Utilisation de balises avec des points d'accès S3 pour les compartiments de répertoire - Amazon Simple Storage Service
Méthodes courantes d'utilisation des balises avec des points d'accès pour les compartiments de répertoire Utilisation de balises pour les points d'accès aux compartiments de répertoire

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de balises avec des points d'accès S3 pour les compartiments de répertoire

Une AWS balise est une paire clé-valeur qui contient des métadonnées relatives aux ressources, en l'occurrence les points d'accès Amazon S3 pour les compartiments d'annuaire. Vous pouvez étiqueter les points d'accès lorsque vous les créez ou gérer les balises sur les points d'accès existants. Pour obtenir des informations générales sur les balises, consultezMarquage pour la répartition des coûts ou le contrôle d'accès basé sur les attributs (ABAC).

Note

L'utilisation de balises sur les points d'accès pour les buckets de répertoires est gratuite, au-delà des taux de requêtes standard de l'API S3. Pour plus d’informations, consultez Tarification Amazon S3.

Méthodes courantes d'utilisation des balises avec des points d'accès pour les compartiments de répertoire

Le contrôle d'accès basé sur les attributs (ABAC) vous permet de dimensionner les autorisations d'accès et d'accorder l'accès aux points d'accès pour les compartiments d'annuaire en fonction de leurs balises. Pour plus d'informations sur ABAC dans Amazon S3, consultez Utilisation de balises pour ABAC.

ABAC pour points d'accès S3

Les points d'accès Amazon S3 prennent en charge le contrôle d'accès basé sur les attributs (ABAC) à l'aide de balises. Utilisez des clés de condition basées sur des balises dans vos politiques AWS d'organisation, d'IAM et de points d'accès. Pour les entreprises, l'ABAC d'Amazon S3 prend en charge l'autorisation sur plusieurs AWS comptes.

Dans vos politiques IAM, vous pouvez contrôler l'accès aux points d'accès pour les compartiments d'annuaire en fonction des balises du compartiment à l'aide des clés de condition globales suivantes :

  • aws:ResourceTag/key-name

    • Utilisez cette clé pour comparer la paire valeur clé d'étiquette que vous spécifiez dans la politique avec la paire valeur clé attachée à la ressource. Par exemple, vous pouvez exiger que l'accès à une ressource soit autorisé uniquement si la clé de balise Dept est attachée à la ressource avec la valeur Marketing. Pour plus d'informations, consultez la section Contrôle de l'accès aux AWS ressources.

  • aws:RequestTag/key-name

    • Utilisez cette clé pour comparer la paire clé-valeur de balise qui a été transmise dans la demande avec la paire de balises spécifiée dans la politique. Par exemple, vous pouvez vérifier que la demande comprend la clé de balise Dept et qu'elle a la valeur Accounting. Pour plus d'informations, consultez la section Contrôle de l'accès lors AWS des demandes. Vous pouvez utiliser cette clé de condition pour restreindre les paires clé-valeur de balise qui peuvent être transmises pendant les opérations d'CreateAccessPointAPI TagResource et d'API.

  • aws:TagKeys

    • Utilisez cette clé pour comparer les clés de balise d’une demande avec celles spécifiées dans la politique. Nous vous recommandons, lorsque vous utilisez des politiques pour contrôler l'accès à l'aide de balises, d'utiliser la clé de condition aws:TagKeys pour définir quelles clés de balises sont autorisées. Pour des exemples de politiques et pour plus d'informations, consultez la section Contrôle de l'accès en fonction des clés de balise. Vous pouvez créer un point d'accès pour les compartiments de répertoire dotés de balises. Pour autoriser le balisage pendant le fonctionnement de l'CreateAccessPointAPI, vous devez créer une politique qui inclut à la fois les s3express:CreateAccessPoint actions s3express:TagResource et. Vous pouvez ensuite utiliser la clé de aws:TagKeys condition pour appliquer l'utilisation de balises spécifiques dans la CreateAccessPoint demande.

  • s3express:AccessPointTag/tag-key

    • Utilisez cette clé de condition pour accorder des autorisations à des données spécifiques via des points d'accès utilisant des balises. Lors de l'utilisation aws:ResourceTag/tag-key dans le cadre d'une politique IAM, le point d'accès ainsi que le compartiment vers lequel le point d'accès pointe doivent avoir la même balise sont pris en compte lors de l'autorisation. Si vous souhaitez contrôler l'accès à vos données uniquement via la balise de point d'accès, vous pouvez utiliser la clé de s3express:AccessPointTag/tag-key condition.

Exemples de politiques ABAC pour les points d'accès aux compartiments d'annuaire

Consultez les exemples de politiques ABAC suivants pour les points d'accès aux compartiments de répertoire.

1.1 - Politique IAM pour créer ou modifier des points d'accès avec des balises spécifiques

Dans cette stratégie IAM, les utilisateurs ou les rôles dotés de cette politique ne peuvent créer des points d'accès que s'ils balisent les points d'accès avec la clé de balise project et la valeur de balise Trinity dans la demande de création de point d'accès. Ils peuvent également ajouter ou modifier des balises sur les points d'accès existants pour les compartiments de répertoire, à condition que la TagResource demande inclue la paire clé-valeur de balise. project:Trinity 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CreateAccessPointWithTags",
      "Effect": "Allow",
      "Action": [
        "s3express:CreateAccessPoint",
        "s3express:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "Trinity"
          ]
        }
      }
    }
  ]
}

1.2 - Politique de point d'accès visant à restreindre les opérations sur le bucket à l'aide de balises

Dans cette politique de point d'accès, les principaux IAM (utilisateurs et rôles) peuvent effectuer des opérations à l'aide de l'CreateSessionaction sur le point d'accès uniquement si la valeur de la project balise du point d'accès correspond à la valeur de la balise du project principal.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowObjectOperations",
      "Effect": "Allow",
      "Principal": {
        "AWS": "111122223333"
      },
      "Action": "s3express:CreateSession",
      "Resource": "arn:aws::s3express:region:111122223333:access-point/my-access-point",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        }
      }
    }
  ]
}

1.3 - Politique IAM visant à modifier les balises sur les ressources existantes tout en maintenant la gouvernance du balisage

Dans cette politique IAM, les principaux IAM (utilisateurs ou rôles) peuvent modifier les balises d'un point d'accès uniquement si la valeur de la project balise du point d'accès correspond à la valeur de la balise du principal. project Seules les quatre balisesproject, environmentowner, et cost-center spécifiées dans les clés de aws:TagKeys condition sont autorisées pour ces points d'accès. Cela permet de renforcer la gouvernance des balises, d'empêcher les modifications non autorisées des balises et de garantir la cohérence du schéma de balisage sur l'ensemble de vos points d'accès.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3express:TagResource"
      ],
      "Resource": "arn:aws::s3express:region:111122223333:accesspoint/my-access-point",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "project",
            "environment",
            "owner",
            "cost-center"
          ]
        }
      }
    }
  ]
}

1.4 - Utilisation de la clé de condition s3express : AccessPointTag

Dans cette politique IAM, l'énoncé de condition autorise l'accès aux données du bucket uniquement si le point d'accès utilisé pour accéder au bucket possède la clé Environment et la valeur Production de balise. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAccessToSpecificAccessPoint",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws::s3express:region:111122223333:accesspoint/my-access-point",
      "Condition": {
        "StringEquals": {
          "s3express:AccessPointTag/Environment": "Production"
        }
      }
    }
  ]
}

Utilisation de balises pour les points d'accès aux compartiments de répertoire

Vous pouvez ajouter ou gérer des balises pour les points d'accès aux compartiments de répertoire à l'aide de la console Amazon S3, de l'interface de ligne de AWS commande (CLI) AWS SDKs, ou à l'aide du S3 APIs : TagResourceUntagResource, et ListTagsForResource. Pour plus d'informations, consultez :

Rubriques