Configuration de l’accès aux compartiments Amazon S3 - Amazon Bedrock
Association des autorisations à une identité IAM pour lui permettre d’accéder à un compartiment Amazon S3Association d’une stratégie de compartiment à un compartiment Amazon S3 pour autoriser l’accès d’un autre compte(Option de sécurité avancée) Incluez des conditions dans une instruction pour un accès plus précis

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de l’accès aux compartiments Amazon S3

De nombreuses fonctionnalités Amazon Bedrock nécessitent un accès aux données stockées dans les compartiments Amazon S3. Pour accéder à ces données, vous devez configurer les autorisations suivantes :

Cas d’utilisation Permissions
Autorisations d’extraction des données du compartiment S3 s3 : GetObject

s3 : ListBucket
Autorisations d’écriture des données dans le compartiment S3 s3 : PutObject
Autorisations de déchiffrer la clé KMS qui a chiffré le compartiment S3 kms:Decrypt

km : DescribeKey

Les identités ou ressources auxquelles vous devez associer les autorisations ci-dessus dépendent des facteurs suivants :

  • Plusieurs fonctionnalités d’Amazon Bedrock utilisent des rôles de service. Si une fonctionnalité utilise un rôle de service, vous devez configurer les autorisations de telle sorte que le rôle de service, plutôt que l’identité IAM de l’utilisateur, ait accès aux données S3. Certaines fonctionnalités d’Amazon Bedrock peuvent automatiquement créer un rôle de service pour vous et associer les autorisations requises basées sur l’identité au rôle de service, si vous utilisez la AWS Management Console.

  • Certaines fonctionnalités d’Amazon Bedrock permettent à une identité d’accéder à un compartiment S3 dans un autre compte. Si les données S3 doivent être accessibles depuis un autre compte, le propriétaire du compartiment doit inclure les autorisations basées sur les ressources ci-dessus dans une stratégie de compartiment S3 associée au compartiment S3.

Voici comment déterminer à quel endroit vous devez attribuer les autorisations nécessaires pour accéder aux données S3 :

  • Autorisations pour les identités IAM

    • Si vous pouvez créer automatiquement un rôle de service dans la console, les autorisations seront configurées pour le rôle de service, vous n’avez donc pas besoin de le configurer vous-même.

    • Si vous préférez utiliser un rôle de service personnalisé ou si l’identité nécessitant un accès n’est pas un rôle de service, naviguez jusqu’à Association des autorisations à une identité IAM pour lui permettre d’accéder à un compartiment Amazon S3 pour savoir comment créer une stratégie basée sur l’identité avec les autorisations appropriées.

  • Autorisations basées sur les ressources

    • Si l’identité nécessite l’accès aux données S3 du même compte, il n’est pas nécessaire d’associer une stratégie de compartiment S3 au compartiment contenant les données.

    • Si l’identité nécessite l’accès aux données S3 dans un autre compte, accédez à Association d’une stratégie de compartiment à un compartiment Amazon S3 pour autoriser l’accès d’un autre compte pour savoir comment créer une stratégie de compartiment S3 avec les autorisations appropriées.

      Important

      La création automatique d'un rôle de service dans le AWS Management Console attache les autorisations appropriées basées sur l'identité au rôle, mais vous devez tout de même configurer la politique du compartiment S3 si l'identité nécessitant l'accès à celui-ci se trouve dans une autre. Compte AWS

Pour plus d'informations, consultez les liens suivants :

Passez en revue les rubriques relatives à votre cas d’utilisation :

Association des autorisations à une identité IAM pour lui permettre d’accéder à un compartiment Amazon S3

Cette rubrique fournit un modèle de politique pour l’association à une identité IAM. La stratégie inclut les instructions suivantes définissant les autorisations permettant d’accorder à une identité IAM l’accès à un compartiment S3 :

  1. Données à extraire d’un compartiment S3. Cette instruction inclut également une condition utilisant la clé de condition s3:prefix pour restreindre l’accès à un dossier spécifique du compartiment. Pour plus d’informations sur cette condition, consultez Stratégie utilisateur dans Exemple 2 : obtenir une liste d’objets dans un compartiment avec un préfixe spécifique.

  2. (Si vous devez écrire des données dans un emplacement S3) Autorisations permettant d’écrire des données dans un compartiment S3. Cette déclaration inclut également une condition utilisant la clé de aws:ResourceAccount condition pour restreindre l'accès aux demandes envoyées par un utilisateur spécifiqueCompte AWS.

  3. (Si le compartiment S3 est chiffré avec une clé KMS) Autorisations permettant de décrire et de déchiffrer la clé KMS qui a chiffré le compartiment S3.

    Note

    Si votre compartiment S3 prend en charge la gestion des versions, chaque version d’objet que vous chargez à l’aide de cette fonctionnalité peut avoir sa propre clé de chiffrement. Vous devez assurer le suivi pour savoir quelle clé de chiffrement a été utilisée pour quelle version d’objet.

Ajoutez, modifiez et supprimez les instructions, les ressources et les conditions dans la politique suivante et remplacez-les ${values} si nécessaire :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReadS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::${S3Bucket}",
                "arn:aws:s3:::${S3Bucket}/*"
            ]
        },
        {
            "Sid": "WriteToS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::${S3Bucket}",
                "arn:aws:s3:::${S3Bucket}/*"
            ]
        },
        {
            "Sid": "DecryptKMSKey",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${KMSKeyId}"
        }
    ]
}

Après avoir modifié la stratégie en fonction de votre cas d’utilisation, associez-la au rôle de service (ou identité IAM) qui nécessite l’accès au compartiment S3. Pour découvrir comment associer des autorisations à une identité IAM, consultez Ajout et suppression d’autorisations basées sur l’identité IAM.

Association d’une stratégie de compartiment à un compartiment Amazon S3 pour autoriser l’accès d’un autre compte

Cette rubrique fournit un modèle de stratégie basée sur les ressources à associer à un compartiment S3 afin de permettre à une identité IAM d’accéder aux données du compartiment. La stratégie inclut les instructions suivantes définissant les autorisations d’accès au compartiment pour une identité :

  1. Données à extraire d’un compartiment S3.

  2. (Si vous devez écrire des données dans un emplacement S3) Autorisations permettant d’écrire des données dans un compartiment S3.

  3. (Si le compartiment S3 est chiffré avec une clé KMS) Autorisations permettant de décrire et de déchiffrer la clé KMS qui a chiffré le compartiment S3.

    Note

    Si votre compartiment S3 prend en charge la gestion des versions, chaque version d’objet que vous chargez à l’aide de cette fonctionnalité peut avoir sa propre clé de chiffrement. Vous devez assurer le suivi pour savoir quelle clé de chiffrement a été utilisée pour quelle version d’objet.

Les autorisations sont similaires aux autorisations basées sur l’identité décrites dans Association des autorisations à une identité IAM pour lui permettre d’accéder à un compartiment Amazon S3. Toutefois, chaque instruction vous oblige également à spécifier l’identité pour laquelle vous souhaitez accorder des autorisations à la ressource du champ Principal. Spécifiez l’identité (pour la plupart des fonctionnalités d’Amazon Bedrock, il s’agit du rôle de service) dans le champ Principal. Ajoutez, modifiez et supprimez les instructions, les ressources et les conditions dans la politique suivante et remplacez-les ${values} si nécessaire :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReadS3Bucket",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ServiceRole"
            },
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::${S3Bucket}",
                "arn:aws:s3:::${S3Bucket}/*"
            ]
        },
        {
            "Sid": "WriteToS3Bucket",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ServiceRole"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::${S3Bucket}",
                "arn:aws:s3:::${S3Bucket}/*"
            ]
        },
        {
            "Sid": "DecryptKMSKey",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ServiceRole"
            },
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/${KMSKeyId}"
        }
    ]
}

Après avoir modifié la politique en fonction de votre cas d’utilisation, associez-la au compartiment S3. Pour découvrir comment associer une stratégie à un compartiment S3, consultez Ajout d’une stratégie de compartiment à l’aide de la console Amazon S3.

(Option de sécurité avancée) Incluez des conditions dans une instruction pour un accès plus précis

Pour mieux contrôler les identités qui peuvent accéder à vos ressources, vous pouvez inclure des conditions dans une déclaration de stratégie. La stratégie décrite dans cette rubrique fournit un exemple qui utilise les clés de condition suivantes :

La politique suivante restreint l'accès en lecture au my-folder dossier du compartiment amzn-s3-demo-bucket S3 et restreint l'accès en écriture pour le compartiment amzn-s3-demo-destination-bucket S3 aux demandes émanant du titulaire de Compte AWS l'ID : 111122223333

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReadS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition" : {
                "StringEquals" : {
                    "s3:prefix": "my-folder" 
                }
            }
        },
        {
            "Sid": "WriteToS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-destination-bucket",
                "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "111122223333"
                }
            }
        }
    ]
}

Pour plus d’informations sur les conditions et les clés de condition, consultez les liens suivants :