEnforced. Pour plus d’informations et des exemples, consultez CreateBucket dans la Référence d’API Amazon Simple Storage Service.

Étapes suivantes : une fois que vous avez appliqué les paramètres Propriétaire du compartiment appliqué ou Propriétaire du compartiment préféré pour Propriété d’objets, vous pouvez suivre les étapes suivantes :

  • Obligation imposée par le propriétaire du bucket — Exigez que tous les nouveaux compartiments soient créés et ACLs désactivés en utilisant une politique IAM ou Organizations.

  • Bucket owner preferred (Préféré par le propriétaire du compartiment) – Ajoutez une politique de compartiment S3 pour exiger que la liste ACL bucket-owner-full-control prédéfinie pour tous les téléchargements d’objets vers votre compartiment.