Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Définition de la propriété d'un objet sur un compartiment existant
Vous pouvez configurer la propriété des objets S3 sur un compartiment S3 existant. Pour appliquer la propriété d'objet lors de la création d'un compartiment, consultez Définition de la propriété d'objet lors de la création d'un compartiment.
S3 Object Ownership est un paramètre Amazon S3 au niveau du compartiment que vous pouvez utiliser pour désactiver les listes de contrôle d'accès (ACL) et prendre possession de chaque objet de votre compartiment. Cela a pour effet de simplifier la gestion des accès aux données stockées dans Amazon S3. Par défaut, la propriété d’objets S3 est définie sur le paramètre Propriétaire du compartiment appliqué et les listes ACL sont désactivées pour les nouveaux compartiments. Lorsque les listes ACL sont désactivées, le propriétaire du compartiment détient chaque objet présent dans le compartiment et gère l'accès aux données exclusivement à l'aide de politiques de gestion des accès. Nous vous recommandons de maintenir les listes ACL désactivées, sauf dans des circonstances inhabituelles où vous devez contrôler l'accès individuellement pour chaque objet.
Object Ownership (Propriété de l'objet) dispose de trois paramètres que vous pouvez utiliser pour contrôler la propriété des objets téléchargés dans votre compartiment pour désactiver ou activer les listes ACL :
Listes ACL désactivées
-
Propriétaire du compartiment appliqué (par défaut) : les listes ACL sont désactivées et le propriétaire du compartiment détient automatiquement chaque objet présent dans le compartiment et en a le contrôle total. Les listes ACL n'affectent plus les autorisations sur les données du compartiment S3. Le compartiment utilise des stratégies pour définir le contrôle des accès.
Listes ACL activées
-
Bucket owner preferred (Préféré par le propriétaire du compartiment) – Le propriétaire du compartiment possède les nouveaux objets que d'autres comptes écrivent dans le compartiment avec la liste ACL
bucket-owner-full-controlprête à l'emploi, et en a le contrôle total. -
Rédacteur d'objets : Compte AWS celui qui télécharge un objet est propriétaire de l'objet, en a le contrôle total et peut autoriser d'autres utilisateurs à y accéder via des ACL.
Prérequis : avant d'appliquer le paramètre Propriétaire du compartiment appliqué pour désactiver les listes ACL, vous devez migrer les autorisations ACL de compartiment vers des politiques de compartiment et réinitialiser vos listes ACL de compartiment vers la liste ACL privée par défaut. Nous vous recommandons également de migrer les autorisations ACL d'objet vers des stratégies de compartiment et de modifier les stratégies de compartiment qui nécessitent des listes ACL autres que les listes ACL de contrôle total du propriétaire du compartiment. Pour plus d’informations, consultez Conditions préalables à la désactivation des listes ACL.
Autorisations : pour pouvoir utiliser cette opération, vous devez disposer de l'autorisation s3:PutBucketOwnershipControls. Pour plus d'informations sur les autorisations Amazon S3, consultez la section Actions, ressources et clés de condition pour Amazon S3 dans la référence d'autorisation de service.
-
Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/
. -
Dans la liste Buckets (Compartiments), choisissez le nom du compartiment auquel vous souhaitez appliquer le paramètre de propriété d'objet S3.
-
Choisissez l'onglet Permissions (Autorisations).
-
Sous Object Ownership (Propriétaire de l'objet), sélectionnez Edit (Modifier).
-
Sous Object Ownership (Propriété de l'objet), pour désactiver ou activer les listes ACL et contrôler la propriété des objets téléchargés dans votre compartiment, sélectionnez l'un des paramètres suivants :
Listes ACL désactivées
-
Bucket owner enforced (Appliqué par le propriétaire du compartiment) – Les listes ACL sont désactivées, et le propriétaire du compartiment possède automatiquement tous les objets du compartiment et en a le contrôle total. Les listes ACL n'affectent plus les autorisations sur les données du compartiment S3. Le compartiment utilise des stratégies pour définir le contrôle des accès.
Pour exiger que tous les nouveaux compartiments soient créés avec les ACL désactivées à l'aide d'IAM ou de AWS Organizations politiques, consultez. Désactivation des listes ACL pour tous les nouveaux compartiments (application du propriétaire du compartiment)
Listes ACL activées
-
Bucket owner preferred (Préféré par le propriétaire du compartiment) – Le propriétaire du compartiment possède les nouveaux objets que d'autres comptes écrivent dans le compartiment avec la liste ACL
bucket-owner-full-controlprête à l'emploi, et en a le contrôle total.Si vous appliquez le paramètre préféré par le propriétaire du compartiment pour exiger que tous les téléchargements Amazon S3 incluent la liste ACL
bucket-owner-full-controlprête à l'emploi, vous pouvez ajouter une stratégie de compartiment qui autorise uniquement les téléchargements d'objets utilisant cette liste ACL. -
Rédacteur d'objets : Compte AWS celui qui télécharge un objet est propriétaire de l'objet, en a le contrôle total et peut autoriser d'autres utilisateurs à y accéder via des ACL.
-
-
Choisissez Enregistrer.
Pour appliquer un paramètre de propriété d'objet à un compartiment existant, utilisez la commande put-bucket-ownership-controlsavec le paramètre --ownership-controls. Les valeurs valides pour la propriété sont BucketOwnerEnforced, BucketOwnerPreferred ou ObjectWriter.
Cet exemple applique le paramètre Propriétaire du compartiment appliqué pour un compartiment existant à l'aide de l' AWS CLI :
aws s3api put-bucket-ownership-controls --bucketDOC-EXAMPLE-BUCKET--ownership-controls="Rules=[{ObjectOwnership=BucketOwnerEnforced}]"
Pour plus d'informations sur put-bucket-ownership-controls, veuillez consulter la rubrique put-bucket-ownership-controls
Cet exemple applique le paramètre BucketOwnerEnforced de Propriété d'objet à un compartiment existant à l'aide d' AWS SDK for Java :
// Build the ObjectOwnership for BucketOwnerEnforced OwnershipControlsRule rule = OwnershipControlsRule.builder() .objectOwnership(ObjectOwnership.BucketOwnerEnforced) .build(); OwnershipControls ownershipControls = OwnershipControls.builder() .rules(rule) .build() // Build the PutBucketOwnershipControlsRequest PutBucketOwnershipControlsRequest putBucketOwnershipControlsRequest = PutBucketOwnershipControlsRequest.builder() .bucket(BUCKET_NAME) .ownershipControls(ownershipControls) .build(); // Send the request to Amazon S3 s3client.putBucketOwnershipControls(putBucketOwnershipControlsRequest);
À utiliser AWS CloudFormation pour appliquer un paramètre de propriété d'objet à un bucket existant, consultez AWS::S3::Bucket OwnershipControlsle guide de AWS CloudFormation l'utilisateur.
Pour utiliser l'API REST afin d'appliquer un paramètre de propriété d'objet à un compartiment S3 existant, utilisez PutBucketOwnershipControls. Pour plus d'informations, veuillez consulter PutBucketOwnershipControls dans la Référence d'API Amazon Simple Storage Service.
Étapes suivantes : une fois que vous avez appliqué les paramètres Propriétaire du compartiment appliqué ou Propriétaire du compartiment préféré pour Propriété d’objets, vous pouvez suivre les étapes suivantes :
-
Bucket owner enforced (Appliqué par le propriétaire du compartiment) – Vous pouvez exiger que tous les nouveaux compartiments soient créés avec des listes ACL désactivées à l'aide d'une politique IAM ou Organizations.
-
Bucket owner preferred (Préféré par le propriétaire du compartiment) – Ajoutez une stratégie de compartiment S3 pour exiger que la liste ACL
bucket-owner-full-controlprédéfinie pour tous les téléchargements d'objets vers votre compartiment.
