Présentation des compartiments

Pour charger vos données (photos, vidéos, documents, etc.) dans Amazon S3, vous devez d'abord créer un compartiment S3 dans l'une des Régions AWS.

Un compartiment est un conteneur d'objets stockés dans Amazon S3. Chaque compartiment permet de stocker un nombre illimité d'objets et vous pouvez avoir jusqu'à 100 compartiments dans votre compte. Pour demander une augmentation, reportez-vous à la console Service Quotas.

Chaque objet est contenu dans un compartiment. Par exemple, si l'objet nommé photos/puppy.jpg est stocké dans le compartiment DOC-EXAMPLE-BUCKET, dans la région USA Ouest (Oregon), il est adressable à l'aide de l'URL https://DOC-EXAMPLE-BUCKET.s3.us-west-2.amazonaws.com/photos/puppy.jpg. Pour plus d'informations, consultez Accès à un compartiment.

En termes de mise en œuvre, les compartiments et les objets sont AWS des ressources, et Amazon S3 fournit des API pour vous permettre de les gérer. Par exemple, vous pouvez créer un compartiment et y charger des objets via l'API Amazon S3. Vous pouvez également effectuer ces opérations via la console Amazon S3. La console utilise les API Amazon S3 pour envoyer des demandes à Amazon S3.

Cette section décrit comment utiliser les compartiments. Pour en savoir plus sur l'utilisation des objets, consultez Présentation des objets Amazon S3.

Amazon S3 prend en charge les compartiments globaux, ce qui signifie que chaque nom de compartiment doit être unique Comptes AWS Régions AWS dans l'ensemble d'une partition. Une partition est un regroupement de Régions. AWS dispose actuellement de trois partitions : aws (Régions Standard), aws-cn (Régions Chine) et aws-us-gov (AWS GovCloud (US)).

Une fois qu'un bucket est créé, le nom de ce bucket ne peut pas être utilisé par un autre utilisateur Compte AWS de la même partition tant que le bucket n'est pas supprimé. Vous ne devez pas dépendre des conventions de dénomination de compartiment spécifiques à des fins de vérification de la disponibilité ou de la sécurité. Pour obtenir des instructions sur l'attribution des noms, consultez Règles de dénomination de compartiment.

Amazon S3 crée des compartiments dans une région que vous spécifiez. Pour réduire la latence, minimiser les coûts ou répondre aux exigences réglementaires, choisissez Région AWS celui qui est géographiquement proche de vous. Par exemple, si vous résidez en Europe, il peut être avantageux de créer des compartiments dans les régions Europe (Irlande) ou Europe (Francfort). Pour obtenir la liste des régions Amazon S3, veuillez consulter Régions et points de terminaison dans les Références générales AWS .

Note

Pour plus d’informations sur l’utilisation de la classe de stockage Amazon S3 Express One Zone avec des compartiments de répertoires, consultez Qu’est-ce que S3 Express One Zone ? et Compartiments de répertoire.

Note

Les objets appartenant à un compartiment que vous créez dans une région spécifique Région AWS ne quittent jamais cette région, sauf si vous les transférez explicitement vers une autre région. Par exemple, les objets stockés dans la région Europe (Irlande) ne la quittent jamais.

À propos des autorisations

Vous pouvez utiliser vos Utilisateur racine d'un compte AWS informations d'identification pour créer un compartiment et effectuer toute autre opération Amazon S3. Toutefois, nous vous recommandons de ne pas utiliser les informations d'identification de l'utilisateur root Compte AWS pour effectuer des demandes, par exemple pour créer un bucket. Créez plutôt un utilisateur AWS Identity and Access Management (IAM) et accordez-lui un accès complet (les utilisateurs n'ont aucune autorisation par défaut).

Ces utilisateurs sont appelés administrateurs. Vous pouvez utiliser les informations d'identification de l'utilisateur administrateur, au lieu des informations d'identification de l'utilisateur root de votre compte, pour interagir avec AWS et effectuer des tâches, telles que créer un bucket, créer des utilisateurs et leur accorder des autorisations.

Pour plus d’informations, consultez la section sur les informations d’identification de l’Utilisateur racine d'un compte AWS et les informations d’identification d’un utilisateur IAM dans Références générales AWS , ainsi que Bonnes pratiques de sécurité dans IAM dans le Guide de l’utilisateur IAM.

Celui Compte AWS qui crée une ressource possède cette ressource. Par exemple, si vous créez un utilisateur IAM dans votre compartiment Compte AWS et que vous lui accordez l'autorisation de créer un compartiment, l'utilisateur peut créer un compartiment. Mais l'utilisateur n'est pas propriétaire du bucket ; le bucket auquel Compte AWS il appartient est propriétaire du bucket. Pour que l'utilisateur puisse effectuer d'autres opérations sur les compartiments, le propriétaire de la ressource doit lui accorder d'autres autorisations. Pour plus d’informations sur la gestion des autorisations relatives à vos ressources Amazon S3, consultez Identity and Access Management dans Amazon S3.

Gestion de l'accès public aux compartiments

Un accès public est accordé aux compartiments et objets via des politiques de compartiment, des listes de contrôle d'accès (ACL) ou les deux. Pour vous aider à gérer l'accès public aux ressources Amazon S3, Amazon S3 fournit des paramètres permettant de bloquer l'accès public. Les paramètres de blocage de l'accès public Amazon S3 peuvent remplacer les listes ACL et les stratégies de compartiment pour vous permettre d'appliquer des limites uniformes concernant l'accès public à ces ressources. Vous pouvez appliquer des paramètres de blocage de l'accès public à des compartiments individuels ou à tous les compartiments de votre compte.

Pour vous assurer que l'accès public à tous vos compartiments et objets Amazon S3 est bloqué, les quatre paramètres liés au blocage de l'accès public sont activés par défaut lorsque vous créez un nouveau compartiment. Nous vous recommandons d'activer ces quatre paramètres également pour votre compte. Ces paramètres bloquent tout accès public pour tous les compartiments présents et futurs.

Avant d'appliquer ces paramètres, vérifiez que vos applications fonctionnent correctement sans accès public. Si vous avez besoin d'un certain niveau d'accès public à vos compartiments ou objets (par exemple pour héberger un site Web statique, comme décrit dans Hébergement d'un site Web statique à l'aide d'Amazon S3), vous pouvez personnaliser les paramètres individuels afin de les adapter à vos cas d'utilisation du stockage. Pour plus d’informations, consultez Blocage de l'accès public à votre stockage Amazon S3.

Toutefois, nous vous recommandons vivement de garder l'option Bloquer l'accès public activée. Si vous souhaitez conserver les quatre paramètres de blocage de l'accès public activés et héberger un site Web statique, vous pouvez utiliser le contrôle CloudFront d'accès d'origine (OAC) d'Amazon. Amazon CloudFront fournit les fonctionnalités requises pour configurer un site Web statique sécurisé. Les sites Web statiques Amazon S3 prennent uniquement en charge les points de terminaison HTTP. Amazon CloudFront utilise le stockage durable d'Amazon S3 tout en fournissant des en-têtes de sécurité supplémentaires, tels que HTTPS. HTTPS accroît la sécurité en chiffrant une demande HTTP normale et en offrant une protection contre les cyberattaques courantes.

Pour plus d'informations, consultez Getting started with a secure static website in the Amazon CloudFront Developer Guide.

Note

Si vous voyez une Error lorsque vous répertoriez vos compartiments et leurs paramètres d'accès public, il se peut que vous ne disposiez pas des autorisations requises. Assurez-vous d'avoir ajouté les autorisations suivantes à votre politique utilisateur ou à votre politique de rôle :

s3:GetAccountPublicAccessBlock
s3:GetBucketPublicAccessBlock
s3:GetBucketPolicyStatus
s3:GetBucketLocation
s3:GetBucketAcl
s3:ListAccessPoints
s3:ListAllMyBuckets

Dans de rares cas, les demandes peuvent également échouer en raison d'une défaillance de la Région AWS .

Options de configuration des compartiments

Amazon S3 vous permet de configurer votre compartiment grâce à différentes options. Par exemple, vous pouvez configurer votre compartiment pour l'hébergement d'un site Web, le configurer afin qu'il enregistre tous les accès au compartiment, ou encore ajouter une configuration pour la gestion du cycle de vie des objets qu'il contient. Amazon S3 prend en charge des sous-ressources qui vous permettent de stocker et de gérer les informations relatives à la configuration du compartiment. Vous pouvez utiliser l'API Amazon S3 pour créer et gérer ces sous-ressources. Cependant, vous pouvez également utiliser la console ou les AWS SDK.

Note

Les configurations au niveau de l'objet sont également possibles. Par exemple, vous pouvez configurer une liste de contrôle d'accès (ACL) spécifique à un objet, ce qui vous permet de configurer des autorisations au niveau de cet objet.

Nous parlons de « sous-ressources », car celles-ci se trouvent dans le contexte d'un compartiment ou d'un objet donnés. Le tableau ci-dessous répertorie les sous-ressources qui vous permettent de gérer les configurations associées à un compartiment donné.

Sous-ressource	Description
cors (partage des ressources cross-origin)	Vous pouvez configurer le compartiment afin d'autoriser les demandes cross-origin. Pour plus d’informations, consultez Utilisation du partage des ressources entre origines multiples (CORS).
event notification	Vous pouvez autoriser le compartiment à vous envoyer des notifications lorsque certains événements s'y produisent. Pour plus d’informations, consultez Notifications d'événements Amazon S3.
lifecycle	Vous pouvez définir des règles de cycle de vie pour des objets de votre compartiment, lorsque ceux-ci disposent d'un cycle de vie bien défini. Par exemple, vous pouvez définir une règle qui permet d'archiver certains objets un an après leur création ou de les supprimer 10 ans après leur création. Pour plus d’informations, consultez Gestion du cycle de vie de votre stockage.
location	Lorsque vous créez un compartiment, vous spécifiez l' Région AWS endroit où vous souhaitez qu'Amazon S3 le crée. Amazon S3 stocke cette information dans la sous-ressource associée à l'emplacement et fournit une API qui vous permet de récupérer cette information.
logging	La journalisation vous permet d'effectuer le suivi des demandes d'accès au compartiment. Chaque enregistrement de journal d'accès fournit des informations détaillées sur une demande d'accès donnée (demandeur, nom du compartiment, heure de la demande, action associée à la demande, état de la réponse et code d'erreur, le cas échéant). Les informations des journaux d'accès peuvent s'avérer utiles en cas d'audit de sécurité ou d'audit des accès. Cela peut également vous aider à en savoir plus sur votre base de clients et à comprendre votre facture Amazon S3.   Pour plus d’informations, consultez Enregistrement de demandes avec journalisation des accès au serveur.
Verrouillage d’objet	Pour utiliser le verrouillage des objets S3, vous devez l'activer pour un compartiment. Si vous le souhaitez, vous pouvez également configurer un mode et une période de rétention par défaut qui s'appliqueront aux nouveaux objets mis en place dans le compartiment. Pour plus d’informations, consultez Utilisation du verrouillage des objets S3.
policy et ACL (liste de contrôle d'accès)	Par défaut, toutes vos ressources (telles que les objets et compartiments) sont privées. Amazon S3 prend en charge les options de liste de contrôle d'accès (ACL) et de stratégie de compartiment, qui vous permettent d'accorder et de gérer des autorisations au niveau du compartiment. Amazon S3 stocke les informations relatives aux autorisations dans les sous-ressources policy et acl. Pour plus d’informations, consultez Identity and Access Management dans Amazon S3.
réplication	La réplication est la copie automatique et asynchrone d'objets entre des compartiments dans des Régions AWS différents ou identiques. Pour plus d’informations, consultez Réplication d'objets.
requestPayment	Par défaut, Compte AWS celui qui crée le bucket (le propriétaire du bucket) paie les téléchargements depuis le bucket. Toutefois, cette sous-ressource permet au propriétaire du compartiment de spécifier que l'utilisateur qui demande un téléchargement soit facturé lorsqu'il effectue un téléchargement. Amazon S3 fournit une API qui vous permet de gérer cette sous-ressource. Pour plus d’informations, consultez Utilisation de compartiments de paiement par le demandeur pour les transferts de stockage et l'utilisation.
tagging	Vous pouvez ajouter des balises de répartition des coûts à votre compartiment pour classer et suivre vos AWS coûts. Amazon S3 fournit la sous-ressource tagging qui vous permet de stocker et de gérer des balises sur un compartiment. À l'aide des balises que vous appliquez à votre compartiment, vous AWS générez un rapport de répartition des coûts avec l'utilisation et les coûts agrégés par balises. Pour de plus amples informations, veuillez consulter Rapports de facturation et d'utilisation pour Amazon S3.
Transfer Acceleration	Transfer Acceleration permet un transfert rapide, facile et sécurisé de fichiers à grande distance entre votre client et un compartiment S3. Transfer Acceleration tire parti des emplacements périphériques distribués dans le monde entier d'Amazon CloudFront. Pour plus d’informations, consultez Configuration de transferts de fichiers rapides et sécurisés à l'aide d'Amazon S3 Transfer Acceleration.
gestion des versions	La gestion des versions vous permet de récupérer un objet remplacé ou supprimé par erreur. La gestion des versions est une bonne pratique que nous recommandons pour la récupération d'objets remplacés ou supprimés par erreur. Pour plus d’informations, consultez Utilisation de la gestion des versions dans les compartiments S3.
website	Vous pouvez configurer votre compartiment pour l'hébergement de sites Web statiques. Amazon S3 crée une sous-ressource website afin de stocker cette configuration. Pour plus d’informations, consultez Hébergement d'un site Web statique à l'aide d'Amazon S3.