Identity and Access Management dans Amazon S3 - Amazon Simple Storage Service

Identity and Access Management dans Amazon S3

Par défaut, toutes les ressources Amazon S3, compartiments, objets et sous-ressources associées (par exemple, configuration lifecycle et configuration website) sont privées. Seul le propriétaire de la ressource, c'est-à-dire le Compte AWS qui l'a créée, peut y accéder. Le propriétaire de la ressource peut éventuellement accorder à d'autres instances des autorisations d'accès en rédigeant une stratégie d'accès.

Amazon S3 propose des options de stratégie d'accès généralement définies comme étant des stratégies basées sur les ressources et les stratégies utilisateur. Les stratégies d'accès que vous associez à vos ressources (compartiments et objets) sont appelées stratégies basées sur les ressources. Par exemple, les stratégies de compartiment et les stratégies de point d'accès sont des stratégies basées sur des ressources. Vous pouvez également lier les stratégies d'accès aux utilisateurs dans votre compte. Elles sont appelées stratégies d'utilisateur. Vous pouvez choisir d'utiliser des stratégies basées sur les ressources, des stratégies d'utilisateur ou des combinaisons de ces stratégies pour gérer les autorisations à vos ressources Amazon S3. Vous pouvez également utiliser des listes de contrôle d'accès (ACL) pour accorder les autorisations de lecture et d'écriture de base à d'autres comptes Comptes AWS.

Par défaut, lorsqu'un autre Compte AWS télécharge un objet dans votre compartiment S3, ce compte (le rédacteur d'objet) est propriétaire de l'objet, y a accès et peut en accorder l'accès à d'autres utilisateurs via des ACL. Vous pouvez utiliser Object Ownership afin de modifier ce comportement par défaut, pour que les ACL soient désactivées et que vous, en tant que propriétaire du compartiment, possédiez automatiquement tous les objets de votre compartiment. Par conséquent, le contrôle d'accès à vos données est basé sur des stratégies, telles que les stratégies IAM, les stratégies de compartiment S3, les stratégies de point de terminaison de cloud privé virtuel (VPC) et les politiques de contrôle des services (SCP) AWS Organizations.

La majorité des cas d'utilisation modernes dans Amazon S3 ne nécessitent plus l'utilisation des listes ACL ; nous vous recommandons de désactiver les listes ACL, sauf dans des circonstances inhabituelles où vous devez contrôler l'accès de chaque objet individuellement. Avec Object Ownership, vous pouvez désactiver les listes ACL et vous fier aux stratégies pour le contrôle des accès. Lorsque vous désactivez les listes ACL, vous pouvez facilement gérer un compartiment avec des objets téléchargés par différents Comptes AWS. En tant que propriétaire du compartiment, vous êtes propriétaire de tous les objets du compartiment et pouvez gérer l'accès à ces derniers au moyen de stratégies. Pour plus d'informations, consultez Consultez Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment.

Pour en savoir plus sur la gestion de l'accès à vos objets et compartiments Amazon S3, consultez les rubriques ci-dessous.