Comment Amazon S3 autorise une demande pour une opération de compartiment

Lorsqu'Amazon S3 reçoit une demande d'opération de compartiment, Amazon S3 convertit toutes les autorisations pertinentes en un ensemble de stratégies à évaluer lors de l'exécution. Les autorisations pertinentes incluent les autorisations basées sur les ressources (par exemple, les politiques de compartiment et les listes de contrôle d'accès aux compartiments) et les politiques utilisateur si la demande provient d'un IAM principal. Amazon S3 évalue ensuite l'ensemble de politiques qui en résulte en une série d'étapes en fonction d'un contexte spécifique (contexte utilisateur ou contexte de compartiment) :

1. Contexte utilisateur — Si le demandeur est un IAM mandant, celui-ci doit avoir l'autorisation du parent Compte AWS auquel il appartient. Dans cette étape, Amazon S3 évalue un sous-ensemble de stratégies détenues par le compte parent (également appelé autorité du contexte). Ce sous-ensemble de stratégies inclut la stratégie d'utilisateur que le compte parent attache au principal. Si le parent possède également la ressource contenue dans la demande (dans ce cas, le compartiment), Amazon S3 évalue également les politiques de ressources correspondantes (politique de compartiment et compartimentACL) en même temps. Lorsqu'une demande pour une opération de compartiment est faite, les journaux d'accès au serveur enregistre l'ID canonique du demandeur. Pour plus d’informations, consultez Enregistrement de demandes avec journalisation des accès au serveur.

2. Contexte de compartiment – Le demandeur doit avoir l'autorisation du propriétaire du compartiment pour exécuter une opération de compartiment spécifique. Au cours de cette étape, Amazon S3 évalue un sous-ensemble de politiques appartenant au propriétaire du Compte AWS compartiment.

   Le propriétaire du bucket peut accorder l'autorisation en utilisant une politique de bucket ou un bucketACL. Si le Compte AWS propriétaire du bucket est également le compte parent d'un IAM mandant, il peut configurer les autorisations du bucket dans une politique utilisateur.

Voici un schéma de l'évaluation basée sur le contexte pour les opérations de compartiment.

Les exemples suivants illustrent la logique d'évaluation.

Exemple 1 : Opération de compartiment demandée par le propriétaire du compartiment

Dans cet exemple, le propriétaire du compartiment envoie une demande pour une opération de compartiment grâce aux informations d'identification racine du Compte AWS.

Amazon S3 réalise l'évaluation du contexte comme suit :

1. Étant donné que la demande a été faite grâce aux informations d'identification d'utilisateur root d'un Compte AWS, le contexte d'utilisateur n'est pas évalué.

2. Dans le contexte de compartiment, Amazon S3 examine la stratégie de compartiment pour déterminer si le demandeur a l'autorisation d'exécuter l'opération. Amazon S3 autorise la demande.

Exemple 2 : opération de compartiment demandée par une personne Compte AWS qui n'est pas le propriétaire du compartiment

Dans cet exemple, une demande est faite grâce aux informations d'identification d'utilisateur root du Compte AWS 1111-1111-1111 pour une opération de compartiment détenue par le Compte AWS 2222-2222-2222. Aucun IAM utilisateur n'est impliqué dans cette demande.

Dans cet exemple, Amazon S3 évalue le contexte comme suit :

1. Comme la demande est faite à l'aide des informations d'identification de l'utilisateur root d'un Compte AWS, le contexte utilisateur n'est pas évalué.

2. Dans le contexte de compartiment, Amazon S3 examine la stratégie de compartiment. Si le propriétaire du compartiment (Compte AWS 2222-2222-2222) n'a pas autorisé le Compte AWS 1111-1111-1111 à effectuer l'opération demandée, Amazon S3 refuse la demande. Sinon, Amazon S3 accorde la demande et exécute l'opération.

Exemple 3 : opération de compartiment demandée par un IAM principal dont le parent Compte AWS est également le propriétaire du compartiment

Dans l'exemple, la demande est envoyée par Jill, une IAM utilisatrice du Compte AWS 1111-1111-1111, qui possède également le bucket.

Amazon S3 réalise l'évaluation suivante du contexte :

1. Comme la demande provient d'un IAM principal, dans le contexte de l'utilisateur, Amazon S3 évalue toutes les politiques appartenant au parent Compte AWS afin de déterminer si Jill est autorisée à effectuer l'opération.

   Dans cet exemple, le parent Compte AWS 1111-1111-1111, auquel appartient le principal, est également le propriétaire du compartiment. Par conséquent, en plus de la politique utilisateur, Amazon S3 évalue également la politique de compartiment et le compartiment ACL dans le même contexte, car ils appartiennent au même compte.

2. Dans la mesure où Amazon S3 a évalué la politique du compartiment et le compartiment dans le ACL cadre du contexte utilisateur, il n'évalue pas le contexte du compartiment.

Exemple 4 : opération de compartiment demandée par un IAM principal dont le parent n' Compte AWS est pas le propriétaire du compartiment

Dans cet exemple, la demande est envoyée par Jill, une IAM utilisatrice dont le parent Compte AWS est 1111-1111-1111, mais le bucket appartient à un autre utilisateur, 2222-2222-2222. Compte AWS

Jill aura besoin des autorisations du parent Compte AWS et du propriétaire du compartiment. Amazon S3 évalue le contexte comme suit :

1. Comme la demande provient d'un IAM mandant, Amazon S3 évalue le contexte utilisateur en passant en revue les politiques établies par le compte afin de vérifier que Jill dispose des autorisations nécessaires. Si Jill est autorisée, Amazon S3 passe à l'évaluation du contexte du compartiment. Si Jill n'a pas l'autorisation, elle refuse la demande.

2. Dans le contexte du compartiment, Amazon S3 vérifie que le propriétaire du compartiment 2222-2222-2222 a accordé à Jill (ou à ses parents Compte AWS) l'autorisation d'effectuer l'opération demandée. Si elle dispose de cette autorisation, Amazon S3 accepte la demande et exécute l'opération. Sinon, Amazon S3 refuse la demande.