Comment Amazon S3 autorise une demande pour une opération sur les objets - Amazon Simple Storage Service
Exemple de demande d'opération sur un objet

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment Amazon S3 autorise une demande pour une opération sur les objets

Lorsqu'Amazon S3 reçoit une demande pour une opération sur un objet, il convertit toutes les autorisations pertinentes (autorisations basées sur les ressources (liste de contrôle d'accès aux objets (ACL), politique de compartiment, compartimentACL) et politiques IAM utilisateur, en un ensemble de politiques à évaluer au moment de l'exécution. Ensuite, il évalue l'ensemble de stratégies obtenu au cours d'une série d'étapes. À chaque étape, il évalue un sous-ensemble de politiques dans trois contextes spécifiques : le contexte utilisateur, le contexte du compartiment et le contexte de l'objet :

  1. Contexte utilisateur — Si le demandeur est un IAM mandant, celui-ci doit avoir l'autorisation du parent Compte AWS auquel il appartient. Dans cette étape, Amazon S3 évalue un sous-ensemble de stratégies détenues par le compte parent (également appelé autorité du contexte). Ce sous-ensemble de stratégies inclut la stratégie d'utilisateur que le parent attache au principal. Si le parent possède également la ressource contenue dans la demande (compartiment ou objet), Amazon S3 évalue les politiques de ressources correspondantes (politique de compartimentACL, compartiment et objetACL) en même temps.

    Note

    Si le parent Compte AWS est propriétaire de la ressource (compartiment ou objet), il peut accorder des autorisations de ressource à son IAM principal en utilisant la politique utilisateur ou la politique de ressource.

  2. Contexte de compartiment – Dans ce contexte, Amazon S3 évalue les stratégies détenues par le Compte AWS propriétaire du compartiment.

    Si le Compte AWS propriétaire de l'objet indiqué dans la demande n'est pas le même que le propriétaire du compartiment, Amazon S3 vérifie les politiques si le propriétaire du compartiment a explicitement refusé l'accès à l'objet. Si un refus explicite est configuré sur l'objet, Amazon S3 n'autorise pas la demande.

  3. Contexte d'objet – Le demandeur doit avoir l'autorisation du propriétaire de l'objet pour exécuter une opération d'objet spécifique. Au cours de cette étape, Amazon S3 évalue l'objetACL.

    Note

    Si les propriétaires du compartiment et de l'objet sont les mêmes, l'accès à l'objet peut être autorisé dans la stratégie de compartiment, qui est évaluée dans le contexte de compartiment. Si les propriétaires sont différents, les propriétaires de l'objet doivent utiliser un objet ACL pour accorder des autorisations. Si le Compte AWS propriétaire de l'objet est également le compte parent auquel appartient le IAM principal, il peut configurer les autorisations de l'objet dans une politique utilisateur, qui est évaluée dans le contexte de l'utilisateur. Pour en savoir plus sur l'utilisation de ces alternatives de stratégie d'accès, consultez Procédures pas à pas utilisant des politiques pour gérer l'accès à vos ressources Amazon S3.

    Si, en tant que propriétaire du bucket, vous souhaitez être propriétaire de tous les objets de votre bucket et utiliser des politiques de bucket ou des politiques basées sur la IAMto gestion de l'accès à ces objets, vous pouvez appliquer le paramètre imposé par le propriétaire du bucket pour la propriété des objets. Avec ce paramètre, en tant que propriétaire du compartiment, vous possédez automatiquement tous les objets de votre compartiment et avez le contrôle total sur chaque objet présents dans votre compartiment. Le bucket et l'objet ne ACLs peuvent pas être modifiés et leur accès n'est plus pris en compte. Pour de plus amples informations, veuillez consulter Contrôle de la propriété des objets et désactivation ACLs pour votre compartiment.

Voici un schéma de l'évaluation basée sur le contexte pour les opérations d'objet.

Illustration illustrant l'évaluation contextuelle d'une opération sur un objet.

Exemple de demande d'opération sur un objet

Dans cet exemple, IAM l'utilisateur Jill, dont le parent Compte AWS est 1111-1111-1111, envoie une demande d'opération d'objet (par exemple,GetObject) pour un objet appartenant à Compte AWS 3333-3333-3333 dans un bucket appartenant au 2222-2222-2222. Compte AWS

Illustration illustrant une demande d'opération sur un objet.

Jill aura besoin de l'autorisation du parent Compte AWS, du propriétaire du bucket et du propriétaire de l'objet. Amazon S3 évalue le contexte comme suit :

  1. Comme la demande provient d'un IAM principal, Amazon S3 évalue le contexte utilisateur pour vérifier que le parent Compte AWS 1111-1111-1111 a autorisé Jill à effectuer l'opération demandée. Si Jill a l'autorisation, Amazon S3 évalue le contexte de compartiment. Sinon, Amazon S3 refuse la demande.

  2. Dans le contexte du bucket, le propriétaire du bucket, Compte AWS 2222-2222-2222, est l'autorité du contexte. Amazon S3 évalue la stratégie de compartiment pour déterminer si le propriétaire du compartiment a explicitement refusé que Jill accède à l'objet.

  3. Dans le contexte de l'objet, l'autorité du contexte est le Compte AWS 3333-3333-3333, le propriétaire de l'objet. Amazon S3 évalue l'objet ACL pour déterminer si Jill est autorisée à y accéder. Si oui, Amazon S3 autorise la demande.