Procédures pas à pas utilisant des politiques pour gérer l'accès à vos ressources Amazon S3 - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Procédures pas à pas utilisant des politiques pour gérer l'accès à vos ressources Amazon S3

Cette rubrique fournit les exemples de procédures suivants permettant l'accès aux ressources d'Amazon S3. Ces exemples utilisent le AWS Management Console pour créer des ressources (compartiments, objets, utilisateurs) et leur accorder des autorisations. Ces exemples montrent ensuite comment vérifier les autorisations à l'aide des outils de ligne de commande afin de vous éviter d'avoir à écrire un code. Nous fournissons des commandes en utilisant à la fois le AWS Command Line Interface (AWS CLI) et le AWS Tools for Windows PowerShell.

  • Exemple 1 : propriétaire d'un compartiment accordant à ses utilisateurs des autorisations sur un compartiment

    Par défaut, les utilisateurs IAM que vous créez dans votre compte n'ont pas d'autorisation. Dans cet exercice, vous accordez une autorisation à un utilisateur pour exécuter des opérations de compartiments et d'objets.

  • Exemple 2 : propriétaire d'un compartiment accordant à ses utilisateurs des autorisations entre comptes sur un compartiment

    Dans cet exercice, un propriétaire de compartiment, le compte A, accorde des autorisations d'accès inter-comptes à un autre Compte AWS, le compte B. Le compte B délègue ensuite ces autorisations aux utilisateurs dans son compte.

  • Gestion des autorisations lorsque les propriétaires d'objets et de compartiments ne sont pas les mêmes

    Ces exemples de scénario décrivent un propriétaire de compartiment concédant des autorisations d'objets à d'autres, toutefois tous les objets du compartiment n'appartiennent pas à son propriétaire. De quelles autorisations le propriétaire du compartiment a besoin et comment peut-il déléguer ces autorisations ?

    Celui Compte AWS qui crée un bucket s'appelle le propriétaire du bucket. Le propriétaire peut accorder d'autres Comptes AWS autorisations pour télécharger des objets, et ceux Comptes AWS qui créent des objets en sont propriétaires. Le propriétaire du compartiment n'a aucune autorisation sur ces objets créés par d'autres Comptes AWS. Si le propriétaire du compartiment rédige une politique de compartiment accordant l'accès aux objets, cette politique ne s'applique pas aux objets appartenant à d'autres comptes.

    Dans ce cas, le propriétaire de l'objet doit d'abord accorder des autorisations au propriétaire du compartiment utilisant une liste ACL d'objet. Le propriétaire du bucket peut ensuite déléguer ces autorisations d'objets à d'autres personnes, à des utilisateurs de son propre compte ou à un autre Compte AWS, comme l'illustrent les exemples suivants.

Avant d'essayer les procédures d'exemples

Ces exemples utilisent le AWS Management Console pour créer des ressources et accorder des autorisations. Pour tester les autorisations, les exemples utilisent les outils de ligne de commande AWS CLI AWS Tools for Windows PowerShell, et vous n'avez donc pas besoin d'écrire de code. Afin de tester des autorisations, vous devez installer un de ces outils. Pour plus d’informations, consultez Configuration des outils pour les procédures pas à pas.

En outre, lors de la création de ressources, ces exemples n'utilisent pas les informations d'identification de l'utilisateur root d'un Compte AWS. A la place, vous créez un administrateur pour ces comptes afin qu'il exécute ces tâches.

Utilisation d'un utilisateur administrateur pour créer des ressources et accorder des autorisations

AWS Identity and Access Management (IAM) déconseille l'utilisation des informations d'identification d'utilisateur root de votre Compte AWS pour effectuer des demandes. Il est préférable de créer un rôle ou un utilisateur IAM, d'accorder un accès total à cet utilisateur et d'utiliser ses informations d'identification pour effectuer des demandes. Nous l'appelons rôle ou utilisateur administrateur. Pour plus d'informations, consultez Informations d'identification Utilisateur racine d'un compte AWS et identités IAM dans Références générales AWS et dans Bonnes pratiques IAM du Guide de l'utilisateur IAM.

Toutes les exemples de démonstration dans cette section utilisent les autorisations de l'utilisateur administrateur. Si vous n'avez pas créé d'utilisateur administrateur pour votre compte Compte AWS, les rubriques vous indiquent comment procéder.

Pour vous connecter à l' AWS Management Console aide des informations d'identification utilisateur, vous devez utiliser l'URL de connexion de l'utilisateur IAM. La console IAM fournit cette URL pour votre Compte AWS. Les rubriques vous indiquent comment obtenir cette URL.