Exemples de procédures : Gestion de l'accès à vos ressources Amazon S3 - Amazon Simple Storage Service

Exemples de procédures : Gestion de l'accès à vos ressources Amazon S3

Cette rubrique fournit les exemples de procédures suivants permettant l'accès aux ressources d'Amazon S3. Ces exemples utilisent la AWS Management Console pour créer des ressources (compartiments, objets, utilisateurs) et accorder des autorisations. Ces exemples montrent ensuite comment vérifier les autorisations à l'aide des outils de ligne de commande afin de vous éviter d'avoir à écrire un code. Nous fournissons des commandes utilisant tant AWS Command Line Interface (CLI) que AWS Tools for Windows PowerShell.

  • Exemple 1 : propriétaire d'un compartiment accordant à ses utilisateurs des autorisations sur un compartiment

    Par défaut, les utilisateurs IAM que vous créez dans votre compte n'ont pas d'autorisation. Dans cet exercice, vous accordez une autorisation à un utilisateur pour exécuter des opérations de compartiments et d'objets.

  • Exemple 2 : propriétaire d'un compartiment accordant à ses utilisateurs des autorisations entre comptes sur un compartiment

    Dans cet exercice, un propriétaire de compartiment, le compte A, accorde des autorisations d'accès inter-comptes à un autre Compte AWS, le compte B. Le compte B délègue ensuite ces autorisations aux utilisateurs dans son compte.

  • Gestion des autorisations lorsque les propriétaires d'objets et de compartiments ne sont pas les mêmes

    Ces exemples de scénario décrivent un propriétaire de compartiment concédant des autorisations d'objets à d'autres, toutefois tous les objets du compartiment n'appartiennent pas à son propriétaire. De quelles autorisations le propriétaire du compartiment a besoin et comment peut-il déléguer ces autorisations ?

    Le Compte AWS qui crée un compartiment est appelé le propriétaire du compartiment. Le propriétaire peut accorder à d'autres Comptes AWS l'autorisation de charger des objets, et les Comptes AWS qui créent les objets en sont les propriétaires. Le propriétaire du compartiment n'a aucune autorisation sur ces objets créés par d'autres Comptes AWS. Si le propriétaire du compartiment écrit une stratégie de compartiment permettant l'accès aux objets, cette stratégie ne s'applique pas aux objets détenus par d'autres comptes.

    Dans ce cas, le propriétaire de l'objet doit d'abord accorder des autorisations au propriétaire du compartiment utilisant une liste ACL d'objet. Le propriétaire du compartiment peut ensuite déléguer ces autorisations d'objet à d'autres, c'est à dire à des utilisateurs de son compte ou à un autre Compte AWS, comme illustré dans les exemples suivants.

Avant d'essayer les procédures d'exemples

Ces exemples utilisent la AWS Management Console pour créer des ressources et accorder des autorisations. Pour tester les autorisations, ces exemples utilisent les outils de ligne de commande, AWS Command Line Interface (CLI) et AWS Tools for Windows PowerShell, afin de vous éviter d'avoir à écrire du code. Afin de tester les autorisations, vous devrez installer un de ces outils. Pour de plus amples informations, veuillez consulter Installation des outils pour les procédures d'exemples.

Par ailleurs, lorsque vous créez des ressources, ces exemples n'utilisent pas les informations d'identification racine d'un Compte AWS. A la place, vous créez un administrateur pour ces comptes afin qu'il exécute ces tâches.

Utilisation d'un utilisateur administrateur pour créer des ressources et accorder des autorisations

AWS Identity and Access Management (IAM) déconseille l'utilisation des informations d'identification racine de votre Compte AWS pour effectuer des demandes. Il est préférable de créer un utilisateur IAM, d'accorder un accès total à cet utilisateur et d'utiliser les informations d'identification de cet utilisateur pour effectuer des demandes. Nous appelons cet utilisateur l'administrateur. Pour de plus amples informations, veuillez consulter la section Autorisations d'utilisateur racine et autorisations d'utilisateurs IAM dans les Références générales AWS, ainsi que la section Bonnes pratiques de sécurité dans IAM du Guide de l'utilisateur IAM.

Toutes les exemples de démonstration dans cette section utilisent les autorisations de l'utilisateur administrateur. Si vous n'avez pas créé d'administrateur pour votre Compte AWS, ces rubriques vous expliquent comment le faire.

Remarque : Pour vous connecter à la AWS Management Console à l'aide des informations d'identification, vous devrez utiliser l'URL de connexion d'utilisateur IAM. La console IAM fournit cette URL pour votre Compte AWS. Les rubriques vous indiquent comment obtenir cette URL.