Fonctionnement des points d’accès S3

Diagram_S3_Access_Points

Chaque point d’accès S3 est configuré avec une stratégie d’accès spécifique à un cas d’utilisation ou à une application. Par exemple, pour votre compartiment S3, vous pouvez créer un point d’accès qui accorde l’accès à votre data lake à des groupes d’utilisateurs ou d’applications. Un point d’accès S3 peut être dédié à un seul utilisateur ou à une seule application ou à des groupes d’utilisateurs ou d’applications, permettant ainsi une gestion séparée de chaque point d’accès.

Chaque point d’accès est associé à un seul compartiment et contient un contrôle de l’origine réseau et un autre de blocage de l’accès public. Par exemple, vous pouvez créer un point d’accès avec un contrôle de l’origine réseau qui n’autorise l’accès au stockage que depuis votre Virtual Private Cloud, une section isolée de manière logique du Cloud AWS. Vous pouvez également créer un point d’accès dont la stratégie est configurée pour n’autoriser l’accès qu’à des objets ayant un préfixe défini, tel que « finance ».

Chaque point d’accès contenant un nom DNS unique, vous pouvez aujourd’hui donner à des compartiments existants et nouveaux le nom de votre choix, pour autant que ce nom soit unique dans le compte et la région AWS. Lors de l’utilisation de points d’accès limités à un VPC, vous disposez désormais d’un moyen simple et auditable pour vous assurer que les données S3 restent dans votre VPC. En outre, vous pouvez maintenant utiliser des stratégies de contrôle des services AWS pour exiger que tout nouveau point d’accès de leur organisation soit limité exclusivement à l’accès VPC.

Utilisation des points d’accès S3

Les points d’accès S3 simplifient la gestion de l’accès aux données pour votre application configurée pour vos jeux de données partagés sur S3. Vous ne devez plus gérer une stratégie de compartiment unique et complexe avec des centaines de règles d’autorisation différentes qu’il faut écrire, lire, suivre et auditer. Grâce aux points d’accès S3, vous pouvez désormais créer des points d’accès spécifiques à une application et autorisant l’accès aux jeux de données partagés avec des stratégies adaptées pour cette application spécifique.

  • Grands jeux de données partagés : en utilisant des points d’accès, vous pouvez décomposer la stratégie générale d’un compartiment en plusieurs stratégies de point d’accès séparées pour chaque application qui doit accéder au jeu de données partagé. Cela permet de se concentrer sur la définition de la stratégie d’accès correcte pour une application, sans devoir se préoccuper du risque de perturber ce qu’une autre application fait dans le jeu de données partagé.
  • Limitation de l’accès à un VPC : un point d’accès S3 peut limiter l’accès à tout le stockage S3 en exigeant qu’il soit effectué à partir d’un Virtual Private Cloud (VPC). Vous pouvez aussi créer une stratégie de contrôle de service (SCP) et exiger que tous les points d’accès soient limités au Virtual Private Cloud (VPC), créant ainsi un pare-feu pour vos données au sein de vos réseaux privés.
  • Test de nouvelles stratégies d’accès : les points d’accès permettent de tester aisément de nouvelles stratégies d’accès avant la migration des applications sur le point d’accès, ou avant de copier la stratégie sur un point d’accès existant.
  • Limitation de l’accès à des ID de compte spécifiques : avec les points d’accès S3, il est possible de spécifier des stratégies de point de terminaison d’un VPC qui n’autorisent l’accès qu’aux points d’accès (et donc aux compartiments) appartenant à des ID de compte spécifiques. Cela simplifie la création de stratégies d’accès qui autorisent l’accès à des compartiments au sein du même compte, tout en rejetant tout autre accès S3 via le point de terminaison d’un VPC.
  • Spécification d’un nom unique : les points d’accès S3 vous permettent de spécifier le nom de votre choix, pour autant qu’il soit unique dans le compte et la région. Vous pouvez, par exemple, désormais avoir un point d’accès « test » dans chaque compte et région.

Que vous créiez un point d’accès pour l’ingestion de données, la transformation, l’accès limité en lecture ou l’accès illimité, l’utilisation de points d’accès S3 simplifie le travail de création et de maintenance de l’accès aux compartiments S3 partagés.

Mise en route avec les points d’accès S3

Vous pouvez commencer à créer des points d’accès, sans frais supplémentaires, sur des compartiments nouveaux ou existants via AWS Management Console, l’interface de ligne de commande (CLI) AWS, l’interface de programmation d’applications (API) et le client kit de développement logiciel (SDK) AWS. Vous pouvez aisément ajouter, afficher et supprimer des points d’accès ainsi que modifier des stratégies de point d’accès via la console S3 et l’interface de ligne de commande (CLI). Vous pouvez écrire des stratégies de point d’accès exactement de la même manière qu’une stratégie de compartiment en utilisant des règles IAM pour le contrôle des autorisations.

L’utilisation de modèles CloudFormation facilitera votre prise en main des points d’accès. Vous pouvez surveiller et auditer les opérations des points d’accès, telles que la création et la suppression de points d’accès, via les journaux AWS CloudTrail. Le contrôle de l’utilisation des points d’accès est possible grâce à la prise en charge par AWS Organizations des stratégies de contrôle de service (SCP) AWS.

Product-Page_Standard-Icons_01_Product-Features_SqInk
En savoir plus sur la tarification du produit

Paiement en fonction de l'utilisation. Il n'y a pas de frais minimums.

En savoir plus 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Créer gratuitement un compte

Obtenez un accès instantané à l'offre gratuite d'AWS. 

S'inscrire 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Commencer à créer sur la console

Commencez à créer avec Amazon S3 dans AWS Management Console.

Se connecter