Gestion de l'accès public vers un point d'accès multi-Régions Affichage des paramètres de blocage d'accès public pour un point d'accès multi-régions Utilisation d'une politique de point d'accès multi-régions Modification de la politique de point d'accès multi-régions Exemples de politique de point d'accès multi-régions

Autorisations

Les points d'accès multirégionaux Amazon S3 peuvent simplifier l'accès aux données pour plusieurs compartiments Amazon S3. Régions AWS Les points d'accès multi-régions sont des points de terminaison mondiaux nommés que vous pouvez utiliser pour effectuer des opérations sur les objets d'accès aux données Amazon S3, telles que GetObject et PutObject. Chaque point d'accès multi-régions peut comporter des autorisations et des contrôles de réseau distincts pour toute requête effectuée par le point de terminaison global.

Chaque point d'accès multi-régions peut également appliquer une stratégie d'accès personnalisée qui fonctionne conjointement avec la politique de compartiment attachée au compartiment sous-jacent. Pour qu'une demande entre comptes aboutisse, les règles suivantes doivent autoriser l'opération :

La politique de point d'accès multi-régions
La politique sous-jacente AWS Identity and Access Management (IAM)
La politique de compartiment sous-jacente (vers laquelle la requête est routée).

Note

Pour les demandes portant sur le même compte, seule la politique IAM sous-jacente, qui accorde l'accès approprié, est requise.

Vous pouvez configurer toute politique de point d'accès multi-régions pour qu'elle n'accepte que les requêtes provenant d'utilisateurs ou de groupes IAM spécifiques. Pour obtenir un exemple de la manière de procéder, consultez l'exemple 2 dans Exemples de politique de point d'accès multi-régions. Pour limiter l'accès aux données Amazon S3 à un réseau privé, vous pouvez configurer la politique de point d'accès multi-régions pour accepter les requêtes provenant uniquement d'un cloud privé virtuel (VPC).

Supposons, par exemple, que vous fassiez une GetObject demande via un point d'accès multirégional en utilisant un utilisateur appelé AppDataReader dans votre AWS compte. Pour vous assurer que la demande ne sera pas refusée, l'utilisateur AppDataReader doit se voir accorder l'autorisation s3:GetObject par le point d'accès multi-Régions et par chaque compartiment sous-jacent au point d'accès multi-Régions. AppDataReader ne sera pas en mesure de récupérer des données d'un compartiment qui n'octroie pas cette autorisation.

Important

La délégation du contrôle d'accès d'un compartiment à une politique de point d'accès multi-régions ne modifie pas le comportement du compartiment lorsqu'on y accède directement par son nom de compartiment ou Amazon Resource Name (ARN). Toutes les opérations effectuées directement sur le compartiment continueront à fonctionner comme avant. Les restrictions que vous incluez dans une politique de point d'accès multi-régions s'appliquent uniquement aux demandes effectuées via ce point d'accès.

Gestion de l'accès public vers un point d'accès multi-Régions

Les points d'accès multi-Régions prennent en charge des paramètres de blocage d’accès public indépendants pour chaque point d'accès multi-Régions. Lorsque vous créez un point d'accès multi-Régions, vous pouvez indiquer les paramètres de blocage d’accès public qui s'appliquent à ce point d'accès multi-Régions.

Note

Tous les paramètres de blocage de l'accès public qui sont activés dans Paramètres de blocage de l'accès public pour ce compte (dans votre propre compte) ou dans Paramètres de blocage public pour les compartiments externes s'appliquent, même si les paramètres indépendants de blocage de l'accès public pour votre point d'accès multi-régions sont désactivés.

Pour toute requête effectuée par le biais d'un point d'accès multi-régions, Amazon S3 évalue les paramètres de blocage de l'accès public pour les éléments suivants :

Le point d'accès multi-régions
Les compartiments sous-jacents (y compris les compartiments externes)
Le compte propriétaire du point d'accès multi-régions
Le compte propriétaire des compartiments sous-jacents (y compris les comptes externes)

Si l'un de ces paramètres indique que la demande doit être bloquée, Amazon S3 rejettera la demande. Pour en savoir de plus sur le blocage de l'accès public Amazon S3, consultez Blocage de l’accès public à votre stockage Amazon S3.

Important

Tous les paramètres de blocage de l’accès public sont activés par défaut pour les points d'accès. Vous devez désactiver explicitement tous les paramètres que vous ne souhaitez pas appliquer à un point d'accès multi-Régions.

Vous ne pouvez pas modifier les paramètres de blocage de l'accès public après la création du point d'accès multi-régions.

Affichage des paramètres de blocage d'accès public pour un point d'accès multi-régions

Pour afficher les paramètres de blocage d'accès public d'un point d'accès multi-régions, procédez comme suit

Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse http://console.aws.amazon.com/s3/.
Dans le panneau de navigation de gauche, choisissez Multi-Region Access Points (Points d'accès multi-régions).
Choisissez le nom du point d'accès multi-régions que vous voulez examiner.
Sélectionnez l’onglet Autorisations.
Sous Block Public Access settings for this Multi-Region Access Point (Bloquer les paramètres d'accès public pour ce point d'accès multi-régions), vérifiez les paramètres de blocage de l'accès public pour votre point d'accès multi-régions.

Note
Vous ne pouvez pas modifier les paramètres de blocage de l'accès public après la création du point d'accès multi-régions. Par conséquent, si vous avez l'intention de bloquer l'accès public, assurez-vous que vos applications fonctionnent correctement sans accès public avant de créer un point d'accès multi-régions.

Utilisation d'une politique de point d'accès multi-régions

L'exemple suivant de politique de point d'accès multi-régions accorde à un utilisateur IAM l'accès à la liste et au téléchargement de fichiers depuis votre point d'accès multi-régions. Pour utiliser cet exemple de politique, remplacez user input placeholders par vos propres informations.


 {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::123456789012:user/JohnDoe" 
         },
         "Action":[
            "s3:ListBucket",
            "s3:GetObject"
         ],
         "Resource":[
            "arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias",
            "arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias/object/*"
         ]
      }
   ]
}

Pour associer votre politique de point d'accès multi-régions au point d'accès multi-régions spécifié avec AWS Command Line Interface (AWS CLI), utilisez la commande put-multi-region-access-point-policy suivante. Pour utiliser cet exemple de commande, remplacez user input placeholders par vos propres informations. Chaque point d'accès multi-régions ne peut avoir qu'une seule politique, donc une demande faite à l'action put-multi-region-access-point-policy remplace toute politique existante associée au point d'accès multi-régions spécifié.

Pour interroger les résultats de l'opération précédente, utilisez la commande suivante :

Pour récupérer votre politique de point d'accès multi-régions, utilisez la commande suivante :

Modification de la politique de point d'accès multi-régions

La politique de point d'accès multi-régions (écrite en JSON) fournit un accès de stockage aux compartiments Amazon S3 qui sont utilisés avec ce point d'accès multi-régions. Vous pouvez autoriser ou empêcher des principaux spécifiques d'effectuer diverses actions sur votre point d'accès multi-régions. Lorsqu'une requête est routée vers un compartiment via le point d'accès multi-régions, les stratégies d'accès du point d'accès multi-régions et du compartiment s'appliquent. La stratégie d'accès la plus restrictive a toujours la priorité.

Note

Si un compartiment contient des objets appartenant à d'autres comptes, la politique du point d'accès multi-régions ne s'applique pas aux objets appartenant à d'autres Comptes AWS.

Après avoir appliqué une politique de point d'accès multi-régions, la politique ne peut pas être supprimée. Vous pouvez soit modifier la politique, soit créer une nouvelle politique qui écrase la politique existante.

Pour modifier la politique de point d'accès multi-régions

Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse http://console.aws.amazon.com/s3/.
Dans le panneau de navigation de gauche, choisissez Multi-Region Access Points (Points d'accès multi-régions).
Choisissez le nom du point d'accès multi-régions pour lequel vous souhaitez modifier la politique.
Sélectionnez l’onglet Autorisations.
Faites défiler vers le bas jusqu'à la section Multi-Region Access Point policy (Politique de point d'accès multi-régions). Choisissez Edit (Modifier) pour mettre à jour la politique (en JSON).
La page Edit Multi-Region Access Point policy (Modifier la politique de point d'accès multi-régions) s'affiche. Vous pouvez soit saisir la politique directement dans le champ de texte, soit choisir Add statement (Ajouter une instruction) pour sélectionner les éléments de la politique dans une liste déroulante.

Note
La console affiche automatiquement l'Amazon Resource Name (ARN) du point d'accès multi-régions, que vous pouvez utiliser dans la politique. Pour obtenir des exemples de politique de point d'accès multi-régions, consultez Exemples de politique de point d'accès multi-régions.

Exemples de politique de point d'accès multi-régions

Politiques de ressources de prise en charge AWS Identity and Access Management (IAM) des points d'accès multirégionaux Amazon S3. Ces politiques peuvent contrôler l'utilisation du point d'accès multi-régions par ressource, par utilisateur ou d'autres conditions. Pour qu'une application ou un utilisateur puisse accéder à des objets par le biais d'un point d'accès multi-régions, le point d'accès multi-régions et le compartiment sous-jacent doivent tous deux permettre le même accès.

Pour autoriser le même accès à la fois au point d'accès multi-régions et au compartiment sous-jacent, effectuez l'une des opérations suivantes :

(Recommandé) Pour simplifier les contrôles d'accès lors de l'utilisation d'un point d'accès multi-régions Amazon S3, déléguez le contrôle d'accès pour le compartiment Amazon S3 au point d'accès multi-régions. Pour obtenir un exemple de la manière de procéder, reportez-vous à l'exemple 1 de cette section.
Ajoutez les mêmes autorisations contenues dans la politique de point d'accès multi-régions à la politique de compartiment sous-jacente.

Important

Exemple 1 : délégation de l'accès à des points d'accès multi-régions spécifiques dans votre politique de compartiment (pour le même compte ou intercompte)

L'exemple suivant de politique de compartiment permet un accès complet à un point d'accès multi-régions spécifique. Cela signifie que tout accès à ce compartiment est contrôlé par les politiques qui sont attachées au point d'accès multi-régions. Nous vous recommandons de configurer vos compartiments de cette façon pour tous les cas d’utilisation qui ne demandent pas d’accès direct au compartiment. Vous pouvez utiliser cette structure de politique de compartiment pour les points d'accès multi-régions du même compte ou d'un autre compte.


{
    "Version": "2012-10-17",
    "Statement" : [
    {
        "Effect": "Allow",
        "Principal" : { "AWS": "*" },
        "Action" : "*",
        "Resource" : [ "Bucket ARN", "Bucket ARN/*"],
        "Condition": {
            "StringEquals" : { "s3:DataAccessPointArn" : "MultiRegionAccessPoint_ARN" }
        }
    }]
}

Note

Si vous accordez l'accès à plusieurs points d'accès multi-régions, assurez-vous de lister chaque point d'accès multi-régions.

Exemple 2 : accorder l'accès d'un compte à un point d'accès multi-régions dans votre politique de point d'accès multi-régions

La stratégie de point d'accès multi-région suivante accorde l'autorisation au compte 123456789012 de lister et de lire les objets contenus dans le point d'accès multi-région défini par MultiRegionAccessPoint_ARN.


{
  "Version":"2012-10-17",
  "Statement": [
    {
       "Effect": "Allow",
       "Principal": {
          "AWS":"arn:aws:iam::123456789012:user/JohnDoe"
       },
       "Action":[
          "s3:ListBucket",
          "s3:GetObject"
       ],
       "Resource":[ 
          "MultiRegionAccessPoint_ARN",
          "MultiRegionAccessPoint_ARN/object/*"
       ]
     }
  ]
}

Exemple 3 – Stratégie de point d'accès multi-région autorisant le listage des compartiments

La stratégie de point d'accès multi-région suivante accorde l'autorisation au compte 123456789012 de lister les objets contenus dans le point d'accès multi-région défini par MultiRegionAccessPoint_ARN.


{
   "Version":"2012-10-17",
   "Statement": [
      {
       "Effect": "Allow",
       "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/JohnDoe"
        },
        "Action": "s3:ListBucket",
        "Resource": "MultiRegionAccessPoint_ARN"
       }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation de points d'accès multi-régions

Restrictions et limitations