Utilisation de S3 Storage Lens pour auditer les paramètres de propriété d'objets

La propriété d'objets S3 est un paramètre au niveau des compartiments S3 que vous pouvez utiliser pour désactiver les listes de contrôle d'accès (ACL) et contrôler la propriété des objets dans votre compartiment. Si vous définissez la propriété d'objets sur Appliqué par le propriétaire du compartiment, vous pouvez désactiver les listes de contrôle d'accès (ACL) et prendre possession de tous les objets dans votre compartiment. Cette approche simplifie la gestion des accès pour les données stockées dans Amazon S3.

Par défaut, lorsqu'un autre Compte AWS télécharge un objet dans votre compartiment S3, ce compte (le rédacteur d'objet) est propriétaire de l'objet, y a accès et peut en accorder l'accès à d'autres utilisateurs via des ACL. Vous pouvez utiliser la propriété de l'objet pour modifier ce comportement par défaut.

La majorité des cas d'utilisation modernes dans Amazon S3 ne nécessitent plus l'utilisation des listes ACL. Nous vous recommandons donc de désactiver les listes ACL, sauf dans des circonstances inhabituelles où vous devez contrôler l'accès de chaque objet individuellement. En définissant la propriété d'objets sur Appliqué par le propriétaire du compartiment, vous pouvez désactiver les listes ACL et vous fier aux politiques pour le contrôle des accès. Pour de plus amples informations, veuillez consulter Contrôle de la propriété des objets et désactivation ACLs pour votre compartiment.

Avec les métriques de gestion des accès S3 Storage Lens, vous pouvez identifier les compartiments pour lesquels les listes ACL ne sont pas désactivées. Après avoir identifié ces compartiments, vous pouvez migrer les autorisations ACL vers des politiques et désactiver les listes ACL pour ces compartiments.

Étape 1 : identifier les tendances générales relatives aux paramètres de propriété d'objets

1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

2. Dans le panneau de navigation de gauche, choisissez Storage Lens, Dashboards (Tableaux de bord).

3. Dans la liste Dashboards (Tableaux de bord), choisissez le nom du tableau de bord que vous souhaitez afficher.

4. Dans la section Snapshot for date (Instantané pour date), sous Metrics categories (Catégories de métriques), choisissez Access management (Gestion des accès).

   La section Snapshot for date (Instantané pour date) est mise à jour pour afficher la métrique % Object Ownership bucket owner enforced (% de compartiments avec propriété d'objets Appliqué par le propriétaire du compartiment). Vous pouvez afficher le pourcentage global de compartiments dans votre compte ou votre organisation qui utilisent le paramètre de propriété d'objets Appliqué par le propriétaire du compartiment, afin de désactiver les listes ACL.

Étape 2 : identifier les tendances au niveau du compartiment relatives aux paramètres de propriété d'objets

1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

2. Dans le panneau de navigation de gauche, choisissez Storage Lens, Dashboards (Tableaux de bord).

3. Dans la liste Dashboards (Tableaux de bord), choisissez le nom du tableau de bord que vous souhaitez afficher.

4. Pour afficher des métriques plus détaillées au niveau du compartiment, choisissez l'onglet Bucket (Compartiment).

5. Dans la section Distribution by buckets for date (Distribution par compartiments pour date), choisissez la métrique % Object Ownership bucket owner enforced (% de compartiments avec propriété d'objets Appliqué par le propriétaire du compartiment).

   Le graphique est mis à jour pour montrer la répartition par compartiment pour % Object Ownership bucket owner enforced (% de compartiments avec propriété d'objets Appliqué par le propriétaire du compartiment). Vous pouvez voir quels compartiments utilisent le paramètre de propriété d'objets Appliqué par le propriétaire du compartiment afin de désactiver les listes ACL.

6. Pour voir les paramètres Appliqué par le propriétaire du compartiment en contexte, faites défiler l'affichage jusqu'à la section Buckets (Compartiments). Pour Metrics categories (Catégories de métriques), sélectionnez Access management (Gestion des accès). Effacez ensuite Summary (Résumé).

   La liste Buckets (Compartiments) affiche les données relatives aux trois paramètres de propriété d'objets : Appliqué par le propriétaire du compartiment, Préféré par le propriétaire du compartiment et Enregistreur d'objets.

7. Pour filtrer la liste Buckets (Compartiments) afin d'afficher des métriques uniquement pour un paramètre de propriété d'objets spécifique, choisissez l'icône des préférences ( ).

8. Effacez les métriques que vous ne souhaitez pas afficher.

9. (Facultatif) Sous Page size (Taille de page), choisissez le nombre de compartiments à afficher dans la liste.

10. Choisissez Confirm (Confirmer).

Étape 3 : mettre à jour votre paramètre de propriété d'objets sur Appliqué par le propriétaire du compartiment afin de désactiver les listes ACL

Après avoir identifié les compartiments qui utilisent le paramètre de propriété d'objets Enregistreur d'objets ou Préféré par le propriétaire du compartiment, vous pouvez migrer vos autorisations ACL vers des politiques de compartiments. Lorsque vous avez terminé la migration de vos autorisations ACL, vous pouvez mettre à jour vos paramètres de propriété d'objets sur Appliqué par le propriétaire du compartiment, afin de désactiver les listes ACL. Pour de plus amples informations, veuillez consulter Conditions préalables à la désactivation ACLs.