Création de points d’accès de compartiments de répertoires - Amazon Simple Storage Service

Création de points d’accès de compartiments de répertoires

À l’instar des compartiments de répertoires, les points d’accès peuvent être créés dans des zones de disponibilité ou des zones locales dédiées. Le point d’accès doit être créé dans la même zone que le compartiment de répertoires qui lui est associé.

Un point d’accès est associé à un seul compartiment de répertoires Amazon S3. Si vous voulez utiliser un compartiment de répertoires dans votre Compte AWS, vous devez d’abord le créer. Pour plus d’informations sur la création de compartiments de répertoires, consultez Création de compartiments de répertoires dans une zone de disponibilité ou Création d’un compartiment de répertoires dans une zone locale.

Vous pouvez également créer un point d’accès intercompte associé à un compartiment dans un autre compte Compte AWS, à condition de connaître le nom du compartiment et l’ID du compte du propriétaire du compartiment. Cependant, la création de points d’accès intercompte ne vous donne pas accès aux données du compartiment tant que vous n’avez pas obtenu les autorisations du propriétaire du compartiment. Le propriétaire du compartiment doit accorder au compte du propriétaire du point d’accès (votre compte) l’accès au compartiment par le biais de la stratégie du compartiment. Pour plus d’informations, consultez Octroi d’autorisations pour les points d’accès intercompte.

Vous pouvez créer un point d’accès pour n’importe quel compartiment de répertoires à l’aide de la AWS Management Console, de l’AWS CLI, de l’API REST ou des kits AWS SDK. Chaque point d’accès est associé à un seul compartiment de répertoires. Vous pouvez créer des centaines de points d’accès par compartiment. Lorsque vous créez un point d’accès, vous choisissez son nom et le compartiment de répertoires auquel l’associer. Le nom d’un point d’accès se compose d’un nom de base que vous fournissez et d’un suffixe qui inclut l’ID de la zone où se trouve votre compartiment, suivi de --xa-s3. Par exemple, myaccesspoint-zoneID--xa-s3. Vous pouvez également restreindre l’accès au point d’accès via un cloud privé virtuel (VPC). Ensuite, vous pouvez commencer immédiatement à lire et à écrire des données via votre point d’accès en utilisant son nom, comme vous le feriez avec un nom de compartiment de répertoires.

Vous pouvez utiliser la portée du point d’accès pour restreindre l’accès au compartiment de répertoires via le point d’accès à des préfixes ou à des opérations d’API spécifiques. Si vous n’ajoutez pas de portée au point d’accès, tous les préfixes du compartiment de répertoires et toutes les opérations d’API peuvent être exécutés sur les objets du compartiment lorsque celui-ci est accessible via le point d’accès. Une fois le point d’accès créé, vous pouvez ajouter, modifier ou supprimer sa portée à l’aide de l’AWS CLI, des kits AWS SDK ou de l’API REST. Pour plus d’informations, consultez Gestion de la portée des points d’accès de compartiments de répertoires.

Après avoir créé le point d’accès, vous pouvez configurer sa politique de ressources IAM. Pour plus d’informations, consultez Affichage, modification ou suppression de stratégies de point d’accès.

Note

Vous pouvez également créer un point d’accès pour un compartiment de répertoires à partir de l’écran de ce dernier. Dans ce cas, le nom du compartiment de répertoires est fourni et il n’est pas nécessaire de choisir un compartiment lors de la création du point d’accès. Pour plus d’informations, consultez Établissement de la liste des compartiments de répertoires.

Pour créer un point d’accès de compartiments de répertoires

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l’adresse https://console.aws.amazon.com/s3/.

  2. Dans la barre de navigation en haut de la page, sélectionnez le nom de la Région AWS actuellement affichée. Choisissez ensuite la région dans laquelle vous souhaitez créer un point d’accès. Le point d’accès doit être créé dans la même région que le compartiment auquel il est associé.

  3. Dans le volet de navigation de gauche, choisissez Points d’accès pour compartiments de répertoires.

  4. Sur la page Points d’accès, choisissez Créer un point d’accès.

  5. Vous pouvez créer un point d’accès pour un compartiment de répertoires de votre compte ou d’un autre compte. Pour créer un point d’accès pour un compartiment de répertoires d’un autre compte, procédez comme suit :

    Note

    Si vous utilisez un compartiment d’un autre Compte AWS, son propriétaire doit mettre à jour la stratégie de compartiment pour autoriser les demandes du point d’accès. Pour un exemple de stratégie de compartiment, consultez Octroi d’autorisations pour les points d’accès intercompte.

    1. Dans le champ Compartiment de répertoires, choisissez Spécifier un compartiment dans un autre compte.

    2. Dans le champ ID de compte du propriétaire du compartiment, saisissez l’ID Compte AWS du propriétaire du compartiment.

    3. Dans le champ Nom du compartiment, saisissez le nom du compartiment, y compris son nom de base et son ID de zone. Par exemple, bucket-base-name--zone-id--x-s3.

  6. Pour créer un point d’accès pour un compartiment de répertoires de votre compte :

    1. Dans le champ Compartiment de répertoires, sélectionnez Choisir un compartiment dans ce compte.

    2. Dans le champ Nom du compartiment, saisissez le nom du compartiment, y compris son nom de base et son ID de zone. Par exemple, bucket-base-name--zone-id--x-s3. Pour choisir le compartiment dans une liste, choisissez Parcourir S3 et choisissez le compartiment de répertoires.

  7. Dans Nom du point d’accès, dans le champ Nom de base, saisissez le nom de base du point d’accès. L’ID de zone et le nom complet du point d’accès s’affichent. Pour en savoir plus sur l’attribution de noms aux points d’accès, consultez Règles de dénomination des points d’accès de compartiments de répertoires.

  8. Dans Origine du réseau, choisissez Cloud privé virtuel (VPC) ou Internet. Si vous choisissez Cloud privé virtuel (VPC), dans le champ ID de VPC, saisissez l’ID du VPC que vous souhaitez utiliser avec le point d’accès.

  9. (Facultatif) Dans Portée du point d’accès, pour appliquer une portée à ce point d’accès, choisissez Limiter la portée de ce point d’accès à l’aide de préfixes ou d’autorisations.

    1. Pour limiter l’accès aux préfixes du compartiment de répertoires, dans Préfixes, saisissez un ou plusieurs préfixes. Pour ajouter un autre préfixe, choisissez Ajouter un préfixe. Pour supprimer un préfixe, choisissez Supprimer.

      Note

      La portée d’un point d’accès est limitée à 512 caractères au total pour tous les préfixes. Vous pouvez voir le nombre de caractères restant sous Ajouter un préfixe.

    2. Dans Autorisations, choisissez une ou plusieurs opérations d’API que le point d’accès autorisera. Pour supprimer une opération de données, choisissez le X en regard du nom de l’opération de données.

  10. Pour ne pas appliquer de portée au point d’accès et autoriser l’accès à tous les préfixes du compartiment de répertoires et à toutes les opérations d’API via le point d’accès, dans Portée du point d’accès, choisissez Appliquer l’accès à l’ensemble du compartiment.

  11. Choisissez Créer un point d’accès pour le compartiment de répertoires. Le nom du point d’accès et d’autres informations le concernant s’affichent dans la liste Points d’accès pour compartiments de répertoires.

L’exemple de commande suivant crée un point d’accès nommé example-ap pour le compartiment amzn-s3-demo-bucket--zone-id--x-s3 dans le compte 111122223333. 

aws s3control create-access-point --name example-ap--zoneID--xa-s3 --account-id 111122223333 --bucket amzn-s3-demo-bucket--zone-id--x-s3

Pour restreindre l’accès au point d’accès via un VPC, incluez le paramètre --vpc et l’ID du VPC.

aws s3control create-access-point --name example-ap--zoneID--xa-s3 --account-id 111122223333 --bucket amzn-s3-demo-bucket--zone-id--x-s3 --vpc vpc-id

Lorsque vous créez un point d’accès pour un compartiment intercompte, incluez le paramètre --bucket-account-id. L’exemple de commande suivant crée un point d’accès dans le compte Compte AWS 111122223333, pour le compartiment amzn-s3-demo-bucket--zone-id--x-s3, appartenant au Compte AWS 444455556666.

aws s3control create-access-point --name example-ap--zoneID--xa-s3 --account-id 111122223333 --bucket amzn-s3-demo-bucket--zone-id--x-s3 --bucket-account-id 444455556666

Pour plus d’informations et d’exemples, consultez create-access-point dans la Référence des commandes de l’AWS CLI.

L’exemple de commande suivant crée un point d’accès nommé example-ap pour le compartiment amzn-s3-demo-bucket--zone-id--x-s3 dans le compte 111122223333 dont l’accès est restreint via le VPC vpc-id (facultatif). 


PUT /v20180820/accesspoint/example-ap--zoneID--xa-s3 HTTP/1.1
Host: s3express-control.region.amazonaws.com
x-amz-account-id: 111122223333
<?xml version="1.0" encoding="UTF-8"?>
<CreateAccessPointRequest>
   <Bucket>amzn-s3-demo-bucket--zone-id--x-s3s</Bucket>
   <BucketAccountId>111122223333</BucketAccountId>
   <VpcConfiguration>
       <VpcId>vpc-id</VpcId>
   </VpcConfiguration>
</CreateAccessPointRequest>

Réponse :


HTTP/1.1 200
<?xml version="1.0" encoding="UTF-8"?>
<CreateAccessPointResult>
   <AccessPointArn>
       "arn:aws:s3express:region:111122223333:accesspoint/example-ap--zoneID--xa-s3"
   </AccessPointArn>
   <Alias>example-ap--zoneID--xa-s3</Alias>
</CreateAccessPointResult>

Vous pouvez utiliser les kits AWS SDK pour créer un point d’accès. Pour plus d’informations, consultez la liste des kits SDK pris en charge dans la Référence des API Amazon Simple Storage Service.