Utilisation des stratégies de compartiment - Amazon Simple Storage Service

Utilisation des stratégies de compartiment

Vous pouvez créer et configurer des stratégies de compartiment pour accorder l'autorisation à vos ressources Amazon S3.

Une stratégie de compartiment est une stratégie basée sur les ressources que vous pouvez utiliser pour accorder des autorisations d'accès à votre compartiment et aux objets qu'il contient. Seul le propriétaire du compartiment peut associer une stratégie à un compartiment. Les autorisations attachées au compartiment s'appliquent à tous les objets du compartiment appartenant au compte propriétaire du compartiment. Ces autorisations ne s'appliquent pas aux objets appartenant à d'autres Comptes AWS.

Par défaut, lorsqu'un autre Compte AWS charge un objet dans votre compartiment S3, ce compte (le rédacteur d'objet) est propriétaire de l'objet, y a accès et peut en accorder l'accès à d'autres utilisateurs via des listes de contrôle d'accès (ACL). Vous pouvez utiliser Object Ownership afin de modifier ce comportement par défaut, pour que les ACL soient désactivées et que vous, en tant que propriétaire du compartiment, possédiez automatiquement tous les objets de votre compartiment. Par conséquent, le contrôle d'accès à vos données est basé sur des stratégies, telles que les stratégies IAM, les stratégies de compartiment S3, les stratégies de point de terminaison de cloud privé virtuel (VPC) et les politiques de contrôle des services (SCP) AWS Organizations. Pour plus d'informations, consultez Consultez Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment.

Les stratégies de compartiment utilisent le langage d'access policy basé sur JSON. Vous pouvez utiliser des stratégies de compartiment pour ajouter ou refuser des autorisations pour les objets d'un compartiment. Les stratégies de compartiment autorisent ou rejettent les demandes basées sur les éléments de la stratégie, y compris le demandeur, les actions S3, les ressources et les aspects ou conditions de la demande (par exemple, l'adresse IP utilisée pour effectuer la demande). Par exemple, vous pouvez créer une stratégie de compartiment qui accorde des autorisations entre comptes pour charger des objets vers un compartiment S3 tout en veillant à ce que le propriétaire du compartiment ait le contrôle total des objets téléchargés. Pour plus d'informations, consultez Exemples de stratégie de compartiment.

Dans votre stratégie de compartiment, vous pouvez utiliser des caractères génériques sur des Amazon Resource Names (ARN) et d'autres valeurs pour accorder des autorisations à un sous-ensemble d'objets. Par exemple, vous pouvez contrôler l'accès aux groupes d'objets qui commencent par un préfixecourant ou se terminent par une extension donnée, comme .html.

Les rubriques de cette section fournissent des exemples et indiquent comment ajouter une stratégie de compartiment dans la console S3. Pour plus d'informations sur les stratégies d'utilisateur IAM, veuillez consulter Utilisation des stratégies d'utilisateur IAM. Pour en savoir plus sur le langage des stratégies de compartiment, consultez la section Stratégies et autorisations dans Amazon S3

Important

Les stratégies de compartiment sont limitées à une taille de 20 Ko.