Gestion des accès

Amazon S3 fournit divers outils de gestion des accès. Vous trouverez ci-dessous une liste de ces fonctionnalités et outils. Vous n’avez pas besoin de tous ces outils de gestion des accès, mais vous devez en utiliser un ou plusieurs pour accorder l’accès à vos compartiments et objets Amazon S3, ainsi qu’aux autres Ressources S3. Une utilisation adéquate de ces outils contribue à garantir que vos ressources ne sont accessibles qu’aux utilisateurs prévus.

L’outil de gestion des accès le plus couramment utilisé est une stratégie d’accès. Une politique d'accès peut être une politique basée sur les ressources attachée à une AWS ressource, telle qu'une politique de compartiment pour un compartiment. Une stratégie d’accès peut également être une politique basée sur l’identité. Dans ce cas, elle est associée à une identité Gestion des identités et des accès AWS (IAM), telle qu’un utilisateur, un groupe ou un rôle IAM. Une stratégie d’accès décrit qui a accès à quoi. Rédigez une politique d'accès pour accorder Comptes AWS aux utilisateurs, aux groupes et aux rôles IAM l'autorisation d'effectuer des opérations sur une ressource. Par exemple, vous pouvez accorder une PUT Object autorisation à un autre compte Compte AWS afin qu'il puisse télécharger des objets dans votre compartiment.

Les outils de gestion de l’accès disponibles dans Amazon S3 sont les suivants. Pour obtenir un guide plus complet sur le contrôle d’accès Amazon S3, consultez Contrôle d’accès dans Amazon S3.

Politique de compartiment

Une politique de compartiment Amazon S3 est une politique basée sur les ressources JSON-formatted Gestion des identités et des accès AWS (IAM) attachée à un compartiment particulier. Utilisez des politiques de compartiment pour accorder des autorisations à d'autres identités Comptes AWS ou à des identités IAM pour le compartiment et les objets qu'il contient. De nombreux cas d’utilisation de la gestion des accès S3 peuvent être satisfaits au moyen d’une politique de compartiment. Avec les politiques de compartiment, vous pouvez personnaliser l’accès au compartiment pour vous assurer que seules les identités que vous avez approuvées peuvent accéder aux ressources et effectuer des actions en leur sein. Pour de plus amples informations, veuillez consulter Politiques de compartiment pour Amazon S3.

Identity-based politique

Une politique utilisateur IAM ou basée sur l’identité est un type de politique Gestion des identités et des accès AWS (IAM). Une politique basée sur l'identité est une JSON-formatted politique attachée aux utilisateurs, groupes ou rôles IAM de votre compte. AWS Vous pouvez utiliser des politiques basées sur l’identité pour accorder à une identité IAM l’accès à vos compartiments ou objets. Vous pouvez créer des utilisateurs, des groupes et des rôles IAM dans votre compte et leur attacher des stratégies d’accès. Vous pouvez ensuite accorder l’accès aux ressources AWS , notamment aux ressources Amazon S3. Pour de plus amples informations, veuillez consulter Identity-based politiques pour Amazon S3.

S3 Access Grants

Utilisez les autorisations d’accès S3 pour créer des autorisations d’accès à vos données Amazon S3 pour les identités figurant dans les annuaires d’identités d’entreprise, telles qu’Active Directory, et les identités Gestion des identités et des accès AWS (IAM). Les autorisations d’accès S3 vous aident à gérer les autorisations de données à l’échelle. En outre, les autorisations d’accès S3 enregistrent l’identité de l’utilisateur final et l’application utilisée pour accéder aux données S3 dans AWS CloudTrail. Cela fournit un historique d’audit détaillé remontant jusqu’à l’identité de l’utilisateur final pour tous les accès aux données de vos compartiments S3. Pour de plus amples informations, veuillez consulter Gestion de l’accès avec S3 Access Grants.

Points d’accès

Les points d’accès Amazon S3 simplifient la gestion de l’accès aux données à l’échelle pour les applications utilisant des jeux de données partagés dans S3. Les points d’accès sont appelés points de terminaison réseau. Ils sont associés à un compartiment. Vous pouvez utiliser des points d’accès pour effectuer des opérations sur des objets S3 à l’échelle, comme le chargement et l’extraction d’objets. Jusqu’à 10 000 points d’accès peuvent être associés à un compartiment. Et pour chaque point d’accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts pour vous donner un contrôle précis sur l’accès à vos objets S3. Les points d’accès S3 peuvent être associés à des compartiments du même compte ou d’un autre compte approuvé. Les stratégies de points d’accès sont basées sur les ressources. Elles sont évaluées conjointement avec la politique de compartiment sous-jacente. Pour de plus amples informations, veuillez consulter Gestion de l’accès aux jeux de données avec des points d’accès.

Liste de contrôle d’accès (ACL)

Une liste ACL est une liste d’autorisations identifiant le bénéficiaire et les autorisations accordées. Les listes ACL accordent des autorisations de base en lecture ou en écriture à d’autres Comptes AWS. Les listes ACL utilisent un schéma XML spécifique à Amazon S3. Une liste ACL est un type de politique Gestion des identités et des accès AWS (IAM). Une liste ACL d’objet est utilisée pour gérer l’accès à un objet, tandis qu’une liste ACL de compartiment est utilisée pour gérer l’accès à un compartiment. Avec les politiques de compartiment, une seule politique s’applique à l’ensemble du compartiment, mais les listes ACL d’objet sont définies pour chaque objet. Nous vous recommandons de maintenir les listes ACL désactivées, sauf si vous devez contrôler individuellement l’accès à chaque objet. Pour en savoir plus sur l’utilisation des listes ACL, consultez Consultez Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment.

Avertissement

La majorité des cas d’utilisation modernes dans Amazon S3 ne nécessitent plus l’utilisation de listes ACL.

Propriétaire de l’objet

Pour gérer l’accès à vos objets, vous devez en être le propriétaire. Utilisez le paramètre Propriétaire de l’objet au niveau du compartiment pour contrôler la propriété des objets chargés dans votre compartiment. Utilisez également le paramètre Propriétaire de l’objet pour activer les listes ACL. Par défaut, la propriété d’objets est définie sur le paramètre Propriétaire du compartiment appliqué, et toutes les listes ACL sont désactivées. Lorsque les listes ACL sont désactivées, le propriétaire du compartiment détient tous les objets présents dans le compartiment et gère exclusivement l’accès aux données. Pour gérer l’accès, le propriétaire du compartiment utilise des politiques, des stratégies ou tout autre outil de gestion des accès, à l’exception des listes ACL. Pour de plus amples informations, veuillez consulter Consultez Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment.

Pour obtenir un guide plus complet sur le contrôle d’accès Amazon S3 et d’autres bonnes pratiques, consultez Contrôle d’accès dans Amazon S3.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration et analyse des vulnérabilités

Inventaire des données Amazon S3