Comment Amazon S3 autorise une demande - Amazon Simple Storage Service

Comment Amazon S3 autorise une demande

Lorsqu'Amazon S3 reçoit une demande : par exemple, une opération de compartiment ou d'objet, il vérifie que le demandeur possède les autorisations nécessaires. Amazon S3 évalue toutes les stratégies d'accès pertinentes, les stratégies d'utilisateur et les stratégies basées sur les ressources (stratégie de compartiment, liste ACL de compartiment, liste ACL d'objet) pour décider d'autoriser ou non la demande.

Afin de déterminer si le demandeur a l'autorisation d'exécuter l'opération spécifique, Amazon S3 procède comme suit dès réception de la demande :

  1. Convertit toutes les stratégies d'accès pertinentes (stratégie d'utilisateur, stratégie de compartiment, listes ACL) au moment de l'exécution dans un ensemble de stratégies pour évaluation.

  2. Evalue l'ensemble de stratégies obtenu au cours des étapes suivantes. Dans chaque étape, Amazon S3 évalue un sous-ensemble de stratégies dans un contexte spécifique, basé sur l'autorité du contexte.

    1. Contexte d'utilisateur – Dans le contexte d'utilisateur, le compte parent auquel appartient l'utilisateur est l'autorité du contexte.

      Amazon S3 évalue un sous-ensemble de stratégies détenues par le compte parent. Ce sous-ensemble inclut la stratégie d'utilisateur que le parent attache à l'utilisateur. Si le parent détient également la ressource de la demande (compartiment ou objet), Amazon S3 évalue également les stratégies de ressources correspondantes (stratégie de compartiment, liste ACL de compartiment et liste ACL d'objet) en même temps.

      Un utilisateur doit avoir l'autorisation du compte parent pour exécuter l'opération.

      Cette étape s'applique uniquement si la demande est faite par un utilisateur dans un Compte AWS. Si la demande est faite grâce aux autorisations racine d'un Compte AWS, Amazon S3 passe cette étape.

    2. Contexte de compartiment – Dans le contexte de compartiment, Amazon S3 évalue les stratégies détenues par le Compte AWS propriétaire du compartiment.

      Si la demande concerne une opération de compartiment, le demandeur doit avoir l'autorisation du propriétaire du compartiment. Si la demande concerne un objet, Amazon S3 évalue toutes les stratégies détenues par le propriétaire du compartiment pour vérifier que ce dernier n'a pas refusé explicitement l'accès à l'objet. Si un refus explicite est configuré, Amazon S3 n'autorise pas la demande.

    3. Contexte d'objet – Si la demande concerne un objet, Amazon S3 évalue le sous-ensemble de stratégies détenues par le propriétaire de l'objet.

Voici quelques-uns des exemples de scénarios qui illustrent comment Amazon S3 autorise une demande.

Exemple Le demandeur est un principal IAM

Si le demandeur est un principal IAM, Amazon S3 doit déterminer si le Compte AWS parent auquel appartient le mandataire lui a accordé l'autorisation nécessaire pour exécuter l'opération. De plus, si la demande concerne une opération de compartiment, comme une demande pour lister le contenu du compartiment, Amazon S3 doit vérifier que le propriétaire du compartiment a accordé l'autorisation au demandeur d'exécuter l'opération. Pour exécuter une opération spécifique sur une ressource, un principal IAM a besoin de l'autorisation du Compte AWS parent auquel il appartient et du Compte AWS qui détient la ressource.

Exemple Le demandeur est un principal IAM - Si la demande concerne une opération sur un objet que le propriétaire du compartiment ne possède pas.

Si la demande concerne une opération sur un objet que le propriétaire du compartiment ne possède pas, Amazon S3 doit veiller à ce que le demandeur possède l'autorisation du propriétaire de l'objet, mais aussi à ce que la stratégie de compartiment garantisse que le propriétaire du compartiment n'a pas configuré un refus explicite sur l'objet. Le propriétaire du compartiment (qui paie la facture) peut refuser explicitement l'accès aux objets dans le compartiment, quel que soit le propriétaire. Le propriétaire du compartiment peut également supprimer tout objet du compartiment

Par défaut, lorsqu'un autre Compte AWS télécharge un objet dans votre compartiment S3, ce compte (le rédacteur d'objet) est propriétaire de l'objet, y a accès et peut en accorder l'accès à d'autres utilisateurs via des ACL. Vous pouvez utiliser Object Ownership afin de modifier ce comportement par défaut, pour que les ACL soient désactivées et que vous, en tant que propriétaire du compartiment, possédiez automatiquement tous les objets de votre compartiment. Par conséquent, le contrôle d'accès à vos données est basé sur des stratégies, telles que les stratégies IAM, les stratégies de compartiment S3, les stratégies de point de terminaison de cloud privé virtuel (VPC) et les politiques de contrôle des services (SCP) AWS Organizations. Pour plus d'informations, consultez Consultez Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment.

Pour en savoir plus sur la façon dont Amazon S3 évalue les stratégies d'accès pour autoriser ou refuser les demandes d'opérations de compartiment et d'objets, consultez les rubriques suivantes :