Contrôle d’accès dans Amazon S3 - Amazon Simple Storage Service
Ressources S3IdentitésOutils de gestion des accèsActionsCas d’utilisation de la gestion des accèsRésolution des problèmes de gestion d’accès

Contrôle d’accès dans Amazon S3

Dans AWS, une ressource est une entité que vous pouvez utiliser. Dans Amazon Simple Storage Service (S3), les compartiments et les objets sont les ressources Amazon S3 d’origine. Tous les clients de S3 possèdent généralement des compartiments contenant des objets. Au fur et à mesure que de nouvelles fonctionnalités ont été ajoutées à S3, des ressources supplémentaires ont également été ajoutées, mais tous les clients n’utilisent pas ces ressources spécifiques aux fonctionnalités. Pour plus d’informations sur les ressources Amazon S3, consultez Ressources S3.

Par défaut, toutes les ressources Amazon S3 sont privées. Par défaut également, l’utilisateur racine du Compte AWS qui a créé la ressource (propriétaire de la ressource) et les utilisateurs IAM de ce compte disposant des autorisations nécessaires peuvent accéder à une ressource qu’ils ont créée. Le propriétaire de la ressource décide qui d’autre peut y accéder, ainsi que les actions que ces tiers sont autorisés à effectuer au niveau de cette ressource. S3 propose divers outils de gestion des accès que vous pouvez utiliser pour accorder à des tiers l’accès à vos ressources S3.

Les sections suivantes présentent un aperçu des ressources S3, des outils de gestion des accès S3 disponibles et des cas d’utilisation les plus adaptés à chaque outil de gestion des accès. Les listes de ces sections visent à être exhaustives et incluent toutes les ressources S3, tous les outils de gestion des accès et tous les cas d’utilisation courants liés à la gestion des accès. Dans le même temps, ces sections sont conçues pour être des répertoires qui vous mèneront aux détails techniques que vous souhaitez. Si vous comprenez bien certaines des rubriques suivantes, vous pouvez passer directement à la section qui vous concerne.

Pour plus d’informations sur les autorisations relatives aux opérations d’API S3 par type de ressource S3, consultez Autorisations requises pour les opérations d’API Amazon S3.

Rubriques

Ressources S3

Les ressources Amazon S3 d’origine sont les compartiments et les objets qu’ils contiennent. Au fur et à mesure que de nouvelles fonctionnalités sont ajoutées à S3, de nouvelles ressources sont également ajoutées. La liste suivante est une liste complète des ressources S3 et de leurs fonctionnalités respectives.

Type de ressource Fonctionnalité d’Amazon S3 Description

bucket

Fonctions de base

Un compartiment est un conteneur d’objets. Pour stocker un ou plusieurs objets dans S3, créez un compartiment, puis chargez-y les objets souhaités. Pour plus d’informations, consultez Création, configuration et utilisation de compartiments Amazon S3.

object

Un objet peut être un fichier et toutes les métadonnées qui décrivent ce fichier. Lorsqu’un objet se trouve dans le compartiment, vous pouvez l’ouvrir, le télécharger et le déplacer. Pour plus d’informations, consultez Utilisation des objets dans Amazon S3.

accesspoint

Points d’accès

Les points d’accès sont des points de terminaison réseau associés à des compartiments que vous pouvez utiliser pour effectuer des opérations Amazon S3 sur des objets, notamment GetObject et PutObject. Chaque point d’accès possède des autorisations, des contrôles réseau et une stratégie de point d’accès personnalisée distincts, qui fonctionne conjointement avec la stratégie de compartiment attachée au compartiment sous-jacent. Vous pouvez configurer n’importe quel point d’accès pour n’accepter que les demandes provenant d’un cloud privé virtuel (VPC) ou configurer des paramètres de blocage de l’accès public personnalisés pour chaque point d’accès. Pour plus d’informations, consultez Gestion de l’accès aux jeux de données avec des points d’accès .

objectlambdaaccesspoint

Un point d’accès Object Lambda est un point d’accès de compartiment qui est également associé à une fonction Lambda. Avec un point d’accès Object Lambda, vous pouvez ajouter votre propre code aux demandes Amazon S3 GET, LIST et HEAD afin de modifier et de traiter les données lorsqu’elles sont renvoyées vers une application. Pour plus d’informations, consultez Création de points d’accès Object Lambda.

multiregionaccesspoint

Les points d’accès multi-régions fournissent un point de terminaison global que les applications peuvent utiliser pour traiter les demandes provenant de compartiments Amazon S3 situés dans plusieurs régions AWS. Vous pouvez utiliser des points d’accès multi-régions pour créer des applications multi-régions avec la même architecture utilisée dans une seule région, puis exécuter ces applications partout dans le monde. Au lieu d’envoyer des demandes sur l’Internet public congestionné, les demandes d’application adressées à un point de terminaison global de point d’accès multi-régions acheminent automatiquement les données via le réseau AWS mondial vers le compartiment Amazon S3 le plus proche. Pour plus d’informations, consultez Gestion du trafic multirégional avec des points d’accès multirégionaux.

job

S3 Batch Operations

Une tâche est une ressource de S3 Batch Operations. Vous pouvez utiliser S3 Batch Operations pour effectuer des opérations par lot à grande échelle sur des objets Amazon S3 que vous spécifiez. Amazon S3 suit la progression de la tâche Batch Operations, envoie des notifications et stocke un rapport d’achèvement détaillé de toutes les actions, offrant ainsi une expérience sans serveur entièrement gérée et qui peut être vérifiée. Pour plus d’informations, consultez Exécution d’opérations groupées sur des objets avec Batch Operations.

storagelensconfiguration

S3 Storage Lens

Une configuration S3 Storage Lens collecte des métriques de stockage et des données utilisateur à l’échelle de l’organisation entre les différents comptes. S3 Storage Lens fournit aux administrateurs une vue unique de l’utilisation et de l’activité du stockage des objets sur des centaines, voire des milliers, de comptes au sein d’une organisation, avec des détails permettant de générer des informations exploitables à plusieurs niveaux d’agrégation. Pour plus d’informations, consultez Évaluer l’activité et l’utilisation de votre stockage avec Amazon S3 Storage Lens.

storagelensgroup

Un groupe S3 Storage Lens regroupe les métriques à l’aide de filtres personnalisés basés sur les métadonnées des objets. Les groupes S3 Storage Lens vous permettent d’analyser les caractéristiques de vos données, telles que la répartition des objets par ancienneté, les types de fichiers les plus courants, etc. Pour plus d’informations, consultez Utilisation des groupes S3 Storage Lens pour filtrer et agréger des métriques.

accessgrantsinstance

S3 Access Grants

Une instance S3 Access Grants est un conteneur pour les autorisations S3 que vous créez. Avec S3 Access Grants, vous pouvez créer des autorisations pour vos données Amazon S3 pour les identités IAM au sein de votre compte, les identités IAM dans d’autres comptes (autorisations intercomptes) et les identités d’annuaire ajoutées à AWS IAM Identity Center à partir de votre annuaire d’entreprise. Pour plus d’informations sur S3 Access Grants, consultez Gestion de l’accès avec S3 Access Grants.

accessgrantslocation

Un emplacement d’autorisations d’accès est un compartiment, un préfixe dans un compartiment ou un objet que vous enregistrez dans votre instance S3 Access Grants. Vous devez enregistrer des emplacements au sein de l’instance S3 Access Grants avant de pouvoir créer une autorisation pour cet emplacement. Ensuite, avec S3 Access Grants, vous pouvez accorder l’accès au compartiment, au préfixe ou à l’objet pour les identités IAM de votre compte, les identités IAM d’autres comptes (comptes intercomptes) et les identités d’annuaire ajoutées à AWS IAM Identity Center à partir de votre annuaire d’entreprise. Pour plus d’informations sur S3 Access Grants, consultez Gestion de l’accès avec S3 Access Grants.

accessgrant

Une autorisation d’accès est une autorisation individuelle accordée à vos données Amazon S3. Avec S3 Access Grants, vous pouvez créer des autorisations pour vos données Amazon S3 pour les identités IAM au sein de votre compte, les identités IAM dans d’autres comptes (autorisations intercomptes) et les identités d’annuaire ajoutées à AWS IAM Identity Center à partir de votre annuaire d’entreprise. Pour plus d’informations sur S3 Access Grants, consultez Gestion de l’accès avec S3 Access Grants.
Compartiments

Il existe deux types de compartiments Amazon S3 : les compartiments à usage général et les compartiments de répertoires.

Catégorisation des ressources S3

Amazon S3 fournit des fonctionnalités permettant de catégoriser et d’organiser vos ressources S3. La catégorisation de vos ressources est non seulement utile pour les organiser, mais vous pouvez également définir des règles de gestion des accès en fonction des catégories de ressources. Plus spécifiquement, les préfixes et le balisage sont deux fonctionnalités d’organisation du stockage que vous pouvez utiliser lors de la définition des autorisations de gestion des accès.

Note

Les informations suivantes s’appliquent aux compartiments à usage général. Les compartiments de répertoires ne prennent pas en charge le balisage, et leurs préfixes sont soumis à certains limites. Pour plus d’informations, consultez Autorisation des opérations d’API de point de terminaison régional avec IAM.

  • Préfixe : un préfixe est une chaîne de caractères située au début d’un nom de clé d’objet et qui sert à organiser les objets stockés dans vos compartiments S3. Vous pouvez utiliser un caractère séparateur, tel qu’une barre oblique (/), pour indiquer la fin du préfixe dans le nom de la clé de l’objet. Par exemple, vous pouvez avoir des noms de clé d’objet qui commencent par le préfixe engineering/ ou marketing/campaigns/. L’utilisation d’un délimiteur à la fin du préfixe, tel qu’une barre oblique, /, émule les conventions de dénomination des dossiers et des fichiers. Toutefois, dans S3, le préfixe fait partie du nom de la clé d’objet. Dans les compartiments S3 à usage général, il n’existe pas de hiérarchie de dossiers réelle.

    Amazon S3 permet d’organiser et de regrouper les objets à l’aide de leur préfixe. Vous pouvez également gérer l’accès aux objets à l’aide de leur préfixe. Par exemple, vous pouvez limiter l’accès aux seuls objets dont le nom commence par un préfixe spécifique.

    Pour plus d’informations, consultez Organisation des objets à l’aide de préfixes. La console S3 utilise le concept de dossiers, qui, dans les compartiments à usage général, sont essentiellement des préfixes ajoutés au nom de la clé de l’objet. Pour plus d’informations, consultez Organisation des objets dans la console Amazon S3 à l’aide de dossiers.

  • Balise : une balise est une paire clé-valeur que vous allouez aux ressources. Par exemple, vous pouvez baliser certaines ressources avec la balise topicCategory=engineering. Vous pouvez utiliser le balisage pour faciliter la répartition des coûts, la catégorisation et l’organisation, ainsi que le contrôle d’accès. Le balisage des compartiments est uniquement utilisé pour la répartition des coûts. Vous pouvez baliser des objets, S3 Storage Lens, des tâches et S3 Access Grants à des fins d’organisation ou de contrôle d’accès. Dans S3 Access Grants, vous pouvez également utiliser le balisage pour la répartition des coûts. À titre d’exemple de contrôle de l’accès aux ressources à l’aide de leurs balises, vous pouvez ne partager que les objets dotés d’une balise spécifique ou d’une combinaison de balises.

    Pour plus d’informations, consultez Contrôle de l’accès aux ressources AWS à l’aide de balises de ressources dans le Guide de l’utilisateur IAM.

Identités

Dans Amazon S3, le propriétaire de la ressource est l’identité qui a créé la ressource, telle qu’un compartiment ou un objet. Par défaut, seul l’utilisateur racine du compte qui a créé la ressource et les identités IAM du compte disposant de l’autorisation requise peuvent accéder à la ressource S3. Les propriétaires de ressources peuvent autoriser d’autres identités à accéder à leurs ressources S3.

Les identités qui ne possèdent pas une ressource peuvent demander l’accès à cette ressource. Les demandes adressées à une ressource sont soit authentifiées, soit non authentifiées. Les demandes authentifiées doivent inclure une valeur de signature qui authentifie l’expéditeur de la demande. Les demandes non authentifiées ne nécessitent pas de signature. Nous vous recommandons de n’accorder l’accès qu’aux utilisateurs authentifiés. Pour plus d’informations sur l’authentification des demandes, consultez Demandes dans la Référence des API Amazon S3.

Important

Nous vous recommandons de ne pas utiliser les informations d’identification d’utilisateur racine du Compte AWS pour effectuer des demandes authentifiées. Il est préférable de créer un rôle IAM, puis de lui accorder un accès total. Nous appelons les utilisateurs possédant ce rôle des administrateurs. Au lieu des informations d’identification d’utilisateur root du Compte AWS, vous pouvez utiliser les informations d’identification attribuées au rôle administrateur pour interagir avec AWS et effectuer des tâches telles que créer un compartiment, créer des utilisateurs et octroyer des autorisations. Pour plus d’informations, consultez Informations d’identification d’utilisateur racine de Compte AWS et informations d’identification d’utilisateur IAM dans Références générales AWS. Consultez aussi Bonnes pratiques de sécurité dans IAM dans le Guide de l’utilisateur IAM.

Les identités qui accèdent à vos données dans Amazon S3 peuvent être les suivantes :

Propriétaire du Compte AWS

Compte AWS qui a créé la ressource. Par exemple, le compte qui a créé le compartiment. Ce compte possède la ressource. Pour plus d’informations, consultez Utilisateur racine AWS.

Identités IAM dans le même compte que le propriétaire du Compte AWS

Lors de la configuration de comptes pour les nouveaux membres de l’équipe qui ont besoin d’un accès S3, le propriétaire du Compte AWS peut utiliser Gestion des identités et des accès AWS (IAM) pour créer des utilisateurs, des groupes et des rôles. Le propriétaire du Compte AWS peut ensuite partager des ressources avec ces identités IAM. Le propriétaire du compte peut également spécifier les autorisations à attribuer aux identités IAM, qui autorisent ou refusent les actions pouvant être effectuées sur les ressources partagées.

Les identités IAM offrent des fonctionnalités accrues, notamment la possibilité d’exiger des utilisateurs qu’ils saisissent des informations d’identification de connexion avant d’accéder aux ressources partagées. Avec les identités IAM, vous pouvez mettre en œuvre une forme d’authentification multifactorielle (MFA) IAM pour prendre en charge une base d’identité solide. L’une des bonnes pratiques IAM consiste à créer des rôles pour la gestion des accès au lieu d’accorder des autorisations à chaque utilisateur individuel. Vous attribuez le rôle approprié à chaque utilisateur. Pour plus d’informations, consultez Bonnes pratiques de sécurité dans IAM.

Autres comptes AWS ainsi que leurs identités IAM (accès intercompte)

Le propriétaire du Compte AWS peut également donner accès aux ressources aux propriétaires d’autres comptes AWS, ou à des identités IAM appartenant à un autre compte AWS.

Note

Délégation d’autorisations : si un Compte AWS possède une ressource, il peut accorder ces autorisations à un autre Compte AWS. Ce compte peut alors déléguer aux utilisateurs du même compte l’ensemble de ces autorisations ou un sous-ensemble de celles-ci. Cela s’appelle une délégation d’autorisations. Cependant, un compte qui reçoit des autorisations d’un autre compte ne peut pas déléguer ces autorisations « intercomptes » à un autre Compte AWS.

Utilisateurs anonymes (accès public)

Le propriétaire du Compte AWS peut rendre les ressources publiques. D’un point de vue technique, rendre une ressource publique consiste à partager la ressource avec l’utilisateur anonyme. Les compartiments créés depuis avril 2023 bloquent tout accès public par défaut, sauf si vous modifiez ce paramètre. Nous vous recommandons de configurer vos compartiments de sorte qu’ils bloquent l’accès public, et de n’accorder l’accès qu’aux utilisateurs authentifiés. Pour plus d’informations sur le blocage de l’accès public, consultez Blocage de l’accès public à votre stockage Amazon S3.

Services AWS

Le propriétaire de la ressource peut accorder à un autre service AWS l’accès à une ressource Amazon S3. Par exemple, vous pouvez accorder au service AWS CloudTrail l’autorisation s3:PutObject permettant d’écrire des fichiers journaux dans votre compartiment. Pour plus d’informations, consultez Fournir l’accès à un service AWS.

Identités des annuaires d’entreprise

Le propriétaire de la ressource peut accorder à des utilisateurs ou à des rôles de votre annuaire d’entreprise l’accès à une ressource S3 à l’aide de S3 Access Grants. Pour plus d’informations sur l’ajout d’un annuaire d’entreprise à AWS IAM Identity Center, consultez En quoi consiste IAM Identity Center ?

Propriétaires du compartiment ou de la ressource

Le Compte AWS que vous utilisez pour créer des compartiments et charger des objets est propriétaire de ces ressources. Un propriétaire de compartiment peut accorder à un autre Compte AWS (ou à des utilisateurs d’un autre compte) des autorisations intercomptes pour charger des objets.

Lorsqu’un propriétaire de compartiment autorise un autre compte à charger des objets dans un compartiment, le propriétaire du compartiment est propriétaire par défaut de tous les objets chargés dans son compartiment. Toutefois, si les paramètres de compartiment Propriétaire du compartiment appliqué et Propriétaire du compartiment préféré sont désactivés, le Compte AWS responsable du chargement des objets est propriétaire de ces objets, et le propriétaire du compartiment n’a aucune autorisation sur les objets appartenant à un autre compte, avec les exceptions suivantes :

  • Le propriétaire du compartiment paie les factures. Le propriétaire du compartiment peut refuser l’accès aux objets ou supprimer des objets dans le compartiment, quel que soit le propriétaire de ces derniers.

  • Le propriétaire du compartiment peut archiver n’importe quel objet ou restaurer des objets archivés, quel qu’en soit le propriétaire. L’archivage fait référence à la classe de stockage utilisée pour stocker les objets. Pour plus d’informations, consultez Gestion du cycle de vie des objets.

Outils de gestion des accès

Amazon S3 fournit plusieurs fonctionnalités et outils de sécurité. Vous trouverez ci-dessous une liste complète de ces fonctionnalités et outils. Vous n’avez pas besoin de tous ces outils de gestion des accès, mais vous devez en utiliser un ou plusieurs pour accorder l’accès à vos ressources Amazon S3. Une utilisation adéquate de ces outils contribue à garantir que vos ressources ne sont accessibles qu’aux utilisateurs prévus.

L’outil de gestion des accès le plus couramment utilisé est une stratégie d’accès. Une stratégie d’accès peut être une politique basée sur les ressources. Dans ce cas, elle est associée à une ressource AWS, telle qu’une stratégie de compartiment. Une stratégie d’accès peut également être une politique basée sur l’identité. Dans ce cas, elle est associée à une identité Gestion des identités et des accès AWS (IAM), telle qu’un utilisateur, un groupe ou un rôle IAM. Écrivez une stratégie d’accès pour autoriser les Comptes AWS ainsi que les utilisateurs, les groupes et les rôles IAM à effectuer des opérations au niveau d’une ressource. Par exemple, vous pouvez accorder une autorisation PUT Object à un autre Compte AWS afin de lui permettre de charger des objets dans votre compartiment.

Une stratégie d’accès décrit qui a accès à quoi. Lorsqu’Amazon S3 reçoit une demande, toutes les stratégies d’accès doivent être évaluées afin de déterminer si cette demande doit être autorisée ou refusée. Pour plus d’informations sur la manière dont Amazon S3 évalue ces politiques, consultez Comment Amazon S3 autorise une demande.

Les outils de gestion de l’accès disponibles dans Amazon S3 sont les suivants.

Une stratégie de compartiment Amazon S3 est une politique Gestion des identités et des accès AWS (IAM) basée sur les ressources, au format JSON. Elle est associée à un compartiment particulier. Utilisez des stratégies de compartiment pour accorder à d’autres Comptes AWS ou à des identités IAM des autorisations pour le compartiment et les objets qu’il contient. De nombreux cas d’utilisation de la gestion des accès S3 peuvent être satisfaits au moyen d’une stratégie de compartiment. Avec les stratégies de compartiment, vous pouvez personnaliser l’accès au compartiment pour vous assurer que seules les identités que vous avez approuvées peuvent accéder aux ressources et effectuer des actions en leur sein. Pour plus d’informations, consultez Stratégies de compartiment pour Amazon S3.

Voici un exemple de stratégie de compartiment. Vous exprimez la stratégie de compartiment à l’aide d’un fichier JSON. Cet exemple de politique accorde à un rôle IAM l’autorisation de lecture sur tous les objets du compartiment. Il contient une instruction appelée BucketLevelReadPermissions, qui autorise l’action s3:GetObject (autorisation de lecture) sur les objets contenus dans un compartiment appelé amzn-s3-demo-bucket1. En spécifiant un rôle IAM comme Principal, cette politique accorde l’accès à tout utilisateur IAM qui endosse ce rôle. Pour utiliser cet exemple de politique, remplacez user input placeholders par vos propres informations.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid":"BucketLevelReadPermissions",
      "Effect":"Allow",
      "Principal": {
	    "AWS": "arn:aws:iam::123456789101:role/s3-role"
      },
      "Action":["s3:GetObject"],
      "Resource":["arn:aws:s3:::amzn-s3-demo-bucket/*"]
    }]
  }
Note

Lors de la création de politiques, évitez d’utiliser des caractères génériques (*) dans l’élément Principal, car cela permet à quiconque d’accéder effectivement à vos ressources Amazon S3. Au lieu de cela, répertoriez explicitement les utilisateurs ou les groupes autorisés à accéder au compartiment ou répertoriez les conditions qui doivent être remplies à l’aide d’une clause de condition dans la stratégie. Au lieu d’inclure un caractère générique pour les actions de vos utilisateurs ou de vos groupes, accordez-leur des autorisations spécifiques le cas échéant.

Une politique utilisateur IAM ou basée sur l’identité est un type de politique Gestion des identités et des accès AWS (IAM). Une politique basée sur l’identité est une politique au format JSON associée aux utilisateurs, groupes ou rôles IAM dans votre compte AWS. Vous pouvez utiliser des politiques basées sur l’identité pour accorder à une identité IAM l’accès à vos compartiments ou objets. Vous pouvez créer des utilisateurs, des groupes et des rôles IAM dans votre compte et leur attacher des stratégies d’accès. Vous pouvez ensuite accorder l’accès aux ressources AWS, notamment aux ressources Amazon S3. Pour plus d’informations, consultez Politiques basées sur l’identité pour Amazon S3.

Un exemple de politique basée sur l’identité est présenté ci-dessous. Cet exemple de politique permet au rôle IAM qui y est associé d’exécuter six actions Amazon S3 différentes (autorisations) sur un compartiment et sur les objets qu’il contient. Si vous associez cette politique à un rôle IAM dans votre compte et que vous attribuez ce rôle à certains de vos utilisateurs IAM, les utilisateurs dotés de ce rôle pourront effectuer ces actions sur les ressources (compartiments) spécifiées dans votre politique. Pour utiliser cet exemple de politique, remplacez user input placeholders par vos propres informations.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
  {
    "Sid": "AssignARoleActions",
    "Effect": "Allow",
    "Action": [
	  "s3:PutObject",
	  "s3:GetObject",
	  "s3:ListBucket",
	  "s3:DeleteObject",
	  "s3:GetBucketLocation"
    ],
    "Resource": [
	  "arn:aws:s3:::amzn-s3-demo-bucket/*",
	  "arn:aws:s3:::amzn-s3-demo-bucket"
    ]
    },
  {
    "Sid": "AssignARoleActions2",
    "Effect": "Allow",
    "Action": "s3:ListAllMyBuckets",
    "Resource": "*"
  }
  ]
}

Utilisez S3 Access Grants pour créer des autorisations d’accès à vos données Amazon S3 pour les identités figurant dans les annuaires d’identités d’entreprise, telles qu’Active Directory, et les identités Gestion des identités et des accès AWS (IAM). S3 Access Grants vous aide à gérer les autorisations de données à l’échelle. En outre, S3 Access Grants enregistre l’identité de l’utilisateur final et l’application utilisée pour accéder aux données S3 dans AWS CloudTrail. Cela fournit un historique d’audit détaillé remontant jusqu’à l’identité de l’utilisateur final pour tous les accès aux données de vos compartiments S3. Pour plus d’informations, consultez Gestion de l’accès avec S3 Access Grants.

Les points d’accès Amazon S3 simplifient la gestion de l’accès aux données à l’échelle pour les applications utilisant des jeux de données partagés dans S3. Les points d’accès sont appelés points de terminaison réseau. Ils sont associés à un compartiment. Vous pouvez utiliser des points d’accès pour effectuer des opérations sur des objets S3 à l’échelle, comme le chargement et l’extraction d’objets. Jusqu’à 10 000 points d’accès peuvent être associés à un compartiment. Et pour chaque point d’accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts pour vous donner un contrôle précis sur l’accès à vos objets S3. Les points d’accès S3 peuvent être associés à des compartiments du même compte ou d’un autre compte approuvé. Les stratégies de points d’accès sont basées sur les ressources. Elles sont évaluées conjointement avec la stratégie de compartiment sous-jacente. Pour plus d’informations, consultez Gestion de l’accès aux jeux de données avec des points d’accès .

Une liste ACL est une liste d’autorisations identifiant le bénéficiaire et les autorisations accordées. Les listes ACL accordent des autorisations de base en lecture ou en écriture à d’autres Comptes AWS. Les listes ACL utilisent un schéma XML spécifique à Amazon S3. Une liste ACL est un type de politique Gestion des identités et des accès AWS (IAM). Une liste ACL d’objet est utilisée pour gérer l’accès à un objet, tandis qu’une liste ACL de compartiment est utilisée pour gérer l’accès à un compartiment. Avec les stratégies de compartiment, une seule politique s’applique à l’ensemble du compartiment, mais les listes ACL d’objet sont définies pour chaque objet. Nous vous recommandons de maintenir les listes ACL désactivées, sauf si vous devez contrôler individuellement l’accès à chaque objet. Pour en savoir plus sur l’utilisation des listes ACL, consultez Consultez Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment.

Avertissement

La majorité des cas d’utilisation modernes dans Amazon S3 ne nécessitent plus l’utilisation de listes ACL.

Voici un exemple de liste ACL de compartiment. L’autorisation dans la liste ACL montre que le propriétaire du compartiment dispose d’une autorisation de contrôle total. 

<?xml version="1.0" encoding="UTF-8"?>
	<AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
		<Owner>
			<ID>Owner-Canonical-User-ID</ID>
			<DisplayName>owner-display-name</DisplayName>
		</Owner>
	<AccessControlList>
		<Grant>
			<Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Canonical User">
				<ID>Owner-Canonical-User-ID</ID>
				<DisplayName>display-name</DisplayName>
			</Grantee>
			<Permission>FULL_CONTROL</Permission>
		</Grant>
	</AccessControlList>
</AccessControlPolicy>

Pour gérer l’accès à vos objets, vous devez en être le propriétaire. Utilisez le paramètre Propriétaire de l’objet au niveau du compartiment pour contrôler la propriété des objets chargés dans votre compartiment. Utilisez également le paramètre Propriétaire de l’objet pour activer les listes ACL. Par défaut, la propriété d’objets est définie sur le paramètre Propriétaire du compartiment appliqué, et toutes les listes ACL sont désactivées. Lorsque les listes ACL sont désactivées, le propriétaire du compartiment détient tous les objets présents dans le compartiment et gère exclusivement l’accès aux données. Pour gérer l’accès, le propriétaire du compartiment utilise des politiques, des stratégies ou tout autre outil de gestion des accès, à l’exception des listes ACL. Pour plus d’informations, consultez Consultez Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment.

La propriété d’objets comporte trois paramètres que pouvez utiliser pour contrôler la propriété des objets chargés dans votre compartiment, ainsi que pour activer les listes ACL :

Listes ACL désactivées

  • Propriétaire du compartiment appliqué (par défaut) : les listes ACL sont désactivées, et le propriétaire du compartiment possède automatiquement tous les objets du compartiment et en a le contrôle total. Les listes ACL n’affectent plus les autorisations d’accès aux données dans le compartiment S3. Le compartiment utilise des stratégies exclusivement pour définir le contrôle des accès.

Listes ACL désactivées

  • Bucket owner preferred (Préféré par le propriétaire du compartiment) – Le propriétaire du compartiment possède les nouveaux objets que d’autres comptes écrivent dans le compartiment avec la liste ACL bucket-owner-full-control prête à l’emploi, et en a le contrôle total.

  • Object writer (Rédacteur d’objets) – Le Compte AWS qui télécharge un objet est propriétaire de l’objet, a un contrôle total sur celui-ci et peut en accorder l’accès à d’autres utilisateurs via des listes ACL.

Bonnes pratiques supplémentaires

Envisagez d’utiliser les outils de compartiment suivants pour protéger les données en transit et au repos, qui sont toutes essentielles pour préserver l’intégrité et l’accessibilité de vos données.

  • Bloquer l’accès public : ne désactivez pas le paramètre par défaut Bloquer l’accès public au niveau du compartiment. Ce paramètre bloque par défaut l’accès public à vos données. Pour plus d’informations sur le blocage de l’accès public, consultez Blocage de l’accès public à votre stockage Amazon S3.

  • Gestion des versions S3 : pour garantir l’intégrité des données, vous pouvez implémenter le paramètre de gestion des versions du compartiment S3, qui attribue des versions à vos objets au fur et à mesure des mises à jour, au lieu de les remplacer. Vous pouvez utiliser la gestion des versions S3 pour préserver, récupérer et restaurer une version précédente, si nécessaire. Pour en savoir plus sur la gestion des versions S3, consultez Conservation de plusieurs versions d’objets grâce à la gestion des versions S3.

  • Verrouillage d’objet S3 : le verrouillage d’objet S3 est un autre paramètre que vous pouvez implémenter pour assurer l’intégrité des données. Cette fonctionnalité permet d’implémenter un modèle à inscription unique et lecture multiple (WORM) pour stocker des objets de manière immuable. Pour en savoir plus sur le verrouillage d’objet, consultez Verrouillage d’objets avec la fonctionnalité de verrouillage d’objet.

  • Chiffrement des objets : Amazon S3 offre plusieurs options de chiffrement d’objet qui protègent les données en transit et au repos. Le chiffrement côté serveur chiffre vos objets avant de les enregistrer sur les disques des centres de données, puis les déchiffre lorsque vous téléchargez les objets. Si vous authentifiez votre demande et que vous avez les autorisations d’accès requises, il n’y a aucune différence dans la manière dont vous accédez aux objets chiffrés ou déchiffrés. Pour plus d’informations, consultez Protection des données avec le chiffrement côté serveur. S3 chiffre les objets récemment chargés par défaut. Pour plus d’informations, consultez Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3. Le chiffrement côté client consiste à chiffrer des données avant de les envoyer à Amazon S3. Pour plus d’informations, consultez Protection des données avec le chiffrement côté client.

  • Méthodes de signature : Signature version 4 est le processus permettant d’ajouter des informations d’authentification à des demandes AWS envoyées par HTTP. Pour des raisons de sécurité, la plupart des demandes à AWS doivent être signées avec une clé d’accès, qui se compose d’un ID de clé d’accès et de la clé d’accès secrète. Ces deux clés sont généralement appelées informations d’identification de sécurité. Pour plus d’informations, consultez Authentification des demandes (AWS Signature Version 4) et Processus de signature Signature version 4.

Actions

Pour obtenir la liste complète des autorisations et des clés de condition S3, consultez Actions, ressources et clés de condition pour Amazon S3 dans la Référence de l’autorisation de service.

Pour plus d’informations sur les autorisations relatives aux opérations d’API S3 par type de ressource S3, consultez Autorisations requises pour les opérations d’API Amazon S3.

Actions

Les actions Gestion des identités et des accès AWS (IAM) pour Amazon S3 sont les actions possibles qui peuvent être effectuées sur un compartiment ou un objet S3. Vous accordez ces actions aux identités afin qu’elles puissent agir sur vos ressources S3. Parmi les exemples d’actions S3, citons s3:GetObject qui permet de lire des objets dans un compartiment et s3:PutObject qui permet d’écrire des objets dans un compartiment.

Clés de condition

Outre les actions, les clés de condition IAM n’accordent l’accès que lorsqu’une condition est remplie. Les clés de condition sont facultatives.

Note

Dans une stratégie d’accès basée sur les ressources, telle qu’une stratégie de compartiment, ou dans une politique basée sur l’identité, vous pouvez spécifier les éléments suivants :

  • Une action ou un ensemble d’actions figurant dans l’élément Action de la déclaration de politique.

  • Dans l’élément Effectde la déclaration de politique, vous pouvez spécifier Allow pour autoriser les actions répertoriées, ou Deny pour bloquer les actions indiquées. Pour assurer la pratique du moindre privilège, les instructions Deny dans l’élément Effect de la stratégie d’accès doivent être aussi larges que possible alors que les instructions Allow doivent être aussi restreintes que possible. Les effets des instructions Deny associés à l’action s3:* sont un autre bon moyen de mettre en œuvre des bonnes pratiques d’activation pour les identités incluses dans des déclarations de condition de politique.

  • Une clé de condition dans l’élément Condition d’une déclaration de politique.

Cas d’utilisation de la gestion des accès

Amazon S3 fournit aux propriétaires de ressources une variété d’outils pour accorder l’accès. L’outil de gestion des accès S3 que vous utilisez dépend des ressources S3 que vous souhaitez partager, des identités auxquelles vous accordez l’accès et des actions que vous souhaitez autoriser ou refuser. Vous pouvez utiliser un ou plusieurs outils de gestion d’accès S3 pour gérer l’accès à vos ressources S3.

Dans la plupart des cas, vous pouvez utiliser une stratégie d’accès pour gérer les autorisations. Une politique d’accès peut être une politique basée sur les ressources, qui est attachée à une ressource telle qu’un compartiment ou à une autre ressource Amazon S3 (Ressources S3). Une stratégie d’accès peut être une politique basée sur l’identité. Dans ce cas, elle est associée à un utilisateur, un groupe ou un rôle Gestion des identités et des accès AWS (IAM) dans votre compte. Vous constaterez peut-être qu’une stratégie de compartiment convient mieux à votre cas d’utilisation. Pour plus d’informations, consultez Stratégies de compartiment pour Amazon S3. Par ailleurs, avec Gestion des identités et des accès AWS (IAM), vous pouvez créer des utilisateurs, des groupes et des rôles IAM au sein de votre Compte AWS et gérer leur accès aux compartiments et aux objets par le biais de politiques basées sur l’identité. Pour plus d’informations, consultez Politiques basées sur l’identité pour Amazon S3.

Pour vous aider à utiliser ces options de gestion des accès, vous trouverez ci-dessous des cas d’utilisation courants de clients Amazon S3 et des recommandations pour chacun des outils de gestion des accès S3.

Tous les outils de gestion des accès peuvent répondre à ce cas d’utilisation de base. Nous recommandons les outils suivants de gestion des accès pour ce cas d’utilisation :

  • Stratégie de compartiment : si vous souhaitez accorder l’accès à un compartiment ou à un petit nombre de compartiments, ou si vos autorisations d’accès aux compartiments sont similaires d’un compartiment à l’autre, utilisez une stratégie de compartiment. Avec les stratégies de compartiment, vous gérez une seule politique pour chaque compartiment. Pour plus d’informations, consultez Stratégies de compartiment pour Amazon S3.

  • Politique basée sur l’identité : si vous avez un très grand nombre de compartiments dotés d’autorisations d’accès différentes pour chaque compartiment et que vous ne devez gérer que quelques rôles utilisateur, vous pouvez utiliser une politique IAM pour les utilisateurs, les groupes ou les rôles. Les politiques IAM sont également une bonne option si vous gérez l’accès des utilisateurs à d’autres ressources AWS, ainsi qu’aux ressources Amazon S3. Pour plus d’informations, consultez Exemple 1 : propriétaire d’un compartiment accordant à ses utilisateurs des autorisations sur un compartiment.

  • S3 Access Grants : vous pouvez utiliser S3 Access Grants pour accorder l’accès à vos compartiments, préfixes ou objets S3. S3 Access Grants vous permet de spécifier différentes autorisations au niveau des objets à l’échelle, tandis que les stratégies de compartiment sont limitées à une taille de 20 Ko. Pour plus d’informations, consultez Bien démarrer avec S3 Access Grants.

  • Points d’accès : vous pouvez utiliser des points d’accès, qui sont des points de terminaison réseau associés à un compartiment. Jusqu’à 10 000 points d’accès peuvent être associés à un compartiment. Et pour chaque point d’accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts pour vous donner un contrôle précis sur l’accès à vos objets S3. Pour plus d’informations, consultez Gestion de l’accès aux jeux de données avec des points d’accès .

Pour accorder une autorisation à un autre Compte AWS, vous devez utiliser une stratégie de compartiment ou l’un des outils de gestion des accès recommandés ci-dessous. Vous ne pouvez pas utiliser de stratégie d’accès basée sur l’identité pour ce cas d’utilisation. Pour plus d’informations sur l’octroi d’un accès intercompte, consultez Comment puis-je fournir un accès intercompte aux objets stockés dans des compartiments Simple Storage Service (Amazon S3) ?

Nous recommandons les outils suivants de gestion des accès pour ce cas d’utilisation :

  • Stratégie de compartiment : avec les stratégies de compartiment, vous gérez une politique pour chaque compartiment. Pour plus d’informations, consultez Stratégies de compartiment pour Amazon S3.

  • S3 Access Grants : vous pouvez utiliser S3 Access Grants pour accorder des autorisations intercomptes à vos compartiments, préfixes ou objets S3. Vous pouvez utiliser S3 Access Grants pour spécifier différentes autorisations au niveau des objets à l’échelle, tandis que les stratégies de compartiment sont limitées à une taille de 20 Ko. Pour plus d’informations, consultez Bien démarrer avec S3 Access Grants.

  • Points d’accès : vous pouvez utiliser des points d’accès, qui sont des points de terminaison réseau associés à un compartiment. Jusqu’à 10 000 points d’accès peuvent être associés à un compartiment. Et pour chaque point d’accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts pour vous donner un contrôle précis sur l’accès à vos objets S3. Pour plus d’informations, consultez Gestion de l’accès aux jeux de données avec des points d’accès .

Dans une stratégie de compartiment, par exemple, vous pouvez accorder l’accès aux objets d’un compartiment qui partagent un préfixe de nom de clé spécifique ou qui possèdent une balise spécifique. Vous pouvez octroyer des autorisations en lecture sur les objets portant le préfixe de nom de clé logs/. Néanmoins, si vos autorisations d’accès varient par objet, l’octroi d’autorisations à des objets individuels à l’aide d’une stratégie de compartiment peut s’avérer peu pratique, d’autant plus que les stratégies de compartiment sont limitées à une taille de 20 Ko.

Nous recommandons les outils suivants de gestion des accès pour ce cas d’utilisation :

  • S3 Access Grants : vous pouvez utiliser S3 Access Grants pour gérer les autorisations au niveau de l’objet ou du préfixe. Contrairement aux stratégies de compartiment, S3 Access Grants vous permet de spécifier différentes autorisations au niveau des objets à l’échelle. Les stratégies de compartiment sont limitées à une taille de 20 Ko. Pour plus d’informations, consultez Bien démarrer avec S3 Access Grants.

  • Points d’accès : vous pouvez utiliser des points d’accès pour gérer les autorisations au niveau des objets ou des préfixes. Les points d’accès sont appelés points de terminaison réseau. Ils sont associés à un compartiment. Jusqu’à 10 000 points d’accès peuvent être associés à un compartiment. Et pour chaque point d’accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts pour vous donner un contrôle précis sur l’accès à vos objets S3. Pour plus d’informations, consultez Gestion de l’accès aux jeux de données avec des points d’accès .

  • Listes ACL : nous déconseillons d’utiliser des listes de contrôle d’accès (ACL), notamment parce que les listes ACL sont limitées à 100 autorisations par objet. Toutefois, si vous choisissez d’activer les listes ACL, dans les paramètres de votre compartiment, définissez le propriétaire de l’objet sur Propriétaire du compartiment préféré et sur Listes ACL activées. Avec ce paramètre, de nouveaux objets écrits avec la liste ACL bucket-owner-full-control prédéfinie sont automatiquement détenus par le propriétaire du compartiment plutôt que par l’auteur d’objets. Vous pouvez ensuite utiliser les listes ACL d’objet, qui sont une stratégie d’accès au format XML, permettant d’autoriser d’autres utilisateurs à accéder à l’objet. Pour plus d’informations, consultez Présentation de la liste de contrôle d’accès (ACL).

Nous recommandons les outils suivants de gestion des accès pour ce cas d’utilisation :

  • Stratégie de compartiment : avec les stratégies de compartiment, vous gérez une politique pour chaque compartiment. Pour plus d’informations, consultez Stratégies de compartiment pour Amazon S3.

  • Points d’accès : les points d’accès sont appelés points de terminaison réseau. Ils sont associés à un compartiment. Jusqu’à 10 000 points d’accès peuvent être associés à un compartiment. Et pour chaque point d’accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts pour vous donner un contrôle précis sur l’accès à vos objets S3. Pour plus d’informations, consultez Gestion de l’accès aux jeux de données avec des points d’accès .

Nous recommandons l’outil suivant de gestion des accès pour ce cas d’utilisation :

  • Points d’accès : les points d’accès sont appelés points de terminaison réseau. Ils sont associés à un compartiment. Jusqu’à 10 000 points d’accès peuvent être associés à un compartiment. Et pour chaque point d’accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts pour vous donner un contrôle précis sur l’accès à vos objets S3. Chaque point d’accès applique une stratégie de point d’accès personnalisée qui fonctionne conjointement avec la stratégie de compartiment associée au compartiment sous-jacent. Pour plus d’informations, consultez Gestion de l’accès aux jeux de données avec des points d’accès .

Les points de terminaison de cloud privé virtuel (VPC) pour Amazon S3 sont des entités logiques au sein d’un VPC. qui autorisent la connectivité uniquement à S3. Nous recommandons les outils suivants de gestion des accès pour ce cas d’utilisation :

  • Compartiments dans un VPC : vous pouvez utiliser une stratégie de compartiment pour contrôler qui est autorisé à accéder à vos compartiments et à quels points de terminaison de VPC ils peuvent accéder. Pour plus d’informations, consultez Contrôle de l’accès à partir des points de terminaison d’un VPC avec des stratégies de compartiment.

  • Points d’accès : si vous choisissez de configurer des points d’accès, vous pouvez utiliser une politique de point d’accès. Vous pouvez configurer n’importe quel point d’accès pour accepter uniquement les demandes provenant d’un cloud privé virtuel (VPC) afin de restreindre l’accès aux données Amazon S3 à un réseau privé. Vous pouvez également configurer des paramètres de blocage de l’accès public personnalisés pour chaque point d’accès. Pour plus d’informations, consultez Gestion de l’accès aux jeux de données avec des points d’accès .

Avec S3, vous pouvez héberger un site web statique et autoriser tout le monde à consulter le contenu du site web, qui est hébergé à partir d’un compartiment S3.

Nous recommandons les outils suivants de gestion des accès pour ce cas d’utilisation :

  • Amazon CloudFront : cette solution vous permet d’héberger un site web statique Amazon S3 accessible au public tout en continuant à bloquer tout accès public au contenu d’un compartiment. Si vous souhaitez maintenir activés les quatre paramètres de blocage de l’accès public S3 et héberger un site web statique, vous pouvez utiliser le contrôle d’accès d’origine (OAC) Amazon CloudFront. Amazon CloudFront fournit les fonctionnalités nécessaires pour configurer un site web statique sécurisé. De plus, les sites web statiques Amazon S3 qui n’utilisent pas cette solution peuvent uniquement prendre en charge les points de terminaison HTTP. CloudFront utilise le stockage durable d’Amazon S3 tout en fournissant des en-têtes de sécurité supplémentaires, tels que HTTPS. HTTPS accroît la sécurité en chiffrant une demande HTTP normale et en offrant une protection contre les cyberattaques courantes.

    Pour plus d’informations, consultez Démarrer avec un site web statique sécurisé dans le Guide du développeur Amazon CloudFront.

  • Rendre votre compartiment Amazon S3 accessible publiquement : vous pouvez configurer un compartiment pour qu’il soit utilisé comme site web statique accessible publiquement.

    Avertissement

    Cette méthode est déconseillée. Nous vous recommandons plutôt d’utiliser les sites web statiques Amazon S3 dans le cadre d’Amazon CloudFront. Pour plus d’informations, consultez l’option précédente ou la section Démarrer avec un site web statique sécurisé.

    Pour créer un site web statique Amazon S3, sans Amazon CloudFront, vous devez d’abord désactiver tous les paramètres de blocage de l’accès public. Lorsque vous rédigez la stratégie de compartiment pour votre site Web statique, veillez à autoriser uniquement des actions s3:GetObject, et non pas des autorisations ListObject ni PutObject. Cela permet de s’assurer que les utilisateurs ne peuvent pas voir tous les objets de votre compartiment ni ajouter leur propre contenu. Pour plus d’informations, consultez Définition des autorisations pour l’accès au site web.

Lors de la création d’un compartiment Amazon S3, le paramètre Bloquer l’accès public est activé par défaut. Pour plus d’informations sur le blocage de l’accès public, consultez Blocage de l’accès public à votre stockage Amazon S3.

Nous vous déconseillons d’autoriser l’accès public à votre compartiment. Toutefois, si vous devez l’autoriser pour un cas d’utilisation particulier, nous vous recommandons l’outil de gestion des accès suivant pour ce cas d’utilisation :

  • Désactiver le paramètre Bloquer l’accès public : le propriétaire d’un compartiment peut autoriser les demandes non authentifiées adressées au compartiment. Par exemple, les demandes PUT Object non authentifiées sont permises lorsqu’un compartiment dispose d’une stratégie de compartiment publique ou lorsqu’une liste ACL de compartiment autorise l’accès public. Toutes les demandes non authentifiées sont faites par d’autres utilisateurs AWS arbitraires, ou même par des utilisateurs anonymes non authentifiés. Cet utilisateur est représenté dans les listes ACL par l’ID d’utilisateur canonique spécifique 65a011a29cdf8ec533ec3d1ccaae921c. Si un objet est chargé vers WRITE ou FULL_CONTROL, l’accès est uniquement accordé au groupe Tous les utilisateurs ou à l’utilisateur anonyme. Pour plus d’informations sur les stratégies de compartiment public et les listes de contrôle d’accès (ACL) publiques, consultez La signification du mot « public ».

Les stratégies de compartiment et les politiques basées sur l’identité ont une limite de taille de 20 Ko. Si vos exigences en matière d’autorisation d’accès sont complexes, vous risquez de dépasser cette limite.

Nous recommandons les outils de gestion des accès suivants pour ce cas d’utilisation :

  • Points d’accès : utilisez des points d’accès si cela convient à votre cas d’utilisation. En ce qui concerne les points d’accès, chaque compartiment possède plusieurs points de terminaison réseau nommés, chacun ayant sa propre stratégie de point d’accès qui fonctionne avec la stratégie de compartiment sous-jacente. Toutefois, les points d’accès ne peuvent agir que sur des objets, et non sur des compartiments, et ne prennent pas en charge la réplication entre régions. Pour plus d’informations, consultez Gestion de l’accès aux jeux de données avec des points d’accès .

  • S3 Access Grants : utilisez S3 Access Grants, qui prend en charge un très grand nombre d’autorisations donnant accès à des compartiments, à des préfixes ou à des objets. Pour plus d’informations, consultez Bien démarrer avec S3 Access Grants.

Au lieu de gérer les utilisateurs, les groupes et les rôles via Gestion des identités et des accès AWS (IAM), vous pouvez ajouter votre annuaire d’entreprise à AWS IAM Identity Center. Pour plus d’informations, consultez En quoi consiste IAM Identity Center ?

Après avoir ajouté votre annuaire d’entreprise à AWS IAM Identity Center, nous vous recommandons d’utiliser l’outil de gestion des accès suivant pour accorder aux identités de l’annuaire d’entreprise l’accès à vos ressources S3 :

  • S3 Access Grants : utilisez S3 Access Grants, qui permet d’accorder l’accès à des utilisateurs ou à des rôles issus de votre annuaire d’entreprise. Pour plus d’informations, consultez Bien démarrer avec S3 Access Grants.

Nous recommandons l’outil de gestion des accès suivant pour ce cas d’utilisation :

  • Liste ACL de compartiment : le seul cas d’utilisation recommandé pour les listes ACL de compartiment consiste à accorder des autorisations à certains Services AWS comme le compte Amazon CloudFront awslogsdelivery. Lorsque vous créez ou mettez à jour une distribution et activez la journalisation CloudFront, CloudFront met à jour le liste ACL du compartiment afin d’attribuer au compte awslogsdelivery des autorisations FULL_CONTROL pour écrire des journaux dans votre compartiment. Pour plus d’informations, consultez Autorisations requises pour configurer la journalisation standard et pour accéder à vos fichiers journaux dans le guide du développeur Amazon CloudFront. Si le compartiment qui stocke les journaux utilise le paramètre Propriétaire du compartiment appliqué pour la propriété des objets S3 afin de désactiver les listes ACL, CloudFront ne peut pas écrire de journaux dans le compartiment. Pour plus d’informations, consultez Consultez Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment.

Vous pouvez autoriser d’autres comptes à charger des objets dans votre compartiment en utilisant une stratégie de compartiment, un point d’accès ou S3 Access Grants. Si vous avez accordé un accès intercompte à votre compartiment, vous pouvez vous assurer que tous les objets chargés dans votre compartiment restent sous votre contrôle total.

Nous recommandons l’outil de gestion des accès suivant pour ce cas d’utilisation :

  • Propriété d’objets : conservez le paramètre Propriété d’objets au niveau du compartiment sur le paramètre par défaut Propriétaire du compartiment appliqué.

Résolution des problèmes de gestion d’accès

Les ressources suivantes peuvent vous aider à résoudre les problèmes de gestion d’accès S3 :

Résolution des erreurs d’accès refusé (403 Forbidden)

Si vous rencontrez des problèmes de refus d’accès, vérifiez les paramètres au niveau du compte et au niveau du compartiment. Vérifiez également la fonctionnalité de gestion des accès que vous utilisez pour accorder l’accès afin de vous assurer que la politique, le paramètre ou la configuration sont corrects. Pour plus d’informations sur les causes courantes des erreurs d’accès refusé (403 Forbidden) dans Amazon S3, consultez Résolution des erreurs d’accès refusé (403 Forbidden) dans Amazon S3.

Analyseur d’accès IAM pour S3

Si vous ne souhaitez rendre aucune de vos ressources accessible au public, ou si vous souhaitez limiter l’accès public à vos ressources, vous pouvez utiliser l’analyseur d’accès IAM pour S3. Dans la console Amazon S3, utilisez l’analyseur d’accès IAM pour S3 afin de passer en revue tous les compartiments dotés de listes de contrôle d’accès (ACL), de stratégies de compartiment ou de stratégies de point d’accès qui accordent un accès public ou partagé. L’analyseur d’accès IAM pour S3 vous alerte à propos de compartiments configurés pour autoriser l’accès à toute personne sur Internet ou dans d’autres Comptes AWS, y compris des Comptes AWS extérieurs à votre organisation. Pour chaque compartiment public ou partagé, vous recevez des résultats qui signalent la source et le niveau d’accès public ou partagé.

Dans l’analyseur d’accès IAM pour S3, vous pouvez bloquer tout accès public à un compartiment en une seule action. Nous vous recommandons de bloquer tous les accès publics à vos compartiments, sauf si vous avez besoin d’un accès public pour répondre à un cas d’utilisation spécifique. Avant de bloquer tout accès public, assurez-vous que vos applications continueront à fonctionner correctement sans cet accès. Pour plus d’informations, consultez Blocage de l’accès public à votre stockage Amazon S3.

Vous pouvez également passer en revue les paramètres d’autorisation au niveau des compartiments afin de configurer des niveaux détaillés d’accès. Pour les cas d’utilisation spécifiques et vérifiés nécessitant un accès public ou partagé, vous pouvez confirmer et enregistrer votre intention de maintenir le niveau d’accès public ou partagé en archivant les résultats pour le compartiment. Vous pouvez revisiter et modifier ces configurations de compartiments à tout moment. Vous pouvez également télécharger vos résultats sous forme de rapport CSV à des fins d’audit.

L’analyseur d’accès IAM pour S3 est disponible gratuitement sur la console Amazon S3. L’analyseur d’accès IAM pour S3 est optimisé par l’analyseur d’accès IAM d’Gestion des identités et des accès AWS (IAM). Pour utiliser l’analyseur d’accès IAM pour S3 dans la console Amazon S3, vous devez accéder à la console IAM et créer un analyseur au niveau du compte dans l’analyseur d’accès IAM pour chaque région.

Pour plus d’informations sur l’analyseur d’accès IAM pour S3, consultez Examen de l’accès aux compartiments à l’aide de l’analyseur d’accès IAM pour S3.

Journalisation et surveillance

La surveillance est un élément clé pour assurer la fiabilité, la disponibilité et les performances de vos solutions Amazon S3 pour vous permettre de déboguer plus facilement un échec d’accès. La journalisation peut fournir des informations sur les erreurs que les utilisateurs reçoivent, le moment auquel ils les reçoivent et la nature des demandes qui les ont déclenchées. AWS fournit plusieurs outils pour surveiller vos ressources Amazon S3, par exemple :

  • AWS CloudTrail

  • Journaux d’accès Amazon S3

  • AWS Trusted Advisor

  • Amazon CloudWatch

Pour plus d’informations, consultez Journalisation et surveillance dans Amazon S3.