Je souhaite accéder de façon privée à mon compartiment Amazon Simple Storage Service (Amazon S3) sans utiliser d'authentification comme les informations d'identification AWS Identity and Access Management (IAM). Comment faire ? 

Vous pouvez accéder de façon privée à un compartiment S3 sans authentification lorsque vous y accédez à partir d'un Amazon Virtual Private Cloud (Amazon VPC) doté d'un point de terminaison à Amazon S3.

Procédez comme suit pour configurer l'accès au point de terminaison d'un VPC au compartiment S3 :

  1. Créez un point de terminaison d'un VPC pour Amazon S3.
  2. Ajoutez une stratégie de compartiment qui autorise l'accès depuis le point de terminaison d'un VPC.

Avant de commencer, vous devez créer un VPC à partir duquel vous allez accéder au compartiment.

Créer un point de terminaison d'un VPC pour Amazon S3

  1. Ouvrez la console Amazon VPC.
  2. Utilisez le sélecteur de région dans la barre de navigation et définissez la région AWS sur la même région que le VPC que vous souhaitez utiliser.
  3. Dans le volet de navigation, sélectionnezPoints de terminaison.
  4. Sélectionnez Créer point de terminaison.
  5. Pour Catégorie de services, assurez-vous que les services AWS sont sélectionnés.
  6. Pour Nom du service, sélectionnez le nom du service qui inclut « s3 ». Par exemple, le nom du service dans la région USA Est (Virginie du Nord) est com.amazonaws.us-east-1.s3.
  7. Pour VPC, sélectionnez le VPC que vous souhaitez utiliser.
  8. Pour Configurer les tables de routage, sélectionnez les tables de routage basées sur les sous-réseaux associés auxquels vous souhaitez accorder l'accès au point de terminaison.
  9. Pour Stratégie, assurez-vous de sélectionner Accès complet.
  10. Sélectionnez Créer point de terminaison.
  11. Prenez note de l'ID du point de terminaison VPC. Vous aurez besoin de cet ID lors d'une étape ultérieure.

Ajouter une stratégie de compartiment qui autorise l'accès depuis le point de terminaison d'un VPC

Mettez à jour votre stratégie de compartiment en ajoutant une condition qui permet aux utilisateurs d'accéder au compartiment S3 lorsque la demande provient du point de terminaison d'un VPC que vous avez créé. Pour autoriser ces utilisateurs à télécharger des objets, vous pouvez utiliser une stratégie de compartiment similaire à ce qui suit :

Remarque : pour la valeur de aws:sourceVpce, saisissez l'ID du point de terminaison d'un VPC du point de terminaison que vous avez créé.

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Effect": "Allow",
       "Resource": ["arn:aws:s3:::awsexamplebucket/*"],
       "Condition": {
         "StringEquals": {
           "aws:sourceVpce": "vpce-1a2b3c4d"
         }
       }
     }
   ]
}

Important : cette stratégie autorise l'accès depuis le point de terminaison d'un VPC, mais elle ne refuse pas tous les accès depuis l'extérieur du point de terminaison. Si un utilisateur du même compte est authentifié, cette stratégie lui permet toujours d'accéder au compartiment depuis l'extérieur du point de terminaison d'un VPC. Si vous avez besoin d'une stratégie de compartiment plus restrictive, utilisez-en une qui refuse explicitement l'accès à toutes les demandes provenant de l'extérieur du point de terminaison. 


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support.

Date de publication : 03/06/2019