Comment puis-je modifier la propriété d'un objet pour un compartiment Amazon S3 lorsque les objets sont chargés par d'autres comptes AWS ?

Dernière mise à jour : 17/12/2021

J'essaie de changer la propriété d'objets dans un compartiment Amazon Simple Storage Service (Amazon S3) à l'aide de la fonction de propriété d'objets S3. Comment dois-je procéder ?

Brève description

Important : les objets dans S3 ne sont plus automatiquement détenus par le compte AWS qui les charge.

Comme le paramètre Propriétaire du compartiment est appliqué dans Propriété de l'objet S3, tous les objets d'un compartiment Amazon S3 sont détenus par le propriétaire du compartiment. La fonction Appliquée par le propriétaire du compartiment désactive également toutes les listes de contrôle d'accès (ACL), ce qui simplifie la gestion des accès pour les données stockées dans S3.

Par défaut, le paramètre Appliqué par le propriétaire du compartiment est activé pour tout compartiment nouvellement créé. Toutefois, pour les compartiments existants, un objet Amazon S3 est toujours détenu par le compte AWS qui l'a chargé, sauf si vous désactivez explicitement les ACL. Pour modifier la propriété des objets d'un compartiment existant, consultez Comment puis-je modifier la propriété des objets publics dans mon compartiment S3 ?

Résolution

Modification de la propriété des objets chargés par d'autres comptes AWS

Remarque : avant d'utiliser le paramètre Propriété de l'objet S3 pour modifier la propriété d'un objet pour un compartiment, assurez-vous d'avoir accès à l'action s3:PutBucketOwnershipControls. Autrement, vous ne pouvez pas accéder à la propriété des objets d'un compartiment. Pour en savoir plus sur les autorisations S3, consultez la section Actions, ressources et clés de condition pour Amazon S3.

Modification de la propriété des objets d'un compartiment Amazon S3 existant (désactiver les ACL)

Si vous essayez de modifier la propriété des objets d'un compartiment Amazon S3 existant, choisissez l'option ACL désactivée sous Propriété de l'objet S3. Cette option autorise le propriétaire du compartiment à contrôler totalement tous les objets du compartiment S3 et transfère la propriété au compte du propriétaire du compartiment.

L'utilisation de cette option n'affecte plus les autorisations d'accès aux données de votre compartiment S3. En revanche, elle modifie la propriété de tous les objets du compartiment, y compris les objets existants et ceux que vous ajoutez après avoir défini l'option ACL désactivée. Pour définir le contrôle d'accès, utilisez une politique de compartiment.

Remarque : si vos ACL existantes accordent l'accès à un compte AWS externe ou à tout autre groupe, le paramètre appliqué par le propriétaire du compartiment ne fonctionne pas. Pour appliquer le paramètre appliqué par le propriétaire du compartiment, votre ACL du compartiment doit donner un contrôle total uniquement au propriétaire du compartiment. Avant d'activer le paramètre appliqué par le propriétaire du compartiment, consultez la section Conditions préalables à la désactivation des ACL.

Accorder l'accès aux objets chargés par d'autres comptes AWS (activer les ACL)

Dans la liste des ACL activées, choisissez l'option Propriétaire du compartiment préféré sous Propriété de l'objet S3. Tous les nouveaux objets chargés dans ce compartiment appartiennent au propriétaire du compartiment avec l'ACL par défaut bucket-owner-full-control du compartiment. Toutefois, le paramètre Préféré du propriétaire du compartiment n'affecte pas la propriété des objets existants. Pour en savoir plus sur le paramètre Préféré du propriétaire du compartiment et les ACL, consultez la section Application de la propriété des objets Amazon S3 dans un environnement à plusieurs comptes.

Modification de la propriété de l'objet sur le compte AWS qui l'a chargé (activer les ACL)

Pour transférer la propriété de l'objet vers le compte AWS qui a chargé l'objet, activez l'option Rédacteur d'objets sous « Propriété de l'objet » S3. Cette option permet de garantir la propriété de l'objet par le compte AWS qui l'a chargé. Le propriétaire de l'objet a alors un contrôle total sur l'objet et peut accorder à d'autres utilisateurs l'accès à l'objet à l'aide des ACL.