Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Autorisation des opérations d’API de point de terminaison régional avec IAM
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui aide les administrateurs à contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être authentifié (connecté) et autorisé à utiliser des ressources Amazon S3 dans des compartiments de répertoires et dans des opérations S3 Express One Zone. Vous pouvez utiliser IAM sans frais supplémentaires.
Par défaut, les utilisateurs ne disposent pas d’autorisations pour les compartiments de répertoires. Pour accorder des autorisations d’accès pour les compartiments de répertoires, vous pouvez utiliser IAM pour créer des utilisateurs, des groupes ou des rôles, et attacher des autorisations à ces identités. Pour plus d’informations sur IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
Pour fournir l’accès, vous pouvez ajouter des autorisations à vos utilisateurs, groupes ou rôles via les méthodes suivantes :
+ **Utilisateurs et groupes dans AWS IAM Identity Center** : créez un ensemble d'autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-create-a-permission-set.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ **Utilisateurs gérés dans IAM via un fournisseur d’identité** : créez un rôle pour la fédération d’identité. Pour plus d’informations, consultez [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ **Rôles et utilisateurs IAM** : créez un rôle que votre utilisateur peut endosser. Suivez les instructions fournies dans [Création d’un rôle pour la délégation d’autorisations à un utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur IAM pour S3 Express One Zone, consultez les rubriques suivantes.
**Topics**
+ [Principaux](#s3-express-security-iam-principals)
+ [Ressources](#s3-express-security-iam-resources)
+ [Actions spécifiques aux compartiments de répertoires](#s3-express-security-iam-actions)
+ [Politiques IAM basées sur l’identité pour les compartiments de répertoires](s3-express-security-iam-identity-policies.md)
+ [Exemples de politiques de compartiment pour les compartiments de répertoires](s3-express-security-iam-example-bucket-policies.md)
+ [AWS politiques gérées pour Amazon S3 Express One Zone](s3-express-one-zone-security-iam-awsmanpol.md)
## Principaux
Lorsque vous créez une politique basée sur les ressources pour accorder l’accès à vos compartiments, vous devez utiliser l’élément `Principal` pour spécifier la personne ou l’application qui peut effectuer une demande d’action ou d’opération sur cette ressource. Pour des politiques de compartiment de répertoires, vous pouvez utiliser les principaux suivants :
+ Un AWS compte
+ Un utilisateur IAM
+ Un rôle IAM
+ Un utilisateur fédéré
Pour plus d’informations, consultez [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans le *Guide de l’utilisateur IAM*.
## Ressources
Amazon Resource Names (ARNs) pour les compartiments de répertoire contient l'`s3express`espace de noms Région AWS, l'ID de AWS compte et le nom du compartiment de répertoire, qui inclut l'ID de AWS zone. (une zone de disponibilité ou un identifiant de zone locale).
Pour accéder à votre compartiment de répertoires et y effectuer des actions, vous devez utiliser le format d’ARN suivant :
```
arn:aws:s3express:region:account-id:bucket/base-bucket-name--zone-id--x-s3
```
Pour accéder au point d’accès d’un compartiment de répertoires et y effectuer des actions, vous devez utiliser le format d’ARN suivant :
```
arn:aws::s3express:region:account-id:accesspoint/accesspoint-basename--zone-id--xa-s3
```
Pour plus d'informations ARNs, consultez le *guide [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)de l'utilisateur IAM*. Pour plus d’informations sur les ressources, consultez [Éléments de politique JSON IAM : Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) dans le *Guide de l’utilisateur IAM*.
## Actions spécifiques aux compartiments de répertoires
Dans une politique basée sur l’identité IAM ou sur les ressources, vous définissez quelles actions S3 sont autorisées ou refusées. Les actions correspondent à des opérations d’API spécifiques. Lorsque vous utilisez des compartiments de répertoires, vous devez utiliser l’espace de noms S3 Express One Zone `s3express` pour accorder les autorisations.
Lorsque vous accordez l’autorisation `s3express:CreateSession`, l’opération d’API `CreateSession` récupère un jeton de session temporaire pour toutes les opérations d’API de point de terminaison zonal (niveau de l’objet). Le jeton de session renvoie des informations d’identification qui sont utilisées pour toutes les autres opérations d’API de point de terminaison zonal. Par conséquent, vous n’accordez pas d’autorisations d’accès aux opérations d’API de point de terminaison zonal avec des politiques IAM. `CreateSession` active l’accès à toutes les opérations au niveau de l’objet. Pour obtenir la liste des opérations et des autorisations de l’API de point de terminaison zonal, consultez [Authentification et autorisation des demandes](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-authenticating-authorizing.html).
Pour en savoir plus sur l’opération d’API `CreateSession`, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) dans la *Référence des API Amazon Simple Storage Service*.
Vous pouvez indiquer les actions suivantes dans l’élément `Action` d’une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d’effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l’accès à l’opération d’API du même nom. Toutefois, dans certains cas, une seule action contrôle l’accès à plusieurs opérations d’API. L’accès aux actions de niveau compartiment peut être accordé uniquement dans des politiques basées sur l’identité IAM (utilisateur ou rôle) et non pas dans des politiques de compartiment.
Pour plus d’informations sur la configuration de stratégies de point d’accès, consultez [Configuration de politiques IAM pour l’utilisation de points d’accès de compartiments de répertoires](access-points-directory-buckets-policies.md).
Pour plus d’informations, consultez [Actions, ressources et clés de condition pour Amazon S3 Express](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3express.html).
# Politiques IAM basées sur l’identité pour les compartiments de répertoires
Avant de créer des compartiments de répertoires, vous devez accorder les autorisations nécessaires à votre rôle ou à vos utilisateurs Gestion des identités et des accès AWS (IAM). Cet exemple de politique autorise l’accès à l’opération d’API `CreateSession` (à utiliser avec les opérations d’API de point de terminaison zonal [niveau objet]) et à toutes les opérations d’API de point de terminaison régional (niveau compartiment). Cette politique autorise l’utilisation de l’opération d’API `CreateSession` avec tous les compartiments de répertoires, mais les opérations d’API de point de terminaison régional sont autorisées à être utilisées uniquement avec le compartiment de répertoires spécifié. Pour utiliser cet exemple de politique, remplacez `user input placeholders` par vos propres informations.
# Exemples de politiques de compartiment pour les compartiments de répertoires
Cette section fournit des exemples de politiques pour les compartiments de répertoires. Pour utiliser ces politiques, remplacez les `user input placeholders` par vos propres informations.
L'exemple de politique de compartiment suivant permet `111122223333` à Compte AWS ID d'utiliser l'opération d'`CreateSession`API pour le compartiment de répertoire spécifié. Lorsqu'aucun mode de session n'est spécifié, la session est créée avec le maximum de privilèges autorisés (en essayant d'`ReadWrite`abord, puis `ReadOnly` si ce n'est pas autorisé). Cette politique accorde l’accès aux opérations d’API de point de terminaison zonal (niveau objet).
**Example — Politique de bucket pour autoriser `CreateSession` les appels**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccess",
"Effect": "Allow",
"Resource": "arn:aws:s3express:us-west-2:111122223333:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root"
]
},
"Action": [
"s3express:CreateSession"
]
}
]
}
```
**Example – Politique de compartiment permettant d’autoriser les appels `CreateSession` avec une session `ReadOnly`**
L'exemple de politique de bucket suivant permet `111122223333` à Compte AWS ID d'utiliser l'opération `CreateSession` d'API. Cette politique utilise la clé de condition `s3express:SessionMode` avec la valeur `ReadOnly` pour définir une session en lecture seule.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadOnlyAccess",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": "s3express:CreateSession",
"Resource": "*",
"Condition": {
"StringEquals": {
"s3express:SessionMode": "ReadOnly"
}
}
}
]
}
```
**Example – Politique de compartiment permettant d’autoriser l’accès intercompte pour les appels `CreateSession`**
L'exemple de politique de compartiment suivant permet `111122223333` à Compte AWS ID d'utiliser l'opération d'`CreateSession`API pour le compartiment de répertoire spécifié qui appartient à Compte AWS ID*`444455556666`*.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccount",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"s3express:CreateSession"
],
"Resource": "arn:aws:s3express:us-west-2:444455556666:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3"
}
]
}
```
# AWS politiques gérées pour Amazon S3 Express One Zone
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : AmazonS3ExpressFullAccess
Vous pouvez associer la politique `AmazonS3ExpressFullAccess` à vos identités IAM. Cette politique accorde un accès complet aux compartiments et aux opérations du répertoire Amazon S3 Express One Zone. Il autorise toutes les actions effectuées sous le préfixe `s3express` de service sur toutes les ressources.
Cette politique est destinée aux utilisateurs ou aux rôles qui ont besoin d'un accès illimité aux compartiments d'annuaire. Cette politique couvre uniquement les opérations Amazon S3 Express One Zone. Pour les opérations Amazon S3 standard, vous avez besoin de politiques supplémentaires.
Pour consulter les autorisations associées à cette politique, reportez-vous [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3ExpressFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3ExpressFullAccess.html)à la référence des politiques AWS gérées.
## AWS politique gérée : AmazonS3ExpressReadOnlyAccess
Vous pouvez associer la politique `AmazonS3ExpressReadOnlyAccess` à vos identités IAM. Cette politique accorde des autorisations permettant `ReadOnly` d'accéder aux compartiments de répertoire Amazon S3 Express One Zone.
**Note**
L'`CreateSession`action prend en charge la clé de `SessionMode` condition qui peut être définie sur `ReadOnly` ou`ReadWrite`. Cette politique s'applique `SessionMode` à une `ReadOnly` session.
Pour consulter les autorisations associées à cette politique, reportez-vous [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3ExpressReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3ExpressReadOnlyAccess.html)à la référence des politiques AWS gérées.
## Mises à jour des politiques AWS gérées par Amazon S3 Express One Zone
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon S3 Express One Zone depuis que ce service a commencé à suivre ces modifications.
| Modifier | Description | Date |
| --- | --- | --- |
| Ajout d'une zone Amazon S3 Express One`AmazonS3ExpressFullAccess`. | Amazon S3 Express One Zone a ajouté une nouvelle politique AWS gérée appelée`AmazonS3ExpressFullAccess`. Cette politique accorde des autorisations qui permettent un accès complet aux compartiments et aux opérations du répertoire Amazon S3 Express One Zone. | 3 avril 2026 |
| Ajout d'une zone Amazon S3 Express One`AmazonS3ExpressReadOnlyAccess`. | Amazon S3 Express One Zone a ajouté une nouvelle politique AWS gérée appelée`AmazonS3ExpressReadOnlyAccess`. Cette politique accorde des autorisations permettant un accès en lecture seule aux compartiments de répertoire Amazon S3 Express One Zone. | 3 avril 2026 |
| Amazon S3 Express One Zone a commencé à suivre les modifications. | Amazon S3 Express One Zone a commencé à suivre les modifications apportées à ses politiques AWS gérées. | 3 avril 2026 |