Principaux Ressources Actions pour les compartiments de répertoire Clés de condition pour les compartiments de répertoire

Autoriser un point de terminaison APIs régional avec IAM

AWS Identity and Access Management (IAM) est un outil Service AWS qui permet aux administrateurs de contrôler en toute sécurité l'accès aux AWS ressources. IAMles administrateurs contrôlent qui peut être authentifié (connecté) et autorisé (autorisé) à utiliser les ressources Amazon S3 dans S3 Express One Zone. Vous pouvez IAM l'utiliser sans frais supplémentaires.

Par défaut, les utilisateurs ne disposent pas d’autorisations pour les compartiments de répertoires et les opérations S3 Express One Zone. Pour accorder des autorisations d'accès aux compartiments d'annuaire, vous pouvez IAM créer des utilisateurs, des groupes ou des rôles et associer des autorisations à ces identités. Pour plus d'informationsIAM, consultez la section Bonnes pratiques en matière de sécurité IAM dans le guide de IAM l'utilisateur.

Pour fournir l’accès, vous pouvez ajouter des autorisations à vos utilisateurs, groupes ou rôles via les méthodes suivantes :

Utilisateurs et groupes dans AWS IAM Identity Center : créez un ensemble d'autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .
Utilisateurs gérés IAM via un fournisseur d'identité : créez un rôle pour la fédération d'identités. Suivez les instructions de la section Création d'un rôle pour un fournisseur d'identité tiers (fédération) dans le guide de IAM l'utilisateur.
IAMrôles et utilisateurs : créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la section Création d'un rôle pour déléguer des autorisations à un IAM utilisateur dans le Guide de IAM l'utilisateur.

Pour plus d'informations sur IAM S3 Express One Zone, consultez les rubriques suivantes.

Rubriques

Principaux

Lorsque vous créez une politique basée sur les ressources pour accorder l’accès à vos compartiments, vous devez utiliser l’élément Principal pour spécifier la personne ou l’application qui peut effectuer une demande d’action ou d’opération sur cette ressource. Pour des politiques de compartiment de répertoires, vous pouvez utiliser les principaux suivants :

Un AWS compte
Un IAM utilisateur
Un IAM rôle
Un utilisateur fédéré

Pour plus d’informations, consultez .Principal dans le guide de l'utilisateur IAM.

Ressources

Amazon Resource Names (ARNs) pour les compartiments de répertoire contient l's3expressespace de noms Région AWS, l'ID de AWS compte et le nom du compartiment de répertoire, qui inclut l'ID de zone de disponibilité. Pour accéder à votre bucket de répertoire et y effectuer des actions, vous devez utiliser le ARN format suivant :


arn:aws:s3express:region:account-id:bucket/base-bucket-name--zone-id--x-s3

Pour plus d'informations surARNs, voir Amazon Resource Names (ARNs) dans le guide de l'utilisateur IAM. Pour plus d'informations sur les ressources, voir Éléments IAM JSON de politique : Resource dans le guide de l'utilisateur IAM.

Actions pour les compartiments de répertoire

Dans une stratégie IAM basée sur l'identité ou une stratégie basée sur les ressources, vous définissez les actions S3 autorisées ou refusées. Les actions correspondent à des API opérations spécifiques. Lorsque vous utilisez des compartiments de répertoire, vous pouvez utiliser l'espace de noms S3 Express One Zone pour accorder des autorisations. Cet espace de noms est s3express.

Lorsque vous autorisez l's3express:CreateSessionautorisation, cela permet à l'CreateSessionAPIopération de récupérer des jetons de session lors de l'accès aux opérations du point de terminaison zonal API (ou au niveau de l'objet). Ces jetons de session renvoient des informations d'identification qui sont utilisées pour accorder l'accès à toutes les autres API opérations du point de terminaison zonal. Par conséquent, vous n'êtes pas obligé d'accorder des autorisations d'accès aux API opérations zonales en utilisant des IAM politiques. Au lieu de cela, le jeton de session permet l’accès. Pour obtenir la liste des API opérations et des autorisations des points de terminaison zonaux, consultez Authentification et autorisation des demandes.

Pour plus d'informations sur les API opérations des terminaux zonaux et régionaux, consultezMise en réseau pour les compartiments de répertoires. Pour en savoir plus sur l'CreateSessionAPIopération, voir CreateSessiondans le Amazon Simple Storage Service API Reference.

Vous pouvez spécifier les actions suivantes dans l'Actionélément d'une déclaration de IAM politique. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'APIopération portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs API opérations. L'accès aux actions au niveau du compartiment ne peut être accordé que dans le cadre de politiques IAM basées sur l'identité (utilisateur ou rôle) et non dans le cadre de politiques de compartiment.

Le tableau suivant présente les actions et les clés de condition.

Action	API	Description	Niveau d'accès	Clés de condition
`s3express:CreateBucket`	`CreateBucket`	Accorde l’autorisation de créer un nouveau compartiment.	Écrire	`s3express:authType` `s3express:LocationName` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:CreateSession`	Opérations des terminaux API zonaux	Accorde l'autorisation de créer un jeton de session, qui est utilisé pour accorder l'accès à toutes les API opérations zonales (au niveau de l'objet), telles que `CopyObjectPutObject`,,`GetObject`, `HeadBucket` etc.	Écrire	`s3express:authType` `s3express:SessionMode` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:signatureAge` `s3express:TlsVersion` `s3express:x-amz-content-sha256` `s3express:x-amz-server-side-encryption` `s3express:x-amz-server-side-encryption-aws-kms-key-id`
`s3express:DeleteBucket`	`DeleteBucket`	Accorde l'autorisation de supprimer le compartiment nommé dans leURI.	Écrire	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:DeleteBucketPolicy`	`DeleteBucketPolicy`	Accorde l’autorisation de supprimer la politique sur un compartiment spécifié.	Gestion des autorisations	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:GetBucketPolicy`	`GetBucketPolicy`	Accorde l’autorisation de renvoyer la politique du compartiment spécifié.	Lecture	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:GetEncryptionConfiguration`	`GetBucketEncryption`	Accorde l'autorisation de renvoyer la configuration de chiffrement par défaut d'un bucket de répertoire.	Lecture	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:ListAllMyDirectoryBuckets`	`ListDirectoryBuckets`	Accorde l’autorisation de répertorier tous les compartiments de répertoires appartenant à l’expéditeur authentifié de la demande.	Liste	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:PutBucketPolicy`	`PutBucketPolicy`	Accorde l’autorisation d’ajouter ou de remplacer une politique de compartiment sur un compartiment.	Gestion des autorisations	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:PutBucketPolicy`	`PutBucketPolicy`	Accorde l’autorisation d’ajouter ou de remplacer une politique de compartiment sur un compartiment.	Gestion des autorisations	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`
`s3express:PutEncryptionConfiguration`	`PutBucketEncryption` ou `DeleteBucketEncryption`	Accorde l'autorisation de définir la configuration de chiffrement pour un bucket d'annuaire	Écrire	`s3express:authType` `s3express:ResourceAccount` `s3express:signatureversion` `s3express:TlsVersion` `s3express:x-amz-content-sha256`

Clés de condition pour les compartiments de répertoire

Les clés de condition suivantes peuvent être utilisées dans l'Conditionélément d'une IAM politique. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique.

Clé de condition	Description	Type
`s3express:authType`	Filtre l’accès en fonction de la méthode d’authentification. Pour limiter les requêtes entrantes afin d'utiliser d'une méthode d'authentification spécifique, vous pouvez utiliser cette clé de condition facultative. Par exemple, vous pouvez utiliser cette clé de condition pour autoriser uniquement l'HTTP`Authorization`en-tête à être utilisé lors de l'authentification de la demande. Valeurs valides : `REST-HEADER`, `REST-QUERY-STRING`	Chaîne
`s3express:LocationName`	Filtre l'accès à l'`CreateBucket`APIopération en fonction d'un ID de zone de disponibilité (AZ ID) spécifique, par exemple`usw2-az1`. Exemple de valeur : `usw2-az1`	Chaîne
`s3express:ResourceAccount`	Filtre l'accès en fonction de l' Compte AWS identifiant du propriétaire de la ressource. Pour restreindre l'accès des utilisateurs, des rôles ou des applications aux compartiments de répertoire appartenant à un Compte AWS ID spécifique, vous pouvez utiliser la clé de `s3express:ResourceAccount` condition `aws:ResourceAccount` ou. Vous pouvez utiliser cette clé de condition soit dans AWS Identity and Access Management (IAM) les politiques d'identité, soit dans les politiques de point de terminaison du cloud privé virtuel (VPC). Par exemple, vous pouvez utiliser cette clé de condition pour VPC empêcher vos clients d'accéder à des compartiments dont vous n'êtes pas le propriétaire. Exemple de valeur : `111122223333`	Chaîne
`s3express:SessionMode`	Filtre l'accès en fonction de l'autorisation demandée par l'`CreateSession`APIopération. Par défaut, la session est `ReadWrite`. Vous pouvez utiliser cette clé de condition pour limiter l’accès à `ReadOnly` ou pour refuser explicitement l’accès `ReadWrite`. Pour plus d’informations, consultez Exemples de politiques de compartiment pour les compartiments de répertoire et CreateSessiondans le Amazon Simple Storage Service API Reference. Valeurs valides : `ReadWrite`, `ReadOnly`	Chaîne
`s3express:signatureAge`	Filtre l’accès en fonction de l’âge en millisecondes de la signature de la demande. Cette condition ne fonctionne que pour les versions présignées URLs. Dans AWS la version 4 de signature, la clé de signature est valide jusqu'à sept jours. Par conséquent, les signatures ne restent valides que pendant sept jours. Pour plus d'informations, consultez la section Présentation des demandes de signature dans le manuel Amazon Simple Storage Service API Reference. Vous pouvez utiliser cette condition pour limiter davantage la durée de la signature. Exemple de valeur : `600000`	Numérique
`s3express:signatureversion`	Identifie la version de AWS Signature que vous souhaitez prendre en charge pour les demandes authentifiées. Pour les demandes authentifiées, la version 4 de Signature est prise en charge. Valeur valide : `"AWS4-HMAC-SHA256"` (identifie la version 4 de la signature)	Chaîne
`s3express:TlsVersion`	Filtre l'accès en TLS fonction de la version utilisée par le client. Vous pouvez utiliser la clé de `s3:TlsVersion` condition pour écrire IAM des politiques de point de terminaison de cloud privé virtuel (VPCE) ou de compartiment qui limitent l'accès des utilisateurs ou des applications aux compartiments d'annuaire en fonction de la TLS version utilisée par le client. Vous pouvez également utiliser cette clé de condition pour écrire des politiques qui nécessitent une TLS version minimale. Exemple de valeur : `1.3`	Numérique
`s3express:x-amz-content-sha256`	Filtre l’accès en fonction du contenu non signé dans votre compartiment. Vous pouvez utiliser cette clé de condition pour interdire les contenus non signés dans votre compartiment. Lorsque vous utilisez Signature Version 4, pour les demandes qui utilisent l’en-tête `Authorization`, vous ajoutez l’en-tête `x-amz-content-sha256` dans le calcul de signature, puis définissez sa valeur sur la charge utile du hachage. Vous pouvez utiliser cette clé de condition dans votre politique de compartiment pour refuser tous les chargements où les charges utiles ne sont pas signées. Par exemple : Refuser les chargements qui utilisent l'en-tête `Authorization`pour authentifier les requêtes mais ne signent pas la charge utile. Pour plus d'informations, consultez la section Transférer la charge utile en un seul morceau dans le manuel Amazon Simple Storage Service API Reference. Refusez les téléchargements utilisant le URLsprésigné. Les présignés ont URLs toujours un`UNSIGNED_PAYLOAD`. Pour plus d'informations, consultez Authentification des demandes et méthodes d'authentification dans le manuel Amazon Simple Storage Service API Reference. Valeur valide : `UNSIGNED-PAYLOAD`	Chaîne
`s3express:x-amz-server-side-encryption`	Filtre l'accès en fonction du chiffrement côté serveur Valeurs valides : `"AWS256"`, `aws:kms`	Chaîne
`s3express:x-amz-server-side-encryption-aws-kms-key-id`	Filtre l'accès par clé gérée par AWS KMS le client pour le chiffrement côté serveur Exemple de valeur : `"arn:aws:kms:region:acct-id:key/key-id"`	ARN

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Authentification et autorisation des demandes

Politiques basées sur l’identité