Gestion des accès

Amazon S3 fournit divers outils de gestion des accès. Vous trouverez ci-dessous une liste de ces fonctionnalités et outils. Vous n’avez pas besoin de tous ces outils de gestion des accès, mais vous devez en utiliser un ou plusieurs pour accorder l’accès à vos compartiments et objets Amazon S3, ainsi qu’aux autres Ressources S3. Une utilisation adéquate de ces outils contribue à garantir que vos ressources ne sont accessibles qu’aux utilisateurs prévus.

L’outil de gestion des accès le plus couramment utilisé est une stratégie d’accès. Une stratégie d’accès peut être une politique basée sur les ressources. Dans ce cas, elle est associée à une ressource AWS, telle qu’une stratégie de compartiment. Une stratégie d’accès peut également être une politique basée sur l’identité. Dans ce cas, elle est associée à une identité Gestion des identités et des accès AWS (IAM), telle qu’un utilisateur, un groupe ou un rôle IAM. Une stratégie d’accès décrit qui a accès à quoi. Écrivez une stratégie d’accès pour autoriser les Comptes AWS ainsi que les utilisateurs, les groupes et les rôles IAM à effectuer des opérations au niveau d’une ressource. Par exemple, vous pouvez accorder une autorisation PUT Object à un autre Compte AWS afin de lui permettre de charger des objets dans votre compartiment.

Les outils de gestion de l’accès disponibles dans Amazon S3 sont les suivants. Pour obtenir un guide plus complet sur le contrôle d’accès Amazon S3, consultez Contrôle d’accès dans Amazon S3.

Stratégie de compartiment

Une stratégie de compartiment Amazon S3 est une politique Gestion des identités et des accès AWS (IAM) basée sur les ressources, au format JSON. Elle est associée à un compartiment particulier. Utilisez des stratégies de compartiment pour accorder à d’autres Comptes AWS ou à des identités IAM des autorisations pour le compartiment et les objets qu’il contient. De nombreux cas d’utilisation de la gestion des accès S3 peuvent être satisfaits au moyen d’une stratégie de compartiment. Avec les stratégies de compartiment, vous pouvez personnaliser l’accès au compartiment pour vous assurer que seules les identités que vous avez approuvées peuvent accéder aux ressources et effectuer des actions en leur sein. Pour plus d’informations, consultez Stratégies de compartiment pour Amazon S3.

Politique basée sur l’identité

Une politique utilisateur IAM ou basée sur l’identité est un type de politique Gestion des identités et des accès AWS (IAM). Une politique basée sur l’identité est une politique au format JSON associée aux utilisateurs, groupes ou rôles IAM dans votre compte AWS. Vous pouvez utiliser des politiques basées sur l’identité pour accorder à une identité IAM l’accès à vos compartiments ou objets. Vous pouvez créer des utilisateurs, des groupes et des rôles IAM dans votre compte et leur attacher des stratégies d’accès. Vous pouvez ensuite accorder l’accès aux ressources AWS, notamment aux ressources Amazon S3. Pour plus d’informations, consultez Politiques basées sur l’identité pour Amazon S3.

S3 Access Grants

Utilisez S3 Access Grants pour créer des autorisations d’accès à vos données Amazon S3 pour les identités figurant dans les annuaires d’identités d’entreprise, telles qu’Active Directory, et les identités Gestion des identités et des accès AWS (IAM). S3 Access Grants vous aide à gérer les autorisations de données à l’échelle. En outre, S3 Access Grants enregistre l’identité de l’utilisateur final et l’application utilisée pour accéder aux données S3 dans AWS CloudTrail. Cela fournit un historique d’audit détaillé remontant jusqu’à l’identité de l’utilisateur final pour tous les accès aux données de vos compartiments S3. Pour plus d’informations, consultez Gestion de l’accès avec S3 Access Grants.

Points d’accès

Les points d’accès Amazon S3 simplifient la gestion de l’accès aux données à l’échelle pour les applications utilisant des jeux de données partagés dans S3. Les points d’accès sont appelés points de terminaison réseau. Ils sont associés à un compartiment. Vous pouvez utiliser des points d’accès pour effectuer des opérations sur des objets S3 à l’échelle, comme le chargement et l’extraction d’objets. Jusqu’à 10 000 points d’accès peuvent être associés à un compartiment. Et pour chaque point d’accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts pour vous donner un contrôle précis sur l’accès à vos objets S3. Les points d’accès S3 peuvent être associés à des compartiments du même compte ou d’un autre compte approuvé. Les stratégies de points d’accès sont basées sur les ressources. Elles sont évaluées conjointement avec la stratégie de compartiment sous-jacente. Pour plus d’informations, consultez Gestion de l’accès aux jeux de données avec des points d’accès .

Liste de contrôle d’accès (ACL)

Une liste ACL est une liste d’autorisations identifiant le bénéficiaire et les autorisations accordées. Les listes ACL accordent des autorisations de base en lecture ou en écriture à d’autres Comptes AWS. Les listes ACL utilisent un schéma XML spécifique à Amazon S3. Une liste ACL est un type de politique Gestion des identités et des accès AWS (IAM). Une liste ACL d’objet est utilisée pour gérer l’accès à un objet, tandis qu’une liste ACL de compartiment est utilisée pour gérer l’accès à un compartiment. Avec les stratégies de compartiment, une seule politique s’applique à l’ensemble du compartiment, mais les listes ACL d’objet sont définies pour chaque objet. Nous vous recommandons de maintenir les listes ACL désactivées, sauf si vous devez contrôler individuellement l’accès à chaque objet. Pour en savoir plus sur l’utilisation des listes ACL, consultez Consultez Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment.

Avertissement

La majorité des cas d’utilisation modernes dans Amazon S3 ne nécessitent plus l’utilisation de listes ACL.

Propriétaire de l’objet

Pour gérer l’accès à vos objets, vous devez en être le propriétaire. Utilisez le paramètre Propriétaire de l’objet au niveau du compartiment pour contrôler la propriété des objets chargés dans votre compartiment. Utilisez également le paramètre Propriétaire de l’objet pour activer les listes ACL. Par défaut, la propriété d’objets est définie sur le paramètre Propriétaire du compartiment appliqué, et toutes les listes ACL sont désactivées. Lorsque les listes ACL sont désactivées, le propriétaire du compartiment détient tous les objets présents dans le compartiment et gère exclusivement l’accès aux données. Pour gérer l’accès, le propriétaire du compartiment utilise des politiques, des stratégies ou tout autre outil de gestion des accès, à l’exception des listes ACL. Pour plus d’informations, consultez Consultez Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment.

Pour obtenir un guide plus complet sur le contrôle d’accès Amazon S3 et d’autres bonnes pratiques, consultez Contrôle d’accès dans Amazon S3.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration et analyse des vulnérabilités

Inventaire des données Amazon S3