Stratégies et autorisations dans Amazon S3 - Amazon Simple Storage Service

Ce guide ne fait plus l'objet de mises à jour. Pour obtenir des informations et des instructions actuelles, reportez-vous au nouveau Guide de l'utilisateur Amazon S3.

Stratégies et autorisations dans Amazon S3

Cette page présente les stratégies de compartiment et utilisateur dans Amazon S3 et décrit les éléments de base d'une stratégie. Chaque élément répertorié renvoie vers des informations complémentaires sur cet élément et des exemples de son utilisation.

Pour obtenir la liste complète des actions, ressources et conditions Amazon S3, veuillez consulter Actions, ressources et clés de condition pour Amazon S3.

Présentation du langage des stratégies

Une stratégie de base contient les éléments suivants :

  • Ressources – Les compartiments, objets, points d'accès et tâches sont les ressources Amazon S3 pour lesquelles vous pouvez autoriser ou refuser des autorisations. Dans une stratégie, vous pouvez utiliser l'Amazon Resource Name (ARN) pour identifier la ressource. Pour de plus amples informations, veuillez consulter Ressources Amazon S3.

  • Actions – Pour chaque ressource, Amazon S3 prend en charge un ensemble d'opérations. Vous identifiez les opérations de ressource que vous accordez (ou refusez) en utilisant des mots clés d'action.

    Par exemple, l'autorisation s3:ListBucket permet à l'utilisateur d'effectuer l'opération Amazon S3 GET Bucket (List Objects). Pour de plus amples informations, veuillez consulter Actions Amazon S3.

  • Effet – L'effet produit lorsque l'utilisateur demande l'action spécifique, qui peut être un accord ou un refus.

    Si vous n'octroyez pas explicitement l'accès pour (autoriser) une ressource, l'accès est implicitement refusé. Vous pouvez explicitement refuser l'accès à une ressource. Vous pouvez le faire afin de vous assurer qu'un utilisateur n'y a pas accès, même si une stratégie différente accorde cet accès. Pour de plus amples informations, veuillez consulter Éléments de stratégie JSON IAM :Effect.

  • Mandataire – Compte ou utilisateur autorisé à accéder aux actions ou aux ressources dans l'instruction. Dans une stratégie de compartiment, le mandataire est l'utilisateur, le compte, le service ou toute autre entité destinataire de cette autorisation. Pour de plus amples informations, veuillez consulter Mandataires.

  • Condition – Conditions relatives au moment où une stratégie entre en vigueur. Vous pouvez utiliser des clés à l'échelle d'AWS et des clés spécifiques à Amazon S3 pour spécifier des conditions dans une stratégie d'accès Amazon S3. Pour de plus amples informations, veuillez consulter Clés de condition Amazon S3.

L'exemple de stratégie de compartiment suivant montre les éléments de la stratégie précédente. La stratégie autorise Dave, un utilisateur dans le compte ID de compte, s3:GetObject, s3:GetBucketLocation et les autorisations s3:ListBucket Amazon S3 sur le compartiment awsexamplebucket1.

{ "Version": "2012-10-17", "Id": "ExamplePolicy01", "Statement": [ { "Sid": "ExampleStatement01", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:user/Dave" }, "Action": [ "s3:GetObject", "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::awsexamplebucket1/*", "arn:aws:s3:::awsexamplebucket1" ] } ] }

Pour obtenir des informations complètes sur le langage des stratégies, veuillez consulter Stratégies et autorisations et Référence de stratégie JSON IAM dans le Guide de l'utilisateur IAM.