Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration des rôles IAM pour les applications Web Transfer Family
Vous aurez besoin de deux rôles : un à utiliser comme rôle de porteur d'identité pour votre application Web, et un second à utiliser pour configurer une autorisation d'accès. Un rôle de porteur d'identité est un rôle qui inclut l'identité d'un utilisateur authentifié dans ses sessions. Il est utilisé pour demander à S3 Access Grants l'accès aux données au nom de l'utilisateur.
Note
Vous pouvez ignorer la procédure de création d'un rôle de porteur d'identité. Pour plus d'informations sur la création par le service Transfer Family du rôle de porteur d'identité, consultezCréation d'une application Web Transfer Family.
Vous pouvez ignorer la procédure de création d'un rôle d'autorisation d'accès. Dans la procédure de création d'une autorisation d'accès, à l'étape où vous enregistrez un emplacement S3, choisissez Create new role.
Créez un rôle de porteur d'identité
Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/
l'adresse. -
Choisissez Rôles, puis Créer un rôle.
-
Choisissez Politique de confiance personnalisée, puis collez le code suivant.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service":"transfer.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] } -
Choisissez Suivant, puis ignorez Ajouter des autorisations et sélectionnez à nouveau Suivant.
-
Entrez un nom, par exemple
web-app-identity-bearer. -
Choisissez Créer un rôle pour créer le rôle du porteur d'identité.
-
Choisissez le rôle que vous venez de créer dans la liste, puis dans le panneau Politiques d'autorisations, choisissez Ajouter des autorisations > Créer une politique intégrée.
-
Dans l'éditeur de politiques, sélectionnez JSON, puis collez le bloc de code suivant.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetDataAccess", "s3:ListCallerAccessGrants", "s3:ListAccessGrantsInstances" ], "Resource": "*" } ] } -
Pour le nom de la stratégie, entrez
AllowS3AccessGrants, puis sélectionnez Créer une politique.
Ensuite, vous créez le rôle que S3 Access Grants assume pour vendre des informations d'identification temporaires au bénéficiaire.
Note
Si vous autorisez le service à créer le rôle de porteur d'identité pour vous, ce rôle complique la protection des adjoints. Son code est donc différent de celui affiché ici.
Création d'un rôle d'autorisation d'accès
Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/
l'adresse. -
Choisissez Rôles, puis Créer un rôle. Ce rôle doit être autorisé à accéder à vos données S3 dans le Région AWS.
-
Choisissez Politique de confiance personnalisée, puis collez le code suivant.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "access-grants.s3.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] } -
Choisissez Suivant pour ajouter une politique minimale, comme décrit dans Enregistrer un emplacement. Bien que cela ne soit pas recommandé, vous pouvez ajouter la politique FullAccess gérée d'AmazonS3, qui peut être trop permissive par rapport à vos besoins.
-
Choisissez Next, puis entrez un nom (par exemple
access-grants-location). -
Choisissez Create role pour créer le rôle.
Note
Si vous autorisez le service à créer le rôle d'autorisation d'accès pour vous, ce rôle crée une confusion dans la protection des adjoints. Son code est donc différent de celui affiché ici.
