Politiques et autorisations dans Amazon S3 - Amazon Simple Storage Service
Délégation d'autorisationsTitularité d'objet et de compartiment

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Politiques et autorisations dans Amazon S3

Cette page fournit un aperçu des politiques relatives aux compartiments et aux utilisateurs dans Amazon S3 et décrit les éléments de base d'une politique AWS Identity and Access Management (IAM). Chaque élément répertorié renvoie vers des informations complémentaires sur cet élément et des exemples de son utilisation.

Pour obtenir la liste complète des actions, ressources et conditions d'Amazon S3, consultez la section Actions, ressources et clés de condition pour Amazon S3 dans la référence d'autorisation de service.

Une stratégie de base contient les éléments suivants :

  • Resource— Le compartiment, l'objet, le point d'accès ou la tâche Amazon S3 auxquels s'applique la politique. Utilisez le nom de ressource Amazon (ARN) du compartiment, de l'objet, du point d'accès ou de la tâche pour identifier la ressource.

    Exemple d'opérations au niveau du compartiment :

    "Resource": "arn:aws:s3:::bucket_name"

    Exemples d'opérations au niveau de l'objet :

    • "Resource": "arn:aws:s3:::bucket_name/*"pour tous les objets du compartiment.

    • "Resource": "arn:aws:s3:::bucket_name/prefix/*"pour les objets placés sous un certain préfixe dans le compartiment.

    Pour plus d’informations, consultez Ressources relatives aux politiques pour Amazon S3.

  • Actions— Pour chaque ressource, Amazon S3 prend en charge un ensemble d'opérations. Vous identifiez les opérations de ressource que vous accordez (ou refusez) en utilisant des mots clés d'action.

    Par exemple, l's3:ListBucketautorisation permet à l'utilisateur d'utiliser l'ListObjectsV2opération Amazon S3. (L's3:ListBucketautorisation est un cas où le nom de l'action ne correspond pas directement au nom de l'opération.) Pour plus d'informations sur l'utilisation des actions Amazon S3, consultez Actions politiques pour Amazon S3. Pour obtenir la liste complète des actions Amazon S3, consultez la section Actions du manuel Amazon Simple Storage Service API Reference.

  • Effect— Quel sera l'effet lorsque l'utilisateur demandera l'action spécifique ? Cela peut être l'un ou Allow l'autre. Deny

    Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez également explicitement refuser l'accès à une ressource. Vous pouvez le faire afin de vous assurer qu'un utilisateur n'y a pas accès, même si une stratégie différente accorde cet accès. Pour plus d'informations, voir Éléments IAM JSON de politique : effet dans le guide de IAM l'utilisateur.

  • Principal— Le compte ou l'utilisateur autorisé à accéder aux actions et aux ressources du relevé. Dans une stratégie de compartiment, le principal est l'utilisateur, le compte, le service ou toute autre entité destinataire de cette autorisation. Pour plus d’informations, consultez Principes relatifs aux politiques relatives aux compartiments.

  • Condition— Conditions d'entrée en vigueur d'une politique. Vous pouvez utiliser AWS des clés larges et des clés spécifiques à Amazon S3 pour spécifier les conditions d'une politique d'accès Amazon S3. Pour plus d’informations, consultez Exemples de politiques relatives aux compartiments utilisant des clés de condition.

L'exemple de politique de compartiment suivant montre les Resource éléments Effect PrincipalAction,, et. Cette politique autorise Akua un utilisateur dans le compte 123456789012 et s3:GetBucketLocation des autorisations s3:ListBucket Amazon S3 sur le amzn-s3-demo-bucket1 compartiment. s3:GetObject

{
    "Version": "2012-10-17",
    "Id": "ExamplePolicy01",
    "Statement": [
        {
            "Sid": "ExampleStatement01",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/Akua"
            },
            "Action": [
                "s3:GetObject",
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket1"
            ]
        }
    ]
}

Pour obtenir des informations complètes sur le langage des politiques, voir Politiques et autorisations IAM et références aux IAM JSON politiques dans le Guide de IAM l'utilisateur.

Délégation d'autorisations

Si une personne Compte AWS possède une ressource, elle peut accorder ces autorisations à une autre personne Compte AWS. Ce compte peut alors déléguer à ces utilisateurs, l'ensemble de ces autorisations ou un sous-ensemble de celles-ci. C'est ce que l'on appelle la délégation d'autorisation. Mais un compte qui reçoit des autorisations d'un autre compte ne peut pas déléguer des autorisations entre comptes à un autre Compte AWS.

Propriété du compartiment et de l'objet Amazon S3

Les compartiments et les objets sont des ressources Amazon S3. Par défaut, seul le propriétaire de ressource peut accéder à ces ressources. Le propriétaire de la ressource fait référence à Compte AWS celui qui crée la ressource. Par exemple :

  • Celui Compte AWS que vous utilisez pour créer des buckets et télécharger des objets possède ces ressources.

  • Si vous chargez un objet à l'aide des informations d'identification d'utilisateur ou de rôle AWS Identity and Access Management (IAM), l' Compte AWS utilisateur ou le rôle auquel appartient l'utilisateur ou le rôle possède l'objet.

  • Un propriétaire de compartiment peut accorder à un autre Compte AWS (ou à des utilisateurs d'un autre compte) des autorisations inter-comptes pour charger des objets. Dans ce cas, le Compte AWS qui charge les objets est propriétaire de ceux-ci. Le propriétaire du bucket ne dispose pas d'autorisations sur les objets appartenant aux autres comptes, avec les exceptions suivantes :

    • Le propriétaire du compartiment paie les factures. Le propriétaire du compartiment peut refuser l'accès aux objets ou supprimer des objets dans le compartiment, quel que soit le propriétaire de ces derniers.

    • Le propriétaire du compartiment peut archiver n'importe quel objet ou restaurer des objets archivés, quel que soit le propriétaire de ces derniers. L'archivage fait référence à la classe de stockage utilisée pour stocker les objets. Pour plus d’informations, consultez Gestion du cycle de vie de votre stockage.

Titularité et authentification de demande

Toutes les demandes à un compartiment sont soit authentifiées ou non authentifiées. Les demandes authentifiées doivent inclure une valeur de signature qui authentifie l'expéditeur de la demande, alors que les demandes non authentifiées. Pour plus d'informations sur l'authentification des demandes, veuillez consulter Demandes.

Un propriétaire de compartiment peut choisir d'autoriser les demandes non authentifiées. Par exemple, les PutObjectdemandes non authentifiées sont autorisées lorsqu'un bucket dispose d'une politique de bucket public, ou lorsqu'un bucket ACL accorde un FULL_CONTROL accès au All Users groupe WRITE ou à l'utilisateur anonyme en particulier. Pour plus d'informations sur les politiques relatives aux compartiments publics et les listes de contrôle d'accès public (ACLs), consultezLa signification du mot « public ».

Toutes les demandes non authentifiées sont faites par l'utilisateur anonyme. Cet utilisateur est représenté ACLs par l'ID 65a011a29cdf8ec533ec3d1ccaae921c utilisateur canonique spécifique. Si un objet est chargé sur un compartiment via une demande non authentifiée, l'utilisateur anonyme est propriétaire de l'objet. L'objet par défaut est ACL accordé FULL_CONTROL à l'utilisateur anonyme en tant que propriétaire de l'objet. Amazon S3 autorise donc les demandes non authentifiées visant à récupérer l'objet ou à le modifier. ACL

Pour empêcher les objets d'être modifiés par l'utilisateur anonyme, nous vous recommandons de ne pas mettre en œuvre de politiques de bucket qui autorisent les écritures publiques anonymes dans votre bucket ou d'utiliser des politiques ACLs permettant à l'utilisateur anonyme d'accéder en écriture à votre bucket. Vous pouvez faire appliquer ce comportement recommandé à l'aide du blocage de l'accès public Amazon S3.

Pour en savoir plus sur le blocage de l'accès public, consultez Blocage de l'accès public à votre stockage Amazon S3. Pour plus d'informations sur ACLs, consultez Vue d'ensemble de la liste de contrôle d'accès (ACL).

Important

Nous vous recommandons de ne pas utiliser les informations d'identification de l'utilisateur Compte AWS root pour effectuer des demandes authentifiées. Créez plutôt un IAM rôle et accordez-lui un accès complet. Nous appelons les utilisateurs possédant ce rôle des administrateurs. Vous pouvez utiliser les informations d'identification attribuées au rôle d'administrateur, au lieu des informations d'identification de l'utilisateur Compte AWS root, pour interagir avec AWS et effectuer des tâches, telles que créer un bucket, créer des utilisateurs et accorder des autorisations. Pour plus d'informations, consultez les AWS informations d'identification de sécurité et les meilleures pratiques de sécurité IAM dans le guide de IAM l'utilisateur.