Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisation des opérations d’API de point de terminaison régional avec IAM
AWS Identity and Access Management (IAM) est un outil Service AWS qui aide les administrateurs à contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être authentifié (connecté) et autorisé (autorisé) à utiliser les ressources Amazon S3 dans les compartiments d'annuaire et les opérations S3 Express One Zone. Vous pouvez utiliser IAM sans frais supplémentaires.
Par défaut, les utilisateurs ne disposent pas d’autorisations pour les compartiments de répertoires. Pour accorder des autorisations d’accès pour les compartiments de répertoires, vous pouvez utiliser IAM pour créer des utilisateurs, des groupes ou des rôles, et attacher des autorisations à ces identités. Pour plus d’informations sur IAM, consultez Bonnes pratiques de sécurité dans IAM dans le Guide de l’utilisateur IAM.
Pour fournir l’accès, vous pouvez ajouter des autorisations à vos utilisateurs, groupes ou rôles via les méthodes suivantes :
-
Utilisateurs et groupes dans AWS IAM Identity Center : créez un ensemble d'autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .
-
Utilisateurs gérés dans IAM via un fournisseur d’identité : créez un rôle pour la fédération d’identité. Pour plus d’informations, consultez Création d’un rôle pour un fournisseur d’identité tiers (fédération) dans le Guide de l’utilisateur IAM.
-
Rôles et utilisateurs IAM : créez un rôle que votre utilisateur peut endosser. Suivez les instructions fournies dans Création d’un rôle pour la délégation d’autorisations à un utilisateur IAM dans le Guide de l’utilisateur IAM.
Pour plus d’informations sur IAM pour S3 Express One Zone, consultez les rubriques suivantes.
Rubriques
Principaux
Lorsque vous créez une politique basée sur les ressources pour accorder l’accès à vos compartiments, vous devez utiliser l’élément Principal pour spécifier la personne ou l’application qui peut effectuer une demande d’action ou d’opération sur cette ressource. Pour des politiques de compartiment de répertoires, vous pouvez utiliser les principaux suivants :
-
Un AWS compte
-
Un utilisateur IAM
-
Un rôle IAM
-
Un utilisateur fédéré
Pour plus d’informations, consultez Principal dans le Guide de l’utilisateur IAM.
Ressources
Amazon Resource Names (ARNs) pour les compartiments de répertoire contient l's3expressespace de noms Région AWS, l'ID de AWS compte et le nom du compartiment de répertoire, qui inclut l'ID de AWS zone. (une zone de disponibilité ou un identifiant de zone locale).
Pour accéder à votre compartiment de répertoires et y effectuer des actions, vous devez utiliser le format d’ARN suivant :
arn:aws:s3express:region:account-id:bucket/base-bucket-name--zone-id--x-s3
Pour accéder à votre point d'accès à un bucket de répertoire et y effectuer des actions, vous devez utiliser le format ARN suivant :
arn:aws::s3express:region:account-id:accesspoint/accesspoint-basename--zone-id--xa-s3
Pour plus d'informations ARNs, consultez le guide Amazon Resource Names (ARNs)de l'utilisateur IAM. Pour plus d’informations sur les ressources, consultez Éléments de politique JSON IAM : Resource dans le Guide de l’utilisateur IAM.
Actions spécifiques aux compartiments de répertoires
Dans une politique basée sur l’identité IAM ou sur les ressources, vous définissez quelles actions S3 sont autorisées ou refusées. Les actions correspondent à des opérations d’API spécifiques. Avec les compartiments de répertoire, vous devez utiliser l'espace de noms S3 Express One Zone pour accorder des autorisations, appelé. s3express
Lorsque vous autorisez l's3express:CreateSessionautorisation, l'opération d'CreateSessionAPI récupère un jeton de session temporaire pour toutes les opérations de l'API de point de terminaison zonal (niveau objet). Le jeton de session renvoie les informations d'identification qui sont utilisées pour toutes les autres opérations de l'API Zonal Endpoint. Par conséquent, vous n'accordez pas d'autorisations d'accès aux opérations d'API zonales avec des politiques IAM. CreateSessionPermet plutôt l'accès à toutes les opérations au niveau de l'objet. Pour obtenir la liste des opérations et des autorisations de l'API zonale, consultez Authentification et autorisation des demandes.
Pour en savoir plus sur l’opération d’API CreateSession, consultez CreateSession dans la Référence d’API Amazon Simple Storage Service.
Vous pouvez indiquer les actions suivantes dans l’élément Action d’une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d’effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l’accès à l’opération d’API du même nom. Toutefois, dans certains cas, une seule action contrôle l’accès à plusieurs opérations d’API. L’accès aux actions de niveau compartiment peut être accordé uniquement dans des politiques basées sur l’identité IAM (utilisateur ou rôle) et non pas dans des politiques de compartiment.
Pour plus d’informations sur la configuration de stratégies de point d’accès, consultez Configuration des politiques IAM pour l'utilisation des points d'accès pour les compartiments d'annuaire.
Pour plus d'informations, consultez Actions, ressources et clés de condition pour Amazon S3 Express.
