Exemple 3 : propriétaire d'un compartiment accordant des autorisations sur des objets qu'il ne possède pas - Amazon Simple Storage Service
Étape 0 : Préparez-vous à suivre la procédureÉtape 1 : Tâches du compte AÉtape 2 : Tâches du compte BÉtape 3 : Tester les autorisations Étape 4 : Nettoyer

Exemple 3 : propriétaire d'un compartiment accordant des autorisations sur des objets qu'il ne possède pas

Important

Il est préférable d'accorder des autorisations à des rôles IAM plutôt qu'à des utilisateurs individuels. Pour savoir comment procéder, veuillez consulter Informations générales : autorisations entre comptes et utilisation de rôles IAM.

Le scénario de cet exemple met en scène un propriétaire de compartiment qui souhaite accorder l'autorisation d'accès à des objets, alors que tous les objets du compartiment ne lui appartiennent pas. Pour cet exemple, le propriétaire du compartiment essaie d'accorder une autorisation à des utilisateurs de son propre compte.

Un propriétaire de compartiment peut autoriser d'autres Comptes AWS à charger des objets. Par défaut, le propriétaire du compartiment ne possède pas d'objet écrit dans un compartiment par un autre Compte AWS. Les objets sont la propriété des comptes qui les écrivent dans un compartiment S3. Si le propriétaire du compartiment ne possède pas les objets dans le compartiment, le propriétaire de l'objet doit d'abord accorder l'autorisation au propriétaire du compartiment à l'aide d'une ACL d'objets. Le propriétaire du compartiment peut ensuite accorder des autorisations à un objet dont il n'est pas propriétaire. Pour plus d'informations, consultez Propriété du compartiment et de l'objet Amazon S3.

Si le propriétaire du compartiment applique le paramètre appliqué par le propriétaire du compartiment pour la propriété de l'objet S3 pour le compartiment, le propriétaire du compartiment possèdera tous les objets du compartiment, y compris les objets écrits par un autre Compte AWS. Cela résoudra le problème selon lequel les objets ne sont pas détenus par le propriétaire du compartiment. Vous pouvez ensuite déléguer des autorisations à des utilisateurs de votre propre compte ou à d'autres Comptes AWS.

Note

Par défaut, lorsqu'un autre Compte AWS télécharge un objet dans votre compartiment S3, ce compte (le rédacteur d'objet) est propriétaire de l'objet, y a accès et peut en accorder l'accès à d'autres utilisateurs via des ACL. Vous pouvez utiliser Object Ownership afin de modifier ce comportement par défaut, pour que les ACL soient désactivées et que vous, en tant que propriétaire du compartiment, possédiez automatiquement tous les objets de votre compartiment. Par conséquent, le contrôle d'accès à vos données est basé sur des stratégies, telles que les stratégies IAM, les stratégies de compartiment S3, les stratégies de point de terminaison de cloud privé virtuel (VPC) et les politiques de contrôle des services (SCP) AWS Organizations.

La majorité des cas d'utilisation modernes dans Amazon S3 ne nécessitent plus l'utilisation des listes ACL ; nous vous recommandons de désactiver les listes ACL, sauf dans des circonstances inhabituelles où vous devez contrôler l'accès de chaque objet individuellement. Avec Object Ownership, vous pouvez désactiver les listes ACL et vous fier aux stratégies pour le contrôle des accès. Lorsque vous désactivez les listes ACL, vous pouvez facilement gérer un compartiment avec des objets téléchargés par différents Comptes AWS. En tant que propriétaire du compartiment, vous êtes propriétaire de tous les objets du compartiment et pouvez gérer l'accès à ces derniers au moyen de stratégies. Pour de plus amples informations, veuillez consulter Consultez Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment.

Dans cet exemple, nous supposons que le propriétaire du compartiment n'a pas appliqué le paramètre appliqué par le propriétaire du compartiment pour la propriété de l'objet. Le propriétaire du compartiment délègue l'autorisation aux utilisateurs figurant dans son propre compte. Les étapes suivantes résument la procédure à suivre :

  1. L'utilisateur administrateur du compte A attache une stratégie de compartiment contenant deux instructions.

    • Accorder une autorisation entre comptes au compte B pour charger des objets.

    • Autoriser un utilisateur dans son propre compte à accéder aux objets figurant dans le compartiment.

  2. L'utilisateur administrateur du compte B charge des objets dans le compartiment appartenant au compte A.

  3. L'administrateur du compte B met à jour la liste ACL d'objets en ajoutant une affectation qui donne au propriétaire du compartiment l'autorisation de contrôle total sur l'objet.

  4. L'utilisateur figurant dans le compte A vérifie cela en accédant aux objets du compartiment, quel que soit leur propriétaire.

Pour cet exemple, vous avez besoin de deux comptes. Le tableau ci-dessous montre comment nous faisons référence à ces comptes et aux utilisateurs administrateurs dans ces comptes. Dans cette démonstration, vous n'utiliserez pas les autorisations d'utilisateur root du compte, conformément aux directives IAM recommandées. Pour de plus amples informations, veuillez consulter Utilisation d'un utilisateur administrateur pour créer des ressources et accorder des autorisations. À la place, vous allez créer un administrateur dans chaque compte et utiliser ces autorisations pour créer des ressources et leur accorder des autorisations.

ID Compte AWS Compte désigné comme Administrateur du compte

1111-1111-1111

Compte A

AccountAadmin

2222-2222-2222

Compte B

AccountBadmin

Toutes les tâches de création d'utilisateurs et d'octroi d'autorisations sont effectuées dans la AWS Management Console. Pour vérifier les autorisations, la procédure utilise les outils de ligne de commande, AWS Command Line Interface (AWS CLI) et AWS Tools for Windows PowerShell, pour que vous n'ayez pas à écrire de code.

Étape 0 : Préparez-vous à suivre la procédure

  1. Vous devez posséder deux Comptes AWS, chacun doté d'un seul administrateur, comme indiqué dans le tableau de la section précédente.

    1. Connectez-vous à un Compte AWS, le cas échéant.

    2. Utilisez les autorisations du compte A pour vous connecter à la IAM console (Console IAM) et procédez comme suit pour créer un utilisateur administrateur :

      • Créez l'utilisateur AccountAadmin et notez les autorisations de sécurité. Pour plus d'informations sur l'ajout d'utilisateurs, consultez la section Création d'un utilisateur IAM dans votre Compte AWS du Guide de l'utilisateur IAM.

      • Accordez des autorisations d'administrateur à AccountAadmin en attachant une stratégie d'utilisateur donnant l'accès total. Pour obtenir des instructions, veuillez consulter la section Gestion des stratégies IAM dans le Guide de l'utilisateur IAM.

      • Dans le tableau de bord de la console IAM, notez l'URL de connexion d'utilisateur IAM. Les utilisateurs figurant dans ce compte doivent utiliser cette URL pour se connecter à la AWS Management Console. Pour de plus amples informations, veuillez consulter Comment les utilisateurs se connectent à votre compte dans le Guide de l'utilisateur IAM.

    3. Répétez l'étape précédente en utilisant les autorisations du compte B et créez l'utilisateur administrateur AccountBadmin.

  2. Configurez AWS CLI ou Tools for Windows PowerShell. Veillez à enregistrer les autorisations de l'administrateur comme suit :

    • Si vous utilisez AWS CLI, créez deux profils, AccountAadmin et AccountBadmin, dans le fichier de configuration.

    • Si vous utilisez Tools for Windows PowerShell, assurez-vous de stocker les autorisations pour la session en tant que AccountAadmin et AccountBadmin.

    Pour obtenir des instructions, consultez Installation des outils pour les procédures d'exemples.

Étape 1 : Tâches du compte A

Effectuez les opérations suivantes pour le compte A :

Étape 1.1 : Se connecter à la console

Grâce à l'URL de connexion d'utilisateur IAM du compte A, connectez-vous à la AWS Management Console en tant qu'utilisateur AccountAadmin. Cet utilisateur créera un compartiment et y attachera une stratégie.

Étape 1.2 : Créer un compartiment et un utilisateur, puis ajouter une stratégie de compartiment accordant des autorisations à l'utilisateur

  1. Dans la console Amazon S3, créez un compartiment. Cet exercice suppose que le compartiment est créé dans la Région USA Est (Virginie du Nord) et que son nom est DOC-EXAMPLE-BUCKET1.

    Pour obtenir des instructions, consultez Créer un compartiment.

  2. Dans la console IAM, créez un utilisateur nommé Dave.

    Pour obtenir des instructions, veuillez consulter la section Création d'utilisateurs IAM (console) du Guide de l'utilisateur IAM

  3. Notez les autorisations de Dave.

  4. Dans la console Amazon S3, attachez la stratégie de compartiment suivante au compartiment DOC-EXAMPLE-BUCKET1. Pour obtenir des instructions, consultez Ajout d'une stratégie de compartiment à l'aide de la console Amazon S3. Suivez les étapes pour ajouter une stratégie de compartiment. Pour des informations sur la manière de trouver des ID de compte, consultez la section Identification de votre ID de Compte AWS.

    Cette stratégie accorde au compte B les autorisations s3:PutObject et s3:ListBucket. Cette stratégie accorde également à l'utilisateur Dave l'autorisation s3:GetObject. 

    {
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Statement1",
         "Effect": "Allow",
         "Principal": {
            "AWS": "arn:aws:iam::AccountB-ID:root"
         },
         "Action": [
            "s3:PutObject",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*",
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET1"
         ]
      },
      {
         "Sid": "Statement3",
         "Effect": "Allow",
         "Principal": {
            "AWS": "arn:aws:iam::AccountA-ID:user/Dave"
         },
         "Action": [
            "s3:GetObject"
         ],
         "Resource": [
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*"
         ]
      }  
   ]
}

Étape 2 : Tâches du compte B

Maintenant que le compte B est autorisé à effectuer des opérations sur le compartiment du compte A, l'administrateur du compte B procède comme suit :

  • Il charge un objet vers le compartiment du compte A.

  • Il ajoute une affectation dans la liste ACL d'objets pour accorder le contrôle total au propriétaire du compartiment du compte A.

Utilisation de l AWS CLI

  1. A l'aide de la commande CLI put-object, chargez un objet. Le paramètre --body de la commande identifie le fichier source à charger. Par exemple, si le fichier figure sur le lecteur C: d'un ordinateur Windows, vous devez spécifier c:\HappyFace.jpg. Le paramètre --key fournit le nom de clé de l'objet. 

    aws s3api put-object --bucket DOC-EXAMPLE-BUCKET1 --key HappyFace.jpg --body HappyFace.jpg --profile AccountBadmin

  2. Ajoutez une affectation dans la liste ACL d'objets pour accorder au propriétaire du compartiment le contrôle total de l'objet. Pour plus d'informations sur la recherche d'un ID d'utilisateur canonique, consultez la section Identification de l'ID d'utilisateur canonique de votre Compte AWS.

    aws s3api put-object-acl --bucket DOC-EXAMPLE-BUCKET1 --key HappyFace.jpg --grant-full-control id="AccountA-CanonicalUserID" --profile AccountBadmin
Utilisation de Tools for Windows PowerShell

  1. Chargez un objet à l'aide de la commande Write-S3Object Tools for Windows PowerShell. 

    Write-S3Object -BucketName DOC-EXAMPLE-BUCKET1 -key HappyFace.jpg -file HappyFace.jpg -StoredCredentials AccountBadmin

  2. Ajoutez une affectation dans la liste ACL d'objets pour accorder au propriétaire du compartiment le contrôle total de l'objet.

    Set-S3ACL -BucketName DOC-EXAMPLE-BUCKET1 -Key HappyFace.jpg -CannedACLName "bucket-owner-full-control" -StoredCreden

Étape 3 : Tester les autorisations

À présent, vérifiez que l'utilisateur Dave du compte A peut accéder à l'objet appartenant au compte B.

Utilisation de l AWS CLI

  1. Ajoutez les informations d'identification de l'utilisateur Dave dans le fichier de configuration AWS CLI et créez un profil, UserDaveAccountA. Pour de plus amples informations, veuillez consulter Installation des outils pour les procédures d'exemples.

    [profile UserDaveAccountA]
aws_access_key_id = access-key
aws_secret_access_key = secret-access-key
region = us-east-1

  2. Exécutez la commande CLI get-object pour télécharger HappyFace.jpg, puis enregistrez le fichier localement. Vous attribuez à l'utilisateur Dave des informations d'identification en ajoutant le paramètre --profile.

    aws s3api get-object --bucket DOC-EXAMPLE-BUCKET1 --key HappyFace.jpg Outputfile.jpg --profile UserDaveAccountA
Utilisation de Tools for Windows PowerShell

  1. Stockez les informations d'identification AWS de l'utilisateur Dave, en tant que UserDaveAccountA, dans un stockage permanent. 

    Set-AWSCredentials -AccessKey UserDave-AccessKey -SecretKey UserDave-SecretAccessKey -storeas UserDaveAccountA

  2. Exécutez la commande Read-S3Object pour télécharger HappyFace.jpg, puis enregistrez le fichier localement. Vous attribuez à l'utilisateur Dave des informations d'identification en ajoutant le paramètre -StoredCredentials. 

    Read-S3Object -BucketName DOC-EXAMPLE-BUCKET1 -Key HappyFace.jpg -file HappyFace.jpg  -StoredCredentials UserDaveAccountA

Étape 4 : Nettoyer

  1. Une fois le test terminé, vous pouvez procéder comme suit pour le nettoyage.

    1. Connectez-vous à la AWS Management Console en utilisant les autorisations du compte A, et procédez comme suit :

      • Dans la console Amazon S3, supprimez la stratégie de compartiment attachée à DOC-EXAMPLE-BUCKET1. Dans la page Properties du compartiment, supprimez la stratégie dans la section Permissions.

      • Si le compartiment a été créé pour cet exercice, supprimez les objets, puis le compartiment, dans la console Amazon S3.

      • Dans la console IAM, supprimez l'utilisateur AccountAadmin.

  2. Connectez-vous à la AWS Management Console en utilisant les autorisations du compte B. Dans la console IAM, supprimez l'utilisateur AccountBadmin.