Gestion des accès - Amazon Simple Storage Service
Ressources S3IdentitésOutils de gestion des accèsActionsCas d'utilisation de la gestion des accèsRésolution des problèmes de gestion des accès

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des accès

Dans AWS, une ressource est une entité avec laquelle vous pouvez travailler. Dans Amazon Simple Storage Service (S3), les compartiments et les objets sont les ressources Amazon S3 d'origine. Chaque client S3 possède probablement des compartiments contenant des objets. Au fur et à mesure que de nouvelles fonctionnalités ont été ajoutées à S3, des ressources supplémentaires ont également été ajoutées, mais tous les clients n'utilisent pas ces ressources spécifiques aux fonctionnalités. Pour plus d'informations sur les ressources Amazon S3, consultezRessources S3.

Par défaut, toutes les ressources Amazon S3 sont privées. Par défaut, l'utilisateur root Compte AWS qui a créé la ressource (propriétaire de la ressource) et les utilisateurs IAM de ce compte disposant des autorisations nécessaires peuvent accéder à une ressource qu'ils ont créée. Le propriétaire de la ressource décide qui d'autre peut accéder à la ressource et les actions que les autres sont autorisés à effectuer sur la ressource. S3 dispose de divers outils de gestion des accès que vous pouvez utiliser pour accorder à d'autres personnes l'accès à vos ressources S3.

Les sections suivantes présentent un aperçu des ressources S3, des outils de gestion des accès S3 disponibles et des meilleurs cas d'utilisation pour chaque outil de gestion des accès. Les listes de ces sections visent à être exhaustives et incluent toutes les ressources S3, les outils de gestion des accès et les cas d'utilisation courants de la gestion des accès. Dans le même temps, ces sections sont conçues pour être des répertoires qui vous mènent aux détails techniques que vous souhaitez. Si vous comprenez bien certains des sujets suivants, vous pouvez passer directement à la section qui vous concerne.

Rubriques

Ressources S3

Les ressources Amazon S3 d'origine sont les compartiments et les objets qu'ils contiennent. Au fur et à mesure que de nouvelles fonctionnalités sont ajoutées à S3, de nouvelles ressources sont également ajoutées. Vous trouverez ci-dessous une liste complète des ressources S3 et de leurs fonctionnalités respectives.

Type de ressource Fonctionnalité Amazon S3 Description

bucket

Fonctions de base

Un compartiment est un conteneur d'objets. Pour stocker un objet dans S3, créez un compartiment, puis chargez un ou plusieurs objets dans le compartiment. Pour plus d’informations, consultez Création, configuration et utilisation des compartiments Amazon S3.

object

Un objet peut être un fichier et toutes les métadonnées décrivant ce fichier. Lorsqu'un objet se trouve dans le compartiment, vous pouvez l'ouvrir, le télécharger et le déplacer. Pour plus d’informations, consultez Chargement, téléchargement et utilisation des objets dans Amazon S3.

accesspoint

Points d'accès

Les points d'accès sont appelés points de terminaison réseau attachés à des compartiments que vous pouvez utiliser pour effectuer des opérations sur des objets Amazon S3, telles que GetObject et. PutObject Chaque point d'accès dispose d'autorisations, de contrôles réseau distincts et d'une politique de point d'accès personnalisée qui fonctionne conjointement avec la politique de compartiment attachée au compartiment sous-jacent. Vous pouvez configurer n'importe quel point d'accès pour accepter uniquement les demandes provenant d'un cloud privé virtuel (VPC) ou configurer des paramètres de blocage d'accès public personnalisés pour chaque point d'accès. Pour plus d’informations, consultez Gestion de l'accès aux données avec les points d'accès Amazon S3.

objectlambdaaccesspoint

Un point d'accès Object Lambda est un point d'accès pour un bucket qui est également associé à une fonction Lambda. Avec Object Lambda Access Point, vous pouvez ajouter votre propre code à Amazon S3 et GET demander LIST à modifier et HEAD à traiter les données lorsqu'elles sont renvoyées à une application. Pour plus d’informations, consultez Création de points d'accès Object Lambda.

multiregionaccesspoint

Les points d'accès multirégionaux fournissent un point de terminaison global que les applications peuvent utiliser pour traiter les demandes provenant de compartiments Amazon S3 situés dans plusieurs AWS régions. Vous pouvez utiliser des points d'accès multi-régions pour créer des applications multi-régions avec la même architecture utilisée dans une seule région, puis exécuter ces applications partout dans le monde. Au lieu d'envoyer des demandes via l'Internet public congestionné, les demandes d'application adressées à un point d'accès global multirégional sont automatiquement acheminées via le réseau AWS mondial vers le compartiment Amazon S3 le plus proche. Pour plus d’informations, consultez Points d'accès multi-régions dans Amazon S3.

job

Opérations par lot S3

Une tâche est une ressource de la fonctionnalité S3 Batch Operations. Vous pouvez utiliser S3 Batch Operations pour effectuer des opérations par lots à grande échelle sur des listes d'objets Amazon S3 que vous spécifiez. Amazon S3 suit la progression de la tâche d'opération par lots, envoie des notifications et stocke un rapport d'achèvement détaillé de toutes les actions, vous offrant ainsi une expérience entièrement gérée, auditable et sans serveur. Pour plus d’informations, consultez Exécution des opérations par lot à grande échelle sur des objets Amazon S3.

storagelensconfiguration

S3 Storage Lens

Une configuration S3 Storage Lens collecte des métriques de stockage à l'échelle de l'organisation et des données utilisateur sur tous les comptes. S3 Storage Lens fournit aux administrateurs une vue unique de l'utilisation et de l'activité du stockage d'objets sur des centaines, voire des milliers de comptes au sein d'une organisation, avec des informations détaillées permettant de générer des informations à plusieurs niveaux d'agrégation. Pour plus d’informations, consultez Évaluer l'activité et l'utilisation de votre stockage avec Amazon S3 Storage Lens.

storagelensgroup

Un groupe S3 Storage Lens agrège les métriques à l'aide de filtres personnalisés basés sur les métadonnées des objets. Les groupes S3 Storage Lens vous aident à étudier les caractéristiques de vos données, telles que la répartition des objets par âge, les types de fichiers les plus courants, etc. Pour plus d’informations, consultez Utilisation des groupes S3 Storage Lens.

accessgrantsinstance

Octrois d’accès S3

Une instance S3 Access Grants est un conteneur pour les autorisations S3 que vous créez. Avec S3 Access Grants, vous pouvez créer des autorisations pour vos données Amazon S3 pour les identités IAM au sein de votre compte, les identités IAM sur d'autres comptes (comptes intercomptes) et les identités de répertoire ajoutées à AWS IAM Identity Center partir de votre annuaire d'entreprise. Pour plus d'informations sur les subventions d'accès S3, consultezGestion de l’accès avec les octrois d’accès S3.

accessgrantslocation

Un emplacement d'autorisations d'accès est un compartiment, un préfixe dans un compartiment ou un objet que vous enregistrez dans votre instance S3 Access Grants. Vous devez enregistrer des emplacements au sein de l'instance S3 Access Grants avant de pouvoir créer une autorisation pour cet emplacement. Ensuite, avec S3 Access Grants, vous pouvez accorder l'accès au compartiment, au préfixe ou à l'objet pour les identités IAM de votre compte, les identités IAM d'autres comptes (comptes multiples) et les identités de répertoire ajoutées à AWS IAM Identity Center partir de votre annuaire d'entreprise. Pour plus d'informations sur les subventions d'accès S3, voir Gestion de l’accès avec les octrois d’accès S3

accessgrant

Une autorisation d'accès est une autorisation individuelle accordée à vos données Amazon S3. Avec S3 Access Grants, vous pouvez créer des autorisations pour vos données Amazon S3 pour les identités IAM au sein de votre compte, les identités IAM sur d'autres comptes (comptes intercomptes) et les identités de répertoire ajoutées à AWS IAM Identity Center partir de votre annuaire d'entreprise. Pour plus d'informations sur les subventions d'accès S3, voir Gestion de l’accès avec les octrois d’accès S3
Compartiments

Il existe deux types de compartiments Amazon S3 : les compartiments à usage général et les compartiments de répertoire.

Catégorisation des ressources S3

Amazon S3 fournit des fonctionnalités permettant de classer et d'organiser vos ressources S3. La catégorisation de vos ressources est non seulement utile pour les organiser, mais vous pouvez également définir des règles de gestion des accès en fonction des catégories de ressources. En particulier, les préfixes et le balisage sont deux fonctionnalités d'organisation du stockage que vous pouvez utiliser lors de la définition des autorisations de gestion des accès.

Note

Les informations suivantes s'appliquent aux seaux à usage général. Les compartiments de répertoire ne prennent pas en charge le balisage et leur nombre de préfixes est limité. Pour plus d’informations, consultez AWS Identity and Access Management (IAM) pour S3 Express One Zone.

  • Préfixes : dans Amazon S3, un préfixe est une chaîne de caractères située au début du nom d'une clé d'objet utilisée pour organiser les objets stockés dans vos compartiments S3. Vous pouvez utiliser un caractère séparateur, tel qu'une barre oblique (/), pour indiquer la fin du préfixe dans le nom de la clé de l'objet. Par exemple, vous pouvez avoir des noms de clé d'objet qui commencent par le engineering/ préfixe ou des noms de clé d'objet qui commencent par le marketing/campaigns/ préfixe. L'utilisation d'un délimiteur à la fin de votre préfixe, tel qu'une barre oblique, / émule les conventions de dénomination des dossiers et des fichiers. Cependant, dans S3, le préfixe fait partie du nom de la clé de l'objet. Dans les compartiments S3 à usage général, il n'existe pas de hiérarchie de dossiers réelle.

    Amazon S3 permet d'organiser et de regrouper des objets à l'aide de leurs préfixes. Vous pouvez également gérer l'accès aux objets à l'aide de leurs préfixes. Par exemple, vous pouvez limiter l'accès aux seuls objets dont le nom commence par un préfixe spécifique.

    Pour plus d’informations, consultez Organisation des objets à l'aide de préfixes. La console S3 utilise le concept de dossiers, qui, dans les compartiments à usage général, sont essentiellement des préfixes ajoutés au nom de la clé de l'objet. Pour plus d’informations, consultez Organisation des objets dans la console Amazon S3 à l'aide de dossiers.

  • Balises : chaque balise est une paire clé-valeur que vous attribuez aux ressources. Par exemple, vous pouvez étiqueter certaines ressources à l'aide de cette balisetopicCategory=engineering. Vous pouvez utiliser le balisage pour faciliter la répartition des coûts, la catégorisation et l'organisation, ainsi que le contrôle d'accès. Le marquage des compartiments est uniquement utilisé pour la répartition des coûts. Vous pouvez étiqueter des objets, des objectifs de stockage S3, des tâches et des autorisations d'accès S3 à des fins d'organisation ou de contrôle d'accès. Dans S3 Access Grants, vous pouvez également utiliser le balisage pour la répartition des coûts. À titre d'exemple de contrôle de l'accès aux ressources à l'aide de leurs balises, vous pouvez partager uniquement les objets dotés d'une balise spécifique ou d'une combinaison de balises.

    Pour plus d'informations, consultez la section Contrôle de l'accès aux AWS ressources à l'aide de balises de ressources dans le guide de l'utilisateur IAM.

Identités

Dans Amazon S3, le propriétaire de la ressource est l'identité qui a créé la ressource, telle qu'un bucket ou un objet. Par défaut, seul l'utilisateur root du compte qui a créé la ressource et les identités IAM du compte disposant de l'autorisation requise peuvent accéder à la ressource S3. Les propriétaires de ressources peuvent autoriser d'autres identités à accéder à leurs ressources S3.

Les identités qui ne sont pas propriétaires d'une ressource peuvent demander l'accès à cette ressource. Les demandes adressées à une ressource sont soit authentifiées, soit non authentifiées. Les demandes authentifiées doivent inclure une valeur de signature qui authentifie l'expéditeur de la demande, mais les demandes non authentifiées ne nécessitent pas de signature. Nous vous recommandons de n'accorder l'accès qu'aux utilisateurs authentifiés. Pour plus d'informations sur l'authentification des demandes, veuillez consulter Demandes.

Important

Nous vous recommandons de ne pas utiliser les informations d'identification de l'utilisateur Compte AWS root pour effectuer des demandes authentifiées. Il est préférable de créer un rôle IAM, puis de lui accorder un accès total. Nous appelons les utilisateurs possédant ce rôle des administrateurs. Vous pouvez utiliser les informations d'identification attribuées au rôle d'administrateur, au lieu des informations d'identification de l'utilisateur Compte AWS root, pour interagir avec AWS et effectuer des tâches, telles que créer un bucket, créer des utilisateurs et accorder des autorisations. Pour plus d'informations, consultez les informations d'identification de l'utilisateur Compte AWS root et les informations d'identification de l'utilisateur IAM dans le Références générales AWS, et consultez les meilleures pratiques de sécurité dans IAM dans le guide de l'utilisateur IAM.

Les identités qui accèdent à vos données dans Amazon S3 peuvent être les suivantes :

Compte AWS owner

Celui Compte AWS qui a créé la ressource. Par exemple, le compte qui a créé le bucket. Ce compte possède la ressource. Pour plus d'informations, consultez la section Utilisateur root du AWS compte.

Identités IAM dans le même compte que le propriétaire Compte AWS

Lors de la configuration de comptes pour les nouveaux membres de l'équipe qui ont besoin d'un accès S3, le Compte AWS propriétaire peut utiliser AWS Identity and Access Management (IAM) pour créer des utilisateurs, des groupes et des rôles. Le Compte AWS propriétaire peut ensuite partager des ressources avec ces identités IAM. Le propriétaire du compte peut également spécifier les autorisations à attribuer aux identités IAM, qui autorisent ou refusent les actions pouvant être effectuées sur les ressources partagées.

Les identités IAM offrent des fonctionnalités accrues, notamment la possibilité de demander aux utilisateurs de saisir des informations de connexion avant d'accéder aux ressources partagées. En utilisant les identités IAM, vous pouvez mettre en œuvre une forme d'authentification multifactorielle IAM (MFA) afin de renforcer la base de votre identité. L'une des meilleures pratiques IAM consiste à créer des rôles pour la gestion des accès au lieu d'accorder des autorisations à chaque utilisateur individuel. Vous attribuez le rôle approprié à chaque utilisateur. Pour plus d’informations, consultez Bonnes pratiques de sécurité dans IAM.

Autres titulaires de AWS comptes et leurs identités IAM (accès entre comptes)

Le Compte AWS propriétaire peut également donner accès aux ressources à d'autres propriétaires de AWS comptes, ou à des identités IAM appartenant à un autre AWS compte.

Note

Délégation d'autorisations — Si une personne Compte AWS possède une ressource, elle peut accorder ces autorisations à une autre personne Compte AWS. Ce compte peut ensuite déléguer ces autorisations, ou un sous-ensemble de celles-ci, aux utilisateurs du même compte. Cela s'appelle une délégation d'autorisations. Mais un compte qui reçoit des autorisations d'un autre compte ne peut pas déléguer ces autorisations « entre comptes » à un autre Compte AWS.

Utilisateurs anonymes (accès public)

Le Compte AWS propriétaire peut rendre les ressources publiques. Rendre une ressource publique partage techniquement la ressource avec l'utilisateur anonyme. Les compartiments créés depuis avril 2023 bloquent tout accès public par défaut, sauf si vous modifiez ce paramètre. Nous vous recommandons de configurer vos compartiments de manière à bloquer l'accès public et de n'accorder l'accès qu'aux utilisateurs authentifiés. Pour en savoir plus sur le blocage de l'accès public, consultez Blocage de l'accès public à votre stockage Amazon S3.

Services AWS

Le propriétaire de la ressource peut accorder à un autre AWS service l'accès à une ressource Amazon S3. Par exemple, vous pouvez accorder au AWS CloudTrail service l's3:PutObjectautorisation d'écrire des fichiers journaux dans votre compartiment. Pour plus d'informations, consultez la section Fournir l'accès à un AWS service.

Identités des annuaires d'entreprise

Le propriétaire de la ressource peut accorder à des utilisateurs ou à des rôles de votre annuaire d'entreprise l'accès à une ressource S3 à l'aide de S3 Access Grants. Pour plus d'informations sur l'ajout de votre annuaire d'entreprise à AWS IAM Identity Center, voir Qu'est-ce qu'IAM Identity Center ? .

Propriétaires du bucket ou de la ressource

Celui Compte AWS que vous utilisez pour créer des buckets et télécharger des objets possède ces ressources. Le propriétaire d'un bucket peut accorder des autorisations entre comptes à un autre Compte AWS (ou à des utilisateurs d'un autre compte) pour le téléchargement d'objets.

Lorsqu'un propriétaire de compartiment autorise un autre compte à télécharger des objets dans un compartiment, le propriétaire du compartiment est propriétaire par défaut de tous les objets chargés dans son compartiment. Toutefois, si les paramètres de bucket appliqués par le propriétaire du bucket et les paramètres préférés du propriétaire du bucket sont désactivés, le Compte AWS responsable du téléchargement des objets est propriétaire de ces objets, et le propriétaire du bucket n'a aucune autorisation sur les objets appartenant à un autre compte, avec les exceptions suivantes :

  • Le propriétaire du compartiment paie les factures. Le propriétaire du compartiment peut refuser l'accès aux objets ou supprimer des objets dans le compartiment, quel que soit le propriétaire de ces derniers.

  • Le propriétaire du bucket peut archiver n'importe quel objet ou restaurer des objets archivés, quel que soit son propriétaire. L'archivage fait référence à la classe de stockage utilisée pour stocker les objets. Pour plus d’informations, consultez Gestion du cycle de vie de votre stockage.

Outils de gestion des accès

Amazon S3 fournit plusieurs fonctionnalités et outils de sécurité. Vous trouverez ci-dessous une liste complète de ces fonctionnalités et outils. Vous n'avez pas besoin de tous ces outils de gestion des accès, mais vous devez en utiliser un ou plusieurs pour accorder l'accès à vos ressources Amazon S3. L'application appropriée de ces outils peut contribuer à garantir que vos ressources ne sont accessibles qu'aux utilisateurs auxquels ils sont destinés.

L'outil de gestion des accès le plus couramment utilisé est une politique d'accès. Une politique d'accès peut être une politique basée sur les ressources attachée à une AWS ressource, telle qu'une politique de compartiment pour un compartiment. Une politique d'accès peut également être une politique basée sur l'identité attachée à une identité AWS Identity and Access Management (IAM), telle qu'un utilisateur, un groupe ou un rôle IAM. Rédigez une politique d'accès pour accorder Comptes AWS aux utilisateurs, aux groupes et aux rôles IAM l'autorisation d'effectuer des opérations sur une ressource. Par exemple, vous pouvez accorder une PUT Object autorisation à un autre compte Compte AWS afin qu'il puisse télécharger des objets dans votre compartiment.

Une politique d'accès décrit qui a accès à quels éléments. Lorsqu'Amazon S3 reçoit une demande, il doit évaluer toutes les politiques d'accès afin de déterminer s'il convient d'autoriser ou de refuser la demande. Pour plus d’informations sur la manière dont Amazon S3 évalue ces politiques, consultez Comment Amazon S3 autorise une demande.

Les outils de gestion des accès disponibles dans Amazon S3 sont les suivants.

Une politique de compartiment Amazon S3 est une politique basée sur les ressources au format JSON AWS Identity and Access Management (IAM) attachée à un compartiment particulier. Utilisez des politiques de compartiment pour accorder des autorisations à d'autres identités Comptes AWS ou à des identités IAM pour le compartiment et les objets qu'il contient. De nombreux cas d'utilisation de la gestion des accès S3 peuvent être satisfaits à l'aide d'une politique de compartiment. Grâce aux politiques relatives aux compartiments, vous pouvez personnaliser l'accès aux compartiments pour vous assurer que seules les identités que vous avez approuvées peuvent accéder aux ressources et effectuer des actions au sein de celles-ci. Pour plus d’informations, consultez Politiques relatives aux compartiments pour Amazon S3.

Voici un exemple de stratégie de compartiment. Vous exprimez la politique du bucket à l'aide d'un fichier JSON. Cet exemple de politique accorde à un rôle IAM l'autorisation de lecture à tous les objets du compartiment. Il contient une instruction nomméeBucketLevelReadPermissions, qui autorise l's3:GetObjectaction (autorisation de lecture) sur les objets d'un compartiment nomméDOC-EXAMPLE-BUCKET1. En spécifiant un rôle IAM comme étant lePrincipal, cette politique accorde l'accès à tout utilisateur IAM doté de ce rôle. Pour utiliser cet exemple de politique, remplacez user input placeholders par vos propres informations. 

{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid":"BucketLevelReadPermissions",
      "Effect":"Allow",
      "Principal": {
	    "AWS": "arn:aws:iam::123456789101:role/s3-role"
      },
      "Action":["s3:GetObject"],
      "Resource":["arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*"]
    }]
  }
Note

Lors de la création de politiques, évitez d'utiliser des caractères génériques (*) dans l'élément Principal, car cela permet à quiconque d'accéder effectivement à vos ressources Amazon S3. Répertoriez plutôt explicitement les utilisateurs ou les groupes autorisés à accéder au bucket, ou listez les conditions qui doivent être respectées en utilisant une clause de condition dans la politique. En outre, plutôt que d'inclure un caractère générique pour les actions de vos utilisateurs ou groupes, accordez-leur des autorisations spécifiques le cas échéant.

Une politique utilisateur basée sur l'identité ou IAM est un type de stratégie AWS Identity and Access Management (IAM). Une stratégie basée sur l'identité est une stratégie au format JSON attachée aux utilisateurs, groupes ou rôles IAM de votre compte. AWS Vous pouvez utiliser des politiques basées sur l'identité pour accorder à une identité IAM l'accès à vos compartiments ou à vos objets. Vous pouvez créer des utilisateurs, des groupes et des rôles IAM dans votre compte et leur associer des politiques d'accès. Vous pouvez ensuite accorder l'accès aux AWS ressources, notamment aux ressources Amazon S3. Pour plus d’informations, consultez Politiques basées sur l'identité pour Amazon S3.

Voici un exemple de stratégie basée sur l'identité. L'exemple de politique permet au rôle IAM associé d'effectuer six actions Amazon S3 différentes (autorisations) sur un compartiment et les objets qu'il contient. Si vous associez cette politique à un rôle IAM dans votre compte et que vous attribuez ce rôle à certains de vos utilisateurs IAM, les utilisateurs dotés de ce rôle pourront effectuer ces actions sur les ressources (compartiments) spécifiées dans votre politique. Pour utiliser cet exemple de politique, remplacez user input placeholders par vos propres informations.

{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Sid": "AssignARoleActions",
    "Effect": "Allow",
    "Action": [
	  "s3:PutObject",
	  "s3:GetObject",
	  "s3:ListBucket",
	  "s3:DeleteObject",
	  "s3:GetBucketLocation"
    ],
    "Resource": [
	  "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*",
	  "arn:aws:s3:::DOC-EXAMPLE-BUCKET1"
    ]
    },
  {
    "Sid": "AssignARoleActions2",
    "Effect": "Allow",
    "Action": "s3:ListAllMyBuckets",
    "Resource": "*"
  }
  ]
}

Utilisez S3 Access Grants pour créer des autorisations d'accès à vos données Amazon S3 pour les identités figurant dans les annuaires d'identités d'entrepriseActive Directory, telles que les identités AWS Identity and Access Management (IAM). S3 Access Grants vous aide à gérer les autorisations de données à grande échelle. En outre, S3 Access Grants enregistre l'identité de l'utilisateur final et l'application utilisée pour accéder aux AWS CloudTrail données S3. Cela fournit un historique d'audit détaillé jusqu'à l'identité de l'utilisateur final pour tous les accès aux données de vos compartiments S3. Pour plus d’informations, consultez Gestion de l’accès avec les octrois d’accès S3.

Amazon S3 Access Points simplifie la gestion de l'accès aux données à grande échelle pour les applications qui utilisent des ensembles de données partagés sur S3. Les points d'accès sont appelés points de terminaison réseau attachés à un bucket. Vous pouvez utiliser les points d'accès pour effectuer des opérations sur des objets S3 à grande échelle, telles que le téléchargement et la récupération d'objets. Un bucket peut contenir jusqu'à 10 000 points d'accès, et pour chaque point d'accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts afin de contrôler en détail l'accès à vos objets S3. Les points d'accès S3 peuvent être associés à des buckets dans le même compte ou dans un autre compte fiable. Les politiques de points d'accès sont des politiques basées sur les ressources qui sont évaluées conjointement avec la politique de compartiment sous-jacente. Pour plus d’informations, consultez Gestion de l'accès aux données avec les points d'accès Amazon S3.

Une ACL est une liste de subventions identifiant le bénéficiaire et l'autorisation accordée. Les ACL accordent des autorisations de lecture ou d'écriture de base à d'autres Comptes AWS personnes. Les listes ACL utilisent un schéma XML spécifique à Amazon S3. Une ACL est un type de politique AWS Identity and Access Management (IAM). Une ACL d'objet est utilisée pour gérer l'accès à un objet, et une ACL de bucket est utilisée pour gérer l'accès à un bucket. Avec les politiques de compartiment, il existe une seule politique pour l'ensemble du compartiment, mais les ACL d'objet sont spécifiées pour chaque objet. Nous vous recommandons de désactiver les ACL, sauf dans des circonstances exceptionnelles où vous devez contrôler l'accès individuellement pour chaque objet. Pour en savoir plus sur l'utilisation des listes ACL, consultez Consultez Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment.

Avertissement

La majorité des cas d'utilisation modernes d'Amazon S3 ne nécessitent pas l'utilisation d'ACL.

Voici un exemple de liste ACL de compartiment. L'autorisation figurant dans l'ACL indique un propriétaire de compartiment disposant d'une autorisation de contrôle total. 

<?xml version="1.0" encoding="UTF-8"?>
	<AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
		<Owner>
			<ID>Owner-Canonical-User-ID</ID>
			<DisplayName>owner-display-name</DisplayName>
		</Owner>
	<AccessControlList>
		<Grant>
			<Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Canonical User">
				<ID>Owner-Canonical-User-ID</ID>
				<DisplayName>display-name</DisplayName>
			</Grantee>
			<Permission>FULL_CONTROL</Permission>
		</Grant>
	</AccessControlList>
</AccessControlPolicy>

Pour gérer l'accès à vos objets, vous devez en être le propriétaire. Vous pouvez utiliser le paramètre Object Ownership au niveau du bucket pour contrôler la propriété des objets chargés dans votre bucket. Utilisez également la propriété des objets pour activer les ACL. Par défaut, Object Ownership est défini sur le paramètre imposé par le propriétaire du bucket et toutes les ACL sont désactivées. Lorsque les ACL sont désactivées, le propriétaire du compartiment est propriétaire de tous les objets du compartiment et gère exclusivement l'accès aux données. Pour gérer l'accès, le propriétaire du compartiment utilise des politiques ou un autre outil de gestion des accès, à l'exception des ACL. Pour plus d’informations, consultez Consultez Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment.

La propriété des objets comporte trois paramètres que vous pouvez utiliser à la fois pour contrôler la propriété des objets chargés dans votre bucket et pour activer les ACL :

ACL désactivées

  • Application par le propriétaire du compartiment (par défaut) : les ACL sont désactivées, et le propriétaire du compartiment possède automatiquement tous les objets du compartiment et en a le contrôle total. Les ACL n'affectent pas les autorisations relatives aux données du compartiment S3. Le compartiment utilise des stratégies exclusivement pour définir le contrôle des accès.

ACL activées

  • Bucket owner preferred (Préféré par le propriétaire du compartiment) – Le propriétaire du compartiment possède les nouveaux objets que d'autres comptes écrivent dans le compartiment avec la liste ACL bucket-owner-full-control prête à l'emploi, et en a le contrôle total.

  • Auteur d'objets : celui Compte AWS qui télécharge un objet est propriétaire de l'objet, en a le contrôle total et peut autoriser d'autres utilisateurs à y accéder via des ACL.

Bonnes pratiques supplémentaires

Envisagez d'utiliser les paramètres et outils de compartiment suivants pour protéger les données en transit et au repos, deux éléments essentiels au maintien de l'intégrité et de l'accessibilité de vos données :

  • Bloquer l'accès public — Ne désactivez pas le paramètre par défaut au niveau du compartiment Bloquer l'accès public. Ce paramètre bloque l'accès public à vos données par défaut. Pour en savoir plus sur le blocage de l'accès public, consultez Blocage de l'accès public à votre stockage Amazon S3.

  • Versionnage S3 : pour garantir l'intégrité des données, vous pouvez implémenter le paramètre de gestion des versions du compartiment S3, qui permet de versionner vos objets au fur et à mesure des mises à jour, au lieu de les remplacer. Vous pouvez utiliser le contrôle de version S3 pour conserver, récupérer et restaurer une version précédente, si nécessaire. Pour en savoir plus sur la gestion des versions S3, veuillez consulter Utilisation de la gestion des versions dans les compartiments S3.

  • Verrouillage des objets S3 — Le verrouillage des objets S3 est un autre paramètre que vous pouvez implémenter pour garantir l'intégrité des données. Cette fonctionnalité peut implémenter un modèle write-once-read-many (WORM) pour stocker des objets de manière immuable. Pour en savoir plus sur le verrouillage d’objet, veuillez consulter Utilisation du verrouillage des objets S3.

  • Chiffrement d'objets : Amazon S3 propose plusieurs options de chiffrement d'objets qui protègent les données en transit et au repos. Le chiffrement côté serveur chiffre votre objet avant de l'enregistrer sur les disques de ses centres de données, puis le déchiffre lorsque vous téléchargez les objets. Si vous authentifiez votre demande et que vous disposez des autorisations d'accès, il n'y a aucune différence dans la façon dont vous accédez aux objets chiffrés ou non chiffrés. Pour plus d’informations, consultez Protection des données avec le chiffrement côté serveur. S3 chiffre les objets récemment téléchargés par défaut. Pour plus d’informations, consultez Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3. Le chiffrement côté client consiste à chiffrer des données avant de les envoyer à Amazon S3. Pour plus d’informations, consultez Protection des données avec le chiffrement côté client.

  • Méthodes de signature — Signature Version 4 est le processus d'ajout d'informations d'authentification aux AWS demandes envoyées par HTTP. Pour des raisons de sécurité, la plupart des demandes AWS doivent être signées avec une clé d'accès, qui consiste en un identifiant de clé d'accès et une clé d'accès secrète. Ces deux clés sont généralement appelées informations d’identification de sécurité. Pour plus d’informations, consultez Authentification des demandes (AWS Signature Version 4) et Processus de signature Signature version 4.

Actions

Pour obtenir la liste complète des autorisations et des clés de condition S3, consultez la section Actions, ressources et clés de condition pour Amazon S3 dans la référence d'autorisation de service.

Actions

Les actions AWS Identity and Access Management (IAM) pour Amazon S3 sont les actions possibles qui peuvent être effectuées sur un compartiment ou un objet S3. Vous accordez ces actions aux identités afin qu'elles puissent agir sur vos ressources S3. Des exemples d'actions S3 consistent s3:GetObject à lire des objets dans un compartiment et s3:PutObject à écrire des objets dans un compartiment.

Clés de condition

Outre les actions, les clés de condition IAM se limitent à accorder l'accès uniquement lorsqu'une condition est remplie. Les clés de condition sont facultatives.

Note

Dans une politique d'accès basée sur les ressources, telle qu'une politique de compartiment, ou dans une stratégie basée sur l'identité, vous pouvez spécifier les éléments suivants :

  • Une action ou un ensemble d'actions figurant dans l'Actionélément de la déclaration de politique.

  • Dans l'Effectélément de la déclaration de politique, vous pouvez Allow spécifier d'autoriser les actions répertoriées ou de Deny bloquer les actions répertoriées. Pour continuer à appliquer la pratique du moindre privilège, les Deny énoncés contenus dans l'Effectélément de la politique d'accès devraient être aussi larges que possible, et les Allow énoncés devraient être aussi restreints que possible. Denyles effets associés à l's3:*action constituent un autre bon moyen de mettre en œuvre les meilleures pratiques d'adhésion pour les identités incluses dans les déclarations de conditions de politique.

  • Une clé de condition dans l'Conditionélément d'une déclaration de politique.

Cas d'utilisation de la gestion des accès

Amazon S3 fournit aux propriétaires de ressources une variété d'outils pour accorder l'accès. L'outil de gestion des accès S3 que vous utilisez dépend des ressources S3 que vous souhaitez partager, des identités auxquelles vous accordez l'accès et des actions que vous souhaitez autoriser ou refuser. Vous souhaiterez peut-être utiliser un ou plusieurs outils de gestion d'accès S3 pour gérer l'accès à vos ressources S3.

Dans la plupart des cas, vous pouvez utiliser une politique d'accès pour gérer les autorisations. Une politique d'accès peut être une politique basée sur les ressources, attachée à une ressource, telle qu'un bucket, ou à une autre ressource Amazon S3 ()Ressources S3. Une politique d'accès peut également être une politique basée sur l'identité, attachée à un utilisateur, un groupe ou un rôle AWS Identity and Access Management (IAM) dans votre compte. Vous constaterez peut-être qu'une politique de compartiment convient mieux à votre cas d'utilisation. Pour plus d’informations, consultez Politiques relatives aux compartiments pour Amazon S3. Par ailleurs, avec AWS Identity and Access Management (IAM), vous pouvez créer des utilisateurs, des groupes et des rôles IAM au sein de votre entreprise et gérer leur accès aux compartiments Compte AWS et aux objets par le biais de politiques basées sur l'identité. Pour plus d’informations, consultez Politiques basées sur l'identité pour Amazon S3.

Pour vous aider à naviguer dans ces options de gestion des accès, vous trouverez ci-dessous des cas d'utilisation courants des clients Amazon S3 et des recommandations pour chacun des outils de gestion des accès S3.

Tous les outils de gestion des accès peuvent répondre à ce cas d'utilisation de base. Nous recommandons les outils de gestion des accès suivants pour ce cas d'utilisation :

  • Politique de compartiment : si vous souhaitez accorder l'accès à un compartiment ou à un petit nombre de compartiments, ou si vos autorisations d'accès aux compartiments sont similaires d'un compartiment à l'autre, utilisez une politique de compartiment. Avec les politiques de compartiment, vous gérez une politique pour chaque compartiment. Pour plus d’informations, consultez Politiques relatives aux compartiments pour Amazon S3.

  • Stratégie basée sur l'identité : si vous avez un très grand nombre de compartiments dotés d'autorisations d'accès différentes pour chaque compartiment et que vous ne devez gérer que quelques rôles d'utilisateur, vous pouvez utiliser une stratégie IAM pour les utilisateurs, les groupes ou les rôles. Les politiques IAM sont également une bonne option si vous gérez l'accès des utilisateurs à d'autres AWS ressources, ainsi qu'aux ressources Amazon S3. Pour plus d’informations, consultez Exemple 1 : propriétaire d'un compartiment accordant à ses utilisateurs des autorisations sur un compartiment.

  • Attributions d'accès S3 — Vous pouvez utiliser les subventions d'accès S3 pour accorder l'accès à vos compartiments, préfixes ou objets S3. S3 Access Grants vous permet de spécifier différentes autorisations au niveau des objets à grande échelle, tandis que les politiques relatives aux compartiments sont limitées à 20 Ko. Pour plus d’informations, consultez Bien démarrer avec les octrois d’accès S3.

  • Points d'accès : vous pouvez utiliser des points d'accès, appelés points de terminaison réseau attachés à un bucket. Un bucket peut contenir jusqu'à 10 000 points d'accès, et pour chaque point d'accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts afin de vous donner un contrôle détaillé de l'accès à vos objets S3. Pour plus d’informations, consultez Gestion de l'accès aux données avec les points d'accès Amazon S3.

Pour accorder une autorisation à une autre personne Compte AWS, vous devez utiliser une politique de compartiment ou l'un des outils de gestion des accès recommandés ci-dessous. Vous ne pouvez pas utiliser de politique d'accès basée sur l'identité pour ce cas d'utilisation. Pour plus d'informations sur l'octroi d'un accès entre comptes, consultez Comment fournir un accès entre comptes aux objets qui se trouvent dans des compartiments Amazon S3 ?

Nous recommandons les outils de gestion des accès suivants pour ce cas d'utilisation :

  • Politique de compartiment : avec les politiques de compartiment, vous gérez une politique pour chaque compartiment. Pour plus d’informations, consultez Politiques relatives aux compartiments pour Amazon S3.

  • Subventions d'accès S3 — Vous pouvez utiliser les subventions d'accès S3 pour accorder des autorisations entre comptes à vos compartiments, préfixes ou objets S3. Vous pouvez utiliser les subventions d'accès S3 pour spécifier différentes autorisations au niveau des objets à grande échelle, tandis que les politiques relatives aux compartiments sont limitées à 20 Ko. Pour plus d’informations, consultez Bien démarrer avec les octrois d’accès S3.

  • Points d'accès : vous pouvez utiliser des points d'accès, appelés points de terminaison réseau attachés à un bucket. Un bucket peut contenir jusqu'à 10 000 points d'accès, et pour chaque point d'accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts afin de vous donner un contrôle détaillé de l'accès à vos objets S3. Pour plus d’informations, consultez Gestion de l'accès aux données avec les points d'accès Amazon S3.

Dans une politique de compartiment, par exemple, vous pouvez autoriser l'accès aux objets d'un compartiment qui partagent un préfixe de nom de clé spécifique ou possèdent une balise spécifique. Vous pouvez accorder une autorisation de lecture aux objets commençant par le préfixe logs/ du nom de clé. Toutefois, si vos autorisations d'accès varient en fonction de l'objet, il n'est peut-être pas pratique d'accorder des autorisations à des objets individuels à l'aide d'une politique de compartiment, d'autant plus que la taille des politiques de compartiment est limitée à 20 Ko.

Nous recommandons les outils de gestion des accès suivants pour ce cas d'utilisation :

  • Attributions d'accès S3 : vous pouvez utiliser les subventions d'accès S3 pour gérer les autorisations au niveau de l'objet ou au niveau du préfixe. Contrairement aux politiques relatives aux compartiments, vous pouvez utiliser S3 Access Grants pour spécifier différentes autorisations au niveau des objets à grande échelle. Les stratégies de compartiment sont limitées à une taille de 20 Ko. Pour plus d’informations, consultez Bien démarrer avec les octrois d’accès S3.

  • Points d'accès : vous pouvez utiliser des points d'accès pour gérer les autorisations au niveau de l'objet ou au niveau du préfixe. Les points d'accès sont appelés points de terminaison réseau attachés à un bucket. Un bucket peut contenir jusqu'à 10 000 points d'accès, et pour chaque point d'accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts afin de vous donner un contrôle détaillé de l'accès à vos objets S3. Pour plus d’informations, consultez Gestion de l'accès aux données avec les points d'accès Amazon S3.

  • ACL — Nous déconseillons d'utiliser des listes de contrôle d'accès (ACL), notamment parce que les ACL sont limitées à 100 autorisations par objet. Toutefois, si vous choisissez d'activer les ACL, dans les paramètres de votre bucket, définissez Object Ownership sur Bucket owner preferred et sur ACL activées. Avec ce paramètre, de nouveaux objets écrits avec la liste ACL bucket-owner-full-control prédéfinie sont automatiquement détenus par le propriétaire du compartiment plutôt que par l'auteur d'objets. Vous pouvez ensuite utiliser les ACL d'objet, qui sont une politique d'accès au format XML, pour autoriser d'autres utilisateurs à accéder à l'objet. Pour plus d’informations, consultez Présentation de la liste de contrôle d'accès (ACL).

Nous recommandons les outils de gestion des accès suivants pour ce cas d'utilisation :

  • Politique de compartiment : avec les politiques de compartiment, vous gérez une politique pour chaque compartiment. Pour plus d’informations, consultez Politiques relatives aux compartiments pour Amazon S3.

  • Points d'accès : les points d'accès sont appelés points de terminaison réseau attachés à un bucket. Un bucket peut contenir jusqu'à 10 000 points d'accès, et pour chaque point d'accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts afin de vous donner un contrôle détaillé de l'accès à vos objets S3. Pour plus d’informations, consultez Gestion de l'accès aux données avec les points d'accès Amazon S3.

Nous recommandons l'outil de gestion des accès suivant pour ce cas d'utilisation :

  • Points d'accès : les points d'accès sont appelés points de terminaison réseau attachés à un bucket. Un bucket peut contenir jusqu'à 10 000 points d'accès, et pour chaque point d'accès, vous pouvez appliquer des autorisations et des contrôles réseau distincts afin de vous donner un contrôle détaillé de l'accès à vos objets S3. Chaque point d'accès applique une stratégie de point d'accès personnalisée qui fonctionne conjointement avec la stratégie de compartiment associée au compartiment sous-jacent. Pour plus d’informations, consultez Gestion de l'accès aux données avec les points d'accès Amazon S3.

Les points de terminaison Virtual Private Cloud (VPC) pour Amazon S3 sont des entités logiques au sein d'un VPC qui autorisent la connectivité uniquement à S3. Nous recommandons les outils de gestion des accès suivants pour ce cas d'utilisation :

  • Compartiments dans un environnement VPC : vous pouvez utiliser une politique de compartiment pour contrôler qui est autorisé à accéder à vos compartiments et à quels points de terminaison VPC ils peuvent accéder. Pour plus d’informations, consultez Contrôle de l'accès à partir des points de terminaison d'un VPC avec des stratégies de compartiment.

  • Points d'accès — Si vous choisissez de configurer des points d'accès, vous pouvez utiliser une politique de point d'accès. Vous pouvez configurer n'importe quel point d'accès pour accepter uniquement les demandes provenant d'un cloud privé virtuel (VPC) afin de restreindre l'accès aux données Amazon S3 à un réseau privé. Vous pouvez également configurer des paramètres de blocage de l'accès public personnalisés pour chaque point d'accès. Pour plus d’informations, consultez Gestion de l'accès aux données avec les points d'accès Amazon S3.

Avec S3, vous pouvez héberger un site Web statique et autoriser tout le monde à consulter le contenu du site Web, qui est hébergé à partir d'un compartiment S3.

Nous recommandons les outils de gestion des accès suivants pour ce cas d'utilisation :

  • Amazon CloudFront — Cette solution vous permet d'héberger un site Web statique Amazon S3 accessible au public tout en continuant à bloquer tout accès public au contenu d'un compartiment. Si vous souhaitez conserver les quatre paramètres S3 Block Public Access activés et héberger un site Web statique S3, vous pouvez utiliser le contrôle CloudFront d'accès d'origine (OAC) d'Amazon. Amazon CloudFront fournit les fonctionnalités requises pour configurer un site Web statique sécurisé. En outre, les sites Web statiques Amazon S3 qui n'utilisent pas cette solution ne peuvent prendre en charge que les points de terminaison HTTP. CloudFront utilise le stockage durable d'Amazon S3 tout en fournissant des en-têtes de sécurité supplémentaires, tels que HTTPS. HTTPS accroît la sécurité en chiffrant une demande HTTP normale et en offrant une protection contre les cyberattaques courantes.

    Pour plus d'informations, consultez Getting started with a secure static website in the Amazon CloudFront Developer Guide.

  • Rendre votre compartiment Amazon S3 accessible au public : vous pouvez configurer un compartiment pour qu'il soit utilisé comme site Web statique accessible au public.

    Avertissement

    Nous ne recommandons pas cette méthode. Nous vous recommandons plutôt d'utiliser les sites Web statiques Amazon S3 dans le cadre d'Amazon CloudFront. Pour plus d'informations, consultez l'option précédente ou la section Commencer à utiliser un site Web statique sécurisé.

    Pour créer un site Web statique Amazon S3, sans Amazon CloudFront, vous devez d'abord désactiver tous les paramètres de blocage de l'accès public. Lorsque vous rédigez la politique de compartiment pour votre site Web statique, veillez à autoriser uniquement des actions s3:GetObject, et non pas des autorisations ListObject ni PutObject. Cela permet de s'assurer que les utilisateurs ne peuvent pas voir tous les objets de votre compartiment ou ajouter leur propre contenu. Pour plus d’informations, consultez Définition des autorisations pour l'accès au site web.

Lors de la création d'un nouveau compartiment Amazon S3, le paramètre Bloquer l'accès public est activé par défaut. Pour en savoir plus sur le blocage de l'accès public, consultez Blocage de l'accès public à votre stockage Amazon S3.

Nous vous déconseillons d'autoriser l'accès public à votre bucket. Toutefois, si vous devez le faire pour un cas d'utilisation particulier, nous vous recommandons l'outil de gestion des accès suivant pour ce cas d'utilisation :

  • Désactiver le paramètre Bloquer l'accès public : le propriétaire d'un compartiment peut autoriser les demandes non authentifiées adressées au compartiment. Par exemple, les demandes d'objets PUT non authentifiées sont autorisées lorsqu'un bucket dispose d'une politique de bucket public ou lorsqu'une ACL de bucket accorde un accès public. Toutes les demandes non authentifiées sont faites par d'autres AWS utilisateurs arbitraires, ou même par des utilisateurs anonymes non authentifiés. Cet utilisateur est représenté dans les listes ACL par l'ID d'utilisateur canonique spécifique 65a011a29cdf8ec533ec3d1ccaae921c. Si un objet est chargé vers un WRITE ouFULL_CONTROL, cela donne spécifiquement accès au groupe Tous les utilisateurs ou à l'utilisateur anonyme. Pour plus d’informations sur les politiques de compartiment public et les listes de contrôle d’accès (ACL) publiques, consultez La signification du mot « public ».

Les politiques de compartiment et les politiques basées sur l'identité ont une limite de taille de 20 Ko. Si vos exigences en matière d'autorisation d'accès sont complexes, vous risquez de dépasser cette limite de taille.

Nous avons recommandé les outils de gestion des accès suivants pour ce cas d'utilisation :

  • Points d'accès : utilisez des points d'accès si cela correspond à votre cas d'utilisation. Dans le cas des points d'accès, chaque compartiment possède plusieurs points de terminaison réseau nommés, chacun ayant sa propre politique de point d'accès qui fonctionne avec la politique de compartiment sous-jacente. Toutefois, les points d'accès ne peuvent agir que sur des objets, et non sur des compartiments, et ne prennent pas en charge la réplication entre régions. Pour plus d’informations, consultez Gestion de l'accès aux données avec les points d'accès Amazon S3.

  • Subventions d'accès S3 : utilisez les subventions d'accès S3, qui prennent en charge un très grand nombre de subventions donnant accès à des compartiments, à des préfixes ou à des objets. Pour plus d’informations, consultez Bien démarrer avec les octrois d’accès S3.

Au lieu de gérer les utilisateurs, les groupes et les rôles via AWS Identity and Access Management (IAM), vous pouvez y ajouter votre annuaire d' AWS IAM Identity Center entreprise. Pour plus d'informations, consultez Qu'est-ce qu'IAM Identity Center ? .

Après avoir ajouté votre annuaire d'entreprise à AWS IAM Identity Center, nous vous recommandons d'utiliser l'outil de gestion des accès suivant pour accorder aux identités de l'annuaire d'entreprise l'accès à vos ressources S3 :

  • Subventions d'accès S3 : utilisez les subventions d'accès S3, qui permettent d'accorder l'accès à des utilisateurs ou à des rôles dans votre annuaire d'entreprise. Pour plus d’informations, consultez Bien démarrer avec les octrois d’accès S3.

Nous avons recommandé l'outil de gestion des accès suivant pour ce cas d'utilisation :

Vous pouvez autoriser d'autres comptes à télécharger des objets dans votre compartiment en utilisant une politique de compartiment, un point d'accès ou des autorisations d'accès S3. Si vous avez accordé un accès multicompte à votre compartiment, vous pouvez vous assurer que tous les objets chargés dans votre compartiment restent sous votre contrôle total.

Nous avons recommandé l'outil de gestion des accès suivant pour ce cas d'utilisation :

  • Propriété de l'objet : maintenez le paramètre Propriété de l'objet au niveau du compartiment au niveau du paramètre par défaut imposé par le propriétaire du compartiment.

Résolution des problèmes de gestion des accès

Les ressources suivantes peuvent vous aider à résoudre les problèmes liés à la gestion des accès S3 :

Résolution des erreurs d'accès refusé (403 – Interdit)

Si vous rencontrez des problèmes de refus d'accès, vérifiez les paramètres au niveau du compte et au niveau du compartiment. Vérifiez également la fonctionnalité de gestion des accès que vous utilisez pour accorder l'accès afin de vous assurer que la politique, le paramètre ou la configuration sont corrects. Pour plus d'informations sur les causes courantes des erreurs d'accès refusé (403 – Interdit) dans Amazon S3, consultez Résolution des erreurs d'accès refusé (403 interdit) dans Amazon S3.

Analyseur d'accès IAM pour S3

Si vous ne souhaitez rendre aucune de vos ressources accessible au public, ou si vous souhaitez limiter l'accès public à vos ressources, vous pouvez utiliser IAM Access Analyzer pour S3. Sur la console Amazon S3, utilisez IAM Access Analyzer for S3 pour examiner tous les compartiments dotés de listes de contrôle d'accès aux compartiments (ACL), de politiques de compartiment ou de politiques de point d'accès qui accordent un accès public ou partagé. IAM Access Analyzer for S3 vous avertit de la présence de compartiments configurés pour autoriser l'accès à toute personne sur Internet ou autre Comptes AWS, y compris Comptes AWS en dehors de votre organisation. Pour chaque compartiment public ou partagé, vous recevez des résultats qui signalent la source et le niveau d'accès public ou partagé.

Dans IAM Access Analyzer pour S3, vous pouvez bloquer tout accès public à un bucket en une seule action. Nous vous recommandons de bloquer tout accès public à vos buckets, sauf si vous avez besoin d'un accès public pour prendre en charge un cas d'utilisation spécifique. Avant de bloquer tout accès public, assurez-vous que vos applications continueront de fonctionner correctement sans accès public. Pour plus d’informations, consultez Blocage de l'accès public à votre stockage Amazon S3.

Vous pouvez également consulter vos paramètres d'autorisation au niveau du compartiment pour configurer des niveaux d'accès détaillés. Pour les cas d'utilisation spécifiques et vérifiés nécessitant un accès public ou partagé, vous pouvez confirmer et enregistrer votre intention de maintenir le niveau d'accès public ou partagé en archivant les résultats pour le compartiment. Vous pouvez revisiter et modifier ces configurations de compartiments à tout moment. Vous pouvez également télécharger vos résultats sous forme de rapport CSV à des fins d'audit.

L'analyseur d'accès IAM pour S3 est disponible gratuitement sur la console Amazon S3. L'analyseur d'accès IAM pour S3 est optimisé par l'analyseur d'accès IAM d' AWS Identity and Access Management (IAM). Pour utiliser IAM Access Analyzer pour S3 sur la console Amazon S3, vous devez vous rendre sur la console IAM et créer un analyseur au niveau du compte dans IAM Access Analyzer pour chaque région individuelle.

Pour plus d'informations sur l'analyseur d'accès IAM pour S3, consultez Examen de l'accès aux compartiments à l'aide de l'analyseur d'accès IAM pour S3.

Journalisation et surveillance

La surveillance joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances de vos solutions Amazon S3 afin que vous puissiez corriger plus facilement une défaillance d'accès. La journalisation peut fournir un aperçu des erreurs reçues par les utilisateurs, ainsi que du moment et des demandes qui leur sont adressées. AWS fournit plusieurs outils pour surveiller vos ressources Amazon S3, tels que les suivants :

  • AWS CloudTrail

  • Journaux d'accès Amazon S3

  • AWS Trusted Advisor

  • Amazon CloudWatch

Pour plus d’informations, consultez Journalisation et surveillance dans Amazon S3.