Configuration d’administrateur - Amazon Quick
Accorder à Amazon Quick l'accès aux compartiments Amazon S3Préparation de la configuration des rôles et des politiques IAMConfigurer l'accès VPC pour le connecteur Amazon S3 dans Amazon QuickRestreindre l'accès au compartiment Amazon S3 avec des attributions de politiques IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration d’administrateur

Avant que les utilisateurs puissent créer des intégrations et des bases de connaissances Amazon S3, un administrateur Amazon Quick doit effectuer les tâches de configuration suivantes.

Accorder à Amazon Quick l'accès aux compartiments Amazon S3

Accordez à Amazon Quick l'accès aux compartiments Amazon S3 dont votre organisation a besoin. Cela s'applique que les buckets se trouvent sur le même AWS compte ou sur un compte différent.

  1. Dans la console d'administration Amazon Quick, sous Autorisations, sélectionnez AWS les ressources.

  2. Sous Autoriser l'accès et la découverte automatique pour ces ressources, cochez la case Amazon S3.

  3. Choisissez Sélectionner les compartiments S3.

  4. Dans la boîte de dialogue Select Amazon S3 buckets, choisissez l'onglet correspondant à l'emplacement de votre bucket :

    • Compartiments S3 liés à un compte Quick : sélectionnez les compartiments dans la liste auxquels vous souhaitez qu'Amazon Quick accède. Les compartiments sélectionnés disposent d'autorisations en lecture seule par défaut.

    • Compartiments S3 auxquels vous pouvez accéder AWS— Pour les compartiments multicomptes, assurez-vous que le propriétaire du compte a autorisé votre compte. Choisissez Utiliser un compartiment différent, entrez le nom du compartiment, puis choisissez Ajouter un compartiment S3.

  5. (Facultatif) Pour les buckets multi-comptes, sélectionnez Restreindre l'accès au bucket au créateur de la base de connaissances pour limiter l'accès afin que seul l'utilisateur qui crée la base de connaissances puisse utiliser le bucket.

  6. Choisissez Finish (Terminer).

Les compartiments sélectionnés sont désormais accessibles aux utilisateurs lors de la création de la base de connaissances.

Préparation de la configuration des rôles et des politiques IAM

L'intégration Amazon S3 utilise AWS l'authentification pour accéder à vos compartiments Amazon S3. Préparez la configuration de votre rôle et de votre politique IAM avant que les utilisateurs ne configurent l'intégration.

Autorisations IAM requises

Assurez-vous que votre AWS compte dispose des autorisations minimales suivantes pour le compartiment Amazon S3 :

  • s3:GetObject— Lit des objets depuis le compartiment.

  • s3:ListBucket— Répertoriez le contenu du bucket.

  • s3:GetBucketLocation— Obtenez des informations sur la région du bucket.

  • s3:GetObjectVersion— Récupère les versions des objets.

  • s3:ListBucketVersions— Répertorie les versions des compartiments.

Configurer les autorisations du compartiment Amazon S3 pour l'accès entre comptes

Si vous accédez aux compartiments Amazon S3 via un autre AWS compte, vous devez configurer les politiques IAM dans le compte source AWS .

Pour configurer les autorisations du compartiment Amazon S3 pour l'accès entre comptes

  1. Connectez-vous à la console AWS de gestion du compte qui contient le compartiment Amazon S3.

  2. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  3. Choisissez le bucket auquel vous souhaitez accorder l'accès.

  4. Choisissez Autorisations, puis Stratégie de compartiment.

  5. Ajoutez une politique de compartiment contenant les éléments suivants :

    • Version— Réglé sur « 2012-10-17"

    • Statement— Tableau contenant des déclarations de politique avec :

      • Sid— « Accès AllowQuickSuite S3 »

      • Effect— « Autoriser »

      • Principal— AWS ARN pour le rôle de service Amazon Quick dans votre compte. Par exemple, le principal devrait ressembler à ceci : "Principal": { "AWS": "arn:aws:iam::<quick_account_id>:role/service-role/aws-quicksight-service-role-v0" }

      • Action— Tableau des autorisations Amazon S3 : s3 :GetObject, s3 :ListBucket, s3 :GetBucketLocation, s3 :GetObjectVersion, s3 : ListBucketVersions

      • Resource— « * » (s'applique à la clé actuelle), le chemin du compartiment Amazon S3 doit ressembler à ce qui suit : "Resource": [ "arn:aws:s3:::bucket_name"]

  6. Sélectionnez Enregistrer les modifications.

Configurer les autorisations relatives aux clés KMS (si votre compartiment utilise le chiffrement)

Si votre compartiment Amazon S3 utilise le chiffrement AWS KMS, procédez comme suit.

Pour configurer les autorisations clés KMS

  1. Ouvrez la console du service de gestion des AWS clés (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

  2. Choisissez la clé KMS utilisée pour chiffrer votre compartiment Amazon S3.

  3. Choisissez Key policy (Stratégie de clé), puis Edit (Modifier).

  4. Ajoutez une déclaration à la politique clé avec les éléments structurels suivants :

    • Sid – "AllowQuickSuiteKMSAccess"

    • Effect— « Autoriser »

    • Principal— AWS ARN pour le rôle de service Amazon Quick dans votre compte. Par exemple, le principal devrait ressembler à ceci : "Principal": { "AWS": "arn:aws:iam::<quick_account_id>:role/service-role/aws-quicksight-service-role-v0" }

    • Action— Tableau d'autorisations KMS : kms: Déchiffrer, kms: DescribeKey

    • Resource— « * » (s'applique à la clé actuelle), le chemin du compartiment Amazon S3 doit ressembler à ce qui suit : "Resource": [ "arn:aws:s3:::bucket_name"]

  5. Sélectionnez Enregistrer les modifications.

  6. Attendez 2 à 3 minutes pour que les modifications de politique se propagent.

Configurer l'accès VPC pour le connecteur Amazon S3 dans Amazon Quick

Les autorisations VPC garantissent qu'Amazon Quick ne peut accéder à votre compartiment Amazon S3 que par le biais de connexions VPC ou de point de terminaison VPC sécurisées.

Modification de politique requise

Ajoutez cette déclaration à votre politique d'accès au compartiment pour permettre à Amazon Quick d'accéder à votre compartiment via des points de terminaison VPC :

{
  "Sid": "Allow-Quick-access"		 	 	 ,
  "Principal": "arn:aws:iam::Quick Account:role/service-role/aws-quicksight-service-role-v0",
  "Action": "s3:*",
  "Effect": "Allow",
  "Resource": [
    "arn:aws:s3:::amzn-s3-demo-bucket",
    "arn:aws:s3:::amzn-s3-demo-bucket/*"
  ],
  "Condition": {
    "Null": {
      "aws:SourceVpce": "false"
    }
  }
}

  • amzn-s3-demo-bucketRemplacez-le par le nom de votre compartiment.

  • Quick AccountRemplacez-le par votre compte Amazon Quick.

Cette "aws:SourceVpce": "false" condition garantit qu'Amazon Quick ne peut accéder à votre compartiment que via des points de terminaison VPC, tout en respectant vos exigences de sécurité.

Politiques de refus

Si votre compartiment dispose d'une politique qui restreint le trafic vers un VPC ou un point de terminaison VPC spécifique via une politique de refus, vous devez inverser cette politique car les politiques de refus ont priorité sur les politiques d'autorisation.

Par exemple :

{
   "Version":"2012-10-17"		 	 	 ,                   
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
                    "arn:aws:s3:::amzn-s3-demo-bucket/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpce": "vpce-0abcdef1234567890"
         }
       }
     }
   ]
}

Doit être inversé en :

{
   "Version":"2012-10-17"		 	 	 ,                   
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Allow",
       "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
                    "arn:aws:s3:::amzn-s3-demo-bucket/*"],
       "Condition": {
         "StringEquals": {
           "aws:SourceVpce": "vpce-0abcdef1234567890"
         }
       }
     }
   ]
}

Bonnes pratiques

Restreindre l'accès à votre rôle Amazon Quick

Les politiques d'accès doivent garantir que l'appelant est l'ARN de votre rôle Amazon Quick ou, au minimum, votre compte Amazon Quick. Cela garantit que, malgré l'autorisation du trafic VPC, les appels proviennent uniquement des sources attendues.

Recommandations en matière de sécurité

  • Limitez les politiques à votre rôle Amazon Quick pour un trafic plus sécurisé

  • Passez régulièrement en revue vos politiques relatives aux compartiments pour vous assurer qu'elles respectent le principe du moindre privilège

Restreindre l'accès au compartiment Amazon S3 avec des attributions de politiques IAM

Vous pouvez contrôler les compartiments Amazon S3 que vos utilisateurs Amazon Quick peuvent utiliser pour créer des bases de connaissances en créant des politiques IAM et en les attribuant à des utilisateurs spécifiques, à des groupes ou à tous les utilisateurs via les attributions de politiques Amazon Quick IAM. Cela vous permet de limiter les personnes autorisées à créer des bases de connaissances par rapport à des compartiments spécifiques, y compris les bases de connaissances compatibles ACL.

Note

Les politiques IAM attribuées via Amazon Quick ont priorité sur les politiques au niveau des AWS ressources. Pour vous assurer que vos exigences d'accès sont satisfaites, configurez vos politiques IAM de manière appropriée.

Par exemple, vous pouvez attribuer une politique restrictive à des utilisateurs spécifiques qui ont besoin d'accéder à des compartiments compatibles ACL, tout en assignant une politique plus large à tous les utilisateurs pour les compartiments non ACL.

Étape 1 : créer une politique d'accès Amazon S3 dans IAM

Créez une politique IAM dans la console AWS IAM qui définit les compartiments Amazon S3 auxquels les utilisateurs peuvent accéder pour créer une base de connaissances. L'exemple de politique suivant accorde l'accès à deux compartiments spécifiques :

{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1",
                "arn:aws:s3:::amzn-s3-demo-bucket-2"
            ]
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-2/*"
            ]
        },
        {
            "Action": [
                "s3:ListBucketMultipartUploads",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1",
                "arn:aws:s3:::amzn-s3-demo-bucket-2"
            ]
        },
        {
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-2/*"
            ]
        }
    ]
}

Remplacez amzn-s3-demo-bucket-1 et amzn-s3-demo-bucket-2 par les noms des compartiments Amazon S3 auxquels vous souhaitez accorder l'accès.

Étape 2 : attribuer la politique dans Amazon Quick

Après avoir créé la politique IAM, attribuez-la aux utilisateurs ou aux groupes Amazon Quick.

  1. Dans la console d'administration Amazon Quick, sous Autorisations, choisissez les attributions de politiques IAM.

  2. Choisissez Ajouter une nouvelle mission.

  3. Entrez le nom de l'assignation.

  4. Sur la page Sélectionnez une stratégie IAM, recherchez et sélectionnez la stratégie IAM que vous avez créée à l'étape 1. Choisissez Suivant.

  5. Sur la page Attribuer des utilisateurs et des groupes, sélectionnez l'une des options suivantes :

    • Sélectionnez Attribuer à tous les utilisateurs et groupes pour appliquer la politique à tous les utilisateurs actuels et futurs.

    • Recherchez et sélectionnez des utilisateurs ou des groupes spécifiques auxquels attribuer la politique.

    Choisissez Suivant.

  6. Sur la page Vérifier et activer les modifications, vérifiez les détails de votre affectation et choisissez Enregistrer et activer.

Les utilisateurs auxquels l'accès n'est pas explicitement accordé par le biais d'une attribution de politique IAM ne pourront pas accéder aux compartiments Amazon S3 restreints pour créer des intégrations ou des bases de connaissances.