Bien démarrer avec S3 Access Grants

Amazon S3 Access Grants est une fonctionnalité Amazon S3 qui fournit une solution de contrôle d’accès évolutive pour vos données S3. S3 Access Grants est un fournisseur d’informations d’identification S3, ce qui signifie que vous enregistrez avec lui votre liste d’octrois et le niveau d’accès. Par la suite, lorsque des utilisateurs ou des clients ont besoin d’accéder à vos données S3, ils demandent d’abord leurs informations d’identification à S3 Access Grants. S’il existe un octroi correspondant qui autorise l’accès, S3 Access Grants propose des informations d’identification d’accès temporaires de moindre privilège. Les utilisateurs ou les clients peuvent alors utiliser les informations d’identification proposées par S3 Access Grants pour accéder à vos données S3. Dans cette optique, si vos exigences en matière de données S3 nécessitent une configuration d’autorisations complexe ou importante, vous pouvez utiliser S3 Access Grants pour mettre à l’échelle les autorisations de données S3 pour les utilisateurs, les groupes, les rôles et les applications.

Dans la plupart des cas d’utilisation, vous pouvez gérer le contrôle d’accès pour vos données S3 en utilisant Gestion des identités et des accès AWS (IAM) avec des stratégies de compartiment ou des politiques basées sur l’identité IAM.

Toutefois, si vous avez des exigences complexes en matière de contrôle d’accès S3, telles que les suivantes, vous pourriez tirer un grand avantage de l’utilisation de S3 Access Grants :

Vous êtes confronté à la limite de taille de 20 Ko fixée par la stratégie de compartiment.
Vous accordez aux identités humaines, telles que les utilisateurs et groupes Microsoft Entra ID (anciennement Azure Active Directory), Okta ou Ping, l’accès aux données S3 pour l’analytique et le big data.
Vous devez fournir un accès intercompte sans mettre à jour fréquemment les politiques IAM.
Vos données sont non structurées et de niveau objet au lieu d’être structurées, dans un format de lignes et de colonnes.

Le flux de travail de S3 Access Grants est le suivant :

Étapes	Description
1	Création d’une instance S3 Access Grants Pour commencer, lancez une instance S3 Access Grants qui contiendra vos autorisations d’accès individuelles.
2	Enregistrement d’un emplacement Ensuite, enregistrez un emplacement de données S3 (tel que l’emplacement par défaut, `s3://`), puis spécifiez un rôle IAM par défaut que S3 Access Grants endosse lorsqu’il fournit l’accès à l’emplacement de données S3. Vous pouvez également ajouter des emplacements personnalisés à des compartiments ou à des préfixes spécifiques, et les mapper à des rôles IAM personnalisés.
3	Création d’octrois Créez des octrois d’autorisation individuels. Spécifiez dans ces octrois d’autorisation l’emplacement S3 enregistré, la portée de l’accès aux données au sein de cet emplacement, l’identité du bénéficiaire et son niveau d’accès (`READ`, `WRITE` ou `READWRITE`).
4	Demande d’accès aux données S3 Lorsque les utilisateurs, les applications et les Services AWS souhaitent accéder aux données S3, ils effectuent d’abord une demande d’accès. S3 Access Grants détermine si la demande doit être autorisée. S’il existe une autorisation correspondante qui autorise l’accès, S3 Access Grants utilise le rôle IAM de l’emplacement enregistré associé à cette autorisation pour proposer des informations d’identification temporaires en retour au demandeur.
5	Accédez aux données S3 Les applications utilisent les informations d’identification temporaires proposées par S3 Access Grants pour accéder aux données S3.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

S3 Access Grants et identités d’annuaire d’entreprise

Utilisation de S3 Access Grants