Fonctionnement des points d’accès S3

Diagram_S3_Access_Points

Chaque point d’accès S3 est configuré avec une stratégie d’accès spécifique à un cas d’utilisation ou à une application. Par exemple, pour votre compartiment S3, vous pouvez créer un point d'accès qui accorde l'accès à votre lac de données à des groupes d'utilisateurs ou d'applications. Un point d'accès peut prendre en charge un seul utilisateur ou une seule application, ou des groupes d'utilisateurs ou d'applications au sein d'un même compte ou entre plusieurs comptes, ce qui permet une gestion distincte de chaque point d'accès.

Chaque point d'accès est associé à un seul compartiment et contient un contrôle de l'origine réseau et un contrôle de blocage de l'accès public. Par exemple, vous pouvez créer un point d'accès avec un contrôle de l'origine réseau qui n'autorise l'accès au stockage que depuis votre cloud privé virtuel, une section isolée de manière logique du cloud AWS. Vous pouvez également créer un point d'accès dont la politique est configurée pour n'autoriser l'accès qu'à des objets ayant un préfixe défini, ou des étiquètes spécifiques.

Vous pouvez accéder aux données dans les compartiments partagés par le biais d'un point d'accès de l'une des deux manières suivantes. Pour les opérations sur les objets S3, vous pouvez utiliser le point d'accès ARN à la place d'un nom de compartiment. Pour les demandes nécessitant un nom de compartiment au format standard S3, vous pouvez utiliser un alias de point d'accès à la place. Les alias de points d'accès S3 sont automatiquement générés et interchangeables avec les noms de compartiments S3 partout où vous utilisez un nom de compartiment pour l'accès aux données. Chaque fois que vous créez un point d'accès pour un compartiment, S3 génère automatiquement un nouvel alias de point d'accès. Pour l'ensemble des opérations compatibles et des services AWS, consultez la documentation S3.

Utilisation des points d'accès S3

Les points d’accès S3 simplifient la gestion de l’accès aux données pour votre application configurée pour vos jeux de données partagés sur S3. Vous ne devez plus gérer une stratégie de compartiment unique et complexe avec des centaines de règles d'autorisation différentes qu'il faut écrire, lire, suivre et auditer. Grâce aux points d’accès S3, vous pouvez désormais créer des points d’accès spécifiques à une application et autorisant l’accès aux jeux de données partagés avec des stratégies adaptées pour cette application spécifique.

  • Grands jeux de données partagés : en utilisant des points d’accès, vous pouvez décomposer la stratégie générale d’un compartiment en plusieurs stratégies de point d’accès séparées pour chaque application qui doit accéder au jeu de données partagé. Cela permet de se concentrer sur la création de la stratégie d'accès idéale pour une application, sans devoir se préoccuper du risque de perturber ce qu'une autre application fait dans l'ensemble de données partagé.
  • Copiez des données en toute sécurité : copiez des données en toute sécurité et à grande vitesse entre des points d'accès de même région à l'aide de l'API de copie S3 en utilisant les réseaux internes et les VPC d'AWS.
  • Limitation de l'accès à un VPC : un point d'accès S3 peut limiter l'accès à tout le stockage S3 en exigeant qu'il soit effectué à partir d'un Virtual Private Cloud (VPC). Vous pouvez aussi créer une stratégie de contrôle de service (SCP) et exiger que tous les points d’accès soient limités au Virtual Private Cloud (VPC), créant ainsi un pare-feu pour vos données au sein de vos réseaux privés.
  • Test de nouvelles stratégies d’accès : les points d’accès permettent de tester aisément de nouvelles stratégies d’accès avant la migration des applications sur le point d’accès, ou avant de copier la stratégie sur un point d’accès existant.
  • Limitation de l’accès à des ID de compte spécifiques : avec les points d’accès S3, il est possible de spécifier des stratégies de point de terminaison d’un VPC qui n’autorisent l’accès qu’aux points d’accès (et donc aux compartiments) appartenant à des ID de compte spécifiques. Cela simplifie la création de stratégies d’accès qui autorisent l’accès à des compartiments au sein du même compte, tout en rejetant tout autre accès S3 via le point de terminaison d’un VPC.
  • Spécification d’un nom unique : les points d’accès S3 vous permettent de spécifier le nom de votre choix, pour autant qu’il soit unique dans le compte et la région. Par exemple, vous pouvez désormais avoir un point d'accès « test » dans chaque compte et région.

L'utilisation des points d'accès S3 simplifie le travail de création, de partage et de maintien de l'accès aux données dans vos compartiments S3 partagés, que vous créiez un point d'accès pour l'ingestion ou la transformation de données, l'accès restreint en lecture ou l'accès illimité.

Mise en route avec les points d’accès S3

Vous pouvez commencer à créer des points d’accès, sans frais supplémentaires, sur des compartiments nouveaux ou existants via AWS Management Console, l’interface de ligne de commande (CLI) AWS, l’interface de programmation d’applications (API) et le client kit de développement logiciel (SDK) AWS. Vous pouvez aisément ajouter, afficher et supprimer des points d’accès ainsi que modifier des stratégies de point d’accès via la console S3 et l’interface de ligne de commande (CLI). Vous pouvez écrire des stratégies de point d’accès exactement de la même manière qu’une stratégie de compartiment en utilisant des règles IAM pour le contrôle des autorisations.

L’utilisation de modèles CloudFormation facilitera votre prise en main des points d’accès. Vous pouvez surveiller et auditer les opérations des points d'accès, telles que la création et la suppression de points d'accès, via les journaux AWS CloudTrail. Le contrôle de l'utilisation des points d'accès est possible grâce à la prise en charge par AWS Organizations des politiques de contrôle de service (SCP) AWS.

Consultez la documentation sur les points d'accès S3 pour en savoir plus.

Standard Product Icons (Features) Squid Ink
En savoir plus sur Amazon S3

Stockage créé pour conserver les données quelle que soit leur volume ou leur emplacement.

En savoir plus 
Sign up for a free account
Créer gratuitement un compte

Obtenez un accès instantané à l'offre gratuite d'AWS. 

S'inscrire 
Standard Product Icons (Start Building) Squid Ink
Commencer à créer sur la console

Commencez à créer avec Amazon S3 dans AWS Management Console.

Se connecter