Comment Amazon S3 autorise une demande

Lorsqu’Amazon S3 reçoit une demande : par exemple, une opération de compartiment ou d’objet, il vérifie que le demandeur possède les autorisations nécessaires. Amazon S3 évalue toutes les stratégies d’accès, les politiques utilisateur et les politiques basées sur les ressources (stratégie de compartiment, liste ACL de compartiment, liste ACL d’objet) pertinentes pour décider d’autoriser ou non la demande.

Note

Si le contrôle des autorisations Amazon S3 ne permet pas de trouver des autorisations valides, une erreur (403 Forbidden) liée à un refus d’accès est renvoyée. Pour plus d’informations, consultez Résolution des erreurs d’accès refusé (403 Forbidden) dans Amazon S3.

Afin de déterminer si le demandeur a l’autorisation d’exécuter l’opération spécifique, Amazon S3 procède comme suit dès réception d’une demande :

Convertit toutes les stratégies d’accès pertinentes (politique utilisateur, stratégie de compartiment et listes ACL) au moment de l’exécution en un ensemble de politiques pour évaluation.
Évalue l’ensemble de stratégies obtenu au cours des étapes suivantes. Dans chaque étape, Amazon S3 évalue un sous-ensemble de stratégies dans un contexte spécifique, basé sur l’autorité du contexte.
1. Contexte d’utilisateur – Dans le contexte d’utilisateur, le compte parent auquel appartient l’utilisateur est l’autorité du contexte.
  
  Amazon S3 évalue un sous-ensemble de stratégies détenues par le compte parent. Ce sous-ensemble inclut la stratégie d’utilisateur que le parent attache à l’utilisateur. Si le parent possède également la ressource de la demande (compartiment ou objet), Amazon S3 évalue aussi les politiques de ressources correspondantes (stratégie de compartiment, liste ACL de compartiment et liste ACL d’objet) en même temps.
  
  Un utilisateur doit avoir l’autorisation du compte parent pour exécuter l’opération.
  
  Cette étape s’applique uniquement si la demande est faite par un utilisateur dans un Compte AWS. Si la demande est faite grâce aux informations d’identification d’utilisateur root d’un Compte AWS, Amazon S3 passe cette étape.
2. Contexte de compartiment – Dans le contexte de compartiment, Amazon S3 évalue les stratégies détenues par le Compte AWS propriétaire du compartiment.
  
  Si la demande concerne une opération de compartiment, le demandeur doit avoir l’autorisation du propriétaire du compartiment. Si la demande concerne un objet, Amazon S3 évalue toutes les stratégies détenues par le propriétaire du compartiment pour vérifier que ce dernier n’a pas refusé explicitement l’accès à l’objet. Si un refus explicite est configuré, Amazon S3 n’autorise pas la demande.
3. Contexte d’objet – Si la demande concerne un objet, Amazon S3 évalue le sous-ensemble de stratégies détenues par le propriétaire de l’objet.

Voici quelques exemples de scénarios qui illustrent comment Amazon S3 autorise une demande.

Exemple – Le demandeur est un principal IAM

Si le demandeur est un principal IAM, Amazon S3 doit déterminer si le Compte AWS parent auquel appartient le mandataire lui a accordé l’autorisation nécessaire pour exécuter l’opération. De plus, si la demande concerne une opération de compartiment, comme une demande pour lister le contenu du compartiment, Amazon S3 doit vérifier que le propriétaire du compartiment a accordé l’autorisation au demandeur d’exécuter l’opération. Pour exécuter une opération spécifique sur une ressource, un principal IAM a besoin de l’autorisation du Compte AWS parent auquel il appartient et du Compte AWS qui détient la ressource.

Exemple – Le demandeur est un principal IAM : si la demande concerne une opération sur un objet que le propriétaire du compartiment ne possède pas

Si la demande concerne une opération sur un objet que le propriétaire du compartiment ne possède pas, Amazon S3 doit veiller à ce que le demandeur possède l’autorisation du propriétaire de l’objet, mais aussi à ce que la stratégie de compartiment garantisse que le propriétaire du compartiment n’a pas configuré un refus explicite sur l’objet. Le propriétaire du compartiment (qui paie la facture) peut refuser explicitement l’accès aux objets dans le compartiment, quel que soit le propriétaire. Le propriétaire du compartiment peut également supprimer tout objet du compartiment.

Par défaut, lorsqu’un autre Compte AWS charge un objet dans votre compartiment à usage général S3, ce compte (créateur de l’objet) possède l’objet, y a accès et peut en accorder l’accès à d’autres utilisateurs via des listes de contrôle d’accès (ACL). Vous pouvez utiliser l’option Propriétaire de l’objet pour modifier ce comportement par défaut de manière à ce que les listes ACL soient désactivées et que vous, en tant que propriétaire du compartiment, possédiez automatiquement tous les objets de votre compartiment. Par conséquent, le contrôle d’accès à vos données est basé sur des politiques, telles que les politiques d’utilisateur IAM, les stratégies de compartiment S3, les politiques de point de terminaison de cloud privé virtuel (VPC) et les politiques de contrôle des services (SCP) AWS Organizations. Pour plus d’informations, consultez Consultez Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment.

Pour en savoir plus sur la façon dont Amazon S3 évalue les stratégies d’accès pour autoriser ou refuser les demandes d’opérations de compartiment et d’objets, consultez les rubriques suivantes :

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Fonctionnement d’Amazon S3 avec IAM

Pour une opération de compartiment