Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Procédures pas à pas utilisant des politiques pour gérer l'accès à vos ressources Amazon S3
Cette rubrique fournit les exemples de procédures suivants permettant l'accès aux ressources d'Amazon S3. Ces exemples utilisent le AWS Management Console pour créer des ressources (compartiments, objets, utilisateurs) et leur accorder des autorisations. Ces exemples montrent ensuite comment vérifier les autorisations à l'aide des outils de ligne de commande afin de vous éviter d'avoir à écrire un code. Nous fournissons des commandes en utilisant à la fois AWS Command Line Interface (AWS CLI) et le AWS Tools for Windows PowerShell.
-
Les IAM utilisateurs que vous créez dans votre compte ne disposent d'aucune autorisation par défaut. Dans cet exercice, vous accordez une autorisation à un utilisateur pour exécuter des opérations de compartiments et d'objets.
-
Dans cet exercice, le propriétaire d'un compartiment, le compte A, accorde des autorisations entre comptes à un autre Compte AWS, compte B. Le compte B délègue ensuite ces autorisations aux utilisateurs de son compte.
-
Gestion des autorisations lorsque les propriétaires d'objets et de compartiments ne sont pas les mêmes
Ces exemples de scénario décrivent un propriétaire de compartiment concédant des autorisations d'objets à d'autres, toutefois tous les objets du compartiment n'appartiennent pas à son propriétaire. De quelles autorisations le propriétaire du compartiment a besoin et comment peut-il déléguer ces autorisations ?
Le Compte AWS qui crée un compartiment est appelé propriétaire du compartiment. Le propriétaire peut accorder d'autres Comptes AWS autorisation de télécharger des objets, et Comptes AWS qui créent des objets les possèdent. Le propriétaire du bucket n'a aucune autorisation sur les objets créés par d'autres Comptes AWS. Si le propriétaire du compartiment rédige une politique de compartiment accordant l'accès aux objets, cette politique ne s'applique pas aux objets appartenant à d'autres comptes.
Dans ce cas, le propriétaire de l'objet doit d'abord accorder des autorisations au propriétaire du compartiment à l'aide d'un objetACL. Le propriétaire du bucket peut ensuite déléguer ces autorisations d'objets à d'autres personnes, à des utilisateurs de son propre compte ou à un autre Compte AWS, comme le montrent les exemples suivants.
-
Dans cet exercice, le propriétaire du compartiment obtient d'abord les autorisations du propriétaire de l'objet. Le propriétaire du compartiment délègue ensuite ces autorisations aux utilisateurs dans son propre compte.
-
Après avoir reçu les autorisations du propriétaire de l'objet, le propriétaire du compartiment ne peut pas déléguer d'autorisation à d'autres Comptes AWS car la délégation entre comptes n'est pas prise en charge (voirDélégation d'autorisations). Au lieu de cela, le propriétaire du bucket peut créer un IAM rôle autorisé à effectuer des opérations spécifiques (telles que obtenir un objet) et en autoriser une autre Compte AWS pour assumer ce rôle. Toute personne occupant ce rôle peut ensuite accéder aux objets. Cet exemple montre comment le propriétaire d'un bucket peut utiliser un IAM rôle pour activer cette délégation entre comptes.
-
Avant d'essayer les procédures d'exemples
Ces exemples utilisent le AWS Management Console pour créer des ressources et accorder des autorisations. Pour tester les autorisations, les exemples utilisent les outils de ligne de commande, AWS CLI, et AWS Tools for Windows PowerShell, vous n'avez donc pas besoin d'écrire de code. Afin de tester des autorisations, vous devez installer un de ces outils. Pour de plus amples informations, veuillez consulter Configuration des outils pour les visites guidées.
En outre, lors de la création de ressources, ces exemples n'utilisent pas les informations d'identification de l'utilisateur root d'un Compte AWS. Au lieu de cela, vous créez un utilisateur administrateur dans ces comptes pour effectuer ces tâches.
Utilisation d'un utilisateur administrateur pour créer des ressources et accorder des autorisations
AWS Identity and Access Management (IAM) recommande de ne pas utiliser les informations d'identification de l'utilisateur root de votre Compte AWS pour faire des demandes. Créez plutôt un IAM utilisateur ou un rôle, accordez-lui un accès complet, puis utilisez ses informations d'identification pour faire des demandes. Nous l'appelons rôle ou utilisateur administrateur. Pour plus d'informations, rendez-vous sur Utilisateur racine d'un compte AWS informations d'identification et IAM identités dans le Références générales AWSet IAMles meilleures pratiques du guide de IAM l'utilisateur.
Toutes les exemples de démonstration dans cette section utilisent les autorisations de l'utilisateur administrateur. Si vous n'avez pas créé d'utilisateur administrateur pour votre Compte AWS, les rubriques vous montrent comment procéder.
Pour vous connecter au AWS Management Console à l'aide des informations d'identification de l'utilisateur, vous devez utiliser la connexion URL de IAM l'utilisateur. La IAMconsole