

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Contrôler l'accès des clients à un système de fichiers S3 Files
<a name="s3-files-access-point-policy-examples"></a>

Cette rubrique décrit comment utiliser les politiques de système de fichiers, les politiques d'identité IAM et les contrôles réseau pour contrôler quels clients peuvent accéder à votre système de fichiers S3 Files et via quels points d'accès.

## Points d’accès S3 Files
<a name="s3-files-access-point-policy-overview"></a>

Les points d'accès aux fichiers S3 sont des points d'entrée spécifiques à une application vers un système de fichiers qui simplifient la gestion de l'accès aux données à grande échelle. Vous pouvez utiliser les points d'accès pour renforcer les identités et les autorisations des utilisateurs pour toutes les demandes de système de fichiers effectuées via le point d'accès, et empêcher les clients d'accéder uniquement aux données d'un répertoire racine spécifique et de ses sous-répertoires.

Les points d'accès définissent ce qu'un client peut faire sur le système de fichiers. Ils ne précisent pas quels clients peuvent les utiliser. Tout rôle `s3files:ClientMount` autorisé dans votre compte peut être installé via n'importe quel point d'accès du système de fichiers, sauf si une politique du système de fichiers le restreint. Pour contrôler quels clients peuvent utiliser quel point d'accès, combinez trois couches : les contrôles réseau (empêchent la connexion), une politique de ressources du système de fichiers (refus explicite qui survit aux modifications de politique d'identité) et une politique d'identité IAM (privilège minimal sur le rôle).

S3 Files évalue `s3files:ClientMount``s3files:ClientWrite`, et par `s3files:ClientRootAccess` rapport à la politique du système de fichiers sur chaque montage. La clé de `s3files:AccessPointArn` condition est également évaluée sur chaque montage. Vous pouvez donc écrire une seule déclaration de refus bloquant l'accès via n'importe quel point d'accès, à l'exception de celui que vous spécifiez. Si une action requise est refusée ou n'est pas accordée, le montage échoue avant que les opérations sur les fichiers ne soient effectuées. Les deux sections suivantes couvrent les deux exigences communes : restreindre une charge de travail à un point d'accès spécifique et refuser complètement à une charge de travail l'accès au système de fichiers.

## Restreindre l'accès à un point d'accès spécifique
<a name="s3-files-access-point-policy-restrict"></a>

Ce modèle s'applique lorsqu'un rôle (par exemple, un rôle d'instance EC2 ou un rôle de tâche ECS) doit monter le système de fichiers via un seul point d'accès. La clé de condition est`s3files:AccessPointArn`. La politique exige à la fois un `Allow` pour le point d'accès prévu et un explicite `Deny` pour tous les autres points d'accès. Les autorisations IAM s'ajoutent aux politiques d'identité et de ressources ; sans refus explicite, une politique distincte peut accorder l'accès à un point d'accès différent.

**Exemple de politique de système de fichiers :**

```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowComputeAOnlyViaSpecificAP",
      "Effect": "Allow",
      "Principal": { "AWS": "arn:aws:iam::ACCOUNT:role/compute-a-role" },
      "Action": [
        "s3files:ClientMount",
        "s3files:ClientWrite"
      ],
      "Condition": {
        "StringEquals": {
          "s3files:AccessPointArn": "arn:aws:s3files:REGION:ACCOUNT:file-system/fs-ID/access-point/fsap-ID"
        }
      }
    },
    {
      "Sid": "DenyComputeAIfWrongAP",
      "Effect": "Deny",
      "Principal": { "AWS": "arn:aws:iam::ACCOUNT:role/compute-a-role" },
      "Action": "s3files:Client*",
      "Condition": {
        "StringNotEquals": {
          "s3files:AccessPointArn": "arn:aws:s3files:REGION:ACCOUNT:file-system/fs-ID/access-point/fsap-ID"
        }
      }
    }
  ]
}
```

Le rôle `compute-a-role` est autorisé à monter et à écrire uniquement lorsque la demande est ciblée`fsap-ID`, et il est explicitement refusé sur tous les autres points d'accès de ce système de fichiers. Un refus explicite dans une politique de ressources ne peut pas être remplacé par des politiques d'identité. Cette restriction est donc valable même si une stratégie IAM plus large est attachée ultérieurement au rôle.

**Commande de montage :**

```
sudo mount -t s3files -o accesspoint=fsap-ID fs-ID:/ /mnt/s3files
```

## Refuser l'accès à une charge de travail via n'importe quel point d'accès
<a name="s3-files-access-point-policy-deny"></a>

Ce modèle s'applique lorsqu'un rôle partage un compte avec un système de fichiers S3 Files mais ne doit pas le monter directement ou via un point d'accès. Pour bloquer toute utilisation des points d'accès, appliquez trois couches classées de la plus forte à la plus faible garantie d'isolation.

**1. Contrôles du réseau.** Supprimez la règle du groupe de sécurité qui autorise `compute-b-role` les instances à accéder à la cible de montage sur le port TCP 2049. Les contrôles réseau constituent la couche la plus résiliente car ils empêchent la tentative de montage avant tout échange d'informations d'identification. Même si une politique mal configurée accorde des autorisations de montage, la connexion NFS ne peut pas atteindre la cible de montage.

**2. Refus explicite dans la politique du système de fichiers.** Une déclaration de refus figurant dans la politique du système de fichiers rejette le montage même si le rôle reçoit ultérieurement des autorisations IAM plus étendues. Une politique de ressources du système de fichiers fournit un refus qui persiste même si une personne `iam:PutRolePolicy` modifie les politiques d'identité du rôle. Seuls les principaux titulaires `s3files:PutFileSystemPolicy` peuvent modifier cette couche.

```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyComputeBOnFileSystem",
      "Effect": "Deny",
      "Principal": { "AWS": "arn:aws:iam::ACCOUNT:role/compute-b-role" },
      "Action": "s3files:Client*",
      "Resource": "*"
    }
  ]
}
```

**3. Politique d'identité IAM.** N'accordez pas d'`s3files:Client*`autorisations au rôle. Il s'agit de la dernière couche et de la plus facile à mal configurer, car tout administrateur `iam:PutRolePolicy` peut accorder des autorisations de montage à un rôle.

### Sans politique de système de fichiers, n'importe quel rôle peut être monté via n'importe quel point d'accès
<a name="s3-files-access-point-policy-deny-no-resource-policy"></a>

Une politique de ressources du système de fichiers fournit un refus qui ne peut pas être supprimé par une personne uniquement autorisée à modifier les politiques d'identité. Sans stratégie de système de fichiers, tout rôle inclus `s3files:ClientMount` dans sa politique d'identité peut être monté via n'importe quel point d'accès du système de fichiers. Nous vous recommandons d'associer une politique de système de fichiers à chaque système de fichiers doté d'une ligne de base de refus, puis d'ajouter des instructions d'autorisation par charge de travail.

## Bonnes pratiques pour l'isolation des points d'accès
<a name="s3-files-access-point-policy-best-practices"></a>

Le tableau suivant récapitule les approches recommandées pour les objectifs courants d'isolation des points d'accès.


| Objectif | Approche recommandée | 
| --- | --- | 
| Limiter une charge de travail à un seul point d'accès | Autorisez le rôle sur l'ARN du point d'accès spécifique, plus un refus explicite sur tous les autres points d'accès. Voir « Restreindre l'accès à un point d'accès spécifique ». | 
| Empêcher un rôle du même compte de monter le système de fichiers | Supprimez l'accès réseau au port 2049, refusez dans la politique du système de fichiers et ne l'accordez pas dans IAM. | 
| Plusieurs charges de travail sur le même système de fichiers, chacune étant limitée à son propre point d'accès | Conservez une paire autorisation\+refus par rôle dans la politique du système de fichiers, chacune étant limitée à un ARN de point d'accès différent. | 
| Cross-account accès via un point d'accès | Utilisez la politique du système de fichiers pour accorder le rôle multi-comptes sur l'ARN du point d'accès spécifique. Ne vous fiez pas uniquement aux politiques d'identité. | 