Comment Amazon S3 autorise une demande

Lorsqu'Amazon S3 reçoit une demande : par exemple, une opération de compartiment ou d'objet, il vérifie que le demandeur possède les autorisations nécessaires. Amazon S3 évalue toutes les politiques d'accès, les politiques utilisateur et les politiques basées sur les ressources pertinentes (politique de compartiment, liste de contrôle d'accès aux compartiments (ACL) et objetACL) pour décider d'autoriser ou non la demande.

Note

Si le contrôle des autorisations Amazon S3 ne trouve pas d'autorisations valides, une erreur d'autorisation d'accès refusé (403 Interdit) est renvoyée. Pour plus d'informations, consultez Résoudre les erreurs d'accès refusé (403 Interdit) dans Amazon S3.

Pour déterminer si le demandeur est autorisé à effectuer l'opération spécifique, Amazon S3 effectue les opérations suivantes, dans l'ordre, lorsqu'il reçoit une demande :

Convertit toutes les politiques d'accès pertinentes (politique utilisateur, politique de compartiment, etc.ACLs) au moment de l'exécution en un ensemble de politiques à évaluer.
Evalue l'ensemble de stratégies obtenu au cours des étapes suivantes. Dans chaque étape, Amazon S3 évalue un sous-ensemble de stratégies dans un contexte spécifique, basé sur l'autorité du contexte.
1. Contexte d'utilisateur – Dans le contexte d'utilisateur, le compte parent auquel appartient l'utilisateur est l'autorité du contexte.
  
  Amazon S3 évalue un sous-ensemble de stratégies détenues par le compte parent. Ce sous-ensemble inclut la stratégie d'utilisateur que le parent attache à l'utilisateur. Si le parent possède également la ressource contenue dans la demande (compartiment ou objet), Amazon S3 évalue également les politiques de ressources correspondantes (politique de compartimentACL, compartiment et objetACL) en même temps.
  
  Un utilisateur doit avoir l'autorisation du compte parent pour exécuter l'opération.
  
  Cette étape s'applique uniquement si la demande est faite par un utilisateur dans un Compte AWS. Si la demande est faite à l'aide des informations d'identification de l'utilisateur root d'un Compte AWS, Amazon S3 ignore cette étape.
2. Contexte du compartiment : dans le contexte du compartiment, Amazon S3 évalue les politiques détenues par Compte AWS le propriétaire du compartiment.
  
  Si la demande concerne une opération de compartiment, le demandeur doit avoir l'autorisation du propriétaire du compartiment. Si la demande concerne un objet, Amazon S3 évalue toutes les stratégies détenues par le propriétaire du compartiment pour vérifier que ce dernier n'a pas refusé explicitement l'accès à l'objet. Si un refus explicite est configuré, Amazon S3 n'autorise pas la demande.
3. Contexte d'objet – Si la demande concerne un objet, Amazon S3 évalue le sous-ensemble de stratégies détenues par le propriétaire de l'objet.

Voici quelques exemples de scénarios qui illustrent la manière dont Amazon S3 autorise une demande.

Exemple — Le demandeur est un mandant IAM

Si le demandeur est un IAM mandant, Amazon S3 doit déterminer si le parent Compte AWS auquel appartient le principal a accordé au principal l'autorisation nécessaire pour effectuer l'opération. De plus, si la demande concerne une opération de compartiment, comme une demande pour lister le contenu du compartiment, Amazon S3 doit vérifier que le propriétaire du compartiment a accordé l'autorisation au demandeur d'exécuter l'opération. Pour effectuer une opération spécifique sur une ressource, le IAM principal doit obtenir l'autorisation du parent Compte AWS auquel il appartient et du Compte AWS propriétaire de la ressource.

Exemple — Le demandeur est un IAM mandant — Si la demande concerne une opération sur un objet dont le propriétaire du bucket n'est pas propriétaire

Si la demande concerne une opération sur un objet dont le propriétaire du compartiment n'est pas propriétaire, Amazon S3 doit non seulement s'assurer que le demandeur dispose des autorisations du propriétaire de l'objet, mais également vérifier la politique du compartiment afin de s'assurer que le propriétaire du compartiment n'a pas défini de refus explicite pour l'objet. Le propriétaire du compartiment (qui paie la facture) peut refuser explicitement l'accès aux objets dans le compartiment, quel que soit le propriétaire. Le propriétaire du compartiment peut également supprimer tout objet du compartiment

Par défaut, lorsqu'un autre Compte AWS utilisateur télécharge un objet dans votre compartiment S3, ce compte (le rédacteur de l'objet) est propriétaire de l'objet, y a accès et peut autoriser d'autres utilisateurs à y accéder via des listes de contrôle d'accès (ACLs). Vous pouvez utiliser Object Ownership pour modifier ce comportement par défaut afin qu'il soit ACLs désactivé et que vous, en tant que propriétaire du bucket, soyez automatiquement propriétaire de tous les objets de votre bucket. Par conséquent, le contrôle d'accès à vos données est basé sur des politiques, telles que les politiques IAM utilisateur, les politiques relatives aux compartiments S3, les politiques relatives aux points de terminaison du cloud privé virtuel (VPC) et les politiques de contrôle des AWS Organizations services (SCPs). Pour de plus amples informations, veuillez consulter Contrôle de la propriété des objets et désactivation ACLs pour votre compartiment.

Pour en savoir plus sur la façon dont Amazon S3 évalue les stratégies d'accès pour autoriser ou refuser les demandes d'opérations de compartiment et d'objets, consultez les rubriques suivantes :

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Comment fonctionne Amazon S3 avec IAM

Pour une opération de compartiment