Définition de la propriété d'objet lors de la création d'un compartiment - Amazon Simple Storage Service

Définition de la propriété d'objet lors de la création d'un compartiment

Lorsque vous créez un compartiment, vous pouvez configurer la propriété d'objet S3. Pour définir la propriété d'un objet pour un compartiment existant, voir Définition de la propriété d'un objet sur un compartiment existant.

S3 Object Ownership est un paramètre Amazon S3 au niveau du compartiment que vous pouvez utiliser pour désactiver les listes de contrôle d'accès (ACL) et prendre possession de chaque objet de votre compartiment. Cela a pour effet de simplifier la gestion des accès aux données stockées dans Amazon S3. Nous vous recommandons de désactiver les listes ACL à moins que vous n'ayez besoin de contrôler l'accès au niveau de l'objet individuel.

Object Ownership (Propriété de l'objet) dispose de trois paramètres que vous pouvez utiliser pour contrôler la propriété des objets téléchargés dans votre compartiment pour désactiver ou activer les listes ACL :

Listes ACL désactivées
  • Bucket owner enforced (Appliqué par le propriétaire du compartiment) (recommandé) – Les listes ACL sont désactivées, et le propriétaire du compartiment possède automatiquement tous les objets du compartiment et en a le contrôle total. Les listes ACL n'affectent plus les autorisations sur les données du compartiment S3. Le compartiment utilise des stratégies pour définir le contrôle des accès.

Listes ACL activées
  • Bucket owner preferred (Préféré par le propriétaire du compartiment) – Le propriétaire du compartiment possède les nouveaux objets que d'autres comptes écrivent dans le compartiment avec la liste ACL bucket-owner-full-control prête à l'emploi, et en a le contrôle total.

  • Object writer (default) (Rédacteur d'objets) [par défaut]) – Le Compte AWS qui télécharge un objet est propriétaire de l'objet, a un contrôle total sur celui-ci et peut en accorder l'accès à d'autres utilisateurs via des listes ACL.

Permissions (Autorisations) : pour créer un compartiment et sélectionner un paramètre pour la propriété de l'objet, vous devez posséder les deux autorisations s3:CreateBucket et s3:PutBucketOwnershipControls. Pour de plus amples informations sur les autorisations Amazon S3, veuillez consulter Actions, ressources et clés de condition pour Amazon S3.

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  2. Choisissez Créer un compartiment.

    L'Assistant Create bucket (Créer un compartiment) s'ouvre.

  3. Dans Bucket name (Nom du compartiment), saisissez un nom compatible DNS pour votre compartiment.

    Les nom du compartiment doit présenter les caractéristiques suivantes :

    • Il doit être unique sur l'ensemble d'Amazon S3.

    • Il doit comporter entre 3 et 63 caractères.

    • Ne contient pas de majuscules.

    • Il doit commencer par une minuscule ou un chiffre.

    Une fois le compartiment créé, vous ne pouvez pas changer son nom. Pour de plus amples informations sur le choix des noms de compartiment, consultez la section Règles de dénomination de compartiment.

    Important

    Évitez d'inclure des informations sensibles, notamment un numéro de compte, dans le nom du compartiment. Le nom de compartiment est visible dans les URL qui pointent vers les objets du compartiment.

  4. Dans Region (Région), choisissez la Région AWS dans laquelle le compartiment doit résider.

    Choisissez une Région proche de vous afin de limiter la latence et les coûts,et répondre aux exigences légales. Les objets stockés dans une Région ne la quittent jamais, sauf si vous les transférez explicitement vers une autre Région. Pour obtenir la liste des Régions AWS Amazon S3, veuillez consulter Points de terminaison de service AWS dans la Référence générale Amazon Web Services.

  5. Sous Object Ownership (Propriété de l'objet), pour désactiver ou activer les listes ACL et contrôler la propriété des objets téléchargés dans votre compartiment, sélectionnez l'un des paramètres suivants :

    Listes ACL désactivées
    • Bucket owner enforced (Appliqué par le propriétaire du compartiment) – Les listes ACL sont désactivées, et le propriétaire du compartiment possède automatiquement tous les objets du compartiment et en a le contrôle total. Les listes ACL n'affectent plus les autorisations sur les données du compartiment S3. Le compartiment utilise des stratégies pour définir le contrôle des accès.

      Pour exiger la création de tous les nouveaux compartiments avec des listes ACL désactivées à l'aide d'IAM ou des stratégies AWS Organizations, consultez Désactivation des listes ACL pour tous les nouveaux compartiments (application du propriétaire du compartiment).

    Listes ACL activées
    • Bucket owner preferred (Préféré par le propriétaire du compartiment) – Le propriétaire du compartiment possède les nouveaux objets que d'autres comptes écrivent dans le compartiment avec la liste ACL bucket-owner-full-control prête à l'emploi, et en a le contrôle total.

      Si vous appliquez le paramètre préféré par le propriétaire du compartiment pour exiger que tous les téléchargements Amazon S3 incluent la liste ACL bucket-owner-full-controlprête à l'emploi, vous pouvez ajouter une stratégie de compartiment qui autorise uniquement les téléchargements d'objets utilisant cette liste ACL.

    • Object writer (Rédacteur d'objets) – Le Compte AWS qui télécharge un objet est propriétaire de l'objet, a un contrôle total sur celui-ci et peut en accorder l'accès à d'autres utilisateurs via des listes ACL.

    Note

    Pour appliquer le paramètre Bucket owner enforced (Appliqué par le propriétaire du compartiment) ou le paramètre Bucket owner preferred (Préféré par le propriétaire du compartiment) vous devez disposer de l'autorisation suivante : s3:CreateBucket et s3:PutBucketOwnershipControls.

  6. Dans Bucket settings for Block Public Acces (Paramètres de compartiment pour Bloquer l'accès public), choisissez les paramètres de blocage de l'accès public que vous souhaitez appliquer au compartiment.

    Nous vous recommandons de laisser tous les paramètres activés, sauf si vous savez que vous devez en désactiver un ou plusieurs pour votre cas d'utilisation, par exemple pour héberger un site web public. Les paramètres de blocage de l'accès public que vous activez pour le compartiment seront également activés pour tous les points d'accès que vous créez dans le compartiment. Pour en savoir plus sur le blocage de l'accès public, consultez Blocage de l'accès public à votre stockage Amazon S3.

  7. (Facultatif) Sous Bucket Versioning (Gestion des versions du compartiment), vous pouvez choisir de conserver les variantes des objets dans votre compartiment. Pour plus d'informations sur la gestion des versions, consultez Utilisation de la gestion des versions dans les compartiments S3.

    Pour désactiver ou activer la gestion des versions sur votre compartiment, choisissez Disable (Désactiver) ou Enable (Activer).

  8. (Facultatif) Sous Tags (Balises), vous pouvez choisir d'ajouter des balises à votre compartiment. Les balises sont des paires clé-valeur utilisées pour catégoriser le stockage.

    Pour ajouter une balise de compartiment, saisissez une Key (Clé) et éventuellement une Value (Valeur), puis choisissez Add Tag (Ajouter une balise).

  9. (Facultatif) Sous Default encryption (Chiffrement par défaut), vous pouvez choisir de configurer votre compartiment pour utiliser le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) ou les AWS KMS keys stockées dans AWS Key Management Service (AWS KMS) (SSE-KMS). Pour plus d'informations, consultez Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3.

    Pour désactiver ou activer le chiffrement, choisissez Disable (Désactiver) ou Enable (Activer).

  10. (Facultatif) Si vous souhaitez activer le verrouillage des objets S3, procédez comme suit :

    1. Choisissez Advanced Settings (Paramètres avancés).

      Important

      Vous pouvez activer le verrouillage d'objets pour un compartiment uniquement à sa création, et vous ne pouvez pas le désactiver plus tard. L'activation du verrouillage des objets active également la gestion des versions pour le compartiment. Après l'avoir activé, vous devez configurer les paramètres de conservation et de mise en suspens juridique par défaut du verrouillage d'objets pour protéger les nouveaux objets contre la suppression ou l'écrasement.

    2. Pour activer le verrouillage d'objets, choisissez Enable (Activer), lisez l'avertissement qui s'affiche et confirmez-le.

    Pour plus d'informations, consultez Utilisation du verrouillage des objets S3.

    Note

    Pour créer un compartiment prenant en charge le verrouillage d'objets, vous devez disposer des autorisations suivantes : s3:CreateBucket, s3:PutBucketVersioning et s3:PutBucketObjectLockConfiguration.

  11. Choisissez Create bucket (Créer un compartiment).

Pour définir la propriété d'objet lorsque vous créez un nouveau compartiment, utilisez la commande create-bucket de la AWS CLI avec le paramètre --object-ownership.

Cet exemple applique le paramètre appliqué par le propriétaire du compartiment à un nouveau compartiment à l'aide de l'AWS CLI :

aws s3api create-bucket --bucket DOC-EXAMPLE-BUCKET --region us-east-1 --object-ownership BucketOwnerEnforced

Cet exemple définit le paramètre appliqué par le propriétaire du compartiment à un nouveau compartiment à l'aide de l'AWS SDK for Java :

// Build the ObjectOwnership for CreateBucket CreateBucketRequest createBucketRequest = CreateBucketRequest.builder() .bucket(bucketName) .objectOwnership(ObjectOwnership.BucketOwnerEnforced) .build() // Send the request to S3 s3client.createBucket(createBucketRequest);

Pour utiliser la ressource AWS::S3::Bucket de AWS CloudFormation pour définir la propriété d'objet lorsque vous créez un nouveau compartiment, consultez OwnershipControls within AWS::S3::Bucket (OwnershipControls dans AWS። S3።Bucket) dans le Guide de l'utilisateur AWS CloudFormation.

Pour appliquer le paramètre appliqué par le propriétaire du compartiment à la propriété de l'objet S3, utilisez l'opération d'API CreateBucket avec l'en-tête de demande x-amz-object-ownership défini sur BucketOwnerEnforced. Pour obtenir plus d'informations et des exemples, veuillez consulter CreateBucket dans la Référence d'API Amazon Simple Storage Service.

Étapes suivantes : une fois que vous avez appliqué les paramètres appliqués par le propriétaire du compartiment ou les paramètres préférés du propriétaire du compartiment pour la propriété de l'objet, vous pouvez suivre les étapes suivantes :

  • Bucket owner enforced (Appliqué par le propriétaire du compartiment) – Vous pouvez exiger que tous les nouveaux compartiments soient créés avec des listes ACL désactivées à l'aide d'une politique IAM ou Organizations.

  • Bucket owner preferred (Préféré par le propriétaire du compartiment) – Ajoutez une stratégie de compartiment S3 pour exiger que la liste ACL bucket-owner-full-control prédéfinie pour tous les téléchargements d'objets vers votre compartiment.