Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion de l’accès aux jeux de données avec des points d’accès
Les points d'accès Amazon S3 simplifient l'accès aux données pour tout AWS service ou application client qui stocke des données dans S3. Les points d'accès sont appelés points de terminaison réseau attachés à une source de données telle qu'un bucket, un volume Amazon FSx pour NetApp ONTAP ou un volume Amazon FSx pour OpenZFS. Pour plus d’informations sur l’utilisation des compartiments, consultez [Présentation des compartiments à usage général](UsingBucket.md). Pour plus d'informations sur l'utilisation d' FSx NetApp ONTAP, consultez la section [Qu'est-ce qu'Amazon FSx pour NetApp ONTAP](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/what-is-fsx-ontap.html) dans le guide de l'utilisateur *FSx pour ONTAP*. *Pour plus d'informations sur l'utilisation d' FSx OpenZFS, consultez la section [What is Amazon FSx for OpenZFS dans le guide de l'FSx utilisateur d'OpenZFS](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/what-is-fsx.html).*
Vous pouvez utiliser des points d’accès pour effectuer des opérations sur des objets S3, telles que `GetObject` et `PutObject`. Chaque point d’accès dispose d’autorisations et de contrôles réseau distincts que S3 applique pour toute demande effectuée via ce point d’accès. Chaque point de terminaison applique une stratégie de point d’accès personnalisée qui vous permet de contrôler l’utilisation par ressource, utilisateur ou d’autres conditions. Si votre point d’accès est attaché à un compartiment, la stratégie de point d’accès fonctionne conjointement avec la stratégie de compartiment sous-jacente. Vous pouvez configurer n’importe quel point d’accès pour accepter uniquement les demandes provenant d’un cloud privé virtuel (VPC) afin de restreindre l’accès aux données Amazon S3 à un réseau privé. Vous pouvez également configurer des paramètres de blocage de l'accès public personnalisés pour chaque point d'accès.
**Note**
Vous ne pouvez utiliser que des points d’accès pour effectuer des opérations sur des objets. Vous ne pouvez pas utiliser de points d’accès pour effectuer d’autres opérations Amazon S3, telles que la modification de compartiments ou la création de configurations de réplication S3. Pour obtenir la liste complète des opérations S3 qui prennent en charge les points d’accès, consultez [Compatibilité des points d’accès](access-points-service-api-support.md).
La rubrique de cette section explique comment utiliser les points d’accès Amazon S3. Pour lire les rubriques relatives à l’utilisation de points d’accès avec des compartiments de répertoires, consultez [Gestion des accès aux jeux de données partagés dans des compartiments de répertoires avec des points d’accès](access-points-directory-buckets.md).
**Topics**
+ [
# Règles de dénomination, restrictions et limitations des points d’accès
](access-points-restrictions-limitations-naming-rules.md)
+ [
# Référencement de points d'accès sous forme d' ARNsalias de point d'accès ou de type hébergé virtuellement URIs
](access-points-naming.md)
+ [
# Compatibilité des points d’accès
](access-points-service-api-support.md)
+ [
# Configuration des politiques IAM pour l’utilisation des points d’accès
](access-points-policies.md)
+ [
# Surveillance et journalisation des points d’accès
](access-points-monitoring-logging.md)
+ [
# Création d’un point d’accès
](creating-access-points.md)
+ [
# Gestion des points d’accès Amazon S3 de vos compartiments à usage général
](access-points-manage.md)
+ [
# Utilisation des points d’accès Amazon S3 de compartiments à usage général
](using-access-points.md)
+ [
# Utilisation de balises avec des points d’accès S3 de compartiments à usage général
](access-points-tagging.md)
# Règles de dénomination, restrictions et limitations des points d’accès
Les points d'accès sont appelés points de terminaison réseau attachés à un compartiment ou à un volume sur un système de FSx fichiers Amazon qui simplifient la gestion des données. Lorsque vous créez un point d'accès, vous choisissez un nom et le Région AWS nom dans lequel le créer. Les rubriques suivantes fournissent des informations sur les règles de dénomination, les restrictions et les limitations des points d’accès.
**Topics**
+ [
## Règles de dénomination des points d’accès
](#access-points-names)
+ [
## Restrictions et limitations des points d’accès
](#access-points-restrictions-limitations)
+ [
## Restrictions et limitations relatives aux points d'accès associés à un volume sur un système de FSx fichiers Amazon
](#access-points-restrictions-limitations-fsx)
## Règles de dénomination des points d’accès
Lorsque vous créez un point d'accès, vous choisissez son nom et celui dans lequel le Région AWS créer. Contrairement aux compartiments à usage général, les noms des points d'accès n'ont pas besoin d'être uniques entre Comptes AWS ou Régions AWS. Cela Compte AWS peut créer des points d'accès portant le même nom dans des langues différentes Régions AWS ou deux points d'accès différents Comptes AWS peuvent utiliser le même nom de point d'accès. Cependant, au sein d'un même Région AWS an, Compte AWS il se peut qu'il n'y ait pas deux points d'accès portant le même nom.
**Note**
Si vous choisissez de publier le nom de votre point d’accès, évitez d’inclure des informations sensibles du point d’accès. Les noms des points d’accès sont publiés dans une base de données accessible au public, appelée système de nom de domaine (DNS).
Les noms des point d’accès doivent être conformes à DNS et remplir les conditions suivantes :
+ Doit être unique au sein d'un seul Compte AWS et Région AWS
+ Ils doivent commencer par un chiffre ou une lettre minuscule.
+ Ils doivent comporter entre 3 et 50 caractères.
+ Ils ne peuvent pas commencer ou se terminer par un trait d’union (`-`)
+ Ils ne peuvent contenir ni traits de soulignement (`_`), ni lettres majuscules, ni espaces, ni points (`.`)
+ Ils ne peuvent pas se terminer par le suffixe `-s3alias` ou `-ext-s3alias`. Ces suffixes sont réservés pour les noms d’alias des point d’accès. Pour de plus amples informations, veuillez consulter [Alias de point d'accès](access-points-naming.md#access-points-alias).
## Restrictions et limitations des points d’accès
Les points d’accès Amazon S3 comportent les limites et restrictions suivantes :
+ Chaque point d'accès est associé à exactement un compartiment ou à un FSx volume OpenZFS. Vous devez le spécifier lors de la création du point d’accès. Une fois que vous avez créé un point d'accès, vous ne pouvez pas l'associer à un autre bucket ou FSx à un volume OpenZFS. Toutefois, vous pouvez supprimer un point d’accès, puis en créer un autre portant le même nom.
+ Après avoir créé un point d’accès, vous ne pouvez pas modifier sa configuration VPC (virtual private cloud).
+ Les stratégies de point d’accès sont limitées à une taille de 20 Ko.
+ Vous pouvez créer un maximum de 10 000 points d'accès Compte AWS par personne Région AWS. Si vous avez besoin de plus de 10 000 points d’accès pour un seul compte dans une même région, vous pouvez demander une augmentation des quotas de service. Pour plus d’informations sur les quotas de service et la demande d’une augmentation, consultez [AWS Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) dans *Références générales AWS*.
+ Vous ne pouvez pas utiliser un point d’accès comme destination pour la réplication S3. Pour plus d’informations sur la réplication, consultez [Réplication d’objets au sein des régions et entre elles](replication.md).
+ Vous ne pouvez pas utiliser les alias de point d’accès S3 comme source ou destination pour les opérations **Déplacer** dans la console Amazon S3.
+ Vous ne pouvez adresser les points d'accès qu'en utilisant virtual-host-style URLs. Pour plus d'informations sur l' virtual-host-styleadressage, consultez[Accès à un compartiment à usage général Amazon S3](access-bucket-intro.md).
+ Les opérations d’API qui contrôlent la fonctionnalité des points d’accès (par exemple, `PutAccessPoint` et `GetAccessPointPolicy`) ne prennent pas en charge les appels intercomptes.
+ Vous devez utiliser AWS la version 4 de Signature lorsque vous envoyez des demandes à un point d'accès à l'aide du REST APIs. Pour plus d'informations sur l'authentification des demandes, consultez [Authentification des demandes (AWS Signature version 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) dans le manuel *Amazon Simple Storage Service API* Reference.
+ Les points d’accès prennent uniquement en charge les demandes via HTTPS. Amazon S3 répond automatiquement par une redirection HTTP pour toutes les demandes effectuées via HTTP afin de les mettre à niveau vers HTTPS.
+ Les points d’accès ne prennent pas en charge l’accès anonyme.
+ Après avoir créé un point d’accès, vous ne pouvez pas modifier ses paramètres de blocage de l’accès public.
+ Les points d’accès intercompte n’accordent pas l’accès aux données tant que vous n’avez pas obtenu les autorisations du propriétaire du compartiment. Le propriétaire du compartiment conserve toujours le contrôle ultime sur l’accès aux données et doit mettre à jour la politique du compartiment pour autoriser les demandes provenant du point d’accès intercompte. Pour afficher un exemple de politique de compartiment, consultez [Configuration des politiques IAM pour l’utilisation des points d’accès](access-points-policies.md).
+ Régions AWS Lorsque vous avez plus de 1 000 points d'accès, vous ne pouvez pas rechercher un point d'accès par son nom dans la console Amazon S3.
+ Lorsque vous consultez un point d’accès intercompte dans la console Amazon S3, la colonne **Accès** affiche **Inconnu**. La console Amazon S3 ne peut pas déterminer si un accès public est accordé au compartiment et aux objets associés. À moins que vous n’ayez besoin dune configuration publique pour un cas d’utilisation spécifique, nous vous recommandons, ainsi qu’au propriétaire du compartiment, de bloquer tout accès public au point d’accès et au compartiment. Pour de plus amples informations, veuillez consulter [Blocage de l’accès public à votre stockage Amazon S3](access-control-block-public-access.md).
## Restrictions et limitations relatives aux points d'accès associés à un volume sur un système de FSx fichiers Amazon
Les limites suivantes sont spécifiques à l'utilisation de points d'accès attachés à un volume sur un système de FSx fichiers Amazon :
+ Lorsque vous créez un point d'accès, vous ne pouvez associer le point d'accès qu'à un volume sur un système de FSx fichiers Amazon dont vous êtes le propriétaire. Vous ne pouvez pas vous connecter à un volume appartenant à un autre Compte AWS.
+ Vous ne pouvez pas utiliser l'`CreateAccessPoint`API lors de la création et de l'attachement d'un point d'accès à un volume sur un système de FSx fichiers Amazon. Vous devez utiliser l’API [https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateAndAttachS3AccessPoint.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateAndAttachS3AccessPoint.html).
+ Vous ne pouvez désactiver aucun paramètre de blocage de l'accès public lors de la création ou de l'utilisation d'un point d'accès attaché à un volume sur un système de FSx fichiers Amazon.
+ Vous ne pouvez pas répertorier des objets ni utiliser les opérations de **copie** ou de **déplacement** dans la console S3 avec des points d'accès attachés à un volume sur un système de FSx fichiers Amazon.
+ `CopyObject`est pris en charge pour les points d'accès attachés à un volume FSx pour NetApp ONTAP ou FSx pour OpenZFS uniquement si la source et la destination sont le même point d'accès. Pour plus d’informations sur la compatibilité des points d’accès, consultez [Compatibilité des points d’accès](access-points-service-api-support.md).
+ Les chargements partitionnés sont limités à 5 Go.
+ FSx pour OpenZFS, le type de déploiement et la prise en charge des classes de stockage varient en fonction de. Région AWS Pour plus d’informations, consultez [Disponibilité par Région AWS](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/available-aws-regions.html) dans le *Guide de l’utilisateur OpenZFS*.
# Référencement de points d'accès sous forme d' ARNsalias de point d'accès ou de type hébergé virtuellement URIs
Après avoir créé un point d’accès, vous pouvez utiliser ce point de terminaison pour effectuer un certain nombre d’opérations. Lorsque vous faites référence à un point d'accès, vous pouvez utiliser les Amazon Resource Names (ARNs), l'alias du point d'accès ou l'URI de type hébergé virtuel.
**Topics**
+ [
## Point d'accès ARNs
](#access-points-arns)
+ [
## Alias de point d'accès
](#access-points-alias)
+ [
## URI de type hébergement virtuel
](#accessing-a-bucket-through-s3-access-point)
## Point d'accès ARNs
Les points d'accès ont des noms de ressources Amazon (ARNs). ARNs Les points d'accès sont similaires aux compartiments ARNs, mais ils sont explicitement saisis et encodent le point d'accès Région AWS et l' Compte AWS ID du propriétaire du point d'accès. Pour plus d'informations ARNs, consultez la section [Identifier les AWS ressources avec Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) dans le *guide de l'utilisateur IAM*.
Le point ARNs d'accès utilise le format suivant :
```
arn:aws:s3:region:account-id:accesspoint/resource
```
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/test` représente le point d’accès nommé `test`, qui appartient au compte *`123456789012`* dans la région *`us-west-2`*.
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/*` représente tous les points d’accès du compte *`123456789012`* dans la région *`us-west-2`*.
ARNs pour les objets accessibles via un point d'accès, utilisez le format suivant :
```
arn:aws:s3:region:account-id:accesspoint/access-point-name/object/resource
```
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/test/object/unit-01` représente l’objet *`unit-01`*, accessible via le point d’accès nommé *`test`*, qui appartient au compte *`123456789012`* dans la région *`us-west-2`*.
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/test/object/*` représente tous les objets du point d’accès nommé *`test`*, qui appartient au compte *`123456789012`* dans la région *`us-west-2`*.
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/test/object/unit-01/finance/*` représente tous les objets sous le préfixe *`unit-01/finance/`* pour le point d’accès nommé *`test`*, qui appartient au compte *`123456789012`* dans la région *`us-west-2`*.
## Alias de point d'accès
Lorsque vous créez un point d’accès, Amazon S3 génère automatiquement un alias que vous pouvez utiliser pour l’accès aux données au lieu d’un nom de compartiment Amazon S3. Vous pouvez utiliser cet alias de point d’accès à la place d’un Amazon Resource Name (ARN) pour les opérations de plan de données de point d’accès. Pour obtenir la liste de ces opérations, consultez la page [Compatibilité des points d’accès](access-points-service-api-support.md).
Un nom d’alias de point d’accès est créé dans le même espace de noms qu’un compartiment Amazon S3. Ce nom d'alias est généré automatiquement et ne peut pas être modifié. Un nom d’alias de point d’accès répond à toutes les exigences d’un nom de compartiment Amazon S3 valide et comprend les parties suivantes :
`ACCESS POINT NAME-METADATA-s3alias` (pour les points d’accès attachés à un compartiment Amazon S3)
`ACCESS POINT NAME-METADATA-ext-s3alias` (pour les points d’accès attachés à une source de données de compartiment autre que S3)
**Note**
Les suffixes `-s3alias` et `-ext-s3alias` sont réservés aux noms d’alias de point d’accès et ne peuvent pas être utilisés pour les noms de compartiment ou de point d’accès. Pour plus d’informations sur les règles d’attribution de noms des compartiments Amazon S3, consultez [Règles de dénomination des compartiments à usage général](bucketnamingrules.md).
### Cas d’utilisation et limitations des alias de point d’accès
Lorsque vous adoptez des points d’accès, vous pouvez utiliser des noms d’alias de point d’accès sans nécessiter d’importantes modifications du code.
Lorsque vous créez un point d’accès, Amazon S3 génère automatiquement un nom d’alias de point d’accès, comme illustré dans l’exemple suivant. Pour exécuter cette commande, remplacez `user input placeholders` par vos propres informations.
```
aws s3control create-access-point --bucket amzn-s3-demo-bucket1 --name my-access-point --account-id 111122223333
{
"AccessPointArn": "arn:aws:s3:region:111122223333:accesspoint/my-access-point",
"Alias": "my-access-point-aqfqprnstn7aefdfbarligizwgyfouse1a-s3alias"
}
```
Vous pouvez utiliser ce nom d’alias de point d’accès plutôt qu’un nom de compartiment Amazon S3 pour toutes les opérations de plan de données. Pour obtenir la liste de ces opérations, veuillez consulter la page [Compatibilité des points d’accès](access-points-service-api-support.md).
L' AWS CLI exemple de `get-object` commande suivant utilise l'alias du point d'accès du compartiment pour renvoyer des informations sur l'objet spécifié. Pour exécuter cette commande, remplacez `user input placeholders` par vos propres informations.
```
aws s3api get-object --bucket my-access-point-aqfqprnstn7aefdfbarligizwgyfouse1a-s3alias --key dir/my_data.rtf my_data.rtf
{
"AcceptRanges": "bytes",
"LastModified": "2020-01-08T22:16:28+00:00",
"ContentLength": 910,
"ETag": "\"00751974dc146b76404bb7290f8f51bb\"",
"VersionId": "null",
"ContentType": "text/rtf",
"Metadata": {}
}
```
#### Limitations des alias de point d’accès
+ Les alias ne peuvent pas être configurés par les clients.
+ Les alias ne peuvent pas être supprimés, modifiés ni désactivés sur un point d’accès.
+ Vous pouvez utiliser ce nom d’alias de point d’accès à la place d’un nom de compartiment Amazon S3 dans certaines opérations de plan de données. Pour obtenir la liste de ces opérations, veuillez consulter la page [Compatibilité des points d’accès avec les opérations S3](access-points-service-api-support.md#access-points-operations-support).
+ Vous ne pouvez pas utiliser un nom d’alias de point d’accès pour les opérations relatives au plan de contrôle Amazon S3. Pour obtenir la liste des opérations relatives au plan de contrôle Amazon S3, consultez [Contrôle Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/API/API_Operations_AWS_S3_Control.html) dans la *Référence des API Amazon Simple Storage Service*.
+ Vous ne pouvez pas utiliser les alias de point d’accès S3 comme source ou destination pour les opérations **Déplacer** dans la console Amazon S3.
+ Les alias ne peuvent pas être utilisés dans les Gestion des identités et des accès AWS politiques (IAM).
+ Les alias ne peuvent pas être utilisés comme destination de journalisation pour les journaux d’accès au serveur S3.
+ Les alias ne peuvent pas être utilisés comme destination de journalisation pour les journaux AWS CloudTrail .
+ Amazon SageMaker AI GroundTruth ne prend pas en charge les alias de point d'accès.
## URI de type hébergement virtuel
Les points d'accès prennent uniquement en charge l' virtual-host-styleadressage. Dans un URI de type hébergé virtuellement, le nom du point d'accès Compte AWS, et Région AWS fait partie du nom de domaine de l'URL. Pour plus d’informations sur l’hébergement virtuel, consultez [Hébergement virtuel des compartiments à usage général](VirtualHosting.md).
L’URI de type hébergement virtuel des points d’accès utilise le format suivant :
```
https://access-point-name-account-id.s3-accesspoint.region.amazonaws.com
```
**Note**
Si le nom de votre point d’accès inclut des tirets (-), incluez les tirets dans l’URL et insérez un autre tiret avant l’ID du compte. Par exemple, pour utiliser un point d’accès nommé *`finance-docs`* appartenant au compte *`123456789012`* dans la région *`us-west-2`*, l’URL appropriée serait `https://finance-docs-123456789012.s3-accesspoint.us-west-2.amazonaws.com`.
Les points d’accès S3 ne prennent pas en charge l’accès via HTTP. Les points d’accès prennent uniquement en charge l’accès sécurisé par HTTPS.
# Compatibilité des points d’accès
Vous pouvez utiliser des points d'accès pour accéder à des objets à l'aide du sous-ensemble suivant d'Amazon S3 APIs. Toutes les opérations répertoriées ci-dessous peuvent accepter des points d'accès ARNs ou des alias de point d'accès.
Pour voir des exemples d’utilisation de points d’accès pour effectuer des opérations sur des objets, consultez [Utilisation des points d’accès Amazon S3 de compartiments à usage général](using-access-points.md).
## Compatibilité des points d’accès avec les opérations S3
La table suivante présente une liste non exhaustive des opérations Amazon S3 et leur compatibilité avec les points d’accès. Toutes les opérations ci-dessous sont prises en charge par les points d'accès utilisant un compartiment S3 comme source de données, tandis que seules certaines opérations sont prises en charge par des points d'accès utilisant un volume FSx pour ONTAP ou FSx pour OpenZFS comme source de données.
Pour plus d'informations, voir la compatibilité des points d'accès dans le guide de l'[https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-object-api-support.html](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-object-api-support.html) de l'utilisateur [https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/access-points-object-api-support.html](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/access-points-object-api-support.html).
| Opérations S3 | Point d’accès attaché à un compartiment S3 | Point d'accès attaché à un volume FSx pour OpenZFS |
| --- | --- | --- |
| `[AbortMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html)` | Pris en charge | Pris en charge |
| `[CompleteMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)` | Pris en charge | Pris en charge |
| `[CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)` (copies dans une même région uniquement) | Pris en charge | Pris en charge, si la source et la destination sont le même point d’accès |
| `[CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)` | Pris en charge | Pris en charge |
| `[DeleteObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)` | Pris en charge | Pris en charge |
| `[DeleteObjects](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html)` | Pris en charge | Pris en charge |
| `[DeleteObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjectTagging.html)` | Pris en charge | Pris en charge |
| `[GetBucketAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html)` | Pris en charge | Non pris en charge |
| `[GetBucketCors](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html)` | Pris en charge | Non pris en charge |
| `[GetBucketLocation](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html)` | Pris en charge | Pris en charge |
| `[GetBucketNotificationConfiguration](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html)` | Pris en charge | Non pris en charge |
| `[GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)` | Pris en charge | Non pris en charge |
| `[GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)` | Pris en charge | Pris en charge |
| `[GetObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html)` | Pris en charge | Non pris en charge |
| `[GetObjectAttributes](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html)` | Pris en charge | Pris en charge |
| `[GetObjectLegalHold](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLegalHold.html)` | Pris en charge | Non pris en charge |
| `[GetObjectRetention](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectRetention.html)` | Pris en charge | Non pris en charge |
| `[GetObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTagging.html)` | Pris en charge | Pris en charge |
| `[HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html)` | Pris en charge | Pris en charge |
| `[HeadObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)` | Pris en charge | Pris en charge |
| `[ListMultipartUploads](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html)` | Pris en charge | Pris en charge |
| `[ListObjects](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjects.html)` | Pris en charge | Pris en charge |
| `[ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)` | Pris en charge | Pris en charge |
| `[ListObjectVersions](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectVersions.html)` | Pris en charge | Non pris en charge |
| `[ListParts](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html)` | Pris en charge | Pris en charge |
| `[Presign](https://docs.aws.amazon.com/AmazonS3/latest/API/sigv4-query-string-auth.html)` | Pris en charge | Pris en charge |
| `[PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)` | Pris en charge | Pris en charge |
| `[PutObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html)` | Pris en charge | Non pris en charge |
| `[PutObjectLegalHold](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html)` | Pris en charge | Non pris en charge |
| `[PutObjectRetention](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html)` | Pris en charge | Non pris en charge |
| `[PutObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html)` | Pris en charge | Pris en charge |
| `[RestoreObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RestoreObject.html)` | Pris en charge | Non pris en charge |
| `[UploadPart](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)` | Pris en charge | Pris en charge |
| `[UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)` (copies dans une même région uniquement) | Pris en charge | Pris en charge, si la source et la destination sont le même point d’accès |
# Configuration des politiques IAM pour l’utilisation des points d’accès
Les points d'accès Amazon S3 prennent en charge les politiques de ressources Gestion des identités et des accès AWS (IAM) qui vous permettent de contrôler l'utilisation du point d'accès par ressource, par utilisateur ou selon d'autres conditions. Pour qu'une application ou un utilisateur puisse accéder à des objets via un point d'accès, le point d'accès et le bucket sous-jacent ou le système de FSx fichiers Amazon doivent autoriser la demande.
**Important**
Les restrictions que vous incluez dans une stratégie de point d’accès s’appliquent uniquement aux demandes effectuées via ce point d’accès. L’attache d’un point d’accès à un compartiment ne modifie pas le comportement de la ressource sous-jacente. Toutes les opérations existantes sur le compartiment qui ne sont pas effectuées via votre point d’accès continueront de fonctionner comme auparavant.
Lorsque vous utilisez des politiques de ressources IAM, veillez à résoudre les avertissements de sécurité, les erreurs, les avertissements généraux et les suggestions AWS Identity and Access Management Access Analyzer avant d'enregistrer votre politique. IAM Access Analyzer exécute des vérifications de politiques pour valider votre politique par rapport à la [grammaire de politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html) et aux [bonnes pratiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) IAM. Ces vérifications génèrent des résultats et fournissent des recommandations pour vous aider à créer des stratégies fonctionnelles et conformes aux bonnes pratiques en matière de sécurité.
Pour en savoir plus sur la validation des politiques à l’aide d’IAM Access Analyzer, consultez [Validation de politique IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*. Pour afficher la liste des avertissements, erreurs et suggestions renvoyés par IAM Access Analyzer, consultez la [Référence de vérification de politique IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html).
## Exemples de stratégies de points d’accès
Les exemples suivants montrent comment créer des politiques IAM pour contrôler les demandes effectuées via un point d’accès.
**Note**
Les autorisations accordées dans une politique de point d’accès ne sont effectives que si le compartiment sous-jacent autorise également le même accès. Vous pouvez y parvenir de deux façons :
**(Recommandé)** Déléguer le contrôle d’accès du compartiment au point d’accès, comme décrit à la section [Délégation du contrôle d’accès aux points d’accès](#access-points-delegating-control).
Ajoutez les mêmes autorisations contenues dans la stratégie de point d’accès à la stratégie du compartiment sous-jacent. Le premier exemple de politique de point d’accès montre comment modifier la stratégie de compartiment sous-jacente pour autoriser l’accès nécessaire.
**Example 1 : octroi de politique de point d’accès**
La politique de point d’accès suivante accorde à l’utilisateur IAM `Jane` dans le compte `123456789012` des autorisations `GET` et `PUT` pour des objets avec le préfixe `Jane/` via le point d’accès *`my-access-point`* dans le compte *`123456789012`*.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Jane"
},
"Action": ["s3:GetObject", "s3:PutObject"],
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/my-access-point/object/Jane/*"
}]
}
```
**Note**
Pour que la stratégie de point d’accès accorde effectivement l’accès à *`Jane`*, il faut que le compartiment sous-jacent autorise également le même accès à *`Jane`*. Vous pouvez déléguer le contrôle d’accès du compartiment au point d’accès comme décrit à la section [Délégation du contrôle d’accès aux points d’accès](#access-points-delegating-control). Vous pouvez également ajouter la stratégie suivante au compartiment sous-jacent pour accorder les autorisations nécessaires à Jane. Notez que l’entrée `Resource` diffère entre les stratégies de point d’accès et de compartiment.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Jane"
},
"Action": ["s3:GetObject", "s3:PutObject"],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/Jane/*"
}]
}
```
**Example 2 : politique de point d’accès avec condition d’étiquette**
La politique de point d’accès suivante accorde à l’utilisateur IAM *`Mateo`* dans le compte *`123456789012`* des autorisations pour des objets `GET` via le point d’accès *`my-access-point`* du compte *`123456789012`* dont la valeur de la clé d’étiquette *`data`* est définie sur *`finance`*.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Mateo"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/my-access-point/object/*",
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/data": "finance"
}
}
}]
}
```
**Example 3 : politique de point d’accès permettant d’établir la liste des compartiments**
La politique de point d’accès suivante permet à l’utilisateur IAM `Arnav` dans le compte *`123456789012`* d’afficher les objets contenus dans le point d’accès sous-jacent du compartiment *`my-access-point`* dans le compte *`123456789012`*.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Arnav"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/my-access-point"
}]
}
```
**Example 4 : politique de contrôle des services**
La stratégie de contrôle de service suivante exige que tous les nouveaux points d’accès soient créés avec une origine de réseau de cloud privé virtuel (VPC). Lorsque cette stratégie est mise en place, les utilisateurs de votre organisation ne peuvent pas créer de nouveaux points d’accès accessibles à partir d’Internet.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "s3:CreateAccessPoint",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"s3:AccessPointNetworkOrigin": "VPC"
}
}
}]
}
```
**Example 5 : stratégie de compartiment pour limiter les opérations S3 aux origines réseau VPC**
La stratégie de compartiment suivante limite l’accès à toutes les opérations d’objet S3 pour le compartiment `amzn-s3-demo-bucket` aux points d’accès ayant une origine réseau VPC.
Avant d’utiliser une instruction comme celle présentée dans cet exemple, assurez-vous que vous n’avez pas besoin d’utiliser des fonctions qui ne sont pas prises en charge par les points d’accès, comme la réplication entre régions.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:AbortMultipartUpload",
"s3:BypassGovernanceRetention",
"s3:DeleteObject",
"s3:DeleteObjectTagging",
"s3:DeleteObjectVersion",
"s3:DeleteObjectVersionTagging",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectLegalHold",
"s3:GetObjectRetention",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionAcl",
"s3:GetObjectVersionTagging",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectLegalHold",
"s3:PutObjectRetention",
"s3:PutObjectTagging",
"s3:PutObjectVersionAcl",
"s3:PutObjectVersionTagging",
"s3:RestoreObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringNotEquals": {
"s3:AccessPointNetworkOrigin": "VPC"
}
}
}
]
}
```
## Clés de condition
Les points d’accès S3 comportent des clés de condition que vous pouvez utiliser dans les politiques IAM pour contrôler l’accès à vos ressources. Les clés de condition suivantes ne représentent qu’une partie d’une politique IAM. Pour obtenir des exemples complets de politiques, consultez [Exemples de stratégies de points d’accès](#access-points-policy-examples), [Délégation du contrôle d’accès aux points d’accès](#access-points-delegating-control) et [Octroi d’autorisations pour les points d’accès intercompte](#access-points-cross-account).
**`s3:DataAccessPointArn`**
Cet exemple présente une chaîne que vous pouvez utiliser pour établir une correspondance sur un ARN de point d’accès. L'exemple suivant correspond à tous les points d'accès Compte AWS *`123456789012`* de la région *`us-west-2`* :
```
"Condition" : {
"StringLike": {
"s3:DataAccessPointArn": "arn:aws:s3:us-west-2:123456789012:accesspoint/*"
}
}
```
**`s3:DataAccessPointAccount`**
Cet exemple présente un opérateur de chaîne que vous pouvez utiliser pour établir une correspondance sur l’ID de compte du propriétaire d’un point d’accès. L’exemple suivant correspond à tous les points d’accès appartenant au Compte AWS *`123456789012`*.
```
"Condition" : {
"StringEquals": {
"s3:DataAccessPointAccount": "123456789012"
}
}
```
**`s3:AccessPointNetworkOrigin`**
Cet exemple présente un opérateur de chaîne que vous pouvez utiliser pour faire correspondre sur l’origine du réseau, soit `Internet`, soit `VPC`. L’exemple suivant ne correspond qu’aux points d’accès ayant une origine VPC.
```
"Condition" : {
"StringEquals": {
"s3:AccessPointNetworkOrigin": "VPC"
}
}
```
Pour plus d’informations sur l’utilisation des clés de condition avec Amazon S3, consultez [Actions, ressources et clés de condition pour Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) dans la *Référence de l’autorisation de service*.
Pour plus d’informations sur les autorisations relatives aux opérations d’API S3 par type de ressource S3, consultez [Autorisations requises pour les opérations d’API Amazon S3](using-with-s3-policy-actions.md).
## Délégation du contrôle d’accès aux points d’accès
Vous pouvez déléguer le contrôle d’accès à un compartiment aux points d’accès du compartiment. Dans l’exemple suivant, la politique de compartiment permet un accès complet à tous les points d’accès appartenant au compte du propriétaire du compartiment. Ainsi, tous les accès à ce compartiment sont contrôlés par les stratégies attachées à ses points d’accès. Nous vous recommandons de configurer vos compartiments de cette façon pour tous les cas d’utilisation qui ne demandent pas d’accès direct au compartiment.
**Example 6 : politique de compartiment qui délègue le contrôle d’accès aux points d’accès**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect": "Allow",
"Principal" : { "AWS": "*" },
"Action" : "*",
"Resource" : [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*"],
"Condition": {
"StringEquals" : { "s3:DataAccessPointAccount" : "111122223333" }
}
}]
}
```
## Octroi d’autorisations pour les points d’accès intercompte
Pour créer un point d’accès à un compartiment qui appartient à un autre compte, vous devez d’abord créer le point d’accès en spécifiant le nom du compartiment et l’ID du propriétaire du compte. Ensuite, le propriétaire du compartiment doit mettre à jour la politique de compartiment pour autoriser les requêtes du point d’accès. La création d’un point d’accès est similaire à la création d’un DNS CNAME dans la mesure où le point d’accès ne donne pas accès au contenu du compartiment. Tous les accès aux compartiments sont contrôlés par la politique des compartiments. L’exemple de politique de compartiment suivant autorise les requêtes `GET` et `LIST` sur le compartiment depuis un point d’accès appartenant à un Compte AWS de confiance.
*Bucket ARN*Remplacez-le par l'ARN du bucket.
**Example 7 — Politique de compartiment déléguant des autorisations à un autre Compte AWS**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect": "Allow",
"Principal" : { "AWS": "*" },
"Action" : ["s3:GetObject","s3:ListBucket"],
"Resource" : ["arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*"],
"Condition": {
"StringEquals" : { "s3:DataAccessPointAccount" : "Access point owner's account ID" }
}
}]
}
```
Les points d’accès intercompte ne sont disponibles que pour les points d’accès attachés à des compartiments S3. Vous ne pouvez pas associer un point d'accès à un volume sur un système de FSx fichiers Amazon appartenant à un autre Compte AWS.
# Surveillance et journalisation des points d’accès
Amazon S3 journalise les demandes effectuées via les points d’accès et les demandes adressées aux opérations d’API qui gèrent les points d’accès, telles que `CreateAccessPoint` et `GetAccessPointPolicy`. Pour surveiller et gérer les modèles d'utilisation, vous pouvez également configurer les métriques de demande Amazon CloudWatch Logs pour les points d'accès.
**Topics**
+ [
## CloudWatch métriques de demande
](#request-metrics-access-points)
+ [
## AWS CloudTrail journaux des demandes effectuées via les points d'accès
](#logging-access-points)
## CloudWatch métriques de demande
Pour comprendre et améliorer les performances des applications qui utilisent des points d'accès, vous pouvez utiliser CloudWatch les métriques de demande Amazon S3. Les métriques de demandes vous aident à contrôler les demandes Amazon S3 pour identifier rapidement les problèmes opérationnels et agir en conséquence.
Par défaut, ces métriques de demandes sont disponibles au niveau du compartiment. Toutefois, vous pouvez définir un filtre pour les métriques de demande à l’aide d’un préfixe partagé, de balises d’objet ou d’un point d’accès. Lorsque vous créez un filtre de point d’accès, la configuration des métriques de demandes inclut les demandes vers le point d’accès que vous spécifiez. Ce point d’accès vous permet de recevoir les métriques, de définir les alarmes et d’accéder aux tableaux de bord pour afficher les opérations effectuées en temps réel.
Vous devez activer les métriques de demandes en les configurant dans la console ou en utilisant l’API Amazon S3. Ces métriques sont disponibles à des intervalles d’une minute après une latence pour le traitement. Les métriques de demande sont facturées au même tarif que les métriques CloudWatch personnalisées. Pour plus d'informations, consultez les [ CloudWatch tarifs Amazon](https://aws.amazon.com/cloudwatch/pricing/).
Pour créer une configuration de métriques de demandes qui filtre par point d’accès, consultez [Création d’une configuration de métriques qui filtre par préfixe, balise d’objet ou point d’accès](metrics-configurations-filter.md).
## AWS CloudTrail journaux des demandes effectuées via les points d'accès
Vous pouvez enregistrer les demandes effectuées via les points d'accès et les demandes adressées aux points d'accès APIs qui gèrent les points d'accès, `GetAccessPointPolicy,` par exemple `CreateAccessPoint` et en utilisant la journalisation des accès au serveur et AWS CloudTrail.
CloudTrail les entrées du journal pour les demandes effectuées via les points d'accès incluent l'ARN du point d'accès dans la `resources` section du journal.
Par exemple, supposons que vous ayez la configuration suivante :
+ Un compartiment nommé *`amzn-s3-demo-bucket1`* dans la région *`us-west-2`* qui contient un objet nommé *`my-image.jpg`*.
+ Un point d’accès nommé *`my-bucket-ap`* associé à *`amzn-s3-demo-bucket1`*
+ Un Compte AWS identifiant de *`123456789012`*
L'exemple suivant montre la `resources` section d'une entrée de CloudTrail journal pour la configuration précédente :
```
"resources": [
{"type": "AWS::S3::Object",
"ARN": "arn:aws:s3:::amzn-s3-demo-bucket1/my-image.jpg"
},
{"accountId": "123456789012",
"type": "AWS::S3::Bucket",
"ARN": "arn:aws:s3:::amzn-s3-demo-bucket1"
},
{"accountId": "123456789012",
"type": "AWS::S3::AccessPoint",
"ARN": "arn:aws:s3:us-west-2:123456789012:accesspoint/my-bucket-ap"
}
]
```
Si vous utilisez un point d'accès rattaché à un volume sur un système de FSx fichiers Amazon, la `resources` section d'une entrée de CloudTrail journal aura un aspect différent. Par exemple :
```
"resources": [
{
"accountId": "123456789012",
"type": "AWS::FSx::Volume",
"ARN": "arn:aws:fsx:us-east-1:123456789012:volume/fs-0123456789abcdef9/fsvol-01234567891112223"
}
]
```
Pour plus d’informations sur les journaux d’accès au serveur S3, consultez [Enregistrement de demandes avec journalisation des accès au serveur](ServerLogs.md). Pour plus d'informations AWS CloudTrail, voir [Qu'est-ce que c'est AWS CloudTrail ?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) dans le *guide de AWS CloudTrail l'utilisateur*.
# Création d’un point d’accès
Vous pouvez créer des points d'accès S3 à l'aide de l'API REST AWS Management Console AWS SDKs, AWS Command Line Interface (AWS CLI) ou Amazon S3. Les points d'accès sont appelés points de terminaison réseau attachés à une source de données telle qu'un bucket, un volume Amazon FSx pour ONTAP ou un volume Amazon FSx pour OpenZFS.
Par défaut, vous pouvez créer jusqu’à 10 000 points d’accès par région pour chacun de vos Comptes AWS. Si vous avez besoin de plus de 10 000 points d’accès pour un seul compte dans une même région, vous pouvez demander une augmentation des quotas de service. Pour plus d’informations sur les quotas de service et la demande d’une augmentation, consultez [AWS Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) dans *Références générales AWS*.
**Topics**
+ [
## Création de points d’accès avec des compartiments S3
](#create-access-points)
+ [
## Création de points d'accès avec Amazon FSx
](#create-access-points-with-fsx)
+ [
# Création de points d’accès restreints à un virtual private cloud
](access-points-vpc.md)
+ [
# Gestion de l’accès public aux points d’accès de compartiments à usage général
](access-points-bpa-settings.md)
## Création de points d’accès avec des compartiments S3
Un point d’accès est associé à un seul compartiment à usage général Amazon S3. Si vous souhaitez utiliser un bucket dans votre Compte AWS, vous devez d'abord en créer un. Pour en savoir plus sur la création des compartiments, consultez [Création, configuration et utilisation de compartiments Amazon S3](creating-buckets-s3.md).
Vous pouvez également créer un point d’accès intercompte associé à un compartiment dans un autre compte Compte AWS, à condition de connaître le nom du compartiment et l’ID du compte du propriétaire du compartiment. Cependant, la création de points d’accès intercompte ne vous donne pas accès aux données du compartiment tant que vous n’avez pas obtenu les autorisations du propriétaire du compartiment. Le propriétaire du compartiment doit accorder au compte du propriétaire du point d’accès (votre compte) l’accès au compartiment par le biais de la stratégie du compartiment. Pour de plus amples informations, veuillez consulter [Octroi d’autorisations pour les points d’accès intercompte](access-points-policies.md#access-points-cross-account).
### Utilisation de la console S3
**Pour créer un point d’accès**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans la barre de navigation en haut de la page, choisissez le nom du fichier actuellement affiché Région AWS. Choisissez ensuite la région dans laquelle vous souhaitez créer un point d’accès. Le point d’accès doit être créé dans la même région que le compartiment auquel il est associé.
1. Dans le volet de navigation, choisissez **Points d’accès**.
1. Dans la page **Points d’accès**, choisissez **Créer un point d’accès**.
1. Dans le champ **Nom du point d’accès**, saisissez le nom que vous souhaitez pour le point d’accès. Pour en savoir plus sur l’attribution de noms aux points d’accès, consultez [Règles de dénomination des points d’accès](access-points-restrictions-limitations-naming-rules.md#access-points-names).
1. Dans **Source de données**, spécifiez le compartiment S3 que vous souhaitez utiliser avec le point d’accès.
Pour utiliser un compartiment dans votre compte, sélectionnez **Choisir un compartiment dans ce compte** et saisissez ou recherchez le nom du compartiment.
Pour utiliser un compartiment dans un autre compte Compte AWS, choisissez **Spécifier un compartiment dans un autre compte**, puis entrez l' Compte AWS ID et le nom du compartiment. Si vous utilisez un bucket dans un autre endroit Compte AWS, le propriétaire du bucket doit mettre à jour la politique du bucket afin d'autoriser les demandes provenant du point d'accès. Pour un exemple de politique de compartiment, consultez [Octroi d’autorisations pour les points d’accès intercompte](access-points-policies.md#access-points-cross-account).
**Note**
Pour plus d'informations sur l'utilisation d'un volume FSx pour OpenZFS comme source de données, consultez. [Création de points d'accès avec Amazon FSx](#create-access-points-with-fsx)
1. Choisissez une **origine réseau**, soit **Internet** soit **Cloud privé virtuel (VPC)**. Si vous choisissez **Cloud privé virtuel (VPC)**, saisissez l’**ID de VPC** que vous souhaitez utiliser avec le point d’accès.
Pour en savoir plus sur les origines réseau des points d'accès, veuillez consulter [Création de points d’accès restreints à un virtual private cloud](access-points-vpc.md).
1. Sous **Block Public Access settings for this Access Point (Blocage de l’accès public pour ce point d’accès)**, sélectionnez les paramètres de blocage de l’accès public que vous voulez appliquer au point d’accès. Tous les paramètres de blocage d’accès public sont activés par défaut pour les nouveaux points d’accès. Nous vous recommandons de garder tous les paramètres activés, sauf si vous savez que vous avez un besoin spécifique de désactiver l’un d’entre eux.
**Note**
Après avoir créé un point d’accès, vous ne pouvez pas modifier ses paramètres de blocage de l’accès public.
Pour en savoir plus sur l’utilisation du blocage de l’accès public Amazon S3 avec des points d’accès, consultez [Gestion de l’accès public aux points d’accès de compartiments à usage général](access-points-bpa-settings.md).
1. (Facultatif) Sous **Access point policy (Stratégie de point d’accès) - *facultatif***, spécifiez la stratégie de point d’accès. Avant d’enregistrer votre politique, veillez à résoudre les avertissements de sécurité, les erreurs, les avertissements généraux et les suggestions. Pour en savoir plus sur la spécification d’une stratégie de point d’accès, consultez [Exemples de stratégies de points d’accès](access-points-policies.md#access-points-policy-examples).
1. Choisissez **Create access point (Créer un point d'accès)**.
### À l'aide du AWS CLI
L’exemple de commande suivant crée un point d’accès nommé *`example-ap`* pour le compartiment *`amzn-s3-demo-bucket`* dans le compte *`111122223333`*. Pour créer le point d’accès, vous envoyez une requête à Amazon S3 qui spécifie les éléments suivants :
+ Nom du point d’accès. Pour plus d’informations sur les règles d’attribution de noms, consultez [Règles de dénomination des points d’accès](access-points-restrictions-limitations-naming-rules.md#access-points-names).
+ Le nom du compartiment auquel vous voulez associer le point d’accès.
+ L'ID de compte du Compte AWS propriétaire du point d'accès.
```
aws s3control create-access-point --name example-ap --account-id 111122223333 --bucket amzn-s3-demo-bucket
```
Lorsque vous créez un point d'accès en utilisant un bucket dans un autre Compte AWS, incluez le `--bucket-account-id` paramètre. L’exemple de commande suivant crée un point d’accès dans le Compte AWS *`111122223333`*, en utilisant le compartiment *`amzn-s3-demo-bucket2`*, qui se trouve dans le Compte AWS *`444455556666`*.
```
aws s3control create-access-point --name example-ap --account-id 111122223333 --bucket amzn-s3-demo-bucket --bucket-account-id 444455556666
```
### Utilisation de l'API REST
Vous pouvez utiliser l’API REST pour créer un point d’accès. Pour plus d’informations, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html) dans la *Référence d’API Amazon Simple Storage Service*.
## Création de points d'accès avec Amazon FSx
Vous pouvez créer et associer un point d'accès à un volume FSx pour OpenZFS à l'aide de FSx la console Amazon ou de l' AWS CLI API. Une fois attaché, vous pouvez utiliser l'objet S3 APIs pour accéder aux données de votre fichier. Vos données continuent de résider dans le système de FSx fichiers Amazon et d'être directement accessibles pour vos charges de travail existantes. Vous continuez à gérer votre stockage en utilisant toutes les fonctionnalités de gestion du stockage FSx d'OpenZFS, notamment les sauvegardes, les instantanés, les quotas d'utilisateurs et de groupes et la compression.
Pour obtenir des instructions sur la création d'un point d'accès et son attachement à un volume FSx pour OpenZFS, voir [Création d'un point d'accès](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/create-access-points.html) dans le guide de l'utilisateur *FSx pour OpenZFS*.
# Création de points d’accès restreints à un virtual private cloud
Lorsque vous créez un point d’accès, vous pouvez choisir de le rendre accessible à partir d’Internet, ou vous pouvez spécifier que toutes les demandes effectuées via ce point d’accès doivent provenir d’un cloud privé virtuel (VPC) spécifique. Un point d’accès accessible depuis Internet est dit avoir une origine réseau d’`Internet`. Il peut être utilisé depuis n’importe où sur Internet, sous réserve de toute autre restriction d’accès applicable au point d’accès, à la source de données sous-jacente et aux ressources associées, telles que les objets demandés. Un point d’accès accessible uniquement à partir d’un VPC spécifié a une origine réseau de `VPC`, et Amazon S3 rejette toute demande adressée au point d’accès qui ne provient pas de ce VPC.
**Important**
Vous ne pouvez spécifier l’origine réseau d’un point d’accès qu’au moment de la création du point d’accès. Après avoir créé le point d’accès, vous ne pouvez pas modifier son origine réseau.
Pour limiter un point d’accès à un accès VPC uniquement, vous devez inclure le paramètre `VpcConfiguration` à la demande de création du point d’accès. Dans le paramètre `VpcConfiguration`, vous spécifiez l’ID de VPC que vous souhaitez pouvoir utiliser avec le point d’accès. Si une demande est effectuée via le point d’accès, elle doit provenir du VPC, car Amazon S3 la rejettera dans le cas contraire.
Vous pouvez récupérer l'origine réseau d'un point d'accès à l'aide de AWS CLI AWS SDKs, ou REST APIs. Si un point d’accès a une configuration VPC spécifiée, son origine réseau est `VPC`. Sinon, l’origine réseau du point d’accès est `Internet`.
## Exemple : créer et restreindre un point d'accès à un identifiant VPC
L’exemple suivant crée un point d’accès nommé `example-vpc-ap` pour le compartiment `amzn-s3-demo-bucket` dans le compte `123456789012` qui autorise l’accès uniquement à partir du VPC `vpc-1a2b3c`. L’exemple vérifie ensuite que le nouveau point d’accès a une origine réseau de `VPC`.
------
#### [ AWS CLI ]
```
aws s3control create-access-point --name example-vpc-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket --vpc-configuration VpcId=vpc-1a2b3c
```
```
aws s3control get-access-point --name example-vpc-ap --account-id 123456789012
{
"Name": "example-vpc-ap",
"Bucket": "amzn-s3-demo-bucket",
"NetworkOrigin": "VPC",
"VpcConfiguration": {
"VpcId": "vpc-1a2b3c"
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"IgnorePublicAcls": true,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2019-11-27T00:00:00Z"
}
```
------
Pour utiliser un point d’accès avec un VPC, vous devez modifier la stratégie d’accès pour votre point de terminaison d’un VPC. Les points de terminaison d’un VPC autorisent la circulation du trafic de votre VPC vers Amazon S3. Ils disposent de politiques de contrôle d’accès qui contrôlent la façon dont les ressources du VPC sont autorisées à interagir avec Amazon S3. Les demandes de votre VPC vers Amazon S3 ne réussissent via un point d’accès que si la politique de point de terminaison d’un VPC accorde l’accès au point d’accès et au compartiment sous-jacent.
**Note**
Pour rendre les ressources accessibles uniquement au sein d’un VPC, veillez à créer une [zone hébergée privée](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) pour votre point de terminaison de VPC. Pour utiliser une zone hébergée privée, [modifiez les paramètres de votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) de sorte que les [attributs de réseau VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) `enableDnsHostnames` et `enableDnsSupport` soient définis sur `true`.
L’exemple de déclaration de stratégie suivant configure un point de terminaison d’un VPC pour autoriser les appels à `GetObject` pour un compartiment nommé `awsexamplebucket1` et un point d’accès nommé `example-vpc-ap`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::awsexamplebucket1/*",
"arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*"
]
}]
}
```
------
**Note**
La déclaration `"Resource"` de cet exemple utilise un Amazon Resource Name (ARN) pour spécifier le point d’accès. Pour plus d'informations sur le point d'accès ARNs, consultez[Référencement de points d'accès sous forme d' ARNsalias de point d'accès ou de type hébergé virtuellement URIs](access-points-naming.md).
Pour plus d’informations sur les stratégies de point de terminaison d’un VPC, consultez [Stratégies de point de terminaison pour Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) dans le *Guide de l’utilisateur Amazon Virtual Private Cloud*.
Pour un didacticiel sur la création de points d’accès avec des points de terminaison d’un VPC, consultez [Gestion des accès à Amazon S3 avec des points de terminaison d’un VPC et des points d’accès de VPC](https://aws.amazon.com/blogs/storage/managing-amazon-s3-access-with-vpc-endpoints-and-s3-access-points/).
## Exemple : créer et restreindre un point d'accès attaché à un volume FSx pour OpenZFS à un VPC ID
Vous pouvez créer un point d'accès qui est attaché à un volume FSx pour OpenZFS à l'aide de la FSx console Amazon ou de l' AWS CLI API. Une fois attaché, vous pouvez utiliser l'objet S3 APIs pour accéder aux données de votre fichier à partir d'un VPC spécifique.
Pour obtenir des instructions sur la création et la restriction d'un point d'accès attaché à un volume FSx pour OpenZFS, consultez la section [Création de points d'accès restreints à un cloud privé virtuel (VPC)](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/create-access-points.html) dans le guide de l'utilisateur *FSx pour* OpenZFS.
## Exemple : créer et restreindre un point d'accès attaché à un volume FSX for ONTAP à un VPC ID
Vous pouvez créer un point d'accès qui est attaché à un volume FSx for ONTAP à l'aide de la FSx console Amazon ou de l'API. AWS CLI Une fois attaché, vous pouvez utiliser l'objet S3 APIs pour accéder aux données de votre fichier à partir d'un VPC spécifique.
Pour obtenir des instructions sur la création et la restriction d'un point d'accès associé à un volume FSx pour ONTAP, consultez le guide de l'[https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-vpc.html](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-vpc.html).
# Gestion de l’accès public aux points d’accès de compartiments à usage général
Les points d’accès Amazon S3 prennent en charge des paramètres de *blocage de l’accès public* indépendants pour chaque point d’accès. Lorsque vous créez un point d’accès, vous pouvez spécifier les paramètres de blocage d’accès public qui s’appliquent à ce point d’accès. Pour toute demande effectuée via un point d’accès, Amazon S3 évalue les paramètres de blocage d’accès public pour ce point d’accès, le compartiment sous-jacent et le compte du propriétaire du compartiment. Si l’un de ces paramètres indique que la demande doit être bloquée, Amazon S3 rejette la demande.
Pour plus d’informations sur le blocage de l’accès public S3, consultez [Blocage de l’accès public à votre stockage Amazon S3](access-control-block-public-access.md).
**Important**
Tous les paramètres de blocage d’accès public sont activés par défaut pour les points d’accès. Vous devez désactiver explicitement tous les paramètres que vous ne souhaitez pas appliquer durant la création du point d’accès.
Vous ne pouvez désactiver aucun paramètre de blocage de l'accès public lors de la création ou de l'utilisation d'un point d'accès rattaché à un système de FSx fichiers Amazon.
Après avoir créé un point d’accès, vous ne pouvez pas modifier ses paramètres de blocage de l’accès public.
**Example**
***Exemple : Créer un point d’accès avec des paramètres de blocage d’accès public personnalisés***
Cet exemple montre comment créer un point d’accès nommé `example-ap` pour le compartiment `amzn-s3-demo-bucket` dans le compte `123456789012` avec des paramètres de blocage d’accès public non définis par défaut. L’exemple extrait ensuite la configuration du nouveau point d’accès pour vérifier ses paramètres de blocage d’accès public.
```
aws s3control create-access-point --name example-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket--public-access-block-configuration BlockPublicAcls=false,IgnorePublicAcls=false,BlockPublicPolicy=true,RestrictPublicBuckets=true
```
```
aws s3control get-access-point --name example-ap --account-id 123456789012
{
"Name": "example-ap",
"Bucket": "amzn-s3-demo-bucket",
"NetworkOrigin": "Internet",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"IgnorePublicAcls": false,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2019-11-27T00:00:00Z"
}
```
# Gestion des points d’accès Amazon S3 de vos compartiments à usage général
Cette section explique comment gérer vos points d'accès Amazon S3 pour des compartiments à usage général à l'aide de l'API AWS Management Console AWS Command Line Interface, ou REST. Pour plus d'informations sur la gestion des points d'accès attachés à un volume FSx pour OpenZFS, consultez la section [Gestion de vos points d'accès Amazon S3](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/access-points-manage.html) dans le guide de l'utilisateur *FSx pour OpenZFS*.
**Note**
Vous ne pouvez utiliser que des points d’accès pour effectuer des opérations sur des objets. Vous ne pouvez pas utiliser de points d’accès pour effectuer d’autres opérations Amazon S3, telles que la modification de compartiments ou la création de configurations de réplication S3. Pour obtenir la liste complète des opérations S3 qui prennent en charge les points d’accès, consultez [Compatibilité des points d’accès](access-points-service-api-support.md).
**Topics**
+ [
# Liste des points d’accès de vos compartiments à usage général
](access-points-list.md)
+ [
# Affichage des détails des points d’accès de vos compartiments à usage général
](access-points-details.md)
+ [
# Suppression du point d’accès d’un compartiment à usage général
](access-points-delete.md)
# Liste des points d’accès de vos compartiments à usage général
Cette section explique comment répertorier vos points d'accès pour les buckets à usage général à l'aide de l'API AWS Management Console AWS Command Line Interface, ou REST.
## Utilisation de la console S3
**Pour répertorier les points d'accès dans votre Compte AWS**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans la barre de navigation en haut de la page, choisissez le nom du fichier actuellement affiché Région AWS. Choisissez ensuite la région pour laquelle vous souhaitez afficher la liste des points d’accès.
1. Dans le volet de navigation de gauche de la console, choisissez **Points d’accès**.
1. (Facultatif) Recherchez les points d’accès par leur nom. Seuls les points d'accès que vous avez sélectionnés Région AWS apparaîtront ici.
1. Choisissez le nom du point d’accès que vous souhaitez gérer ou utiliser.
## À l'aide du AWS CLI
L'`list-access-points`exemple de commande suivant montre comment vous pouvez utiliser le AWS CLI pour répertorier vos points d'accès.
La commande suivante répertorie les points d'accès pour Compte AWS *111122223333*.
```
aws s3control list-access-points --account-id 111122223333
```
La commande suivante répertorie les points Compte AWS *111122223333* d'accès associés au bucket*amzn-s3-demo-bucket*.
```
aws s3control list-access-points --account-id 111122223333 --bucket amzn-s3-demo-bucket
```
Pour plus d’informations et des exemples, consultez [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points.html) dans la *Référence des commandes de l’AWS CLI *.
## Utilisation de l'API REST
Vous pouvez utiliser l’API REST pour répertorier vos points d’accès. Pour plus d’informations, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPoints.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPoints.html) dans la *Référence d’API Amazon Simple Storage Service*.
# Affichage des détails des points d’accès de vos compartiments à usage général
Cette section explique comment afficher les détails de votre point d'accès pour un bucket à usage général à l'aide de l'API AWS Management Console AWS Command Line Interface, ou REST.
## Utilisation de la console S3
**Pour consulter les détails de votre point d'accès dans votre Compte AWS**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans la barre de navigation en haut de la page, choisissez le nom du fichier actuellement affiché Région AWS. Choisissez ensuite la région pour laquelle vous souhaitez afficher la liste des points d’accès.
1. Dans le volet de navigation de gauche de la console, choisissez **Points d’accès**.
1. (Facultatif) Recherchez les points d’accès par leur nom. Seuls les points d'accès que vous avez sélectionnés Région AWS apparaîtront ici.
1. Choisissez le nom du point d’accès que vous souhaitez gérer ou utiliser.
1. Sélectionnez l'onglet **Propriétés** pour afficher la source de données du point d'accès, l'ID de compte Région AWS, la date de création, l'origine du réseau, l'URI S3, l'ARN et l'alias du point d'accès sélectionné.
1. Sélectionnez l’onglet **Autorisations** pour afficher les paramètres de blocage de l’accès public et la stratégie du point d’accès sélectionné.
**Note**
Vous ne pouvez pas modifier les paramètres de blocage de l’accès public d’un point d’accès après sa création.
## À l'aide du AWS CLI
L'`get-access-point`exemple de commande suivant montre comment vous pouvez utiliser le AWS CLI pour afficher les détails de votre point d'accès.
La commande suivante répertorie les détails du point d'accès *my-access-point* à Compte AWS *111122223333* associer au compartiment S3*amzn-s3-demo-bucket*.
```
aws s3control get-access-point --name my-access-point --account-id 111122223333
```
Exemple de sortie :
```
{
"Name": "my-access-point",
"Bucket": "amzn-s3-demo-bucket",
"NetworkOrigin": "Internet",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"IgnorePublicAcls": true,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2016-08-29T22:57:52Z",
"Alias": "my-access-point-u1ny6bhm7moymqx8cuon8o1g4mwikuse2a-s3alias",
"AccessPointArn": "arn:aws:s3:Région AWS:111122223333:accesspoint/my-access-point",
"Endpoints": {
"ipv4": "s3-accesspoint.Région AWS.amazonaws.com",
"fips": "s3-accesspoint-fips.Région AWS.amazonaws.com",
"fips_dualstack": "s3-accesspoint-fips.dualstack.Région AWS.amazonaws.com",
"dualstack": "s3-accesspoint.dualstack.Région AWS.amazonaws.com"
},
"BucketAccountId": "111122223333"
}
```
La commande suivante répertorie les détails du point d'accès *example-fsx-ap* pour Compte AWS *444455556666*. Ce point d'accès est rattaché à un système de FSx fichiers Amazon.
```
aws s3control get-access-point --name example-fsx-ap --account-id 444455556666
```
Exemple de sortie :
```
{
"Name": "example-fsx-ap",
"Bucket": "",
"NetworkOrigin": "Internet",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"IgnorePublicAcls": true,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2025-01-19T14:16:12Z",
"Alias": "example-fsx-ap-qrqbyebjtsxorhhaa5exx6r3q7-ext-s3alias",
"AccessPointArn": "arn:aws:s3:Région AWS:444455556666:accesspoint/example-fsx-ap",
"Endpoints": {
"ipv4": "s3-accesspoint.Région AWS.amazonaws.com",
"fips": "s3-accesspoint-fips.Région AWS.amazonaws.com",
"fips_dualstack": "s3-accesspoint-fips.dualstack.Région AWS.amazonaws.com",
"dualstack": "s3-accesspoint.dualstack.Région AWS.amazonaws.com"
},
"DataSourceId": "arn:aws::fsx:Région AWS:444455556666:file-system/fs-5432106789abcdef0/volume/vol-0123456789abcdef0",
"DataSourceType": "FSX_OPENZFS"
}
```
Pour plus d’informations et des exemples, consultez [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point.html) dans la *Référence des commandes de l’AWS CLI *.
## Utilisation de l'API REST
Vous pouvez utiliser l’API REST pour afficher les détails de votre point d’accès. Pour plus d’informations, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html) dans la *Référence d’API Amazon Simple Storage Service*.
# Suppression du point d’accès d’un compartiment à usage général
Cette section explique comment supprimer votre point d'accès pour un bucket à usage général à l'aide de l'API REST AWS Management Console AWS Command Line Interface, ou REST.
## Utilisation de la console S3
**À supprimer pour vos points d'accès dans votre Compte AWS**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans la barre de navigation en haut de la page, choisissez le nom du fichier actuellement affiché Région AWS. Choisissez ensuite la région pour laquelle vous souhaitez afficher la liste des points d’accès.
1. Dans le volet de navigation de gauche de la console, choisissez **Points d’accès**.
1. (Facultatif) Recherchez les points d’accès par leur nom. Seuls les points d'accès que vous avez sélectionnés Région AWS apparaîtront ici.
1. Choisissez le nom du point d’accès que vous souhaitez gérer ou utiliser.
1. Sur la page **Point d’accès**, sélectionnez **Supprimer** pour supprimer le point d’accès que vous avez sélectionné.
1. Pour confirmer la suppression, tapez le nom du point d’accès et sélectionnez **Supprimer**.
## À l'aide du AWS CLI
L'`delete-access-point`exemple de commande suivant montre comment vous pouvez utiliser le AWS CLI pour supprimer votre point d'accès.
La commande suivante supprime le point d'accès *my-access-point* pour Compte AWS *111122223333*.
```
aws s3control delete-access-point --name my-access-point --account-id 111122223333
```
Pour plus d’informations et des exemples, consultez [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point.html) dans la *Référence des commandes de l’AWS CLI *.
## Utilisation de l'API REST
Vous pouvez utiliser l’API REST pour afficher les détails de votre point d’accès. Pour plus d’informations, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html) dans la *Référence d’API Amazon Simple Storage Service*.
# Utilisation des points d’accès Amazon S3 de compartiments à usage général
Les exemples suivants montrent comment utiliser des points d’accès de compartiments à usage général avec des opérations compatibles dans Amazon S3.
**Note**
S3 génère automatiquement des alias pour tous les points d’accès. Ces alias peuvent être utilisés partout où un nom de compartiment est utilisé pour effectuer des opérations au niveau des objets. Pour de plus amples informations, veuillez consulter [Alias de point d'accès](access-points-naming.md#access-points-alias).
Vous ne pouvez utiliser que des points d’accès de compartiments à usage général pour effectuer des opérations sur des objets. Vous ne pouvez pas utiliser les points d’accès pour effectuer d’autres opérations Amazon S3, telles que la modification ou la suppression de compartiments. Pour obtenir la liste complète des opérations S3 qui prennent en charge les points d’accès, consultez [Compatibilité des points d’accès](access-points-service-api-support.md).
**Topics**
+ [
# Liste des objets via un point d’accès de compartiments de répertoires à usage général
](list-object-ap.md)
+ [
# Téléchargement d’un objet via un point d’accès de compartiments de répertoires à usage général
](get-object-ap.md)
+ [
# Configurer des listes de contrôle d'accès (ACLs) via un point d'accès pour un bucket à usage général
](put-acl-permissions-ap.md)
+ [
# Chargement d’un objet via un point d’accès de compartiments de répertoires à usage général
](put-object-ap.md)
+ [
# Ajout d’un ensemble de balises via un point d’accès de compartiments de répertoires à usage général
](add-tag-set-ap.md)
+ [
# Suppression d’un objet via un point d’accès de compartiments de répertoires à usage général
](delete-object-ap.md)
# Liste des objets via un point d’accès de compartiments de répertoires à usage général
Cette section explique comment répertorier vos objets via un point d'accès pour un bucket à usage général à l'aide de l'API AWS Management Console AWS Command Line Interface, ou REST.
## Utilisation de la console S3
**Pour répertorier vos objets via un point d'accès dans votre Compte AWS**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans la barre de navigation en haut de la page, choisissez le nom du fichier actuellement affiché Région AWS. Choisissez ensuite la région pour laquelle vous souhaitez afficher la liste des points d’accès.
1. Dans le volet de navigation de gauche de la console, choisissez **Points d’accès**.
1. (Facultatif) Recherchez les points d’accès par leur nom. Seuls les points d'accès que vous avez sélectionnés Région AWS apparaîtront ici.
1. Choisissez le nom du point d’accès que vous souhaitez gérer ou utiliser.
1. Sous l’onglet **Objets**, vous pouvez voir le nom des objets auxquels vous souhaitez accéder via le point d’accès. Lorsque vous utilisez le point d’accès, vous ne pouvez effectuer que les opérations d’objet permises par les autorisations du point d’accès.
**Note**
La vue de la console affiche toujours tous les objets du compartiment. L’utilisation d’un point d’accès comme cette procédure le décrit limite les opérations que vous pouvez effectuer sur ces objets, mais pas si vous pouvez voir qu’ils existent dans le compartiment.
Le AWS Management Console ne prend pas en charge l'utilisation de points d'accès au cloud privé virtuel (VPC) pour accéder aux ressources du bucket. Pour accéder aux ressources du bucket depuis un point d'accès VPC, utilisez le REST AWS CLI AWS SDKs, ou Amazon S3. APIs
## À l'aide du AWS CLI
L'`list-objects-v2`exemple de commande suivant montre comment vous pouvez utiliser le AWS CLI pour répertorier votre objet via un point d'accès.
La commande suivante répertorie les objets permettant d' Compte AWS *111122223333*utiliser le point d'accès*my-access-point*.
```
aws s3api list-objects-v2 --bucket arn:aws:s3:Région AWS:111122223333:accesspoint/my-access-point
```
**Note**
S3 génère automatiquement des alias pour tous les points d’accès. Ces alias peuvent être utilisés partout où un nom de compartiment est utilisé pour effectuer des opérations au niveau des objets. Pour de plus amples informations, veuillez consulter [Alias de point d'accès](access-points-naming.md#access-points-alias).
Pour plus d’informations et des exemples, consultez [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-objects-v2.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-objects-v2.html) dans la *Référence des commandes de l’AWS CLI *.
## Utilisation de l'API REST
Vous pouvez utiliser l’API REST pour répertorier vos points d’accès. Pour plus d’informations, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) dans la *Référence d’API Amazon Simple Storage Service*.
# Téléchargement d’un objet via un point d’accès de compartiments de répertoires à usage général
Cette section explique comment télécharger un objet via un point d'accès pour un bucket à usage général à l'aide de l'API AWS Management Console AWS Command Line Interface, ou REST.
## Utilisation de la console S3
**Pour télécharger un objet via un point d'accès dans votre Compte AWS**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans la barre de navigation en haut de la page, choisissez le nom du fichier actuellement affiché Région AWS. Choisissez ensuite la région pour laquelle vous souhaitez afficher la liste des points d’accès.
1. Dans le volet de navigation de gauche de la console, choisissez **Points d’accès**.
1. (Facultatif) Recherchez les points d’accès par leur nom. Seuls les points d'accès que vous avez sélectionnés Région AWS apparaîtront ici.
1. Choisissez le nom du point d’accès que vous souhaitez gérer ou utiliser.
1. Dans l’onglet **Objets**, sélectionnez le nom de l’objet que vous souhaitez télécharger.
1. Choisissez **Téléchargement**.
## À l'aide du AWS CLI
L'`get-object`exemple de commande suivant montre comment vous pouvez utiliser le AWS CLI pour télécharger un objet via un point d'accès.
La commande suivante télécharge l'objet `puppy.jpg` pour Compte AWS *111122223333* utiliser le point d'accès*my-access-point*. Vous devez inclure un `outfile`, qui est le nom de fichier de l’objet téléchargé, par exemple `my_downloaded_image.jpg`.
```
aws s3api get-object --bucket arn:aws:s3:Région AWS:111122223333:accesspoint/my-access-point --key puppy.jpg my_downloaded_image.jpg
```
**Note**
S3 génère automatiquement des alias pour tous les points d’accès. Ces alias peuvent être utilisés partout où un nom de compartiment est utilisé pour effectuer des opérations au niveau des objets. Pour de plus amples informations, veuillez consulter [Alias de point d'accès](access-points-naming.md#access-points-alias).
Pour plus d’informations et des exemples, consultez [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-object.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-object.html) dans la *Référence des commandes de l’AWS CLI *.
## Utilisation de l'API REST
Vous pouvez utiliser l’API REST pour télécharger un objet via un point d’accès. Pour plus d’informations, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html) dans la *Référence d’API Amazon Simple Storage Service*.
## En utilisant le AWS SDKs
Vous pouvez utiliser le AWS SDK pour Python pour télécharger un objet via un point d'accès.
------
#### [ Python ]
Dans l'exemple suivant, le fichier nommé `hello.txt` est téléchargé pour le AWS compte à *111122223333* l'aide du point d'accès nommé*my-access-point*.
```
import boto3
s3 = boto3.client('s3')
s3.download_file('arn:aws:s3:us-east-1:111122223333:accesspoint/my-access-point', 'hello.txt', '/tmp/hello.txt')
```
------
# Configurer des listes de contrôle d'accès (ACLs) via un point d'accès pour un bucket à usage général
Cette section explique comment configurer ACLs via un point d'accès un bucket à usage général à l'aide de l'API AWS Management Console AWS Command Line Interface, ou REST. Pour plus d'informations sur ACLs, voir[Présentation de la liste de contrôle d’accès (ACL)](acl-overview.md).
## Utilisation de la console S3
**Pour configurer ACLs via un point d'accès dans votre Compte AWS**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans la barre de navigation en haut de la page, choisissez le nom du fichier actuellement affiché Région AWS. Choisissez ensuite la région pour laquelle vous souhaitez afficher la liste des points d’accès.
1. Dans le volet de navigation de gauche de la console, choisissez **Points d’accès**.
1. (Facultatif) Recherchez les points d’accès par leur nom. Seuls les points d'accès que vous avez sélectionnés Région AWS apparaîtront ici.
1. Choisissez le nom du point d’accès que vous souhaitez gérer ou utiliser.
1. Sous l’onglet **Objets**, sélectionnez le nom de l’objet pour lequel vous souhaitez configurer une liste ACL.
1. Sous l’onglet **Autorisations**, sélectionnez **Modifier** pour configurer la liste ACL de l’objet.
**Note**
Actuellement, Amazon S3 ne prend pas en charge la modification des paramètres de blocage de l’accès public d’un point d’accès après que ce point d’accès a été créé.
## À l'aide du AWS CLI
L'`put-object-acl`exemple de commande suivant montre comment vous pouvez utiliser le AWS CLI pour configurer les autorisations d'accès via un point d'accès à l'aide d'une ACL.
La commande suivante applique une ACL à un objet existant `puppy.jpg` via un point d'accès appartenant à Compte AWS *111122223333*.
```
aws s3api put-object-acl --bucket arn:aws:s3:Région AWS:111122223333:accesspoint/my-access-point --key puppy.jpg --acl private
```
**Note**
S3 génère automatiquement des alias pour tous les points d’accès. Ces alias peuvent être utilisés partout où un nom de compartiment est utilisé pour effectuer des opérations au niveau des objets. Pour de plus amples informations, veuillez consulter [Alias de point d'accès](access-points-naming.md#access-points-alias).
Pour plus d’informations et des exemples, consultez [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-acl.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-acl.html) dans la *Référence des commandes de l’AWS CLI *.
## Utilisation de l'API REST
Vous pouvez utiliser l’API REST pour configurer des autorisations d’accès via un point d’accès à l’aide d’une liste ACL. Pour plus d’informations, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html) dans la *Référence d’API Amazon Simple Storage Service*.
# Chargement d’un objet via un point d’accès de compartiments de répertoires à usage général
Cette section explique comment télécharger un objet via un point d'accès pour un bucket à usage général à l'aide de l'API AWS Management Console AWS Command Line Interface, ou REST.
## Utilisation de la console S3
**Pour télécharger un objet via un point d'accès dans votre Compte AWS**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans la barre de navigation en haut de la page, choisissez le nom du fichier actuellement affiché Région AWS. Choisissez ensuite la région pour laquelle vous souhaitez afficher la liste des points d’accès.
1. Dans le volet de navigation de gauche de la console, choisissez **Points d’accès**.
1. (Facultatif) Recherchez les points d’accès par leur nom. Seuls les points d'accès que vous avez sélectionnés Région AWS apparaîtront ici.
1. Choisissez le nom du point d’accès que vous souhaitez gérer ou utiliser.
1. Sous l’onglet **Objets**, sélectionnez **Charger**.
1. Glissez et déposez les fichiers et dossiers que vous souhaitez charger ici, ou choisissez **Ajouter des fichiers** ou **Ajouter un dossier**.
**Note**
La console Amazon S3 vous permet de charger des fichiers d’une taille maximale de 160 Go. Pour charger un fichier de plus de 160 Go, utilisez l'API REST AWS Command Line Interface (AWS CLI) ou Amazon S3. AWS SDKs
1. Pour modifier les autorisations de la liste de contrôle d’accès, choisissez **Permissions** (Autorisations).
1. Sous **Access control list (ACL)** (Liste de contrôle d’accès (ACL)), modifiez les autorisations.
Pour plus d’informations sur les autorisations d’accès aux objets, consultez [Utilisation de la console S3 pour définir des autorisations ACL pour un objet](managing-acls.md#set-object-permissions). Vous pouvez octroyer l’accès en lecture à vos objets au public (tout le monde) pour tous les fichiers que vous chargez. Cependant, nous recommandons de ne pas modifier le paramètre par défaut de l’accès public en lecture. L’octroi de l’accès en lecture public est applicable à un petit sous-ensemble de cas d’utilisation, comme lorsque des compartiments sont utilisés pour des sites web. Vous pouvez toujours modifier les autorisations de l’objet après l’avoir chargé.
1. Pour configurer d’autres propriétés supplémentaires, sélectionnez **Properties** (Propriétés).
1. Dans **Classe de stockage**, choisissez la classe de stockage des fichiers à charger.
Pour plus d'informations sur les classes de stockage, consultez [Bien comprendre et gérer les classes de stockage Amazon S3](storage-class-intro.md).
1. Pour mettre à jour les paramètres de chiffrement de vos objets, sous **Server-side encryption settings** (Paramètres de chiffrement côté serveur), procédez comme suit.
1. Choisissez **Specify an encryption key** (Spécifier une clé de chiffrement).
1. Sous **Paramètres de chiffrement**, choisissez **Utiliser les paramètres du compartiment pour le chiffrement par défaut** ou **Ignorer les paramètres du compartiment pour le chiffrement par défaut**.
1. Si vous avez choisi **Ignorer les paramètres du compartiment pour le chiffrement par défaut**, vous devez configurer les paramètres de chiffrement suivants.
+ Pour chiffrer les fichiers chargés à l’aide des clés gérées par Amazon S3, choisissez **Clé gérée par Amazon S3 (SSE-S3)**.
Pour de plus amples informations, veuillez consulter [Utilisation du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3)](UsingServerSideEncryption.md).
+ Pour chiffrer les fichiers téléchargés à l'aide des clés stockées dans AWS Key Management Service (AWS KMS), choisissez **AWS Key Management Service key (SSE-KMS**). Choisissez ensuite l’une des options suivantes pour **CléAWS KMS **:
+ Pour choisir parmi une liste de clés KMS disponibles, choisissez **Choisir parmi vos AWS KMS keys**, puis sélectionnez votre **Clé KMS** dans la liste des clés disponibles.
La clé Clé gérée par AWS (`aws/s3`) et la clé gérée par votre client apparaissent toutes deux dans cette liste. Pour plus d’informations sur les clés gérées par le client, consultez [Clés de client et clés AWS](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) dans le *Guide du développeur AWS Key Management Service *.
+ Pour saisir l'ARN de la clé KMS, choisissez **Enter AWS KMS key ARN**, puis entrez l'ARN de votre clé KMS dans le champ qui apparaît.
+ Pour créer une nouvelle clé gérée par le client dans la AWS KMS console, choisissez **Create a KMS key**.
Pour plus d'informations sur la création d'un AWS KMS key, consultez la section [Création de clés](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html) dans le *Guide du AWS Key Management Service développeur*.
**Important**
Vous ne pouvez utiliser que les clés KMS disponibles dans le même compartiment Région AWS que le bucket. La console Amazon S3 répertorie uniquement les 100 premières clés KMS dans la même région que le compartiment. Pour utiliser une clé KMS qui n’est pas répertoriée, vous devez saisir l’ARN de votre clé KMS. Si vous souhaitez utiliser une clé KMS qui appartient à un autre compte, vous devez d'abord avoir l'autorisation d'utiliser cette clé KMS, puis saisir l'ARN de la clé KMS.
Amazon S3 prend uniquement en charge les clés KMS symétriques de chiffrement et ne prend pas en charge les clés KMS asymétriques. Pour plus d'informations, consultez la section [Identifying symmetric and asymmetric KMS keys](https://docs.aws.amazon.com//kms/latest/developerguide/find-symm-asymm.html) (Identification des clés KMS symétriques et asymétriques) dans le *Guide du développeur AWS Key Management Service *.
1. Pour utiliser des sommes de contrôle supplémentaires, sélectionnez **Activé**. Ensuite, pour le champ **Checksum function** (Fonction total de contrôle), sélectionnez la fonction que vous souhaitez utiliser. Amazon S3 calcule et stocke la valeur du total de contrôle après avoir reçu l’objet entier. Vous pouvez utiliser la case **Precalculated value** (Valeur précalculée) pour fournir une valeur précalculée. Si vous le faites, Amazon S3 compare la valeur que vous avez fournie à la valeur qu’il calcule. Si les deux valeurs ne correspondent pas, Amazon S3 génère une erreur.
Les totaux de contrôle supplémentaires vous permettent de spécifier l’algorithme de total de contrôle que vous souhaitez utiliser pour vérifier vos données. Pour plus d’informations sur les totaux de contrôle supplémentaires, consultez [Vérification de l’intégrité des objets dans Amazon S3](checking-object-integrity.md).
1. Pour ajouter des balises à tous les objets que vous chargez, choisissez **Add tag (Ajouter une balise)**. Saisissez un nom de balise dans le champ **Clé**. Saisissez une valeur pour la balise.
Le balisage des objets vous permet de classer le stockage par catégorie. Chaque balise est une paire clés-valeurs. Les valeurs de clés et de balises sont sensibles à la casse. Vous pouvez avoir jusqu’à 10 balises par objet. Une clé de balise peut comporter jusqu’à 128 caractères Unicode et les valeurs de balise peuvent comporter jusqu’à 255 caractères Unicode. Pour en savoir plus sur les balises d’objet, consultez [Catégorisation de vos objets à l’aide de balises](object-tagging.md).
1. Pour ajouter des métadonnées, choisissez **Add metadata** (Ajouter des métadonnées).
1. Sous **Type**, choisissez **System defined** (Défini par le système) ou **User defined** (Défini par l’utilisateur).
Pour les métadonnées définies par le système, vous pouvez sélectionner des en-têtes HTTP courants, tels que **Content-Type** et **Content-Disposition**. Pour obtenir la liste des métadonnées définies par le système et savoir si vous pouvez ajouter la valeur, consultez [Métadonnées d’objet définies par le système](UsingMetadata.md#SysMetadata). Toute métadonnée commençant par le préfixe `x-amz-meta-` est traitée comme une métadonnée définie par l’utilisateur. Les métadonnées définies par l’utilisateur sont stockées avec l’objet et renvoyées une fois que vous avez téléchargé l’objet. Les clés et leurs valeurs doivent respecter les normes US-ASCII. Les métadonnées définies par l’utilisateur peuvent atteindre 2 Ko. Pour plus d’informations sur les métadonnées définies par le système et par l’utilisateur, consultez [Utilisation des métadonnées d’objet](UsingMetadata.md).
1. Pour **Key** (Clé), choisissez une clé.
1. Saisissez une valeur pour la clé.
1. Pour charger vos objets, choisissez **Charger**.
Amazon S3 charge votre objet. Lorsque le chargement est terminé, un message de succès s’affiche sur la page **Load: status** (Charger : statut).
## À l'aide du AWS CLI
L'`put-object`exemple de commande suivant montre comment vous pouvez utiliser le AWS CLI pour télécharger un objet via un point d'accès.
La commande suivante télécharge l'objet `puppy.jpg` pour Compte AWS *111122223333* utiliser le point *my-access-point* d'accès.
```
aws s3api put-object --bucket arn:aws:s3:Région AWS:111122223333:accesspoint/my-access-point --key puppy.jpg --body puppy.jpg
```
**Note**
S3 génère automatiquement des alias pour tous les points d’accès. Ces alias peuvent être utilisés partout où un nom de compartiment est utilisé pour effectuer des opérations au niveau de l’objet. Pour de plus amples informations, veuillez consulter [Alias de point d'accès](access-points-naming.md#access-points-alias).
Pour plus d’informations et des exemples, consultez [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object.html) dans la *Référence des commandes de l’AWS CLI *.
## Utilisation de l'API REST
Vous pouvez utiliser l’API REST pour charger un objet via un point d’accès. Pour plus d’informations, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html) dans la *Référence d’API Amazon Simple Storage Service*.
## En utilisant le AWS SDKs
Vous pouvez utiliser le AWS SDK pour Python pour télécharger un objet via un point d'accès.
------
#### [ Python ]
Dans l'exemple suivant, le fichier nommé `hello.txt` est chargé pour le AWS compte à *111122223333* l'aide du point d'accès nommé*my-access-point*.
```
import boto3
s3 = boto3.client('s3')
s3.upload_file('/tmp/hello.txt', 'arn:aws:s3:us-east-1:111122223333:accesspoint/my-access-point', 'hello.txt')
```
------
# Ajout d’un ensemble de balises via un point d’accès de compartiments de répertoires à usage général
Cette section explique comment ajouter un ensemble de balises via un point d'accès pour un bucket à usage général à l'aide de l'API AWS Management Console AWS Command Line Interface, ou REST. Pour de plus amples informations, veuillez consulter [Catégorisation de vos objets à l’aide de balises](object-tagging.md).
## Utilisation de la console S3
**Pour ajouter un ensemble de balises via un point d'accès dans votre Compte AWS**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans la barre de navigation en haut de la page, choisissez le nom du fichier actuellement affiché Région AWS. Choisissez ensuite la région pour laquelle vous souhaitez afficher la liste des points d’accès.
1. Dans le volet de navigation de gauche de la console, choisissez **Points d’accès**.
1. (Facultatif) Recherchez les points d’accès par leur nom. Seuls les points d'accès que vous avez sélectionnés Région AWS apparaîtront ici.
1. Choisissez le nom du point d’accès que vous souhaitez gérer ou utiliser.
1. Sous l’onglet **Objets**, sélectionnez le nom de l’objet auquel vous souhaitez ajouter un ensemble de balises.
1. Sous l’onglet **Propriétés**, recherchez le sous-en-tête **Balises** et choisissez **Modifier**.
1. Passez en revue les objets répertoriés et choisissez **Ajouter une balise**.
1. Chaque balise d’objet est une paire clé-valeur. Saisissez une **Key (Clé)** et une **Value (Valeur)**. Choisissez **Add Tag (Ajouter une balise)** pour ajouter une autre balise.
Vous pouvez entrer jusqu’à 10 balises pour un objet.
1. Sélectionnez **Enregistrer les modifications**.
## À l'aide du AWS CLI
L'`put-object-tagging`exemple de commande suivant montre comment vous pouvez utiliser le AWS CLI pour ajouter un ensemble de balises via un point d'accès.
La commande suivante ajoute un ensemble de balises pour un objet existant `puppy.jpg` utilisant un point d'accès. *my-access-point*
```
aws s3api put-object-tagging --bucket arn:aws:s3:Région AWS:111122223333:accesspoint/my-access-point --key puppy.jpg --tagging TagSet=[{Key="animal",Value="true"}]
```
**Note**
S3 génère automatiquement des alias pour tous les points d’accès. Ces alias peuvent être utilisés partout où un nom de compartiment est utilisé pour effectuer des opérations au niveau de l’objet. Pour de plus amples informations, veuillez consulter [Alias de point d'accès](access-points-naming.md#access-points-alias).
Pour plus d’informations et des exemples, consultez [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-tagging.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-tagging.html) dans la *Référence des commandes de l’AWS CLI *.
## Utilisation de l'API REST
Vous pouvez utiliser l’API REST pour ajouter un ensemble de balises à un objet via un point d’accès. Pour plus d’informations, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html) dans la *Référence d’API Amazon Simple Storage Service*.
# Suppression d’un objet via un point d’accès de compartiments de répertoires à usage général
Cette section explique comment supprimer un objet via un point d'accès pour un bucket à usage général à l'aide de l'API AWS Management Console AWS Command Line Interface, ou REST.
## Utilisation de la console S3
**Pour supprimer un ou plusieurs objets via un point d'accès dans votre Compte AWS**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans la barre de navigation en haut de la page, choisissez le nom du fichier actuellement affiché Région AWS. Choisissez ensuite la région pour laquelle vous souhaitez afficher la liste des points d’accès.
1. Dans le volet de navigation de gauche de la console, choisissez **Points d’accès**.
1. (Facultatif) Recherchez les points d’accès par leur nom. Seuls les points d'accès que vous avez sélectionnés Région AWS apparaîtront ici.
1. Choisissez le nom du point d’accès que vous souhaitez gérer ou utiliser.
1. Dans l’onglet **Objets**, sélectionnez le nom de l’objet ou des objets que vous souhaitez supprimer.
1. Passez en revue les objets répertoriés pour la suppression, puis tapez *supprimer* dans la zone de confirmation.
1. Choisissez **Supprimer les objets**.
## À l'aide du AWS CLI
L'`delete-object`exemple de commande suivant montre comment vous pouvez utiliser le AWS CLI pour supprimer un objet via un point d'accès.
La commande suivante supprime l'objet existant à l'`puppy.jpg`aide du point *my-access-point* d'accès.
```
aws s3api delete-object --bucket arn:aws:s3:Région AWS:111122223333:accesspoint/my-access-point --key puppy.jpg
```
**Note**
S3 génère automatiquement des alias pour tous les points d’accès. Ces alias peuvent être utilisés partout où un nom de compartiment est utilisé pour effectuer des opérations au niveau de l’objet. Pour de plus amples informations, veuillez consulter [Alias de point d'accès](access-points-naming.md#access-points-alias).
Pour plus d’informations et des exemples, consultez [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-object.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-object.html) dans la *Référence des commandes de l’AWS CLI *.
## Utilisation de l'API REST
Vous pouvez utiliser l’API REST pour supprimer un objet via un point d’accès. Pour plus d’informations, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html) dans la *Référence d’API Amazon Simple Storage Service*.
# Utilisation de balises avec des points d’accès S3 de compartiments à usage général
Une AWS balise est une paire clé-valeur qui contient des métadonnées sur les ressources, en l'occurrence les points d'accès Amazon S3. Vous pouvez baliser les points d’accès lorsque vous les créez ou gérer les balises de points d’accès existants. Pour plus d’informations sur les balises, consultez [Balisage pour la répartition des coûts ou le contrôle d’accès par attributs (ABAC)](tagging.md).
**Note**
L’utilisation de balises sur les points d’accès n’occasionne aucun coût supplémentaire, en dehors des tarifs standard des demandes d’API S3. Pour plus d’informations, consultez [Tarification Amazon S3](https://aws.amazon.com/s3/pricing/).
## Méthodes courantes d’utilisation de balises avec des points d’accès
Le contrôle d’accès par attributs (ABAC) vous permet de mettre à l’échelle les autorisations d’accès et d’autoriser l’accès à des points d’accès en fonction de leurs balises. Pour plus d’informations sur l’ABAC dans Amazon S3, consultez [Utilisation de balises pour l’ABAC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#).
### ABAC pour points d’accès S3
Les points d’accès Amazon S3 prennent désormais en charge le contrôle d’accès par attributs (ABAC) à l’aide de balises. Utilisez des clés de condition basées sur des balises dans vos politiques AWS d'organisation, d'IAM et de points d'accès. Pour les entreprises, l'ABAC d'Amazon S3 prend en charge l'autorisation sur plusieurs AWS comptes.
Dans vos politiques IAM, vous pouvez contrôler l’accès aux points d’accès en fonction des balises des points d’accès à l’aide des [clés de condition globale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys) suivantes :
+ `aws:ResourceTag/key-name`
**Important**
La clé de condition `aws:ResourceTag` ne peut être utilisée que pour les actions S3 effectuées via l’ARN d’un point d’accès de compartiments à usage général, et couvre uniquement les balises de point d’accès sous-jacentes.
+ Utilisez cette clé pour comparer la paire valeur clé d'étiquette que vous spécifiez dans la politique avec la paire valeur clé attachée à la ressource. Par exemple, vous pouvez exiger que l'accès à une ressource soit autorisé uniquement si la clé de balise `Dept` est attachée à la ressource avec la valeur `Marketing`. Pour plus d'informations, consultez la section [Contrôle de l'accès aux AWS ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources).
+ `aws:RequestTag/key-name`
+ Utilisez cette clé pour comparer la paire clé-valeur de balise qui a été transmise dans la demande avec la paire de balises spécifiée dans la politique. Par exemple, vous pouvez vérifier que la demande comprend la clé de balise `Dept` et qu'elle a la valeur `Accounting`. Pour plus d'informations, consultez la section [Contrôle de l'accès lors AWS des demandes](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests). Vous pouvez utiliser cette clé de condition pour restreindre les paires clé-valeur de balise pouvant être transmises pendant les opérations d’API `TagResource` et `CreateAccessPoint`.
+ `aws:TagKeys`
+ Utilisez cette clé pour comparer les clés de balise d’une demande avec celles spécifiées dans la politique. Nous vous recommandons, lorsque vous utilisez des politiques pour contrôler l'accès à l'aide de balises, d'utiliser la clé de condition `aws:TagKeys` pour définir quelles clés de balises sont autorisées. Pour des exemples de stratégies et plus d’informations, consultez [Contrôle de l’accès en fonction des clés de balise](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys). Vous pouvez créer un point d’accès avec des balises. Pour autoriser le balisage pendant l’opération d’API `CreateAccessPoint`, vous devez créer une stratégie qui inclut les actions `s3:TagResource` et `s3:CreateAccessPoint`. Vous pouvez ensuite utiliser la clé de condition `aws:TagKeys` pour imposer l’utilisation de clés de balise spécifiques dans la demande `CreateAccessPoint`.
+ `s3:AccessPointTag/tag-key`
+ Utilisez cette clé de condition pour accorder des autorisations à des données spécifiques via des points d’accès utilisant des balises. Quand vous utilisez `aws:ResourceTag/tag-key` dans le cadre d’une politique IAM, le point d’accès et le compartiment vers lequel il pointe doivent avoir la même balise, car ils sont tous deux pris en compte lors de l’autorisation. Si vous souhaitez contrôler l’accès à vos données uniquement via la balise du point d’accès, vous pouvez utiliser la clé de condition `s3:AccessPointTag/tag-key`.
### Exemples de politiques ABAC pour points d’accès
Consultez les exemples de politiques ABAC pour points d’accès Amazon S3 ci-dessous.
#### 1.1 - Politique IAM permettant de créer ou de modifier des compartiments avec des balises spécifiques
Dans cette politique IAM, les utilisateurs ou les rôles dotés de cette politique ne peuvent créer des points d’accès que s’ils les balisent avec la clé de balise `project` et la valeur de balise `Trinity` dans la demande de création du point d’accès. Ils peuvent également ajouter ou modifier des balises sur des points d’accès existants, à condition que la demande `TagResource` inclue la paire clé-valeur de balise `project:Trinity`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateAccessPointWithTags",
"Effect": "Allow",
"Action": [
"s3:CreateAccessPoint",
"s3:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/project": [
"Trinity"
]
}
}
}
]
}
```
#### 1.2 - Stratégie de point d’accès permettant de restreindre les opérations sur le point d’accès à l’aide de balises
Dans cette stratégie de point d’accès, les principaux IAM (utilisateurs et rôles) peuvent effectuer des opérations à l’aide de l’action `GetObject` sur le point d’accès uniquement si la valeur de la balise `project` du point d’accès correspond à la valeur de la balise `project` du principal.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowObjectOperations",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": "s3:GetObject",
"Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
}
}
}
]
}
```
#### 1.3 - Politique IAM permettant de modifier des balises de ressources existantes tout en maintenant la gouvernance des balises
Dans cette politique IAM, les principaux IAM (utilisateurs ou rôles) peuvent modifier les balises d’un point d’accès uniquement si la valeur de la balise `project` du point d’accès correspond à la valeur de la balise `project` du principal. Seules les quatre balises `project`, `environment`, `owner` et `cost-center` spécifiées dans les clés de condition `aws:TagKeys` sont autorisées pour ces points d’accès. Cela permet de renforcer la gouvernance des balises, d’empêcher les modifications non autorisées des balises et de garantir la cohérence du schéma de balisage sur l’ensemble de vos points d’accès.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EnforceTaggingRulesOnModification",
"Effect": "Allow",
"Action": [
"s3:TagResource"
],
"Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"project",
"environment",
"owner",
"cost-center"
]
}
}
}
]
}
```
#### 1.4 - Utilisation de la clé de AccessPointTag condition s3 :
Dans cette politique IAM, l’instruction de la condition autorise l’accès aux données du compartiment uniquement si le point d’accès possède la clé `Environment` et la valeur de balise `Production`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSpecificAccessPoint",
"Effect": "Allow",
"Action": "*",
"Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"s3:AccessPointTag/Environment": "Production"
}
}
}
]
}
```
#### 1.5 - Utilisation d’une politique de délégation de compartiments
Dans Amazon S3, vous pouvez déléguer l'accès ou le contrôle de votre politique de compartiment S3 à un autre AWS compte, à un utilisateur ou à un rôle spécifique Gestion des identités et des accès AWS (IAM) dans l'autre compte. La stratégie de délégation de compartiment accorde à cet autre compte, utilisateur ou rôle l’autorisation d’accéder à votre compartiment et à ses objets. Pour plus d’informations, consultez [Délégation d’autorisations](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-policy-language-overview.html#permission-delegation).
Si vous utilisez une stratégie de délégation de compartiment, par exemple :
```
{
"Version": "2012-10-17",
"Statement": {
"Principal": {"AWS": "*"},
"Effect": "Allow",
"Action": ["s3:*"],
"Resource":["arn:aws::s3:::amzn-s3-demo-bucket/*", "arn:aws::s3:::amzn-s3-demo-bucket"],
"Condition": {
"StringEquals" : {
"s3:DataAccessPointAccount" : "111122223333"
}
}
}
}
```
Dans la politique IAM suivante, l’instruction de la condition autorise l’accès aux données du compartiment uniquement si le point d’accès possède la clé `Environment` et la valeur de balise `Production`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSpecificAccessPoint",
"Effect": "Allow",
"Action": "*",
"Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"s3:AccessPointTag/Environment": "Production"
}
}
}
]
}
```
## Utilisation de balises pour des points d’accès de compartiments à usage général
Vous pouvez ajouter ou gérer des balises pour les points d'accès à l'aide de la console Amazon S3, de l'interface de ligne de AWS commande (CLI) ou du S3 APIs : [TagResource[UntagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html)](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html), et [ListTagsForResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html). AWS SDKs Pour en savoir plus, consultez :
**Topics**
+ [
## Méthodes courantes d’utilisation de balises avec des points d’accès
](#common-ways-to-use-tags-directory-bucket)
+ [
## Utilisation de balises pour des points d’accès de compartiments à usage général
](#working-with-tags-access-points)
+ [
# Création de points d’accès avec des balises
](access-points-create-tag.md)
+ [
# Ajout d’une balise à un point d’accès
](access-points-tag-add.md)
+ [
# Affichage des balises des points d’accès
](access-points-tag-view.md)
+ [
# Suppression d’une balise d’un point d’accès
](access-points-tag-delete.md)
# Création de points d’accès avec des balises
Vous pouvez baliser vos points d’accès lorsque vous les créez. L’utilisation de balises sur les points d’accès n’occasionne aucun coût supplémentaire, en dehors des tarifs standard des demandes d’API S3. Pour plus d’informations, consultez [Tarification Amazon S3](https://docs.aws.amazon.com/s3/pricing/). Pour plus d’informations sur le balisage des points d’accès, consultez [Utilisation de balises avec des points d’accès S3 de compartiments à usage général](access-points-tagging.md).
## Permissions
Pour créer un point d’accès avec des balises, vous devez disposer des autorisations suivantes :
+ `s3:CreateBucket`
+ `s3:TagResource`
## Résolution des erreurs
Si vous rencontrez une erreur lorsque vous tentez de créer un point d’accès avec des balises :
+ Vérifiez que vous disposez des [Permissions](#access-points-create-tag-permissions) requises pour créer le point d’accès et y ajouter une balise.
+ Vérifiez votre politique utilisateur IAM pour connaître les conditions du contrôle d’accès par attributs (ABAC). Il peut vous être demandé de baliser vos points d’accès uniquement avec des clés et des valeurs de balise spécifiques. Pour de plus amples informations, veuillez consulter [Utilisation de balises pour le contrôle d’accès par attributs (ABAC)](tagging.md#using-tags-for-abac).
## Étapes
Vous pouvez créer un point d'accès avec des balises appliquées à l'aide de la console Amazon S3, du AWS Command Line Interface (AWS CLI), de l'API REST Amazon S3 et AWS SDKs.
## Utilisation de la console S3
Pour créer un point d’accès avec des balises à l’aide de la console Amazon S3 :
1. Connectez-vous à la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans le volet de navigation de gauche, choisissez **Points d’accès (compartiments à usage général)**.
1. Choisissez **Créer un point d’accès** pour créer un point d’accès.
1. Sur la page **Créer un point d’accès**, l’option **Balises** s’affiche lors de la création d’un point d’accès.
1. Nommez le point d’accès. Pour de plus amples informations, veuillez consulter [Règles de dénomination, restrictions et limitations des points d’accès](access-points-restrictions-limitations-naming-rules.md).
1. Choisissez **Ajouter une nouvelle balise** pour ouvrir l’éditeur **Balises** et saisissez une paire clé-valeur de balise. La clé de balise est obligatoire, mais la valeur est facultative.
1. Pour ajouter une autre balise, sélectionnez à nouveau **Ajouter une nouvelle balise**. Vous pouvez saisir jusqu’à 50 paires clé-valeur.
1. Après avoir spécifié les options de votre nouveau point d’accès, choisissez **Créer un point d’accès**.
## En utilisant le AWS SDKs
------
#### [ SDK for Java 2.x ]
Cet exemple montre comment créer un point d’accès avec des balises à l’aide du AWS SDK for Java 2.x. Pour utiliser la commande, remplacez les *user input placeholders* par vos propres informations.
```
CreateAccessPointRequest createAccessPointRequest = CreateAccessPointRequest.builder()
.accountId(111122223333)
.name(my-access-point)
.bucket(amzn-s3-demo-bucket)
.tags(Collections.singletonList(Tag.builder().key("key1").value("value1").build()))
.build();
awss3Control.createAccessPoint(createAccessPointRequest);
```
------
## Utilisation de l'API REST
Pour plus d’informations sur la prise en charge de l’API REST Amazon S3 pour la création d’un point d’accès avec des balises, consultez la section suivante dans la *Référence des API Amazon Simple Storage Service* :
+ [CreateAccessPoint](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html)
## À l'aide du AWS CLI
Pour installer la AWS CLI, reportez-vous à la section [Installation de la AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) dans le *guide de AWS Command Line Interface l'utilisateur*.
L'exemple de CLI suivant vous montre comment créer un point d'accès avec des balises à l'aide du AWS CLI. Pour utiliser la commande, remplacez les *user input placeholders* par vos propres informations.
**Requête :**
```
aws s3control create-access-point --name my-access-point \
--bucket amzn-s3-demo-bucket \
--account-id 111122223333 \ --profile personal \
--tags [{Key=key1,Value=value1},{Key=key2,Value=value2}] \
--region region
```
# Ajout d’une balise à un point d’accès
Vous pouvez ajouter des balises à des points d’accès Amazon S3 et modifier ces balises. L’utilisation de balises sur les points d’accès n’occasionne aucun coût supplémentaire, en dehors des tarifs standard des demandes d’API S3. Pour plus d’informations, consultez [Tarification Amazon S3](https://docs.aws.amazon.com/s3/pricing/). Pour plus d’informations sur le balisage des points d’accès, consultez [Utilisation de balises avec des points d’accès S3 de compartiments à usage général](access-points-tagging.md).
## Permissions
Pour ajouter une balise à un point d’accès, vous devez disposer de l’autorisation suivante :
+ `s3:TagResource`
## Résolution des erreurs
Si vous rencontrez une erreur lorsque vous tentez d’ajouter une balise à un point d’accès :
+ Vérifiez que vous disposez des [Permissions](#access-points-tag-add-permissions) requises pour ajouter une balise à un point d’accès.
+ Si vous avez essayé d'ajouter une clé de balise commençant par le préfixe AWS réservé`aws:`, modifiez la clé de balise et réessayez.
## Étapes
Vous pouvez ajouter des balises aux points d'accès à l'aide de la console Amazon S3, de l'interface de ligne de AWS commande (AWS CLI), de l'API REST Amazon S3 et AWS SDKs.
## Utilisation de la console S3
Pour ajouter des balises à un point d’accès à l’aide de la console Amazon S3 :
1. Connectez-vous à la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans le volet de navigation de gauche, choisissez **Points d’accès (compartiments à usage général)**.
1. Choisissez le nom du point d’accès.
1. Choisissez l’onglet **Propriétés**.
1. Faites défiler la section **Balises** et choisissez **Ajouter une balise**.
1. La page **Ajouter des balises** s’ouvre. Vous pouvez saisir jusqu’à 50 paires clé-valeur de balise.
1. Si vous ajoutez une nouvelle balise portant le même nom de clé qu’une balise existante, la valeur de la nouvelle balise remplace celle de l’ancienne balise.
1. Vous pouvez également modifier les valeurs des clés existantes sur cette page.
1. Après avoir ajouté les balises, choisissez **Enregistrer les modifications**.
## En utilisant le AWS SDKs
------
#### [ SDK for Java 2.x ]
Cet exemple montre comment ajouter des balises à un point d’accès à l’aide du AWS SDK for Java 2.x. Pour utiliser la commande, remplacez les *user input placeholders* par vos propres informations.
```
TagResourceRequest tagResourceRequest = TagResourceRequest.builder().resourceArn(arn:aws::s3:region:111122223333:accesspoint/my-access-point/*)
.accountId(111122223333)
.tags(List.of(Tag.builder().key("key1").value("value1").build(),
Tag.builder().key("key2").value("value2").build()))
.build();
awss3Control.tagResource(tagResourceRequest);
```
------
## Utilisation de l'API REST
Pour plus d’informations sur la prise en charge de l’API REST Amazon S3 pour l’ajout de balises à un point d’accès, consultez la section suivante dans la *Référence des API Amazon Simple Storage Service* :
+ [TagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html)
## À l'aide du AWS CLI
Pour installer la AWS CLI, reportez-vous à la section [Installation de la AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) dans le *guide de AWS Command Line Interface l'utilisateur*.
L’exemple d’interface de ligne de commande suivant montre comment ajouter des balises à un point d’accès à l’aide de l’ AWS CLI. Pour utiliser la commande, remplacez les *user input placeholders* par vos propres informations.
**Requête :**
```
aws s3control tag-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:111122223333:accesspoint/my-access-point/* \
--tags "Key=key1,Value=value1"
```
**Réponse :**
```
{
"ResponseMetadata": {
"RequestId": "EXAMPLE123456789",
"HTTPStatusCode": 200,
"HTTPHeaders": {
"date": "Wed, 19 Jun 2025 10:30:00 GMT",
"content-length": "0"
},
"RetryAttempts": 0
}
}
```
# Affichage des balises des points d’accès
Vous pouvez afficher ou répertorier les balises appliquées à des points d’accès. Pour en savoir plus sur les identifications, consultez [Utilisation de balises avec des points d’accès S3 de compartiments à usage général](access-points-tagging.md).
## Permissions
Pour afficher les balises appliquées à un point d’accès, vous devez disposer de l’autorisation suivante :
+ `s3:ListTagsForResource`
## Résolution des erreurs
Si vous rencontrez une erreur lorsque vous tentez de répertorier ou d’afficher les balises d’un point d’accès :
+ Vérifiez que vous disposez des [Permissions](#access-points-tag-view-permissions) requises pour afficher ou répertorier les balises du point d’accès.
## Étapes
Vous pouvez consulter les balises appliquées aux points d'accès à l'aide de la console Amazon S3, du AWS Command Line Interface (AWS CLI), de l'API REST Amazon S3 et AWS SDKs.
## Utilisation de la console S3
Pour afficher les balises appliquées à un point d’accès à l’aide de la console Amazon S3 :
1. Connectez-vous à la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans le volet de navigation de gauche, choisissez **Points d’accès (compartiments à usage général)**.
1. Choisissez le nom du point d’accès.
1. Choisissez l’onglet **Propriétés**.
1. Accédez à la section **Balises** pour afficher toutes les balises appliquées au point d’accès.
1. La section **Balises** affiche les **balises définies par l’utilisateur** par défaut. Vous pouvez sélectionner l'onglet **balises AWS générées** pour afficher les balises appliquées à votre point d'accès par les AWS services.
## En utilisant le AWS SDKs
Cette section fournit un exemple de la façon d'afficher les balises appliquées à un point d'accès à l'aide du AWS SDKs.
------
#### [ SDK for Java 2.x ]
Cet exemple montre comment afficher les balises appliquées à un point d’accès à l’aide du AWS SDK for Java 2.x.
```
ListTagsForResourceRequest listTagsForResourceRequest = ListTagsForResourceRequest
.builder().resourceArn(arn:aws::s3:region:111122223333:accesspoint/my-access-point/*)
.accountId(111122223333).build();
awss3Control.listTagsForResource(listTagsForResourceRequest);
```
------
## Utilisation de l'API REST
Pour plus d’informations sur la prise en charge de l’API REST Amazon S3 pour l’affichage des balises appliquées à un point d’accès, consultez la section suivante dans la *Référence des API Amazon Simple Storage Service* :
+ [ListTagsforResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html)
## À l'aide du AWS CLI
Pour installer la AWS CLI, reportez-vous à la section [Installation de la AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) dans le *guide de AWS Command Line Interface l'utilisateur*.
L’exemple d’interface de ligne de commande suivant montre comment afficher des balises appliquées à un point d’accès à l’aide de l’interface de ligne de commande. Pour utiliser la commande, remplacez les *user input placeholders* par vos propres informations.
**Requête :**
```
aws s3control list-tags-for-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:444455556666:bucket/prefix--use1-az4--x-s3 \
```
**Réponse : balises présentes :**
```
{
"Tags": [
{
"Key": "MyKey1",
"Value": "MyValue1"
},
{
"Key": "MyKey2",
"Value": "MyValue2"
},
{
"Key": "MyKey3",
"Value": "MyValue3"
}
]
}
```
**Réponse : aucune balise présente :**
```
{
"Tags": []
}
```
# Suppression d’une balise d’un point d’accès
Vous pouvez supprimer les balises des points d’accès Amazon S3. Une AWS balise est une paire clé-valeur qui contient des métadonnées sur les ressources, en l'occurrence les points d'accès. Pour en savoir plus sur les identifications, consultez [Utilisation de balises avec des points d’accès S3 de compartiments à usage général](access-points-tagging.md).
**Note**
Si vous supprimez une balise et apprenez par la suite qu’elle était utilisée pour suivre les coûts ou pour contrôler les accès, vous pouvez la rajouter au point d’accès.
## Permissions
Pour supprimer une balise d’un point d’accès, vous devez disposer de l’autorisation suivante :
+ `s3:UntagResource`
## Résolution des erreurs
Si vous rencontrez une erreur lorsque vous tentez de supprimer une balise d’un point d’accès :
+ Vérifiez que vous disposez des [Permissions](access-points-db-tag-delete.md#access-points-db-tag-delete-permissions) requises pour supprimer une balise d’un point d’accès.
## Étapes
Vous pouvez supprimer des balises des points d'accès à l'aide de la console Amazon S3, du AWS Command Line Interface (AWS CLI), de l'API REST Amazon S3 et AWS SDKs.
## Utilisation de la console S3
Pour supprimer des balises d’un point d’accès à l’aide de la console Amazon S3 :
1. Connectez-vous à la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans le volet de navigation de gauche, choisissez **Points d’accès (compartiments à usage général)**.
1. Choisissez le nom du point d’accès.
1. Choisissez l’onglet **Propriétés**.
1. Faites défiler la section **Balises** et cochez la case en regard de la ou des balises que vous souhaitez supprimer.
1. Sélectionnez **Delete (Supprimer)**.
1. La fenêtre contextuelle **Supprimer les balises définies par l’utilisateur** s’affiche et vous demande de confirmer la suppression de la ou des balises que vous avez sélectionnées.
1. Choisissez **Supprimer** pour confirmer.
## En utilisant le AWS SDKs
------
#### [ SDK for Java 2.x ]
Cet exemple montre comment supprimer des balises d’un point d’accès à l’aide du AWS SDK for Java 2.x. Pour utiliser la commande, remplacez les *user input placeholders* par vos propres informations.
```
UntagResourceRequest tagResourceRequest = UntagResourceRequest.builder()
.resourceArn(arn:aws::s3:region:111122223333:accesspoint/my-access-point/*)
.accountId(111122223333)
.tagKeys(List.of("key1", "key2")).build();
awss3Control.untagResource(tagResourceRequest);
```
------
## Utilisation de l'API REST
Pour plus d’informations sur la prise en charge de l’API REST Amazon S3 pour la suppression de balises d’un point d’accès, consultez la section suivante dans la *Référence des API Amazon Simple Storage Service* :
+ [UnTagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html)
## À l'aide du AWS CLI
Pour installer la AWS CLI, reportez-vous à la section [Installation de la AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) dans le *guide de AWS Command Line Interface l'utilisateur*.
L’exemple d’interface de ligne de commande suivant vous montre comment supprimer des balises d’un point d’accès à l’aide de l’ AWS CLI. Pour utiliser la commande, remplacez les *user input placeholders* par vos propres informations.
**Requête :**
```
aws s3control untag-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:444455556666:access-point/my-access-point \
--tag-keys "tagkey1" "tagkey2"
aws s3control untag-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:444455556666:accesspointmy-access-point/* \
--tag-keys "key1" "key2"
```
**Réponse :**
```
{
"ResponseMetadata": {
"RequestId": "EXAMPLE123456789",
"HTTPStatusCode": 204,
"HTTPHeaders": {
"date": "Wed, 19 Jun 2025 10:30:00 GMT",
"content-length": "0"
},
"RetryAttempts": 0
}
}
```