Au lieu d'ajouter un autre utilisateur IAM à votre compte Amazon S3, vous pouvez leur accorder un accès avec des données d'identification de sécurité temporaires et un jeton de session. Vous pouvez également créer un rôle ARN (nom de ressource Amazon) et accorder la permission à ce rôle pour accéder au compte. L'utilisateur de confiance peut alors utiliser le rôle.
Vous pouvez affecter des règles de rôle aux données d'identification temporaires pour limiter les droits d'accès. Par exemple, vous pouvez affecter un accès en lecture seule ou un accès à un compartiment S3 particulier.
Vous pouvez configurer l'une des combinaisons d'authentification suivantes :
- Clé d'accès, Clé secrète et Jeton de session
- Clé d'accès, Clé secrète, Rôle ARN, Nom de session de rôle et la durée en secondes facultative
- Clé d'accès, Clé secrète, Rôle ARN, Nom de session de rôle, ID externe et la durée en secondes facultative
Clé d'accès, clé secrète et jeton de session
Utilisez les opérations AWS Security Token Service (AWS STS) dans l'API AWS pour obtenir des données d'identification de sécurité temporaires. Ces données d'identification sont constituées d'une clé d'accès, d'une clé secrète et d'un jeton de session qui expire dans un délai configurable. Pour plus d'informations, consultez la documentation AWS: Demande d'identifiants de sécurité temporaires.
Clé d'accès, Clé secrète, Rôle ARN, Nom de la session de rôle et Durée en secondes optionnelle
Si une autre personne possède son propre compte S3, vous pouvez créer un rôle temporaire pour cette personne pour accéder à votre compte S3. Créez le rôle à l'aide de la console de gestion AWS ou de l'interface de ligne de commande AWS. Voir Création d'un rôle pour déléguer des autorisations à un utilisateur IAM.
Le rôle ARN est le nom de ressource Amazon pour le rôle de la connexion.
Le nom de session de rôle identifie la session auprès des administrateurs S3. Par exemple, votre nom d'utilisateur IAM.
Le paramètre Durée en secondes est facultatif. Le minimum est de 15 minutes. Le maximum est de 36 heures, la valeur par défaut est de 1 heure. Le délai en secondes commence à chaque fois que la connexion est établie.
Vous pouvez ensuite fournir des valeurs pour la clé d'accès, la clé secrète, le rôle ARN, le nom de session de rôle, et de manière optionnelle, la durée en secondes à l'utilisateur qui va créer la connexion.
Clé d'accès, Clé secrète, Rôle ARN, Nom de session de rôle, ID externe et Durée en secondes en option
Si une autre personne possède son propre compte S3, vous pouvez créer un rôle temporaire pour cette personne pour accéder à votre compte S3. Avec cette combinaison, l'ID externe est une chaîne unique que vous spécifiez et que l'utilisateur doit entrer pour une sécurité supplémentaire. Tout d'abord, créez le rôle à l'aide de la console de gestion AWS ou de l'interface de ligne de commande AWS. Voir Création d'un rôle pour déléguer des autorisations à un utilisateur IAM. Pour créer l'identifiant externe, voir Comment utiliser un identifiant externe lorsque vous accordez l'accès à vos ressources AWS à un tiers.
Vous pouvez ensuite fournir les valeurs pour la clé d'accès, la clé secrète, le rôle ARN, le nom de session de rôle, l'ID externe, et de manière optionnelle la durée en secondes à l'utilisateur qui va créer la connexion.
En savoir plus
Noms de ressources Amazon (ARN)
Rubrique parent : Connexion Amazon S3