Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions politiques d'Amazon S3
Note
Cette page concerne les actions politiques d'Amazon S3 pour les compartiments à usage général. Pour en savoir plus sur les actions politiques d'Amazon S3 relatives aux compartiments d'annuaire, consultezActions pour S3 Express One Zone.
Amazon S3 définit un ensemble d'autorisations que vous spécifiez dans une stratégie. Pour accorder des autorisations permettant d'effectuer une opération d'API S3, vous devez élaborer une politique valide (telle qu'une politique de compartiment S3 ou une politique basée sur l'identité IAM) et spécifier les actions correspondantes dans l'Action
élément de la stratégie. Ces actions sont appelées actions politiques. Ce qui suit montre les différents types de relations de mappage entre les opérations de l'API S3 et les actions politiques requises.
O ne-to-one mappage du même nom. Par exemple, pour utiliser l'opération
PutBucketPolicy
API, l'actions3:PutBucketPolicy
politique est requise.O ne-to-one mappage avec des noms différents. Par exemple, pour utiliser l'opération
ListObjectsV2
API, l'actions3:ListBucket
politique est requise.Sur la ne-to-many cartographie. Par exemple, pour utiliser l'opération
HeadObject
API, les3:GetObject
est requis. De même, lorsque vous utilisez S3 Object Lock et que vous souhaitez obtenir le statut de conservation légale ou les paramètres de rétention d'un objet, les actions correspondantess3:GetObjectLegalHold
ous3:GetObjectRetention
politiques sont également requises avant de pouvoir utiliser l'opération d'HeadObject
API.any-to-one Cartographie M. Par exemple, pour utiliser les opérations de l'
HeadBucket
APIListObjectsV2
or, l'actions3:ListBucket
de politique est requise.
Pour élaborer une politique de compartiment S3 valide, outre l'Action
élément, vous devez également spécifier les Resource
éléments Effect
Principal
, et. En outre, pour avoir un contrôle plus précis des opérations de l'API S3, vous pouvez spécifier l'Condition
élément.
Pour élaborer une politique valide basée sur l'identité IAM, outre l'Action
élément, vous devez également spécifier Effect
les éléments et. Resource
Une politique valide basée sur l'identité IAM n'inclut pas l'élément. Principal
Pour obtenir la liste complète des actions politiques, des ressources et des clés de condition d'Amazon S3 à utiliser dans les politiques, consultez la section Actions, ressources et clés de condition pour Amazon S3 dans la référence d'autorisation de service.
Lorsque vous rédigez des politiques, vous devez spécifier l'Resource
élément en fonction du type de ressource approprié requis par les actions de politique Amazon S3 correspondantes. Cette page classe les autorisations relatives aux opérations de l'API S3 par type de ressource. Pour plus d'informations sur les types de ressources, consultez la section Types de ressources définis par Amazon S3 dans le Service Authorization Reference. Pour obtenir la liste complète des opérations d'API Amazon S3, consultez la section Actions d'API Amazon S3 dans le manuel Amazon Simple Storage Service API Reference.
Rubriques
Opérations de compartiment
Les opérations de compartiment sont des opérations d'API S3 qui opèrent sur le type de ressource de compartiment. Par exemple, CreateBucket
, ListObjectsV2
et PutBucketPolicy
. Les actions de politique S3 pour les opérations de compartiment nécessitent que l'Resource
élément des politiques de compartiment ou des politiques basées sur l'identité IAM soit l'identifiant Amazon Resource Name (ARN) du type de compartiment S3 dans l'exemple de format suivant.
"Resource": "arn:aws:s3:::
DOC-EXAMPLE-BUCKET
"
La politique de compartiment suivante accorde à l'utilisateur Akua possédant
le compte 12345678901
l's3:ListBucket
autorisation d'effectuer l'opération d'API ListObjectsV2 et de répertorier les objets dans un compartiment S3.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Akua to list objects in the bucket", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
12345678901
:user/Akua" }, "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET
" } ] }
Opérations relatives aux compartiments dans les politiques de point d'accès
Les autorisations accordées dans le cadre d'une politique de point d'accès ne sont effectives que si le compartiment sous-jacent autorise les mêmes autorisations. Lorsque vous utilisez des points d'accès S3, vous devez déléguer le contrôle d'accès du compartiment au point d'accès ou ajouter les mêmes autorisations dans les politiques du point d'accès à la politique du compartiment sous-jacent. Pour de plus amples informations, veuillez consulter Configuration des stratégies IAM pour l'utilisation des points d'accès. Dans les politiques de point d'accès, les actions de politique S3 pour les opérations de compartiment nécessitent que vous utilisiez l'accesspoint
ARN de l'Resource
élément au format suivant.
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/
DOC-EXAMPLE-ACCESS-POINT
"
La politique de point d'accès suivante accorde à l'utilisateur Akua
possédant le compte 12345678901
l's3:ListBucket
autorisation d'effectuer l'opération d'API ListObjectsV2 via le point d'accès S3 DOC-EXAMPLE-ACCESS-POINT afin de répertorier les objets dans le compartiment associé au point
d'accès.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Akua to list objects in the bucket through access point", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
12345678901
:user/Akua" }, "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3:us-west-2:123456789012
:accesspoint/DOC-EXAMPLE-ACCESS-POINT
" } ] }
Note
Toutes les opérations de compartiment ne sont pas prises en charge par S3 Access Point. Pour de plus amples informations, veuillez consulter Compatibilité des points d'accès avec les opérations S3.
Opérations sur les objets
Les opérations d'objet sont des opérations d'API S3 qui agissent sur le type de ressource de l'objet. Par exemple, GetObject
, PutObject
et DeleteObject
. Les actions de politique S3 pour les opérations sur les objets nécessitent que l'Resource
élément des politiques soit l'ARN de l'objet S3 dans les exemples de formats suivants.
"Resource": "arn:aws:s3:::
DOC-EXAMPLE-BUCKET
/*"
"Resource": "arn:aws:s3:::
DOC-EXAMPLE-BUCKET
/prefix
/*"
Note
L'ARN de l'objet doit contenir une barre oblique après le nom du bucket, comme indiqué dans les exemples précédents.
La politique de compartiment suivante accorde à l'utilisateur Akua possédant
le compte 12345678901
l's3:PutObject
autorisation d'effectuer l'opération d'PutObjectAPI pour télécharger des objets dans un compartiment S3.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Akua to upload objects", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
12345678901
:user/Akua" }, "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET
/*" } ] }
Opérations sur les objets dans les politiques de point d'accès
Lorsque vous utilisez des points d'accès S3 pour contrôler l'accès aux opérations sur les objets, vous pouvez utiliser des politiques de point d'accès. Lorsque vous utilisez des politiques de point d'accès, les actions de politique S3 pour les opérations sur les objets nécessitent que vous utilisiez l'accesspoint
ARN de l'Resource
élément au format suivant : arn:aws:s3:region:account-id:accesspoint/access-point-name/object/resource
Pour les opérations d'objet qui utilisent un point d'accès, vous devez inclure la /object/
valeur après l'ARN complet du point d'accès dans l'Resource
élément. Voici quelques exemples.
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/
DOC-EXAMPLE-ACCESS-POINT
/object/*"
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/
DOC-EXAMPLE-ACCESS-POINT
/object/prefix
/*"
La politique de point d'accès suivante accorde à l'utilisateur Akua possédant
le compte 12345678901
l's3:GetObject
autorisation d'effectuer l'opération d'GetObjectAPI via le point d'accès DOC-EXAMPLE-ACCESS-POINT sur tous les objets du bucket associé au point
d'accès.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow Akua to get objects through access point", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
12345678901
:user/Akua" }, "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/DOC-EXAMPLE-ACCESS-POINT
/object/*" } ] }
Note
Toutes les opérations sur les objets ne sont pas prises en charge par S3 Access Point. Pour de plus amples informations, veuillez consulter Compatibilité des points d'accès avec les opérations S3.
Opérations des points d'accès
Les opérations de point d'accès sont des opérations d'API S3 qui opèrent sur le type de accesspoint
ressource. Par exemple, CreateAccessPoint
, DeleteAccessPoint
et GetAccessPointPolicy
. Les actions de politique S3 pour les opérations de point d'accès ne peuvent être utilisées que dans les politiques basées sur l'identité IAM, et non dans les politiques de compartiment ou les politiques de point d'accès. Les opérations sur les points d'accès nécessitent que l'Resource
élément soit l'accesspoint
ARN dans l'exemple de format suivant.
"Resource": "arn:aws:s3:us-west-2:
123456789012
:accesspoint/DOC-EXAMPLE-ACCESS-POINT
"
La politique basée sur l'identité IAM suivante accorde l'
s3:GetAccessPointPolicy
autorisation d'effectuer l'opération d'GetAccessPointPolicyAPI sur le point d'accès S3 DOC-EXAMPLE-ACCESS-POINT.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Grant permission to retrieve the access point policy of access point
DOC-EXAMPLE-ACCESS-POINT
", "Effect": "Allow", "Action": [ "s3:GetAccessPointPolicy" ], "Resource": "arn:aws:s3:*:123456789012
:access point/DOC-EXAMPLE-ACCESS-POINT
" } ] }
Lorsque vous utilisez des points d'accès, pour contrôler l'accès aux opérations du bucket, voir Opérations relatives aux compartiments dans les politiques de point d'accès ; pour contrôler l'accès aux opérations sur les objets, voirOpérations sur les objets dans les politiques de point d'accès. Pour plus d'informations sur la configuration des politiques de point d'accès, consultezConfiguration des stratégies IAM pour l'utilisation des points d'accès.
Opérations du point d'accès Object Lambda
Pour plus d'informations sur la configuration des politiques pour les opérations du point d'accès Object Lambda, consultez. Configuration des politiques IAM pour les points d'accès Object Lambda
Opérations des points d'accès multirégionaux
Pour plus d'informations sur la façon de configurer des politiques pour les opérations de points d'accès multirégionaux, consultezExemples de politique de point d'accès multi-régions.
Opérations de tâches par lots
Les opérations de travail (Batch Operations) sont des opérations d'API S3 qui opèrent sur le type de ressource de tâche. Par exemple : DescribeJob
et CreateJob
. Les actions de politique S3 pour les opérations de travail ne peuvent être utilisées que dans les politiques basées sur l'identité IAM, et non dans les politiques de compartiment. En outre, les opérations de travail nécessitent que l'Resource
élément des politiques basées sur l'identité IAM soit l'job
ARN dans l'exemple de format suivant.
"Resource": "arn:aws:s3:*:
123456789012
:job/*"
La politique basée sur l'identité IAM suivante accorde l'
s3:DescribeJob
autorisation d'effectuer l'opération d'DescribeJobAPI sur S3 Batch Operations Job DOC-EXAMPLE-JOB.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow describing the Batch operation job DOC-EXAMPLE-JOB", "Effect": "Allow", "Action": [ "s3:DescribeJob" ], "Resource": "arn:aws:s3:*:
123456789012
:job/DOC-EXAMPLE-JOB
" } ] }
Opérations de configuration de S3 Storage Lens
Pour plus d'informations sur la configuration des opérations de configuration de S3 Storage Lens, consultezAutorisations Amazon S3 Storage Lens.
Opérations du compte
Les opérations de compte sont des opérations d'API S3 qui fonctionnent au niveau du compte. Par exemple, GetPublicAccessBlock
(pour le compte). Le compte n'est pas un type de ressource défini par Amazon S3. Les actions de politique S3 pour les opérations de compte ne peuvent être utilisées que dans les politiques basées sur l'identité IAM, et non dans les politiques de compartiment. En outre, les opérations de compte nécessitent que l'Resource
élément des politiques basées sur l'identité IAM soit. "*"
La politique basée sur l'identité IAM suivante accorde l's3:GetAccountPublicAccessBlock
autorisation d'effectuer l'opération d'GetPublicAccessBlockAPI au niveau du compte et de récupérer les paramètres de blocage d'accès public au niveau du compte.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"Allow retrieving the account-level Public Access Block settings", "Effect":"Allow", "Action":[ "s3:GetAccountPublicAccessBlock" ], "Resource":[ "*" ] } ] }