Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Bloquer l'accès public aux instantanés Amazon EBS
Pour empêcher le partage public de vos instantanés, vous pouvez activer le *blocage de l’accès public pour les instantanés*. Une fois que vous avez activé le blocage de l’accès public pour les instantanés dans une région, toute tentative de partage public d’instantanés dans cette région est automatiquement bloquée. Cela peut vous aider à améliorer la sécurité de vos instantanés et à protéger les données de vos instantanés contre tout accès non autorisé ou involontaire.
Le blocage de l’accès public pour les instantanés peut être activé dans l’un des deux modes suivants :
+ **Bloquer tous les partages** : bloque tout partage public de vos instantanés. Les utilisateurs du compte ne peuvent pas demander un nouveau partage public. En outre, les instantanés déjà partagés publiquement sont considérés comme privés et ne sont plus accessibles au public.
+ **Bloquer les nouveaux partages** : bloque tout nouveau partage public de vos instantanés. Les utilisateurs du compte ne peuvent pas demander un nouveau partage public. Cependant, les instantanés déjà partagés publiquement restent accessibles au public.
**Considérations**
Tenez compte des points suivants lorsque vous utilisez le blocage de l'accès public pour les instantanés.
+ Bloquer l’accès public aux instantanés n’empêche pas le partage d’instantanés privés.
+ L'activation du blocage de l'accès public pour *les instantanés en mode de partage* complet ne modifie pas les autorisations pour les instantanés déjà partagés publiquement. À la place, ces instantanés ne sont plus visibles et accessibles au public. Les attributs de ces instantanés indiquent donc toujours qu’ils sont partagés publiquement, même s’ils ne sont pas accessibles au public.
Si vous désactivez ultérieurement le blocage de l'accès public ou si vous modifiez le mode pour *bloquer tout nouveau partage*, ces instantanés seront de nouveau accessibles au public.
+ Le blocage de l’accès public pour les instantanés est un paramètre régional. Il s’applique à tous les instantanés de la région dans laquelle il est activé. Vous devez activer le blocage de l’accès public pour les instantanés dans chaque région dans laquelle vous souhaitez empêcher le partage public de vos instantanés.
+ Le bloquer de l’accès public est un paramètre défini au niveau du compte. Il s’applique à tous les utilisateurs du compte, y compris aux utilisateurs administrateurs. Vous ne pouvez pas activer le blocage de l’accès public pour les instantanés au niveau de l’entreprise.
+ Le paramètre de blocage de l'accès public est configuré soit directement dans le compte, soit à l'aide d'une politique déclarative. L’utilisation d’une politique déclarative vous permet d’appliquer le paramètre à plusieurs régions simultanément, ainsi qu’à plusieurs comptes simultanément. Lorsqu’une politique déclarative est utilisée, vous ne pouvez pas modifier le paramètre directement dans un compte. Cette rubrique décrit comment configurer le paramètre directement dans un compte. Pour plus d’informations sur l’utilisation des politiques déclaratives, consultez la section [Politiques déclaratives](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ Bloquer l'accès public aux instantanés n'empêche pas le partage public des instantanés sauvegardés par AMIs EBS. Si vous activez le blocage de l'accès public aux instantanés, les utilisateurs peuvent toujours partager publiquement des données soutenues par AMIs EBS. Si une AMI basée sur EBS est partagée publiquement, les utilisateurs ayant accès à cette AMI peuvent créer des volumes à partir des instantanés associés. Pour empêcher le partage public de votre contenu AMIs, activez le *[blocage de l'accès public pour AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharingamis-intro.html#block-public-access-to-amis)*.
+ Le blocage de l'accès public aux instantanés n'est pas pris en charge lorsque les instantanés locaux sont activés. AWS Outposts
**Tarification**
Le blocage de l’accès public pour les instantanés peut être activé sans frais supplémentaires.
**Contents**
+ [Autorisations IAM](block-public-access-snapshots-perms.md)
+ [Configurer le blocage de l'accès public](block-public-access-snapshots-enable.md)
+ [Afficher le paramètre de blocage de l'accès public](block-public-access-snapshots-view.md)
+ [Désactiver le blocage de l’accès public](block-public-access-snapshots-disable.md)
+ [Surveiller le blocage de l'accès public](block-public-access-snapshots-events.md)
# Autorisations IAM pour bloquer l'accès public aux instantanés Amazon EBS
Par défaut, les utilisateurs ne sont pas autorisés à utiliser le blocage de l’accès public pour les instantanés. Pour permettre aux utilisateurs d’utiliser le blocage de l’accès public pour les instantanés, vous devez créer des politiques IAM qui accordent l’autorisation d’utiliser des actions d’API spécifiques. Une fois les politiques créées, vous devez ajouter les autorisations à vos utilisateurs, groupes ou rôles.
Pour utiliser le blocage de l’accès public pour les instantanés, les utilisateurs ont besoin des autorisations suivantes.
+ `ec2:EnableSnapshotBlockPublicAccess` : activer le blocage de l’accès public pour les instantanés et modifier le mode.
+ `ec2:DisableSnapshotBlockPublicAccess` : désactiver le blocage de l’accès public pour les instantanés
+ `ec2:GetSnapshotBlockPublicAccessState` : afficher le paramètre de blocage de l’accès public pour instantanés pour une région.
Voici un exemple de politique IAM. Si certaines autorisations ne sont pas nécessaires, vous pouvez les supprimer de la politique.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:EnableSnapshotBlockPublicAccess",
"ec2:DisableSnapshotBlockPublicAccess",
"ec2:GetSnapshotBlockPublicAccessState"
],
"Resource": "*"
}]
}
```
------
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.
# Configurer le blocage de l'accès public pour les instantanés Amazon EBS
Activez le blocage de l’accès public pour les instantanés pour empêcher le partage public des instantanés dans la région. Une fois cette fonctionnalité activée, les demandes de partage public d’instantanés dans la région sont bloquées.
**Important**
L'activation du blocage de l'accès public pour *les instantanés en mode de partage* complet ne modifie pas les autorisations pour les instantanés déjà partagés publiquement. À la place, ces instantanés ne sont plus visibles et accessibles au public. Les attributs de ces instantanés indiquent donc toujours qu’ils sont partagés publiquement, même s’ils ne sont pas accessibles au public.
Si vous désactivez ultérieurement le blocage de l'accès public ou si vous modifiez le mode pour *bloquer tout nouveau partage*, ces instantanés seront de nouveau accessibles au public.
**Note**
Ce paramètre est configuré au niveau du compte, soit directement dans le compte, soit à l’aide d’une politique déclarative. Il doit être configuré dans chaque Région AWS endroit où vous souhaitez empêcher le partage public de clichés. L’utilisation d’une politique déclarative vous permet d’appliquer le paramètre à plusieurs régions simultanément, ainsi qu’à plusieurs comptes simultanément. Lorsqu’une politique déclarative est utilisée, vous ne pouvez pas modifier le paramètre directement dans un compte. Cette rubrique décrit comment configurer le paramètre directement dans un compte. Pour plus d’informations sur l’utilisation des politiques déclaratives, consultez la section [Politiques déclaratives](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) dans le *Guide de l’utilisateur AWS Organizations *.
------
#### [ Console ]
**Pour configurer le blocage de l’accès public pour les instantanés**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le volet de navigation, choisissez **Tableau de bord EC2**, puis dans **Attributs du compte** (sur le côté droit), choisissez **Protection et sécurité des données**.
1. Dans la section **Bloquer l’accès public pour les instantanés EBS**, choisissez **Gérer**.
1. Sélectionnez **Bloquer l’accès public**, puis choisissez l’une des options suivantes :
+ **Bloquer tous les accès publics** : pour bloquer tout partage public de vos instantanés. Les utilisateurs du compte ne peuvent pas demander un nouveau partage public. En outre, les instantanés déjà partagés publiquement sont considérés comme privés et ne sont plus accessibles au public.
+ **Bloquer les nouveaux partages publics** : pour bloquer tout nouveau partage public de vos instantanés. Les utilisateurs du compte ne peuvent pas demander un nouveau partage public. Cependant, les instantanés déjà partagés publiquement restent accessibles au public.
1. Choisissez **Mettre à jour**.
------
#### [ AWS CLI ]
**Pour activer ou modifier le blocage de l’accès public pour les instantanés**
Utilisez la commande [enable-snapshot-block-public-access](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-snapshot-block-public-access.html). Pour `--state`, spécifiez l’une des valeurs suivantes :
+ `block-all-sharing` : pour bloquer tout partage public de vos instantanés. Les utilisateurs du compte ne peuvent pas demander un nouveau partage public. En outre, les instantanés déjà partagés publiquement sont considérés comme privés et ne sont plus accessibles au public.
+ `block-new-sharing` : pour bloquer uniquement les nouveaux partages publics de vos instantanés. Les utilisateurs du compte ne peuvent pas demander un nouveau partage public. Cependant, les instantanés déjà partagés publiquement restent accessibles au public.
**Pour activer ou modifier le blocage de l'accès public aux instantanés d'une région spécifique**
```
aws ec2 enable-snapshot-block-public-access \
--state block-new-sharing \
--region us-east-1
```
Voici un exemple de sortie.
```
{
"State": "block-new-sharing"
}
```
**Pour activer ou modifier le blocage de l'accès public aux instantanés pour toutes les régions**
```
echo -e "Region \t Public Access State" ; \
echo -e "-------------- \t ----------------------" ; \
for region in $(
aws ec2 describe-regions \
--region us-east-1 \
--query "Regions[*].[RegionName]" \
--output text
);
do (output=$(
aws ec2 enable-snapshot-block-public-access \
--region $region \
--state block-new-sharing \
--output text)
echo -e "$region \t $output"
);
done
```
Voici un exemple de sortie.
```
Region Public Access State
-------------- ----------------------
ap-south-1 block-new-sharing
eu-north-1 block-new-sharing
eu-west-3 block-new-sharing
...
```
------
#### [ PowerShell ]
**Pour activer ou modifier le blocage de l’accès public pour les instantanés**
Utilisez la commande [ Enable-EC2SnapshotBlockPublicAccess](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2SnapshotBlockPublicAccess.html). Pour `-State`, spécifiez l’une des valeurs suivantes :
+ `block-all-sharing` : pour bloquer tout partage public de vos instantanés. Les utilisateurs du compte ne peuvent pas demander un nouveau partage public. En outre, les instantanés déjà partagés publiquement sont considérés comme privés et ne sont plus accessibles au public.
+ `block-new-sharing` : pour bloquer uniquement les nouveaux partages publics de vos instantanés. Les utilisateurs du compte ne peuvent pas demander un nouveau partage public. Cependant, les instantanés déjà partagés publiquement restent accessibles au public.
**Pour activer ou modifier le blocage de l'accès public aux instantanés d'une région spécifique**
```
Enable-EC2SnapshotBlockPublicAccess `
-Region us-east-1 `
-State block-new-sharing
```
Voici un exemple de sortie.
```
Value
-----
block-new-sharing
```
**Pour activer ou modifier le blocage de l'accès public aux instantanés pour toutes les régions**
```
(Get-EC2Region -Region us-east-1).RegionName | `
ForEach-Object {
[PSCustomObject]@{
Region = $_
PublicAccessState = (
Enable-EC2SnapshotBlockPublicAccess `
-Region $_ `
-State block-new-sharing)
}
} | Format-Table -AutoSize
```
Voici un exemple de sortie.
```
Region PublicAccessState
------ -----------------
ap-south-1 block-new-sharing
eu-north-1 block-new-sharing
eu-west-3 block-new-sharing
...
```
------
# Afficher le paramètre de blocage de l'accès public pour les instantanés Amazon EBS
Vous pouvez bloquer l’accès public dans l’un des états suivants pour chaque région de votre compte.
+ **Bloquer tous les partages** : tous les partages publics de vos instantanés sont bloqués. Les utilisateurs du compte ne peuvent pas demander un nouveau partage public. En outre, les instantanés déjà partagés publiquement sont considérés comme privés et ne sont pas accessibles au public.
+ **Bloquer les nouveaux partages** : seuls les nouveaux partages de vos instantanés sont bloqués. Les utilisateurs du compte ne peuvent pas demander un nouveau partage public. Cependant, les instantanés déjà partagés publiquement restent accessibles au public.
+ **Débloqué** : le partage public n’est pas bloqué. Les utilisateurs peuvent partager des instantanés publiquement.
------
#### [ Console ]
**Pour afficher le paramètre de blocage de l’accès public pour les instantanés**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le volet de navigation, choisissez **Tableau de bord EC2**, puis dans **Attributs du compte** (sur le côté droit), choisissez **Protection et sécurité des données**.
1. La section **Bloquer l’accès public pour les instantanés EBS** montre le paramètre actuel.
------
#### [ AWS CLI ]
**Pour afficher le paramètre de blocage de l’accès public pour les instantanés**
Utilisez la commande [get-snapshot-block-public-access-state](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-snapshot-block-public-access-state.html).
+ Pour une région spécifique
```
aws ec2 get-snapshot-block-public-access-state
```
Dans cet exemple de sortie, le `ManagedBy` champ indique l'entité qui a configuré le paramètre et `account` indique que le paramètre a été configuré directement dans le compte. Une valeur de `declarative-policy` signifierait que le paramètre a été configuré par une politique déclarative. Pour plus d’informations, consultez la rubrique [Politiques déclaratives](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) dans le *Guide de l’utilisateur AWS Organizations *.
```
{
"State": "unblocked",
"ManagedBy": "account"
}
```
+ Pour toutes les régions
```
echo -e "Region \t Public Access State" ; \
echo -e "-------------- \t ----------------------" ; \
for region in $(
aws ec2 describe-regions \
--region us-east-1 \
--query "Regions[*].[RegionName]" \
--output text
);
do (output=$(
aws ec2 get-snapshot-block-public-access-state \
--region $region \
--output text)
echo -e "$region \t $output"
);
done
```
Voici un exemple de sortie.
```
Region Public Access State
-------------- ----------------------
ap-south-1 unblocked
eu-north-1 unblocked
eu-west-3 unblocked
```
------
#### [ PowerShell ]
**Pour afficher le paramètre de blocage de l’accès public pour les instantanés**
Utilisez l'[Get-EC2SnapshotBlockPublicAccessState](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SnapshotBlockPublicAccessState.html)applet de commande.
+ Pour une région spécifique
```
Get-EC2SnapshotBlockPublicAccessState -Region us-east-1
```
Voici un exemple de sortie.
```
Value
-----
block-new-sharing
```
+ Pour toutes les régions
```
(Get-EC2Region -Region us-east-1).RegionName | `
ForEach-Object {
[PSCustomObject]@{
Region = $_
PublicAccessState = (Get-EC2SnapshotBlockPublicAccessState -Region $_)
}
} | Format-Table -AutoSize
```
Voici un exemple de sortie.
```
Region Public Access State
-------------- ----------------------
ap-south-1 unblocked
eu-north-1 unblocked
eu-west-3 unblocked
...
```
------
# Désactiver le blocage de l'accès public pour les instantanés Amazon EBS
Désactivez le blocage de l’accès public pour les instantanés pour autoriser le partage public des instantanés dans la région. Une fois cette fonctionnalité désactivée, les utilisateurs peuvent partager publiquement des instantanés dans la région.
**Important**
L'activation du blocage de l'accès public pour *les instantanés en mode de partage* complet ne modifie pas les autorisations pour les instantanés déjà partagés publiquement. À la place, ces instantanés ne sont plus visibles et accessibles au public. Les attributs de ces instantanés indiquent donc toujours qu’ils sont partagés publiquement, même s’ils ne sont pas accessibles au public.
Si vous désactivez le blocage de l'accès public, ces instantanés seront à nouveau accessibles au public.
**Note**
Ce paramètre est configuré au niveau du compte, soit directement dans le compte, soit à l’aide d’une politique déclarative. Il doit être configuré dans chaque Région AWS endroit où vous souhaitez autoriser le partage public des instantanés. L’utilisation d’une politique déclarative vous permet d’appliquer le paramètre à plusieurs régions simultanément, ainsi qu’à plusieurs comptes simultanément. Lorsqu’une politique déclarative est utilisée, vous ne pouvez pas modifier le paramètre directement dans un compte. Cette rubrique décrit comment configurer le paramètre directement dans un compte. Pour plus d’informations sur l’utilisation des politiques déclaratives, consultez la section [Politiques déclaratives](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) dans le *Guide de l’utilisateur AWS Organizations *.
------
#### [ Console ]
**Pour désactiver le blocage de l’accès public pour les instantanés**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le volet de navigation, choisissez **Tableau de bord EC2**, puis dans **Attributs du compte** (sur le côté droit), choisissez **Protection et sécurité des données**.
1. Dans la section **Bloquer l’accès public pour les instantanés EBS**, choisissez **Gérer**.
1. Effacez **Bloquer l’accès public** et choisissez **Enregistrer**.
------
#### [ AWS CLI ]
**Pour désactiver le blocage de l’accès public pour les instantanés**
Utilisez la commande [disable-snapshot-block-public-access](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-snapshot-block-public-access.html).
+ Pour une région spécifique
```
aws ec2 disable-snapshot-block-public-access --region us-east-1
```
Voici un exemple de sortie.
```
{
"State": "unblocked"
}
```
+ Pour toutes les régions
```
echo -e "Region \t Public Access State" ; \
echo -e "-------------- \t ----------------------" ; \
for region in $(
aws ec2 describe-regions \
--region us-east-1 \
--query "Regions[*].[RegionName]" \
--output text
);
do (output=$(
aws ec2 disable-snapshot-block-public-access \
--region $region \
--output text)
echo -e "$region \t $output"
);
done
```
Voici un exemple de sortie.
```
Region Public Access State
-------------- ----------------------
ap-south-1 unblocked
eu-north-1 unblocked
eu-west-3 unblocked
```
------
#### [ PowerShell ]
**Pour désactiver le blocage de l’accès public pour les instantanés**
Utilisez l'[Disable-EC2SnapshotBlockPublicAccess](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2SnapshotBlockPublicAccess.html)applet de commande.
+ Pour une région spécifique
```
Disable-EC2SnapshotBlockPublicAccess -Region us-east-1
```
Voici un exemple de sortie.
```
Value
-----
unblocked
```
+ Pour toutes les régions
```
(Get-EC2Region -Region us-east-1).RegionName | `
ForEach-Object {
[PSCustomObject]@{
Region = $_
PublicAccessState = (Disable-EC2SnapshotBlockPublicAccess -Region $_)
}
} | `
Format-Table -AutoSize
```
Voici un exemple de sortie.
```
Region PublicAccessState
------ -----------------
ap-south-1 unblocked
eu-north-1 unblocked
eu-west-3 unblocked
...
```
------
# Surveillez le blocage de l'accès public aux instantanés Amazon EBS à l'aide de EventBridge
Amazon EBS émet des événements liés au blocage de l’accès public pour les instantanés. Vous pouvez utiliser AWS Lambda Amazon EventBridge pour gérer les notifications d'événements par programmation. Les événements sont générés dans la mesure du possible. Pour plus d'informations, consultez le [guide de EventBridge l'utilisateur Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
Les événements suivants sont émis :
+ Activation du blocage de l’accès public pour les instantanés en mode bloquer tous les partages
```
{
"version": "0",
"id": "01234567-0123-0123-0123-012345678901",
"detail-type": "EBS Snapshot Block Public Access Enabled",
"source": "aws.ec2",
"account": "123456789012",
"time": "2019-05-31T21:49:54Z",
"region": "us-east-1",
"detail": {
"SnapshotBlockPublicAccessState": "block-all-sharing",
"message": "Block Public Access was successfully enabled in 'block-all-sharing' mode"
}
}
```
+ Activation du blocage de l’accès public pour les instantanés en mode bloquer les nouveaux partages
```
{
"version": "0",
"id": "01234567-0123-0123-0123-012345678901",
"detail-type": "EBS Snapshot Block Public Access Enabled",
"source": "aws.ec2",
"account": "123456789012",
"time": "2019-05-31T21:49:54Z",
"region": "us-east-1",
"detail": {
"SnapshotBlockPublicAccessState": "block-new-sharing",
"message": "Block Public Access was successfully enabled in 'block-new-sharing' mode"
}
}
```
+ Désactivation du blocage de l’accès public pour les instantanés
```
{
"version": "0",
"id": "01234567-0123-0123-0123-012345678901",
"detail-type": "EBS Snapshot Block Public Access Disabled",
"source": "aws.ec2",
"account": "123456789012",
"time": "2019-05-31T21:49:54Z",
"region": "us-east-1",
"detail": {
"SnapshotBlockPublicAccessState": "unblocked",
"message": "Block Public Access was successfully disabled"
}
}
```