Gestion des accès

Amazon S3 fournit divers outils de gestion des accès. Vous trouverez ci-dessous une liste de ces fonctionnalités et outils. Vous n’avez pas besoin de tous ces outils de gestion des accès, mais vous devez en utiliser un ou plusieurs pour accorder l’accès à vos compartiments et objets Amazon S3, ainsi qu’aux autres Ressources S3. Une utilisation adéquate de ces outils contribue à garantir que vos ressources ne sont accessibles qu’aux utilisateurs prévus.

L’outil de gestion des accès le plus couramment utilisé est une stratégie d’accès. Une politique d'accès peut être une politique basée sur les ressources attachée à une AWS ressource, telle qu'une politique de compartiment pour un compartiment. Une stratégie d’accès peut également être une politique basée sur l’identité. Dans ce cas, elle est associée à une identité AWS Identity and Access Management (IAM), telle qu’un utilisateur, un groupe ou un rôle IAM. Une stratégie d’accès décrit qui a accès à quoi. Rédigez une politique d'accès pour accorder Comptes AWS aux utilisateurs, aux groupes et aux rôles IAM l'autorisation d'effectuer des opérations sur une ressource. Par exemple, vous pouvez accorder une PUT Object autorisation à un autre compte Compte AWS afin qu'il puisse télécharger des objets dans votre compartiment.

Les outils de gestion de l’accès disponibles dans Amazon S3 sont les suivants. Pour obtenir un guide plus complet sur le contrôle d’accès Amazon S3, consultez Contrôle d’accès dans Amazon S3.

Politique de compartiment

Une politique de compartiment Amazon S3 est une politique AWS Identity and Access Management (IAM) basée sur les ressources, au format JSON. Elle est associée à un compartiment particulier. Utilisez des politiques de compartiment pour accorder des autorisations à d'autres identités Comptes AWS ou à des identités IAM pour le compartiment et les objets qu'il contient. De nombreux cas d’utilisation de la gestion des accès S3 peuvent être satisfaits au moyen d’une politique de compartiment. Avec les politiques de compartiment, vous pouvez personnaliser l’accès au compartiment pour vous assurer que seules les identités que vous avez approuvées peuvent accéder aux ressources et effectuer des actions en leur sein. Pour de plus amples informations, veuillez consulter Politiques de compartiment pour Amazon S3.

Politique basée sur l’identité

Une politique utilisateur IAM ou basée sur l’identité est un type de politique AWS Identity and Access Management (IAM). Une politique basée sur l’identité est une politique au format JSON associée aux utilisateurs, groupes ou rôles IAM dans votre compte AWS . Vous pouvez utiliser des politiques basées sur l’identité pour accorder à une identité IAM l’accès à vos compartiments ou objets. Vous pouvez créer des utilisateurs, des groupes et des rôles IAM dans votre compte et leur attacher des stratégies d’accès. Vous pouvez ensuite accorder l’accès aux ressources AWS , notamment aux ressources Amazon S3. Pour de plus amples informations, veuillez consulter Politiques basées sur l’identité pour Amazon S3.

Autorisations d’accès S3

Utilisez les autorisations d’accès S3 pour créer des autorisations d’accès à vos données Amazon S3 pour les identités figurant dans les annuaires d’identités d’entreprise, telles qu’Active Directory, et les identités AWS Identity and Access Management (IAM). Les autorisations d’accès S3 vous aident à gérer les autorisations de données à l’échelle. En outre, les autorisations d’accès S3 enregistrent l’identité de l’utilisateur final et l’application utilisée pour accéder aux données S3 dans AWS CloudTrail. Cela fournit un historique d’audit détaillé remontant jusqu’à l’identité de l’utilisateur final pour tous les accès aux données de vos compartiments S3. Pour de plus amples informations, veuillez consulter Gestion de l’accès avec les autorisations d’accès S3.

Points d’accès

Les points d’accès Amazon S3 simplifient la gestion de l’accès aux données à l’échelle pour les applications utilisant des jeux de données partagés dans S3. Les points d’accès sont appelés points de terminaison réseau. Ils sont associés à un compartiment. Vous pouvez utiliser des points d’accès pour effectuer des opérations sur des objets S3 à l’échelle, comme le chargement et l’extraction d’objets. Jusqu’à 10 000 points d’accès peuvent être associés à un compartiment. Et pour chaque point d’accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts pour vous donner un contrôle précis sur l’accès à vos objets S3. Les points d’accès S3 peuvent être associés à des compartiments du même compte ou d’un autre compte approuvé. Les stratégies de points d’accès sont basées sur les ressources. Elles sont évaluées conjointement avec la politique de compartiment sous-jacente. Pour de plus amples informations, veuillez consulter Gestion de l’accès aux jeux de données avec des points d’accès .

Liste de contrôle d’accès (ACL)

Une ACL est une liste de subventions identifiant le bénéficiaire et l'autorisation accordée. ACLs accorder des autorisations de lecture ou d'écriture de base à d'autres Comptes AWS. ACLs utilisez un schéma XML spécifique à Amazon S3. Une liste ACL est un type de politique AWS Identity and Access Management (IAM). Une liste ACL d’objet est utilisée pour gérer l’accès à un objet, tandis qu’une liste ACL de compartiment est utilisée pour gérer l’accès à un compartiment. Avec les politiques de compartiment, il existe une seule politique pour l'ensemble du compartiment, mais ACLs les objets sont spécifiés pour chaque objet. Nous vous recommandons de rester ACLs éteint, sauf dans des circonstances exceptionnelles où vous devez contrôler l'accès individuellement pour chaque objet. Pour plus d'informations sur l'utilisation ACLs, consultezContrôle de la propriété des objets et désactivation ACLs pour votre compartiment.

Avertissement

La majorité des cas d'utilisation modernes d'Amazon S3 ne nécessitent pas l'utilisation de ACLs.

Propriétaire de l’objet

Pour gérer l’accès à vos objets, vous devez en être le propriétaire. Utilisez le paramètre Propriétaire de l’objet au niveau du compartiment pour contrôler la propriété des objets chargés dans votre compartiment. Utilisez également la propriété des objets pour l'activer ACLs. Par défaut, Object Ownership est défini sur le paramètre imposé par le propriétaire du bucket et tous les paramètres ACLs sont désactivés. Lorsqu'ils ACLs sont désactivés, le propriétaire du compartiment possède tous les objets du compartiment et gère exclusivement l'accès aux données. Pour gérer l'accès, le propriétaire du compartiment utilise des politiques ou un autre outil de gestion des accès, à l'exception de ACLs. Pour de plus amples informations, veuillez consulter Contrôle de la propriété des objets et désactivation ACLs pour votre compartiment.

Pour obtenir un guide plus complet sur le contrôle d’accès Amazon S3 et d’autres bonnes pratiques, consultez Contrôle d’accès dans Amazon S3.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration et analyse des vulnérabilités

Protection des données