Définition de la propriété d’objet lors de la création d’un compartiment

Lorsque vous créez un compartiment, vous pouvez configurer la propriété d’objet S3. Pour définir la propriété d’un objet pour un compartiment existant, voir Définition de la propriété d’un objet sur un compartiment existant.

S3 Object Ownership est un paramètre Amazon S3 au niveau du compartiment que vous pouvez utiliser pour désactiver les listes de contrôle d’accès (ACL) et prendre possession de chaque objet de votre compartiment. Cela a pour effet de simplifier la gestion des accès aux données stockées dans Amazon S3. Par défaut, la propriété d’objets S3 est définie sur le paramètre Propriétaire du compartiment appliqué et les listes ACL sont désactivées pour les nouveaux compartiments. Lorsque les listes ACL sont désactivées, le propriétaire du compartiment détient chaque objet présent dans le compartiment et gère l’accès aux données exclusivement à l’aide de politiques de gestion des accès. Nous vous recommandons de maintenir les listes ACL désactivées, sauf si vous devez contrôler individuellement l’accès à chaque objet.

Object Ownership (Propriété de l’objet) dispose de trois paramètres que vous pouvez utiliser pour contrôler la propriété des objets téléchargés dans votre compartiment pour désactiver ou activer les listes ACL :

Listes ACL désactivées

Propriétaire du compartiment appliqué (par défaut) : les listes ACL sont désactivées et le propriétaire du compartiment détient automatiquement chaque objet présent dans le compartiment et en a le contrôle total. Les listes ACL n’affectent plus les autorisations sur les données du compartiment S3. Le compartiment utilise des stratégies pour définir le contrôle des accès.

Listes ACL activées

Bucket owner preferred (Préféré par le propriétaire du compartiment) – Le propriétaire du compartiment possède les nouveaux objets que d’autres comptes écrivent dans le compartiment avec la liste ACL bucket-owner-full-control prête à l’emploi, et en a le contrôle total.
Object writer (Rédacteur d’objets) – Le Compte AWS qui télécharge un objet est propriétaire de l’objet, a un contrôle total sur celui-ci et peut en accorder l’accès à d’autres utilisateurs via des listes ACL.

Permissions (Autorisations) : pour appliquer le paramètre Bucket owner enforced (Propriétaire du compartiment imposé) ou le paramètre Bucket owner preferred (Propriétaire du compartiment préféré), vous devez disposer des autorisations suivantes : s3:CreateBucket et s3:PutBucketOwnershipControls. Aucune autorisation supplémentaire n’est nécessaire lors de la création d’un compartiment avec le paramètre Object writer (Rédacteur d’objets) appliqué. Pour plus d’informations sur les autorisations Amazon S3, consultez Actions, ressources et clés de condition pour Amazon S3 dans la Référence de l’autorisation de service.

Pour plus d’informations sur les autorisations relatives aux opérations d’API S3 par type de ressource S3, consultez Autorisations requises pour les opérations d’API Amazon S3.

Important

La majorité des cas d’utilisation modernes dans Amazon S3 ne nécessite plus de listes ACL. Nous vous recommandons de désactiver les listes ACL, sauf si vous devez contrôler l’accès à chaque objet individuellement. Avec Object Ownership, vous pouvez désactiver les listes ACL et vous fier aux stratégies pour le contrôle des accès. Lorsque vous désactivez les listes ACL, vous pouvez facilement gérer un compartiment avec des objets téléchargés par différents comptes AWS. En tant que propriétaire du compartiment, vous êtes propriétaire de tous les objets du compartiment et pouvez gérer l’accès à ces derniers au moyen de stratégies.

Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l’adresse https://console.aws.amazon.com/s3/.
Dans la barre de navigation en haut de la page, sélectionnez le nom de la Région AWS actuellement affichée. Choisissez ensuite la région dans laquelle vous souhaitez créer un compartiment.
Note
- Une fois le compartiment créé, vous ne pouvez pas changer sa région.
- Pour limiter la latence et les coûts, et répondre aux exigences légales, choisissez une région proche de vous. Les objets stockés dans une Région ne la quittent jamais, sauf si vous les transférez explicitement vers une autre Région. Pour obtenir la liste des Régions AWS Amazon S3, consultez Points de terminaison Service AWS dans Référence générale d'Amazon Web Services.
Dans le volet de navigation de gauche, choisissez Compartiments à usage général.
Choisissez Créer un compartiment. La page Créer un compartiment s’ouvre.
Pour Nom du compartiment, saisissez le nom de votre compartiment.

Le nom du compartiment doit présenter les caractéristiques suivantes :
- Il doit être unique dans une partition. Une partition est un regroupement de régions. AWS dispose actuellement de trois partitions : aws (régions commerciales), aws-cn (régions de Chine) et aws-us-gov (AWS GovCloud (US) Regions).
- Il doit comporter entre 3 et 63 caractères.
- Il doit être composé uniquement de lettres minuscules, de chiffres, de points (.) et de traits d’union (-). Pour une meilleure compatibilité, nous vous déconseillons d’utiliser des points (.) dans les noms des compartiments, à l’exception des compartiments utilisés uniquement à des fins d’hébergement de sites web statiques.
- Il doit commencer et se terminer par une lettre ou un chiffre.
- Pour obtenir la liste complète des règles de dénomination des compartiments, consultez Règles de dénomination des compartiments à usage général.
Important
- Une fois le compartiment créé, vous ne pouvez pas changer son nom.
- N’incluez pas d’informations sensibles dans le nom du compartiment. Le nom de compartiment est visible dans les URL qui pointent vers les objets du compartiment.
(Facultatif) Sous Configuration générale, vous pouvez choisir de copier les paramètres d’un compartiment existant dans votre nouveau compartiment. Si vous ne souhaitez pas copier les paramètres d’un compartiment existant, passez à l’étape suivante.
Note
Cette option :
- n’est pas disponible dans l’AWS CLI. Elle ne l’est que dans la console Amazon S3
- ne copie pas la stratégie du compartiment existant dans le nouveau compartiment.
Pour copier les paramètres d’un compartiment existant, sous Copier les paramètres d’un compartiment existant, sélectionnez Choisir un compartiment. La fenêtre Choisir un compartiment s’ouvre. Recherchez le compartiment contenant les paramètres que vous souhaitez copier, puis sélectionnez Choisir un compartiment. La fenêtre Choisir un compartiment se ferme et la fenêtre Créer un compartiment s’ouvre à nouveau.

Sous Copier les paramètres d’un compartiment existant, vous pouvez maintenant voir le nom du compartiment que vous avez sélectionné. Les paramètres de votre nouveau compartiment correspondent à présent à ceux du compartiment que vous avez sélectionné. Si vous souhaitez supprimer les paramètres copiés, choisissez Restaurer les valeurs par défaut. Passez en revue les autres paramètres du compartiment sur la page Créer un compartiment. Si vous ne voulez apporter aucune modification, vous pouvez passer à l’étape finale.
Sous Object Ownership (Propriété de l’objet), pour désactiver ou activer les listes ACL et contrôler la propriété des objets téléchargés dans votre compartiment, sélectionnez l’un des paramètres suivants :
Listes ACL désactivées
- Propriétaire du compartiment appliqué (par défaut) : les listes ACL sont désactivées. Le propriétaire du compartiment possède automatiquement chaque objet du compartiment à usage général et dispose d’un contrôle total sur ces derniers. Les listes ACL n’ont plus d’incidence sur les autorisations d’accès aux données du compartiment S3 à usage général. Le compartiment utilise des stratégies exclusivement pour définir le contrôle des accès.
  
  Par défaut, les listes ACL sont désactivées. La majorité des cas d’utilisation modernes dans Amazon S3 ne nécessitent plus l’utilisation des listes ACL. Nous vous recommandons de maintenir les listes ACL désactivées, sauf si vous devez contrôler individuellement l’accès à chaque objet. Pour plus d’informations, consultez Consultez Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment.
Listes ACL activées
- Bucket owner preferred (Préféré par le propriétaire du compartiment) – Le propriétaire du compartiment possède les nouveaux objets que d’autres comptes écrivent dans le compartiment avec la liste ACL bucket-owner-full-control prête à l’emploi, et en a le contrôle total.
  
  Si vous appliquez le paramètre Propriétaire du compartiment préféré, pour exiger que tous les chargements Amazon S3 incluent la liste ACL prédéfinie bucket-owner-full-control, vous pouvez ajouter une stratégie de compartiment qui autorise uniquement les chargements d’objets utilisant cette liste ACL.
- Object writer (Rédacteur d’objets) – Le Compte AWS qui télécharge un objet est propriétaire de l’objet, a un contrôle total sur celui-ci et peut en accorder l’accès à d’autres utilisateurs via des listes ACL.
Note
Le paramètre par défaut est Propriétaire du compartiment appliqué. Pour appliquer le paramètre par défaut et maintenir les listes ACL désactivées, seule l’autorisation s3:CreateBucket est requise. Pour activer les listes ACL, vous devez disposez de l’autorisation s3:PutBucketOwnershipControls.
Dans Paramètres de blocage de l’accès public pour ce compartiment, choisissez les paramètres Bloquer l’accès public que vous souhaitez appliquer au compartiment.

Par défaut, les quatre paramètres de blocage de l’accès public sont activés. Nous vous recommandons de maintenir tous les paramètres activés, sauf si vous savez que vous devez en désactiver un ou plusieurs pour votre cas d’utilisation spécifique. Pour plus d’informations sur le blocage de l’accès public, consultez Blocage de l’accès public à votre stockage Amazon S3.

Note
Pour activer tous les paramètres de blocage de l’accès public, seule l’autorisation s3:CreateBucket est requise. Pour désactiver les paramètres de blocage de l’accès public, vous devez disposer de l’autorisation s3:PutBucketPublicAccessBlock.
(Facultatif) Par défaut, l’option Gestion des versions de compartiment est désactivée. La gestion des versions est un moyen de conserver plusieurs variantes d’un objet dans le même compartiment. Vous pouvez utiliser la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment. Le contrôle de version permet de récupérer facilement les données en cas d’action involontaire d’un utilisateur ou de défaillance applicative. Pour plus d’informations sur la gestion des versions, consultez Conservation de plusieurs versions d’objets grâce à la gestion des versions S3.

Pour activer la gestion des versions de votre compartiment, choisissez Activer.
(Facultatif) Sous Tags (Balises), vous pouvez choisir d’ajouter des balises à votre compartiment. Avec la répartition des coûts AWS, vous pouvez utiliser des balises de compartiment pour annoter la facturation de votre utilisation d’un compartiment. Une balise correspond à une paire clé-valeur représentant un libellé que vous affectez à un compartiment. Pour plus d’informations, consultez Utilisation des balises de répartition des coûts pour les compartiments S3.

Pour ajouter une balise de compartiment, saisissez une Key (Clé) et éventuellement une Value (Valeur), puis choisissez Add Tag (Ajouter une balise).
Pour configurer le chiffrement par défaut, sous Type de chiffrement, choisissez l’une des options suivantes :
- Chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3)
- Chiffrement côté serveur avec des clés AWS Key Management Service (SSE-KMS)
- Chiffrement côté serveur double couche avec des clés AWS Key Management Service (AWS KMS) (DSSE-KMS)
  
  Important
  Si vous utilisez l’option SSE-KMS ou DSSE-KMS pour configurer votre chiffrement par défaut, les quotas de demandes par seconde d’AWS KMS s’appliquent. Pour plus d’informations sur les quotas de AWS KMS et sur la procédure à suivre pour demander une augmentation des quotas, consultez Quotas dans le Guide du développeur AWS Key Management Service.
Les compartiments et les nouveaux objets sont chiffrés à l’aide d’un chiffrement côté serveur avec une clé gérée par Amazon S3 (SSE-S3) comme niveau de base de configuration du chiffrement. Pour plus d’informations sur le chiffrement par défaut, consultez Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3. Pour en savoir plus sur SSE-S3, consultez Utilisation du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3).

Pour plus d’informations sur l’utilisation du chiffrement côté serveur pour chiffrer vos données, consultez Protection des données à l’aide du chiffrement.
Si vous avez choisi Chiffrement côté serveur avec des clés AWS Key Management Service (SSE-KMS) ou Chiffrement côté serveur double couche avec des clés AWS Key Management Service (AWS KMS) (DSSE-KMS), procédez comme suit :
1. Sous Clé AWS KMS, spécifiez votre clé KMS de l’une des manières suivantes :
  - Pour choisir parmi une liste de clés KMS disponibles, choisissez Choisir parmi vos clés AWS KMS keys, puis sélectionnez votre Clé KMS dans la liste des clés disponibles.
    
    La Clé gérée par AWS (aws/s3) et la clé gérée par le client apparaissent toutes deux dans cette liste. Pour plus d’informations sur les clés gérées par le client, consultez Clés de client et clés AWS dans le Guide du développeur AWS Key Management Service.
  - Pour saisir l’ARN de la clé KMS, choisissez Saisir l’ARN de AWS KMS key, puis saisissez l’ARN de votre clé KMS dans le champ qui s’affiche.
  - Pour créer une clé gérée par le client dans la console AWS KMS, choisissez Créer une clé KMS.
    
    Pour en savoir plus sur la création d’une AWS KMS key, consultez Création de clés dans le guide du développeur AWS Key Management Service.
  Important
  Vous pouvez uniquement utiliser des clés KMS disponibles dans la même Région AWS que le compartiment. La console Amazon S3 répertorie uniquement les 100 premières clés KMS dans la même région que le compartiment. Pour utiliser une clé KMS qui n’est pas répertoriée, vous devez saisir son ARN. Si vous souhaitez utiliser une clé KMS qui appartient à un autre compte, vous devez d’abord obtenir l’autorisation d’utiliser cette clé, puis saisir son ARN. Pour plus d’informations sur les autorisations intercomptes des clés KMS, consultez Création de clés KMS que d’autres comptes peuvent utiliser dans le Guide du développeur AWS Key Management Service. Pour en savoir plus sur SSE-KMS, consultez Spécification du chiffrement côté serveur avec AWS KMS (SSE-KMS). Pour en savoir plus sur DSSE-KMS, consultez Utilisation du chiffrement double couche côté serveur avec des clés AWS KMS (DSSE-KMS).
  Lorsque vous utilisez une AWS KMS key pour le chiffrement côté serveur dans Amazon S3, vous devez choisir une clé KMS de chiffrement symétrique. Amazon S3 prend uniquement en charge les clés KMS symétriques de chiffrement et ne prend pas en charge les clés KMS asymétriques. Pour plus d’informations, consultez la section Identifying symmetric and asymmetric KMS keys (Identification des clés KMS symétriques et asymétriques) dans le Guide du développeur AWS Key Management Service.
2. Lorsque vous configurez votre compartiment pour qu’il utilise le chiffrement SSE-KMS par défaut, vous pouvez également activer les clés de compartiment S3. Les clés de compartiment S3 diminuent le coût du chiffrement en réduisant le trafic de demandes depuis Amazon S3 vers AWS KMS. Pour plus d’informations, consultez Réduction du coût du SSE-KMS avec les clés de compartiment Amazon S3. Les clés de compartiment S3 ne sont pas prises en charge pour DSSE-KMS.
  
  Par défaut, les clés de compartiment S3 sont activées dans la console Amazon S3. Nous vous recommandons de les laisser activées afin de réduire vos coûts. Pour désactiver les clés de votre compartiment S3, sous Clé de compartiment, choisissez Désactiver.
(Facultatif) Le verrouillage d’objet de S3 permet d’empêcher la suppression ou l’écrasement des nouveaux objets. Pour plus d’informations, consultez Verrouillage d’objets avec la fonctionnalité de verrouillage d’objet. Si vous souhaitez activer le verrouillage d’objet de S3, procédez comme suit :
1. Choisissez Paramètres avancés.
  
  Important
  L’activation du verrouillage d’objet active automatiquement la gestion des versions du compartiment. Après avoir activé et créé avec succès le compartiment, vous devez également configurer les paramètres par défaut de rétention et de conservation légale du verrouillage d’objet dans l’onglet Propriétés du compartiment.
2. Pour activer le verrouillage d’objets, choisissez Enable (Activer), lisez l’avertissement qui s’affiche et confirmez-le.
Note
Pour créer un compartiment prenant en charge le verrouillage d’objet, vous devez disposer des autorisations suivantes : s3:CreateBucket, s3:PutBucketVersioning et s3:PutBucketObjectLockConfiguration.
Choisissez Créer un compartiment.

Pour définir la propriété d’objet lorsque vous créez un nouveau compartiment, utilisez la commande create-bucket de la AWS CLI avec le paramètre --object-ownership.

Cet exemple applique le paramètre Propriétaire du compartiment appliqué à un nouveau compartiment à l’aide de l’interface AWS CLI :


aws s3api create-bucket --bucket  amzn-s3-demo-bucket --region us-east-1 --object-ownership BucketOwnerEnforced

Important

Si vous ne définissez pas la Propriété d’objets lorsque vous créez un compartiment à l’aide de l’AWS CLI, le paramètre par défaut est ObjectWriter (listes ACL activées).

Cet exemple définit le paramètre Propriétaire du compartiment appliqué à un nouveau compartiment à l’aide du kit AWS SDK pour Java :


    // Build the ObjectOwnership for CreateBucket
    CreateBucketRequest createBucketRequest = CreateBucketRequest.builder()
            .bucket(bucketName)
            .objectOwnership(ObjectOwnership.BucketOwnerEnforced)
            .build()

     // Send the request to Amazon S3 
     s3client.createBucket(createBucketRequest);

Pour utiliser la ressource AWS::S3::Bucket de CloudFormation pour définir la propriété d’objets lorsque vous créez un nouveau compartiment, consultez OwnershipControls dans AWS::S3::Bucket dans le Guide de l’utilisateur AWS CloudFormation.

Pour appliquer le paramètre Propriétaire du compartiment appliqué pour la propriété d’objets S3, utilisez l’opération d’API CreateBucket avec l’en-tête de demande x-amz-object-ownership défini sur BucketOwnerEnforced. Pour plus d’informations et des exemples, consultez CreateBucket dans la Référence des API Amazon Simple Storage Service.

Étapes suivantes : une fois que vous avez appliqué les paramètres Propriétaire du compartiment appliqué ou Propriétaire du compartiment préféré pour Propriété d’objets, vous pouvez suivre les étapes suivantes :

Bucket owner enforced (Appliqué par le propriétaire du compartiment) – Vous pouvez exiger que tous les nouveaux compartiments soient créés avec des listes ACL désactivées à l’aide d’une politique IAM ou Organizations.
Bucket owner preferred (Préféré par le propriétaire du compartiment) – Ajoutez une stratégie de compartiment S3 pour exiger que la liste ACL bucket-owner-full-control prédéfinie pour tous les téléchargements d’objets vers votre compartiment.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Conditions préalables à la désactivation des listes ACL

Définition de la propriété de l’objet

Définition de la propriété d’objet lors de la création d’un compartiment

Listes ACL désactivées

Listes ACL activées

Important

Note

Important

Note

Listes ACL désactivées

Listes ACL activées

Note

Note

Important

Important

Important

Note

Important