Comment Amazon S3 autorise une demande

Lorsqu'Amazon S3 reçoit une demande : par exemple, une opération de compartiment ou d'objet, il vérifie que le demandeur possède les autorisations nécessaires. Amazon S3 évalue toutes les stratégies d'accès pertinentes, les stratégies d'utilisateur et les stratégies basées sur les ressources (stratégie de compartiment, liste ACL de compartiment, liste ACL d'objet) pour décider d'autoriser ou non la demande.

Note

Si le contrôle des autorisations Amazon S3 ne permet pas de trouver des autorisations valides, une erreur d'autorisation refusée 403 est renvoyée. Consultez Résolution des erreurs d'accès refusé (403 interdit) dans Amazon S3.

Afin de déterminer si le demandeur a l'autorisation d'exécuter l'opération spécifique, Amazon S3 procède comme suit dès réception de la demande :

Convertit toutes les stratégies d'accès pertinentes (stratégie d'utilisateur, stratégie de compartiment, listes ACL) au moment de l'exécution dans un ensemble de stratégies pour évaluation.
Evalue l'ensemble de stratégies obtenu au cours des étapes suivantes. Dans chaque étape, Amazon S3 évalue un sous-ensemble de stratégies dans un contexte spécifique, basé sur l'autorité du contexte.
1. Contexte d'utilisateur – Dans le contexte d'utilisateur, le compte parent auquel appartient l'utilisateur est l'autorité du contexte.
  
  Amazon S3 évalue un sous-ensemble de stratégies détenues par le compte parent. Ce sous-ensemble inclut la stratégie d'utilisateur que le parent attache à l'utilisateur. Si le parent détient également la ressource de la demande (compartiment ou objet), Amazon S3 évalue également les stratégies de ressources correspondantes (stratégie de compartiment, liste ACL de compartiment et liste ACL d'objet) en même temps.
  
  Un utilisateur doit avoir l'autorisation du compte parent pour exécuter l'opération.
  
  Cette étape s'applique uniquement si la demande est faite par un utilisateur dans un Compte AWS. Si la demande est faite à l'aide des informations d'identification de l'utilisateur root d'un Compte AWS, Amazon S3 ignore cette étape.
2. Contexte du compartiment : dans le contexte du compartiment, Amazon S3 évalue les politiques détenues par Compte AWS le propriétaire du compartiment.
  
  Si la demande concerne une opération de compartiment, le demandeur doit avoir l'autorisation du propriétaire du compartiment. Si la demande concerne un objet, Amazon S3 évalue toutes les stratégies détenues par le propriétaire du compartiment pour vérifier que ce dernier n'a pas refusé explicitement l'accès à l'objet. Si un refus explicite est configuré, Amazon S3 n'autorise pas la demande.
3. Contexte d'objet – Si la demande concerne un objet, Amazon S3 évalue le sous-ensemble de stratégies détenues par le propriétaire de l'objet.

Voici quelques-uns des exemples de scénarios qui illustrent comment Amazon S3 autorise une demande.

Exemple Le demandeur est un principal IAM

Si le demandeur est un principal IAM, Amazon S3 doit déterminer si le parent auquel Compte AWS appartient le principal a accordé au principal l'autorisation nécessaire pour effectuer l'opération. De plus, si la demande concerne une opération de compartiment, comme une demande pour lister le contenu du compartiment, Amazon S3 doit vérifier que le propriétaire du compartiment a accordé l'autorisation au demandeur d'exécuter l'opération. Pour effectuer une opération spécifique sur une ressource, un principal IAM doit obtenir l'autorisation du parent Compte AWS auquel il appartient et du Compte AWS propriétaire de la ressource.

Exemple Le demandeur est un principal IAM - Si la demande concerne une opération sur un objet que le propriétaire du compartiment ne possède pas.

Si la demande concerne une opération sur un objet que le propriétaire du compartiment ne possède pas, Amazon S3 doit veiller à ce que le demandeur possède l'autorisation du propriétaire de l'objet, mais aussi à ce que la stratégie de compartiment garantisse que le propriétaire du compartiment n'a pas configuré un refus explicite sur l'objet. Le propriétaire du compartiment (qui paie la facture) peut refuser explicitement l'accès aux objets dans le compartiment, quel que soit le propriétaire. Le propriétaire du compartiment peut également supprimer tout objet du compartiment

Par défaut, lorsqu'un autre Compte AWS utilisateur télécharge un objet dans votre compartiment S3, ce compte (le rédacteur de l'objet) est propriétaire de l'objet, y a accès et peut autoriser d'autres utilisateurs à y accéder via des listes de contrôle d'accès (ACL). Vous pouvez utiliser Object Ownership afin de modifier ce comportement par défaut, pour que les ACL soient désactivées et que vous, en tant que propriétaire du compartiment, possédiez automatiquement tous les objets de votre compartiment. Par conséquent, le contrôle d'accès à vos données est basé sur des politiques, telles que les politiques utilisateur IAM, les politiques relatives aux compartiments S3, les politiques relatives aux points de terminaison du cloud privé virtuel (VPC) AWS Organizations et les politiques de contrôle des services (SCP). Pour de plus amples informations, veuillez consulter Consultez Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment.

Pour en savoir plus sur la façon dont Amazon S3 évalue les stratégies d'accès pour autoriser ou refuser les demandes d'opérations de compartiment et d'objets, consultez les rubriques suivantes :

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Consignes relatives à la stratégie d'accès

Pour une opération de compartiment