Configuration IAM avec S3 sur Outposts

AWS Identity and Access Management (IAM) est un outil AWS service qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. IAMles administrateurs contrôlent qui peut être authentifié (connecté) et autorisé (autorisé) à utiliser les ressources Amazon S3 on Outposts. IAMest un AWS service outil que vous pouvez utiliser sans frais supplémentaires. Par défaut, les utilisateurs IAM ne disposent pas d'autorisations pour des ressources et des opérations S3 on Outposts. Pour accorder des autorisations d'accès aux ressources et aux API opérations de S3 on Outposts, vous pouvez IAM créer des utilisateurs, des groupes ou des rôles et associer des autorisations.

Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :

• Utilisateurs et groupes dans AWS IAM Identity Center :

  Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .

• Utilisateurs gérés IAM par le biais d'un fournisseur d'identité :

  Créez un rôle pour la fédération d’identité. Suivez les instructions de la section Création d'un rôle pour un fournisseur d'identité tiers (fédération) dans le guide de IAM l'utilisateur.

• IAMutilisateurs :

  • Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la section Création d'un rôle pour un IAM utilisateur dans le Guide de IAM l'utilisateur.

  • (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la section Ajouter des autorisations à un utilisateur (console) dans le guide de IAM l'utilisateur.

Outre les politiques IAM basées sur l'identité, S3 on Outposts prend en charge les politiques relatives aux compartiments et aux points d'accès. Les stratégies relatives aux compartiments et aux points d'accès sont des stratégies basées sur les ressources associées à la ressource S3 on Outposts.

• Une stratégie de compartiment est attachée au compartiment et autorise ou refuse les requêtes adressées au compartiment et aux objets qu'il contient en fonction des éléments de la stratégie.

• En revanche, une stratégie de point d'accès est attachée au point d'accès et autorise ou refuse les requêtes adressées au point d'accès.

La stratégie de point d'accès fonctionne avec la stratégie de compartiment associée au compartiment S3 on Outposts. Pour qu'une application ou un utilisateur puisse accéder à des objets dans un compartiment S3 on Outposts via un point d'accès S3 on Outposts, il faut que la politique de point d'accès et la politique de compartiment autorisent la demande.

Les restrictions que vous incluez dans une stratégie de point d'accès s'appliquent uniquement aux demandes effectuées via ce point d'accès. Par exemple, si un point d'accès est attaché à un compartiment, vous ne pouvez pas utiliser la politique de point d'accès pour autoriser ou refuser les demandes qui sont adressées directement au compartiment. Toutefois, les restrictions que vous imposez à une stratégie de compartiment peuvent autoriser ou refuser les requêtes adressées directement au compartiment ou via le point d'accès.

Dans une IAM politique ou une politique basée sur les ressources, vous définissez quelles actions S3 sur Outposts sont autorisées ou refusées. Les actions S3 on Outposts correspondent à des opérations S3 on Outposts spécifiques. API Les actions S3 on Outposts utilisent le préfixe de l'espace de noms s3-outposts:. Les demandes adressées au S3 sur les Outposts sont contrôlées API dans un Région AWS et les demandes adressées aux API points de terminaison des objets sur l'Outpost sont authentifiées à l'aide du préfixe d'espace de noms IAM et autorisées par rapport à ce préfixe. s3-outposts: Pour utiliser S3 sur Outposts, configurez vos IAM utilisateurs et autorisez-les par rapport à l's3-outposts:IAMespace de noms.

Pour plus d'informations, consultez la rubrique Actions, resources, and condition keys for Amazon S3 on Outposts (Actions, ressources et clés de condition pour Amazon S3 on Outposts) dans la section Référence de l'autorisation de service.

Note

• Les listes de contrôle d'accès (ACLs) ne sont pas prises en charge par S3 sur Outposts.

• S3 on Outposts considère par défaut le propriétaire du compartiment en tant que propriétaire d'objet, afin de s'assurer que le propriétaire d'un compartiment ne peut pas être empêché d'accéder ou de supprimer des objets.

• Le blocage de l'accès public S3 est toujours activé pour S3 sur Outposts afin de garantir que les objets ne peuvent jamais avoir un accès public.

Pour plus d'informations sur la configuration IAM de S3 sur Outposts, consultez les rubriques suivantes.

Principes des politiques S3 on Outposts

Lorsque vous créez une stratégie basée sur les ressources pour accorder l'accès à votre compartiment S3 on Outposts, vous devez utiliser l'élément Principal pour spécifier la personne ou application qui peut effectuer une requête d'action ou d'opération sur cette ressource. Pour les stratégies S3 on Outposts, vous pouvez utiliser l'un des principes suivants :

• Un Compte AWS

• Un IAM utilisateur

• Un IAM rôle

• Tous les principaux, en utilisant un caractère générique (*) dans une politique qui utilise un élément Condition pour limiter l'accès à une plage d'adresses IP spécifique

Important

Vous ne pouvez pas écrire de politique pour un compartiment S3 on Outposts qui utilise un caractère générique (*) dans l'élément Principal, sauf si la politique inclut également un élément Condition qui restreint l'accès à une plage d'adresses IP spécifique. Cette restriction garantit qu'il n'y a pas d'accès public à votre compartiment S3 on Outposts. Pour obtenir un exemple, consultez Exemples de stratégies pour S3 on Outposts.

Pour plus d'informations sur Principal cet élément, reportez-vous à la section Éléments de AWS JSON politique : Principal du guide de IAM l'utilisateur.

Ressource ARNs pour S3 sur les Outposts

Les Amazon Resource Names (ARNs) pour S3 on Outposts contiennent l'identifiant de l'Outpost en plus de l' Région AWS adresse d'accueil de l'Outpost, de l' Compte AWS ID et du nom de la ressource. Pour accéder à vos buckets et objets Outposts et y effectuer des actions, vous devez utiliser l'un des ARN formats présentés dans le tableau suivant.

La partition valeur indiquée dans le ARN fait référence à un groupe de Régions AWS. Chacune Compte AWS est limitée à une partition. Les partitions prises en charge sont les suivantes :

• aws – Régions AWS

• aws-us-gov— AWS GovCloud (US) Régions

S3 sur les formats Outposts ARN
Amazon S3 sur les Outposts ARN	Format de ARN	Exemple
Seau ARN	arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/bucket/bucket_name	arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/bucket/amzn-s3-demo-bucket1
Point d'accès ARN	arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/accesspoint/accesspoint_name	arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/accesspoint/access-point-name
Objet ARN	arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/bucket/bucket_name/object/object_key	arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/bucket/amzn-s3-demo-bucket1/object/myobject
Objet de point d'accès S3 on Outposts ARN (utilisé dans les politiques)	arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/accesspoint/accesspoint_name/object/object_key	arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/accesspoint/access-point-name/object/myobject
S3 sur Outposts ARN	arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id	arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904

Exemples de stratégies pour S3 on Outposts

Exemple : politique de compartiment S3 on Outposts avec un principal Compte AWS

La politique de compartiment suivante utilise un Compte AWS principal pour accorder l'accès à un compartiment S3 on Outposts. Pour utiliser cette politique de compartiment, remplacez user input placeholders par vos propres informations.

{
   "Version":"2012-10-17",
   "Id":"ExampleBucketPolicy1",
   "Statement":[
      {
         "Sid":"statement1",
         "Effect":"Allow",
         "Principal":{
            "AWS":"123456789012"
         },
         "Action":"s3-outposts:*",
         "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket"
      }
   ]
}

Exemple : politique de compartiment S3 on Outposts avec principal générique (*) et clé de condition pour limiter l'accès à une plage d'adresses IP spécifique

La politique de compartiment suivante utilise un principal générique (*) avec la condition aws:SourceIp pour limiter l'accès à une plage d'adresses IP spécifique. Pour utiliser cette politique de compartiment, remplacez user input placeholders par vos propres informations.

{
    "Version": "2012-10-17",
    "Id": "ExampleBucketPolicy2",
    "Statement": [
        {
            "Sid": "statement1",
            "Effect": "Allow",
            "Principal": { "AWS" : "*" },
            "Action":"s3-outposts:*",
            "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket",
            "Condition" : {
                "IpAddress" : {
                    "aws:SourceIp": "192.0.2.0/24" 
                },
                "NotIpAddress" : {
                    "aws:SourceIp": "198.51.100.0/24" 
                } 
            } 
        } 
    ]
} 

Autorisations pour les points de terminaison S3 on Outposts

S3 on Outposts a besoin de ses propres autorisations IAM pour gérer les actions du point de terminaison S3 on Outposts.

Note

• Pour les points de terminaison qui utilisent le type d'accès du groupe d'adresses IP clients (groupe CoIP), vous devez également disposer des autorisations pour travailler avec des adresses IP à partir de votre groupe CoIP, comme décrit dans le tableau suivant.

• Pour les comptes partagés qui accèdent à S3 sur Outposts en utilisant AWS Resource Access Manager, les utilisateurs de ces comptes partagés ne peuvent pas créer leurs propres points de terminaison sur un sous-réseau partagé. Si un utilisateur d'un compte partagé souhaite gérer ses propres points de terminaison, le compte partagé doit créer son propre sous-réseau sur l'Outpost. Pour plus d’informations, consultez Partage de S3 sur Outposts en utilisant AWS RAM.

Autorisations relatives aux points de terminaison S3 on Outposts IAM
Action	IAMautorisations
CreateEndpoint	s3-outposts:CreateEndpoint ec2:CreateNetworkInterface ec2:DescribeNetworkInterfaces ec2:DescribeVpcs ec2:DescribeSecurityGroups ec2:DescribeSubnets ec2:CreateTags iam:CreateServiceLinkedRole Pour les points de terminaison qui utilisent le type d'accès du groupe d'adresses IP clients (groupe CoIP) sur site, les autorisations supplémentaires suivantes sont requises : s3-outposts:CreateEndpoint ec2:DescribeCoipPools ec2:GetCoipPoolUsage ec2:AllocateAddress ec2:AssociateAddress ec2:DescribeAddresses ec2:DescribeLocalGatewayRouteTableVpcAssociations
DeleteEndpoint	s3-outposts:DeleteEndpoint ec2:DeleteNetworkInterface ec2:DescribeNetworkInterfaces Pour les points de terminaison qui utilisent le type d'accès du groupe d'adresses IP clients (groupe CoIP) sur site, les autorisations supplémentaires suivantes sont requises : s3-outposts:DeleteEndpoint ec2:DisassociateAddress ec2:DescribeAddresses ec2:ReleaseAddress
ListEndpoints	s3-outposts:ListEndpoints

Note

Vous pouvez utiliser des balises de ressources dans une IAM politique pour gérer les autorisations.

Rôles lié à un service pour S3 sur Outposts

S3 on Outposts utilise des rôles IAM liés à des services pour créer des ressources réseau en votre nom. Pour plus d'informations, voir Utilisation de rôles liés à un service pour Amazon S3 sur Outposts.