Gestion de l'accès aux points d'accès - FSx pour ONTAP
Identité et autorisation des utilisateurs du système de fichiersAutorisation de demande d'API S3S3 Block Public AccessPolitiques relatives aux points d'accès IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion de l'accès aux points d'accès

Vous pouvez configurer chaque point d'accès S3 avec des autorisations et des contrôles réseau distincts que S3 applique à toute demande effectuée à l'aide de ce point d'accès. Les points d'accès S3 prennent en charge les politiques de ressources Gestion des identités et des accès AWS (IAM) que vous pouvez utiliser pour contrôler l'utilisation du point d'accès par ressource, par utilisateur ou selon d'autres conditions. Pour qu'une application ou un utilisateur puisse accéder à des fichiers via un point d'accès, le point d'accès et le volume sous-jacent doivent autoriser la demande. Pour de plus amples informations, veuillez consulter Politiques relatives aux points d'accès IAM.

Les points d'accès Amazon S3 FSx pour ONTAP utilisent un modèle d'autorisation à double couche qui combine les autorisations AWS IAM avec les autorisations au niveau du système de fichiers. Cette approche garantit que les demandes d'accès aux données sont correctement autorisées à la fois au niveau du AWS service et au niveau du système de fichiers sous-jacent.

Pour qu'une application ou un utilisateur puisse accéder aux données via un point d'accès, la politique du point d'accès S3 et le volume sous-jacent FSx du volume ONTAP doivent autoriser la demande.

Identité et autorisation des utilisateurs du système de fichiers

Lorsque vous créez un point d'accès S3 pour un volume FSx for ONTAP, vous spécifiez une identité de système de fichiers qui sera utilisée pour autoriser toutes les demandes de système de fichiers effectuées via ce point d'accès. Cette identité de système de fichiers détermine le niveau d'accès accordé aux fichiers et répertoires sous-jacents en fonction du modèle d'autorisation du système de fichiers. L'utilisateur du système de fichiers est un compte utilisateur sur le système de FSx fichiers Amazon sous-jacent. Si l'utilisateur du système de fichiers dispose d'un accès en lecture seule, seules les demandes de lecture effectuées via le point d'accès sont autorisées et les demandes d'écriture sont bloquées. Si l'utilisateur du système de fichiers dispose d'un accès en lecture-écriture, les demandes de lecture et d'écriture adressées au volume attaché à l'aide du point d'accès sont autorisées.

L'identité du système de fichiers peut être de deux types :

  • Identité UNIX : utilisez une identité UNIX (nom d'utilisateur) pour accéder à des volumes avec le style de sécurité UNIX

  • Identité Windows : utilisez une identité Windows (domaine et nom d'utilisateur) pour accéder à des volumes avec le style de sécurité NTFS.

Lorsque vous spécifiez une identité UNIX ou Windows, toutes les opérations de l'API S3 effectuées via le point d'accès sont autorisées à l'aide des autorisations de cet utilisateur sur le système de fichiers.

L'identité du système de fichiers que vous associez au point d'accès détermine le niveau d'accès aux fichiers et aux répertoires. Par exemple, si vous associez le point d'accès à l'identité UNIX racine (UID 0), qui dispose généralement d'autorisations d'accès complètes aux fichiers sur le système de fichiers, toutes les opérations sur les fichiers seront autorisées. Inversement, si vous associez le point d'accès à une identité utilisateur restreinte, les opérations sur les fichiers seront limitées à ce à quoi cet utilisateur peut accéder en fonction du modèle d'autorisation du système de fichiers.

Vous devez utiliser le type d'identité du système de fichiers UNIX pour les volumes dotés du style de sécurité UNIX et le type d'identité Windows pour les volumes dotés du style de sécurité NTFS. Cet alignement garantit que le modèle d'autorisation correspond à la configuration de sécurité du volume.

Pour les volumes de style de sécurité UNIX, le système de fichiers utilise des bits de mode ou NFSv4 ACLs pour contrôler l'accès. Pour les volumes de style de sécurité NTFS, le système de fichiers utilise Windows ACLs pour contrôler l'accès.

Important

L'attachement d'un point d'accès S3 à un volume FSx for ONTAP ne modifie pas le comportement du volume lorsque celui-ci est accessible directement via NFS ou SMB. Toutes les opérations existantes par rapport au volume continueront de fonctionner comme avant. Les restrictions que vous incluez dans une politique de point d'accès S3 s'appliquent uniquement aux demandes effectuées à l'aide du point d'accès.

Autorisation de demande d'API S3

Lorsque vous faites une demande d'API S3 via un point d'accès attaché à un volume FSx for NetApp ONTAP, Amazon S3 évalue les autorisations IAM du principal appelant par rapport à la politique de ressources IAM du point d'accès. L'appelant principal IAM doit disposer des autorisations nécessaires accordées par le biais de ses politiques basées sur l'identité, et la politique de ressources du point d'accès doit également autoriser l'action demandée.

Amazon S3 évalue toutes les politiques pertinentes, y compris les politiques relatives aux utilisateurs, aux points d'accès, aux points de terminaison VPC et aux politiques de contrôle des services, afin de déterminer s'il convient d'autoriser la demande.

Vous pouvez également configurer un point d'accès S3 pour n'accepter que les demandes provenant d'un cloud privé virtuel (VPC) spécifique afin de restreindre l'accès aux données. Pour de plus amples informations, veuillez consulter Création de points d’accès restreints à un virtual private cloud.

S3 Block Public Access

Les points d'accès Amazon S3 attachés à un volume FSx for ONTAP sont automatiquement configurés avec le blocage de l'accès public activé, ce que vous ne pouvez pas modifier.

Politiques relatives aux points d'accès IAM

Les points d'accès Amazon S3 prennent en charge les politiques de ressources Gestion des identités et des accès AWS (IAM) qui vous permettent de contrôler l'utilisation du point d'accès par ressource, par utilisateur ou selon d'autres conditions. Pour qu'une application ou un utilisateur puisse accéder à des objets via un point d'accès, le point d'accès et la source de données sous-jacente doivent autoriser la demande.

L's3:PutAccessPointPolicyautorisation est requise pour créer une politique de point d'accès facultative.

Une fois que vous avez attaché un point d'accès S3 à un FSx volume Amazon, toutes les opérations existantes sur le volume continueront de fonctionner comme avant. Les restrictions que vous incluez dans une stratégie de point d’accès s’appliquent uniquement aux demandes effectuées via ce point d’accès. Pour plus d'informations, reportez-vous à la section Configuration des stratégies IAM pour l'utilisation des points d'accès dans le Guide de l'utilisateur Amazon Simple Storage Service.

Vous pouvez configurer une politique de point d'accès lorsque vous créez un point d'accès attaché à un volume FSx for ONTAP à l'aide de la FSx console Amazon. Pour ajouter, modifier ou supprimer une politique de point d'accès sur un point d'accès S3 existant, vous pouvez utiliser la console, la CLI ou l'API S3.