Configuration des données d'identification temporaires ou un rôle ARN pour Amazon S3

Au lieu d'ajouter un autre utilisateur IAM à votre compte Amazon S3, vous pouvez leur accorder un accès avec des données d'identification de sécurité temporaires et un jeton de session. Vous pouvez également créer un rôle ARN (nom de ressource Amazon) et accorder la permission à ce rôle pour accéder au compte. L'utilisateur de confiance peut alors utiliser le rôle.

Vous pouvez affecter des règles de rôle aux données d'identification temporaires pour limiter les droits d'accès. Par exemple, vous pouvez affecter un accès en lecture seule ou un accès à un compartiment S3 particulier.

Prérequis : Vous devez être le propriétaire IAM du compte Amazon S3.

Vous pouvez configurer l'une des combinaisons d'authentification suivantes :

  • Clé d'accès, Clé secrète et Jeton de session
  • Clé d'accès, Clé secrète, Rôle ARN, Nom de session de rôle et la durée en secondes facultative
  • Clé d'accès, Clé secrète, Rôle ARN, Nom de session de rôle, ID externe et la durée en secondes facultative

Clé d'accès, clé secrète et jeton de session

Utilisez les opérations AWS Security Token Service (AWS STS) dans l'API AWS pour obtenir des données d'identification de sécurité temporaires. Ces données d'identification sont constituées d'une clé d'accès, d'une clé secrète et d'un jeton de session qui expire dans un délai configurable. Pour obtenir des instructions, consultez la documentation AWS : Demande de données d'identification de sécurité temporaires.

Clé d'accès, Clé secrète, Rôle ARN, Nom de la session de rôle et Durée en secondes optionnelle

Si une autre personne possède son propre compte S3, vous pouvez créer un rôle temporaire pour cette personne pour accéder à votre compte S3. Créez le rôle à l'aide de la console de gestion AWS ou de l'interface de ligne de commande AWS. Voir Création d'un rôle pour déléguer des droits à un utilisateur IAM

Le rôle ARN est le nom de ressource Amazon pour le rôle de la connexion.
Le nom de session de rôle identifie la session auprès des administrateurs S3. Par exemple, votre nom d'utilisateur IAM.
Le paramètre Durée en secondes est facultatif. Le minimum est de 15 minutes. Le maximum est de 36 heures, la valeur par défaut est de 1 heure. Le délai en secondes commence à chaque fois que la connexion est établie.

Vous pouvez ensuite fournir des valeurs pour la clé d'accès, la clé secrète, le rôle ARN, le nom de session de rôle, et de manière optionnelle, la durée en secondes à l'utilisateur qui va créer la connexion.

Clé d'accès, Clé secrète, Rôle ARN, Nom de session de rôle, ID externe et Durée en secondes en option

Si une autre personne possède son propre compte S3, vous pouvez créer un rôle temporaire pour cette personne pour accéder à votre compte S3. Avec cette combinaison, l'ID externe est une chaîne unique que vous spécifiez et que l'utilisateur doit entrer pour une sécurité supplémentaire. Tout d'abord, créez le rôle à l'aide de la console de gestion AWS ou de l'interface de ligne de commande AWS. Voir Création d'un rôle pour déléguer des droits à un utilisateur IAM. Pour créer l'ID externe, voir Comment utiliser un ID externe lors de l'octroi de l'accès à vos ressources AWS à une tierce partie.

Vous pouvez ensuite fournir les valeurs pour la clé d'accès, la clé secrète, le rôle ARN, le nom de session de rôle, l'ID externe, et de manière optionnelle la durée en secondes à l'utilisateur qui va créer la connexion.

En savoir plus

Noms des ressources Amazon (ARNs)

Rubrique parent : Connexion Amazon S3