View a markdown version of this page

Politiques IAM basées sur l’identité pour les compartiments de répertoires - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Politiques IAM basées sur l’identité pour les compartiments de répertoires

Avant de créer des compartiments de répertoires, vous devez accorder les autorisations nécessaires à votre rôle ou à vos utilisateurs Gestion des identités et des accès AWS (IAM). Cet exemple de politique autorise l’accès à l’opération d’API CreateSession (à utiliser avec les opérations d’API de point de terminaison zonal [niveau objet]) et à toutes les opérations d’API de point de terminaison régional (niveau compartiment). Cette politique autorise l’utilisation de l’opération d’API CreateSession avec tous les compartiments de répertoires, mais les opérations d’API de point de terminaison régional sont autorisées à être utilisées uniquement avec le compartiment de répertoires spécifié. Pour utiliser cet exemple de politique, remplacez user input placeholders par vos propres informations.

Note

Il est recommandé d'accorder uniquement les autorisations requises pour effectuer une tâche (moindre privilège). Supprimez de cette politique toutes les actions qui ne sont pas nécessaires pour votre cas d'utilisation. Pour obtenir la liste complète des actions de S3 Express One Zone, consultez la section Actions, ressources et clés de condition pour S3 Express One Zone dans la référence d'autorisation de service.

Exemple— Identity-based politique d'accès aux compartiments de répertoires
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRegionalEndpointAPIs",
            "Effect": "Allow",
            "Action": [
                "s3express:CreateBucket",
                "s3express:DeleteBucket",
                "s3express:DeleteBucketPolicy",
                "s3express:GetBucketPolicy",
                "s3express:PutBucketPolicy",
                "s3express:GetEncryptionConfiguration",
                "s3express:PutEncryptionConfiguration",
                "s3express:GetLifecycleConfiguration",
                "s3express:PutLifecycleConfiguration",
                "s3express:GetInventoryConfiguration",
                "s3express:PutInventoryConfiguration",
                "s3express:GetMetricsConfiguration",
                "s3express:PutMetricsConfiguration"
            ],
            "Resource": "arn:aws:s3express:region:account-id:bucket/bucket-base-name--zone-id--x-s3"
        },
        {
            "Sid": "AllowListAndCreateSession",
            "Effect": "Allow",
            "Action": [
                "s3express:ListAllMyDirectoryBuckets",
                "s3express:CreateSession"
            ],
            "Resource": "*"
        }
    ]
}

Cette politique comporte deux énoncés :

  • La première instruction accorde des autorisations pour les opérations d'API du point de terminaison régional (au niveau du compartiment) sur un compartiment de répertoire spécifique. Vous pouvez supprimer les actions dont vous n'avez pas besoin pour votre cas d'utilisation.

  • La deuxième déclaration accorde des autorisations pour ListAllMyDirectoryBuckets etCreateSession. Ces actions ne prennent pas en charge les autorisations au niveau des ressources, c'est donc le Resource cas. "*" L'CreateSessionautorisation active toutes les opérations d'API du point de terminaison zonal (au niveau de l'objet), telles quePutObject, etGetObject. DeleteObject