Comment Amazon S3 autorise une demande pour une opération sur les objets - Amazon Simple Storage Service
Exemple 1 : Demande d'opération sur les objets

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment Amazon S3 autorise une demande pour une opération sur les objets

Lorsqu'Amazon S3 reçoit une demande pour une opération d'objet, il convertit toutes les autorisations pertinentes, comme les autorisations basées sur les ressources (liste de contrôle d'accès d'objet, stratégie de compartiment, liste de contrôle d'accès (ACL) de compartiment) et les stratégies d'utilisateur IAM, en un ensemble de stratégies à évaluer au moment de l'exécution. Ensuite, il évalue l'ensemble de stratégies obtenu au cours d'une série d'étapes. Dans chaque étape, il évalue un sous-ensemble de stratégies dans trois contextes spécifiques : contexte d'utilisateur, de compartiment et d'objet.

  1. Contexte utilisateur — Si le demandeur est un principal IAM, le principal doit avoir l'autorisation du parent Compte AWS auquel il appartient. Dans cette étape, Amazon S3 évalue un sous-ensemble de stratégies détenues par le compte parent (également appelé autorité du contexte). Ce sous-ensemble de stratégies inclut la stratégie d'utilisateur que le parent attache au principal. Si le parent détient également la ressource de la demande (compartiment ou objet), Amazon S3 évalue les stratégies de ressources correspondantes (stratégie de compartiment, liste ACL de compartiment et liste ACL d'objet) en même temps.

    Note

    Si le parent Compte AWS est propriétaire de la ressource (bucket ou objet), il peut accorder des autorisations de ressource à son principal IAM en utilisant la politique utilisateur ou la politique de ressource.

  2. Contexte de compartiment – Dans ce contexte, Amazon S3 évalue les stratégies détenues par le Compte AWS propriétaire du compartiment.

    Si le Compte AWS propriétaire de l'objet indiqué dans la demande n'est pas le même que le propriétaire du compartiment, dans le contexte du compartiment, Amazon S3 vérifie les politiques si le propriétaire du compartiment a explicitement refusé l'accès à l'objet. Si un refus explicite est configuré sur l'objet, Amazon S3 n'autorise pas la demande.

  3. Contexte d'objet – Le demandeur doit avoir l'autorisation du propriétaire de l'objet pour exécuter une opération d'objet spécifique. Dans cette étape, Amazon S3 évalue la liste ACL d'objet.

    Note

    Si les propriétaires du compartiment et de l'objet sont les mêmes, l'accès à l'objet peut être autorisé dans la stratégie de compartiment, qui est évaluée dans le contexte de compartiment. Si les propriétaires sont différents, les propriétaires de l'objet doivent utiliser une liste ACL d'objet pour accorder les autorisations. Si le Compte AWS propriétaire de l'objet est également le compte parent auquel appartient le principal IAM, celui-ci peut configurer les autorisations de l'objet dans une politique utilisateur, qui est évaluée dans le contexte de l'utilisateur. Pour en savoir plus sur l'utilisation de ces alternatives de stratégie d'accès, consultez Consignes relatives à la stratégie d'accès.

    Si, en tant que propriétaire du compartiment, vous souhaitez posséder tous les objets de votre compartiment et utiliser des stratégies de compartiment ou des stratégies basées sur IAM pour gérer l'accès à ces objets, vous pouvez appliquer le paramètre appliqué par le propriétaire du compartiment pour la propriété d'objet. Avec ce paramètre, en tant que propriétaire du compartiment, vous possédez automatiquement tous les objets de votre compartiment et avez le contrôle total sur chaque objet présents dans votre compartiment. Les listes ACL de compartiment et d'objet ne peuvent pas être modifiées et ne sont plus prises en compte pour y accéder. Pour plus d’informations, consultez Consultez Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment.

Voici un schéma de l'évaluation basée sur le contexte pour les opérations d'objet.

Exemple 1 : Demande d'opération sur les objets

Dans cet exemple, l'utilisateur IAM Jill, dont le parent Compte AWS est 1111-1111-1111, envoie une demande d'opération d'objet (par exemple, Get object) pour un objet appartenant à Compte AWS 3333-3333-3333 dans un bucket appartenant au 2222-2222-2222. Compte AWS

Jill aura besoin de l'autorisation du parent Compte AWS, du propriétaire du bucket et du propriétaire de l'objet. Amazon S3 évalue le contexte comme suit :

  1. Comme la demande provient d'un principal IAM, Amazon S3 évalue le contexte utilisateur pour vérifier que le parent Compte AWS 1111-1111-1111 a autorisé Jill à effectuer l'opération demandée. Si Jill a l'autorisation, Amazon S3 évalue le contexte de compartiment. Sinon, Amazon S3 refuse la demande.

  2. Dans le contexte de compartiment, le propriétaire du compartiment, le Compte AWS 2222-2222-2222, est l'autorité du contexte. Amazon S3 évalue la stratégie de compartiment pour déterminer si le propriétaire du compartiment a explicitement refusé que Jill accède à l'objet.

  3. Dans le contexte de l'objet, l'autorité du contexte est le Compte AWS 3333-3333-3333, le propriétaire de l'objet. Amazon S3 évalue la liste ACL d'objet pour déterminer si Jill a l'autorisation d'accéder à l'objet. Si oui, Amazon S3 autorise la demande.