Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Concepts des octrois d’accès S3
Les octrois d’accès S3 introduisent les concepts suivants pour leur schéma d’accès simplifié :
- Instances d’octrois d’accès S3
-
Une instance d’octrois d’accès S3 est un conteneur logique pour les octrois individuels qui définissent qui dispose de quel niveau d’accès à quelles données Amazon S3. Vous pouvez avoir une instance d’octrois d’accès S3 par Région AWS par Compte AWS. Vous utilisez cette instance S3 Access Grants pour contrôler l'accès à tous les compartiments d'un même compte et Région AWS. Si vous souhaitez utiliser S3 Access Grants pour accorder l'accès aux identités d'utilisateurs et de groupes dans votre annuaire d'entreprise, vous devez également associer votre instance S3 Access Grants à une instance AWS Identity and Access Management (IAM) Identity Center.
- Emplacements
-
Un emplacement définit les données auxquelles votre instance d’octrois d’accès S3 peut accorder l’accès. Les octrois d’accès S3 fonctionnent en distribuant des informations d’identification IAM dont l’accès est limité à un préfixe, un compartiment ou un objet S3 particulier. Vous associez un emplacement d’octrois d’accès S3 à un rôle IAM, à partir duquel ces sessions temporaires sont créées. La configuration d’emplacement la plus courante est un emplacement unique dans
s3://pour l’ensemble de l’instance d’octrois d’accès S3, qui peut couvrir l’accès à tous les compartiments S3 du compte et de la Région AWS. Vous pouvez également créer plusieurs emplacements dans votre instance d’octrois d’accès S3. Par exemple, vous pouvez enregistrer un compartiment comme emplacements3://pour les octrois que vous souhaitez limiter à ce compartiment, et vous pouvez également enregistrer l’emplacement par défautexample-s3-bucket1s3://. - Octrois
-
Pour réduire la portée de l’accès au sein d’un emplacement, vous créez des octrois individuels. Un octroi individuel dans une instance d’octrois d’accès S3 permet à une entité spécifique (un principal IAM ou un utilisateur ou un groupe dans un annuaire d’entreprise) d’accéder à un préfixe, un compartiment ou un objet Amazon S3. Pour chaque octroi, vous pouvez définir une portée (un préfixe, un compartiment ou un objet) et un niveau d’accès (
READ,WRITEouREADWRITE) différents. Par exemple, vous pouvez avoir un octroi qui autorise un groupe d’annuaires d’entreprise particulier,01234567-89ab-cdef-0123-456789abcdefREADà accéder às3://. Cet octroi donne aux utilisateurs de ce groupe l’accèsexample-s3-bucket1/projects/items/*READà tous les objets dont le nom de clé présente le préfixeprojects/items/dans le compartiment nomméexample-s3-bucket1 - Informations d’identification temporaires des octrois d’accès S3
-
Une application peut demander des informations d' just-in-time accès en appelant une nouvelle opération d'API S3 GetDataAccess, pour demander l'accès à un seul objet, préfixe ou compartiment avec un niveau d'autorisation de
READWRITE, ouREADWRITE. L’instance d’octrois d’accès S3 évalue la demandeGetDataAccesspar rapport aux octrois dont elle dispose. S’il existe un octroi correspondant, les octrois d’accès S3 endossent le rôle IAM associé à l’emplacement de l’octroi correspondant. Les octrois d’accès S3 délimitent ensuite les autorisations de la session IAM précisément au compartiment, préfixe ou objet S3 spécifié par l’étendue de l’octroi. Le délai d'expiration des informations d'accès temporaires est par défaut de 1 heure, mais vous pouvez le définir sur une valeur comprise entre 15 minutes et 12 heures.
Comment ça marche
Dans le schéma suivant, un emplacement Amazon S3 par défaut avec la ^portée s3:// est enregistré avec le rôle IAM s3ag-location-role. Ce rôle IAM est autorisé à effectuer des actions Amazon S3 dans le compte lorsque ses informations d’identification sont obtenues via les octrois d’accès S3.
Au sein de cet emplacement, deux octrois d’accès individuels sont créés pour deux utilisateurs IAM. L’utilisateur IAM Bob se voit octroyer l’accès READ et l’accès WRITE sur le préfixe bob/ dans le compartiment DOC-BUCKET-EXAMPLE. Un autre rôle IAM, Alice, n'est autorisé READ à accéder qu'au alice/ préfixe du DOC-BUCKET-EXAMPLE compartiment. Un octroi, coloré en bleu, est défini pour permettre à Bob d’accéder au préfixe bob/ dans le compartiment DOC-BUCKET-EXAMPLE. Un octroi, coloré en vert, est défini pour permettre à Alice d’accéder au préfixe alice/ dans le compartiment DOC-BUCKET-EXAMPLE.
Lorsqu'il est temps pour Bob d'accéder aux READ données, le rôle IAM associé à l'emplacement dans lequel se trouve sa subvention appelle l'opération d'GetDataAccessAPI S3 Access Grants. Si Bob essaie de lire (READ) un préfixe ou un objet S3 quelconque commençant par s3://DOC-BUCKET-EXAMPLE/bob/*, la demande GetDataAccess renvoie un ensemble d’informations d’identification de session IAM temporaires avec l’autorisation à s3://DOC-BUCKET-EXAMPLE/bob/*. De même, Bob peut écrire (WRITE) sur n’importe quel préfixe ou objet S3 commençant par s3://DOC-BUCKET-EXAMPLE/bob/*, car l’octroi le permet également.
De même, Alice peut lire (READ) tout ce qui commence par s3://DOC-BUCKET-EXAMPLE/alice/. Toutefois, si elle essaie d’écrire (WRITE) sur un compartiment, un préfixe ou un objet quelconque dans s3://, elle recevra une erreur Accès refusé (403 – Interdit), car aucun octroi ne lui donne l’accès WRITE sur aucune donnée. En outre, si Alice demande un niveau d’accès quelconque (READ ou WRITE) à des données situées en dehors de s3://DOC-BUCKET-EXAMPLE/alice/, elle recevra à nouveau une erreur Accès refusé.
Ce modèle s’adapte à un nombre élevé d’utilisateurs et de compartiments, et simplifie la gestion de ces autorisations. Au lieu de modifier des politiques de compartiment S3 potentiellement volumineuses chaque fois que vous souhaitez ajouter ou supprimer une relation individuelle d’accès par préfixe utilisateur, vous pouvez ajouter et supprimer des octrois discrets et individuels.
