Principaux Ressources Actions spécifiques aux compartiments de répertoires

Autorisation des opérations d’API de point de terminaison régional avec IAM

AWS Identity and Access Management (IAM) est un Service AWS qui aide les administrateurs à contrôler en toute sécurité l’accès aux ressources AWS. Les administrateurs IAM contrôlent qui peut être authentifié (connecté) et autorisé à utiliser des ressources Amazon S3 dans des compartiments de répertoires et dans des opérations S3 Express One Zone. Vous pouvez utiliser IAM sans frais supplémentaires.

Par défaut, les utilisateurs ne disposent pas d’autorisations pour les compartiments de répertoires. Pour accorder des autorisations d’accès pour les compartiments de répertoires, vous pouvez utiliser IAM pour créer des utilisateurs, des groupes ou des rôles, et attacher des autorisations à ces identités. Pour plus d’informations sur IAM, consultez Bonnes pratiques de sécurité dans IAM dans le Guide de l’utilisateur IAM.

Pour fournir l’accès, vous pouvez ajouter des autorisations à vos utilisateurs, groupes ou rôles via les méthodes suivantes :

Utilisateurs et groupes dans AWS IAM Identity Center : créez un ensemble d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center.
Utilisateurs gérés dans IAM via un fournisseur d’identité : créez un rôle pour la fédération d’identité. Pour plus d’informations, consultez Création d’un rôle pour un fournisseur d’identité tiers (fédération) dans le Guide de l’utilisateur IAM.
Rôles et utilisateurs IAM : créez un rôle que votre utilisateur peut endosser. Suivez les instructions fournies dans Création d’un rôle pour la délégation d’autorisations à un utilisateur IAM dans le Guide de l’utilisateur IAM.

Pour plus d’informations sur IAM pour S3 Express One Zone, consultez les rubriques suivantes.

Rubriques

Principaux

Lorsque vous créez une politique basée sur les ressources pour accorder l’accès à vos compartiments, vous devez utiliser l’élément Principal pour spécifier la personne ou l’application qui peut effectuer une demande d’action ou d’opération sur cette ressource. Pour des stratégies de compartiment de répertoires, vous pouvez utiliser les principaux suivants :

Un compte AWS
Un utilisateur IAM
Un rôle IAM
Un utilisateur fédéré

Pour plus d’informations, consultez Principal dans le Guide de l’utilisateur IAM.

Ressources

L’Amazon Resource Name (ARN) des compartiments de répertoires contient l’espace de noms s3express, la Région AWS, l’ID de compte AWS et le nom du compartiment de répertoires, qui inclut l’ID de zone AWS (zone de disponibilité ou zone locale).

Pour accéder à votre compartiment de répertoires et y effectuer des actions, vous devez utiliser le format d’ARN suivant :


arn:aws:s3express:region:account-id:bucket/base-bucket-name--zone-id--x-s3

Pour accéder au point d’accès d’un compartiment de répertoires et y effectuer des actions, vous devez utiliser le format d’ARN suivant :


arn:aws::s3express:region:account-id:accesspoint/accesspoint-basename--zone-id--xa-s3

Pour plus d’informations sur les ARN, consultez Amazon Resource Names (ARNs) dans le Guide de l’utilisateur IAM. Pour plus d’informations sur les ressources, consultez Éléments de politique JSON IAM : Resource dans le Guide de l’utilisateur IAM.

Actions spécifiques aux compartiments de répertoires

Dans une politique basée sur l’identité IAM ou sur les ressources, vous définissez quelles actions S3 sont autorisées ou refusées. Les actions correspondent à des opérations d’API spécifiques. Lorsque vous utilisez des compartiments de répertoires, vous devez utiliser l’espace de noms S3 Express One Zone s3express pour accorder les autorisations.

Lorsque vous accordez l’autorisation s3express:CreateSession, l’opération d’API CreateSession récupère un jeton de session temporaire pour toutes les opérations d’API de point de terminaison zonal (niveau de l’objet). Le jeton de session renvoie des informations d’identification qui sont utilisées pour toutes les autres opérations d’API de point de terminaison zonal. Par conséquent, vous n’accordez pas d’autorisations d’accès aux opérations d’API de point de terminaison zonal avec des politiques IAM. CreateSession active l’accès à toutes les opérations au niveau de l’objet. Pour obtenir la liste des opérations et des autorisations de l’API de point de terminaison zonal, consultez Authentification et autorisation des demandes.

Pour en savoir plus sur l’opération d’API CreateSession, consultez CreateSession dans la Référence des API Amazon Simple Storage Service.

Vous pouvez indiquer les actions suivantes dans l’élément Action d’une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d’effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l’accès à l’opération d’API du même nom. Toutefois, dans certains cas, une seule action contrôle l’accès à plusieurs opérations d’API. L’accès aux actions de niveau compartiment peut être accordé uniquement dans des politiques basées sur l’identité IAM (utilisateur ou rôle) et non pas dans des stratégies de compartiment.

Pour plus d’informations sur la configuration de stratégies de point d’accès, consultez Configuration de politiques IAM pour l’utilisation de points d’accès de compartiments de répertoires.

Pour plus d’informations, consultez Actions, ressources et clés de condition pour Amazon S3 Express.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Authentification et autorisation des demandes

Politiques basées sur l’identité