View a markdown version of this page

Fonctionnement de S3 Files avec IAM - Amazon Simple Storage Service
Politiques basées sur l’identitéPolitiques basées sur les ressourcesActions relatives aux fichiers S3 pour les clientsClés de condition des fichiers S3 pour les clientsExemples de stratégie de système de fichiersAutorisations POSIXGroupes de sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fonctionnement de S3 Files avec IAM

Cette page décrit comment AWS Identity and Access Management (IAM) fonctionne avec S3 Files et comment vous pouvez utiliser les politiques IAM pour contrôler l'accès à vos systèmes de fichiers.

S3 Files utilise IAM pour deux types distincts de contrôle d'accès :

  • Accès aux API : contrôle qui peut créer, gérer et supprimer les ressources des fichiers S3, telles que les systèmes de fichiers, les cibles de montage et les points d'accès. Vous contrôlez cet accès à l'aide de politiques basées sur l'identité associées aux utilisateurs, aux groupes ou aux rôles IAM.

  • Accès client : contrôle ce que les clients (vos ressources informatiques montées) peuvent faire avec le système de fichiers une fois qu'ils se connectent, comme lire, écrire ou accéder à des fichiers en tant qu'utilisateur root. Vous contrôlez cet accès à l'aide d'une combinaison de politiques basées sur les ressources, de politiques basées sur l'identité, de points d'accès et d'autorisations POSIX.

En utilisant IAM, vous pouvez autoriser les clients à effectuer des actions spécifiques sur un système de fichiers, y compris l’accès racine, en lecture seule et en écriture. Une autorisation « d’autorisation » sur une action dans le cadre d’une stratégie d’identité IAM ou d’une politique de ressources du système de fichiers autorise l’accès à cette action. L’autorisation n’a pas besoin d’être accordée à la fois dans une politique d’identité et dans une politique de ressources.

Les politiques de votre compartiment S3 sur votre compartiment S3 lié régissent également l'accès de votre ressource de calcul et de votre système de fichiers à votre compartiment S3. Vous devez également vous assurer que les politiques de compartiment de votre compartiment source ne refusent pas l'accès à votre ressource de calcul ou à votre système de fichiers. Pour plus de détails, consultez les politiques relatives aux compartiments pour Amazon S3.

Politiques basées sur l’identité

Les politiques basées sur l'identité sont des politiques JSON que vous attachez aux utilisateurs, groupes ou rôles IAM. Vous pouvez fournir ces autorisations en rédigeant des politiques personnalisées ou en joignant une politique AWS gérée. Pour plus d'informations sur les politiques gérées disponibles pour l'accès aux API et l'accès client, consultez les politiques AWS gérées pour Amazon S3 Files.

S3 Files optimise également les performances de lecture en permettant aux clients de lire les données des fichiers directement à partir du compartiment S3 source. Lorsque vous montez un système de fichiers S3 sur votre ressource de calcul, vous devez ajouter une politique en ligne au rôle IAM de votre ressource de calcul qui accorde des autorisations pour lire des objets depuis le compartiment S3 spécifié. L'assistant de montage utilise ces autorisations pour lire les données S3. Pour plus de détails sur cette politique, consultezRôle IAM pour associer votre système de fichiers aux AWS ressources de calcul.

Politiques basées sur les ressources

Une stratégie de système de fichiers est une stratégie basée sur les ressources IAM que vous associez directement à un système de fichiers pour contrôler l'accès des clients. Vous pouvez utiliser les politiques du système de fichiers pour accorder ou refuser aux clients des autorisations leur permettant d'effectuer des opérations telles que le montage, l'écriture et l'accès root.

Un système de fichiers possède soit une politique de système de fichiers vide (par défaut), soit exactement une politique explicite. Les politiques du système de fichiers S3 sont limitées à 20 000 caractères. Pour plus d'informations sur la création et la gestion des politiques de système de fichiers, consultezCréation de politiques de système de fichiers.

Actions relatives aux fichiers S3 pour les clients

Vous pouvez spécifier les actions suivantes dans une politique de système de fichiers pour contrôler l'accès des clients :

Action Description
s3files:ClientMount Fournit un accès en lecture seule à un système de fichiers.
s3files:ClientWrite Fournit les droits d’écriture sur un système de fichiers.
s3files:ClientRootAccess Permet d’utiliser l’utilisateur root lors de l’accès à un système de fichiers.

Clés de condition des fichiers S3 pour les clients

Vous pouvez utiliser les clés de condition suivantes dans l'Conditionélément d'une politique de système de fichiers pour affiner davantage le contrôle d'accès :

Clé de condition Description Opérateur
s3files:AccessPointArn ARN du point d'accès S3 Files auquel le client se connecte. String

Exemples de stratégie de système de fichiers

Exemple : Accorder l’accès en lecture seule

La politique de système de fichiers suivante n'accorde que des autorisations ClientMount (en lecture seule) au rôle ReadOnly IAM. Remplacez 111122223333 par votre identifiant de AWS compte.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ReadOnly"
            },
            "Action": [
                "s3files:ClientMount"
            ]
        }
    ]
}

Exemple : accorder l'accès à un point d'accès S3 Files

La politique de système de fichiers suivante utilise un élément de condition pour accorder à un point d'accès spécifique un accès complet au système de fichiers lors du montage via le point d'accès spécifié. Remplacez l'ARN du point d'accès et l'ID de compte par vos valeurs. Pour de plus amples informations, veuillez consulter Création de points d'accès pour un système de fichiers S3.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::555555555555:role/S3FilesAccessPointFullAccess"
            },
            "Action": [
                "s3files:Client*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3files:AccessPointArn": "arn:partition:s3files:region:account-id:file-system/fs-1234567890/access-point/fsap-0987654321"
                }
            }
        }
    ]
}

Autorisations POSIX

Une fois l'autorisation IAM réussie, S3 Files applique les autorisations POSIX standard (style Unix) au niveau des fichiers et des répertoires. Les autorisations POSIX contrôlent l'accès en fonction de l'ID utilisateur (UID), de l'ID de groupe (GID) et des bits d'autorisation (lecture, écriture, exécution) associés à chaque fichier et répertoire. Les points d'accès peuvent imposer une identité d'utilisateur POSIX spécifique pour toutes les demandes, simplifiant ainsi la gestion des accès pour les ensembles de données partagés. Pour de plus amples informations, veuillez consulter Création de points d'accès pour un système de fichiers S3.

Groupes de sécurité

Les groupes de sécurité agissent comme un pare-feu au niveau du réseau qui contrôle le trafic entre vos ressources informatiques et les cibles de montage du système de fichiers. Pour plus de détails sur la configuration des groupes de sécurité pour démarrer avec S3 Files, consultezGroupes de sécurité.