Actions politiques d'Amazon S3 - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Actions politiques d'Amazon S3

Note

Cette page concerne les actions politiques d'Amazon S3 pour les compartiments à usage général. Pour en savoir plus sur les actions politiques d'Amazon S3 relatives aux compartiments d'annuaire, consultezActions pour S3 Express One Zone.

Amazon S3 définit un ensemble d'autorisations que vous spécifiez dans une stratégie. Pour accorder des autorisations permettant d'effectuer une opération d'API S3, vous devez élaborer une politique valide (telle qu'une politique de compartiment S3 ou une politique basée sur l'identité IAM) et spécifier les actions correspondantes dans l'Actionélément de la stratégie. Ces actions sont appelées actions politiques. Ce qui suit montre les différents types de relations de mappage entre les opérations de l'API S3 et les actions politiques requises.

  • O ne-to-one mappage du même nom. Par exemple, pour utiliser l'opération PutBucketPolicy API, l'action s3:PutBucketPolicy politique est requise.

  • O ne-to-one mappage avec des noms différents. Par exemple, pour utiliser l'opération ListObjectsV2 API, l'action s3:ListBucket politique est requise.

  • Sur la ne-to-many cartographie. Par exemple, pour utiliser l'opération HeadObject API, le s3:GetObject est requis. De même, lorsque vous utilisez S3 Object Lock et que vous souhaitez obtenir le statut de conservation légale ou les paramètres de rétention d'un objet, les actions correspondantes s3:GetObjectLegalHold ou s3:GetObjectRetention politiques sont également requises avant de pouvoir utiliser l'opération d'HeadObjectAPI.

  • any-to-one Cartographie M. Par exemple, pour utiliser les opérations de l'HeadBucketAPI ListObjectsV2 or, l'action s3:ListBucket de politique est requise.

Pour élaborer une politique de compartiment S3 valide, outre l'Actionélément, vous devez également spécifier les Resource éléments EffectPrincipal, et. En outre, pour avoir un contrôle plus précis des opérations de l'API S3, vous pouvez spécifier l'Conditionélément.

Pour élaborer une politique valide basée sur l'identité IAM, outre l'Actionélément, vous devez également spécifier Effect les éléments et. Resource Une politique valide basée sur l'identité IAM n'inclut pas l'élément. Principal

Pour obtenir la liste complète des actions politiques, des ressources et des clés de condition d'Amazon S3 à utiliser dans les politiques, consultez la section Actions, ressources et clés de condition pour Amazon S3 dans la référence d'autorisation de service.

Lorsque vous rédigez des politiques, vous devez spécifier l'Resourceélément en fonction du type de ressource approprié requis par les actions de politique Amazon S3 correspondantes. Cette page classe les autorisations relatives aux opérations de l'API S3 par type de ressource. Pour plus d'informations sur les types de ressources, consultez la section Types de ressources définis par Amazon S3 dans le Service Authorization Reference. Pour obtenir la liste complète des opérations d'API Amazon S3, consultez la section Actions d'API Amazon S3 dans le manuel Amazon Simple Storage Service API Reference.

Les opérations de compartiment sont des opérations d'API S3 qui opèrent sur le type de ressource de compartiment. Par exemple, CreateBucket, ListObjectsV2 et PutBucketPolicy. Les actions de politique S3 pour les opérations de compartiment nécessitent que l'Resourceélément des politiques de compartiment ou des politiques basées sur l'identité IAM soit l'identifiant Amazon Resource Name (ARN) du type de compartiment S3 dans l'exemple de format suivant.

"Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET"

La politique de compartiment suivante accorde à l'utilisateur Akua possédant le compte 12345678901 l's3:ListBucketautorisation d'effectuer l'opération d'API ListObjectsV2 et de répertorier les objets dans un compartiment S3.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Akua to list objects in the bucket", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::12345678901:user/Akua" }, "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET" } ] }
Opérations relatives aux compartiments dans les politiques de point d'accès

Les autorisations accordées dans le cadre d'une politique de point d'accès ne sont effectives que si le compartiment sous-jacent autorise les mêmes autorisations. Lorsque vous utilisez des points d'accès S3, vous devez déléguer le contrôle d'accès du compartiment au point d'accès ou ajouter les mêmes autorisations dans les politiques du point d'accès à la politique du compartiment sous-jacent. Pour de plus amples informations, veuillez consulter Configuration des stratégies IAM pour l'utilisation des points d'accès. Dans les politiques de point d'accès, les actions de politique S3 pour les opérations de compartiment nécessitent que vous utilisiez l'accesspointARN de l'Resourceélément au format suivant.

"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/DOC-EXAMPLE-ACCESS-POINT"

La politique de point d'accès suivante accorde à l'utilisateur Akua possédant le compte 12345678901 l's3:ListBucketautorisation d'effectuer l'opération d'API ListObjectsV2 via le point d'accès S3 DOC-EXAMPLE-ACCESS-POINT afin de répertorier les objets dans le compartiment associé au point d'accès.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Akua to list objects in the bucket through access point", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::12345678901:user/Akua" }, "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/DOC-EXAMPLE-ACCESS-POINT" } ] }
Note

Toutes les opérations de compartiment ne sont pas prises en charge par S3 Access Point. Pour de plus amples informations, veuillez consulter Compatibilité des points d'accès avec les opérations S3.

Les opérations d'objet sont des opérations d'API S3 qui agissent sur le type de ressource de l'objet. Par exemple, GetObject, PutObject et DeleteObject. Les actions de politique S3 pour les opérations sur les objets nécessitent que l'Resourceélément des politiques soit l'ARN de l'objet S3 dans les exemples de formats suivants.

"Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
"Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/prefix/*"
Note

L'ARN de l'objet doit contenir une barre oblique après le nom du bucket, comme indiqué dans les exemples précédents.

La politique de compartiment suivante accorde à l'utilisateur Akua possédant le compte 12345678901 l's3:PutObjectautorisation d'effectuer l'opération d'PutObjectAPI pour télécharger des objets dans un compartiment S3.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Akua to upload objects", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::12345678901:user/Akua" }, "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" } ] }
Opérations sur les objets dans les politiques de point d'accès

Lorsque vous utilisez des points d'accès S3 pour contrôler l'accès aux opérations sur les objets, vous pouvez utiliser des politiques de point d'accès. Lorsque vous utilisez des politiques de point d'accès, les actions de politique S3 pour les opérations sur les objets nécessitent que vous utilisiez l'accesspointARN de l'Resourceélément au format suivant : arn:aws:s3:region:account-id:accesspoint/access-point-name/object/resource Pour les opérations d'objet qui utilisent un point d'accès, vous devez inclure la /object/ valeur après l'ARN complet du point d'accès dans l'Resourceélément. Voici quelques exemples.

"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/DOC-EXAMPLE-ACCESS-POINT/object/*"
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/DOC-EXAMPLE-ACCESS-POINT/object/prefix/*"

La politique de point d'accès suivante accorde à l'utilisateur Akua possédant le compte 12345678901 l's3:GetObjectautorisation d'effectuer l'opération d'GetObjectAPI via le point d'accès DOC-EXAMPLE-ACCESS-POINT sur tous les objets du bucket associé au point d'accès.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Akua to get objects through access point", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::12345678901:user/Akua" }, "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/DOC-EXAMPLE-ACCESS-POINT/object/*" } ] }
Note

Toutes les opérations sur les objets ne sont pas prises en charge par S3 Access Point. Pour de plus amples informations, veuillez consulter Compatibilité des points d'accès avec les opérations S3.

Les opérations de point d'accès sont des opérations d'API S3 qui opèrent sur le type de accesspoint ressource. Par exemple, CreateAccessPoint, DeleteAccessPoint et GetAccessPointPolicy. Les actions de politique S3 pour les opérations de point d'accès ne peuvent être utilisées que dans les politiques basées sur l'identité IAM, et non dans les politiques de compartiment ou les politiques de point d'accès. Les opérations sur les points d'accès nécessitent que l'Resourceélément soit l'accesspointARN dans l'exemple de format suivant.

"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/DOC-EXAMPLE-ACCESS-POINT"

La politique basée sur l'identité IAM suivante accorde l's3:GetAccessPointPolicyautorisation d'effectuer l'opération d'GetAccessPointPolicyAPI sur le point d'accès S3 DOC-EXAMPLE-ACCESS-POINT.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Grant permission to retrieve the access point policy of access point DOC-EXAMPLE-ACCESS-POINT", "Effect": "Allow", "Action": [ "s3:GetAccessPointPolicy" ], "Resource": "arn:aws:s3:*:123456789012:access point/DOC-EXAMPLE-ACCESS-POINT" } ] }

Lorsque vous utilisez des points d'accès, pour contrôler l'accès aux opérations du bucket, voir Opérations relatives aux compartiments dans les politiques de point d'accès ; pour contrôler l'accès aux opérations sur les objets, voirOpérations sur les objets dans les politiques de point d'accès. Pour plus d'informations sur la configuration des politiques de point d'accès, consultezConfiguration des stratégies IAM pour l'utilisation des points d'accès.

Pour plus d'informations sur la configuration des politiques pour les opérations du point d'accès Object Lambda, consultez. Configuration des politiques IAM pour les points d'accès Object Lambda

Pour plus d'informations sur la façon de configurer des politiques pour les opérations de points d'accès multirégionaux, consultezExemples de politique de point d'accès multi-régions.

Les opérations de travail (Batch Operations) sont des opérations d'API S3 qui opèrent sur le type de ressource de tâche. Par exemple : DescribeJob et CreateJob. Les actions de politique S3 pour les opérations de travail ne peuvent être utilisées que dans les politiques basées sur l'identité IAM, et non dans les politiques de compartiment. En outre, les opérations de travail nécessitent que l'Resourceélément des politiques basées sur l'identité IAM soit l'jobARN dans l'exemple de format suivant.

"Resource": "arn:aws:s3:*:123456789012:job/*"

La politique basée sur l'identité IAM suivante accorde l's3:DescribeJobautorisation d'effectuer l'opération d'DescribeJobAPI sur S3 Batch Operations Job DOC-EXAMPLE-JOB.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow describing the Batch operation job DOC-EXAMPLE-JOB", "Effect": "Allow", "Action": [ "s3:DescribeJob" ], "Resource": "arn:aws:s3:*:123456789012:job/DOC-EXAMPLE-JOB" } ] }

Pour plus d'informations sur la configuration des opérations de configuration de S3 Storage Lens, consultezAutorisations Amazon S3 Storage Lens.

Les opérations de compte sont des opérations d'API S3 qui fonctionnent au niveau du compte. Par exemple, GetPublicAccessBlock (pour le compte). Le compte n'est pas un type de ressource défini par Amazon S3. Les actions de politique S3 pour les opérations de compte ne peuvent être utilisées que dans les politiques basées sur l'identité IAM, et non dans les politiques de compartiment. En outre, les opérations de compte nécessitent que l'Resourceélément des politiques basées sur l'identité IAM soit. "*"

La politique basée sur l'identité IAM suivante accorde l's3:GetAccountPublicAccessBlockautorisation d'effectuer l'opération d'GetPublicAccessBlockAPI au niveau du compte et de récupérer les paramètres de blocage d'accès public au niveau du compte.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"Allow retrieving the account-level Public Access Block settings", "Effect":"Allow", "Action":[ "s3:GetAccountPublicAccessBlock" ], "Resource":[ "*" ] } ] }