Comment puis-je me connecter de façon privée à mon compartiment Amazon S3 sans utiliser d'authentification ?

Dernière mise à jour : 10/11/2020

Je souhaite accéder de façon privée à mon compartiment Amazon Simple Storage Service (Amazon S3) sans utiliser d'authentification comme les informations d'identification AWS Identity and Access Management (IAM). Comment dois-je procéder ?

Brève description

Vous pouvez accéder de façon privée à un compartiment S3 sans authentification lorsque vous y accédez à partir d'un Amazon Virtual Private Cloud (Amazon VPC) doté d'un point de terminaison Amazon S3.

Procédez comme suit pour configurer l'accès au point de terminaison d'un VPC au compartiment S3 :

  1. Créez un point de terminaison d'un VPC pour Amazon S3.
  2. Ajoutez une stratégie de compartiment qui autorise l'accès depuis le point de terminaison d'un VPC.

Résolution

Avant de commencer, vous devez créer un VPC à partir duquel vous allez accéder au compartiment.

Créer un point de terminaison d'un VPC pour Amazon S3

  1. Ouvrez la console Amazon VPC.
  2. Utilisez le sélecteur de région dans la barre de navigation et définissez la région AWS sur la même région que le VPC que vous souhaitez utiliser.
  3. Dans le volet de navigation, sélectionnez Endpoints (Points de terminaison).
  4. Choisissez Create Endpoint (Créer un point de terminaison).
  5. Pour Catégorie de services, assurez-vous que les services AWS sont sélectionnés.
  6. Pour Nom du service, sélectionnez le nom du service qui inclut « s3 ». Par exemple, le nom du service dans la région USA Est (Virginie du Nord) est com.amazonaws.us-east-1.s3.
  7. Pour VPC, sélectionnez le VPC que vous souhaitez utiliser.
  8. Pour Configurer les tables de routage, sélectionnez les tables de routage basées sur les sous-réseaux associés auxquels vous souhaitez accorder l'accès à partir du point de terminaison.
  9. Pour Stratégie, assurez-vous de sélectionner Accès complet.
  10. Choisissez Create Endpoint (Créer un point de terminaison).
  11. Notez l'ID du point de terminaison VPC. Vous en aurez besoin lors d'une étape ultérieure.

Ajouter une stratégie de compartiment qui autorise l'accès depuis le point de terminaison VPC

Mettez à jour votre stratégie de compartiment en ajoutant une condition qui permet aux utilisateurs d'accéder au compartiment S3 lorsque la demande provient du point de terminaison VPC que vous avez créé. Pour autoriser ces utilisateurs à télécharger des objets (s3:GetObject), vous pouvez utiliser une stratégie de compartiment similaire à ce qui suit :

Remarque : pour aws:sourceVpce, saisissez l'ID du point de terminaison VPC que vous avez créé.

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Effect": "Allow",
       "Resource": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"],
       "Condition": {
         "StringEquals": {
           "aws:sourceVpce": "vpce-1a2b3c4d"
         }
       }
     }
   ]
}

Important : cette stratégie autorise l'accès depuis le point de terminaison VPC, mais elle n’empêche pas l’accès depuis l'extérieur du point de terminaison. Si un utilisateur du même compte est authentifié, cette stratégie lui permet toujours d'accéder au compartiment depuis l'extérieur du point de terminaison VPC. Si vous avez besoin d'une stratégie de compartiment plus restrictive, utilisez-en une qui refuse explicitement l'accès à toutes les demandes provenant de l'extérieur du point de terminaison.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?