Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Blocage de l’accès public à votre stockage Amazon S3
<a name="access-control-block-public-access"></a>

La fonctionnalité Amazon S3 Block Public Access fournit des paramètres pour les points d'accès, les compartiments, les comptes et vous aide AWS Organizations à gérer l'accès public aux ressources Amazon S3. Par défaut, les nouveaux compartiments, points d'accès et objets n'autorisent pas l'accès public. Toutefois, les utilisateurs peuvent modifier les stratégies de compartiment, les stratégies de point d’accès ou les autorisations d’objet pour autoriser l’accès public. Les paramètres de la fonctionnalité de blocage de l’accès public S3 remplacent ces stratégies et autorisations pour que vous puissiez restreindre l’accès public à ces ressources. 

Avec S3 Block Public Access, les administrateurs d'entreprise, les administrateurs de comptes et les propriétaires de compartiments peuvent facilement configurer des contrôles centralisés pour limiter l'accès public à leurs ressources Amazon S3, qui sont appliqués quelle que soit la manière dont les ressources sont créées.

Vous pouvez gérer les paramètres de blocage de l'accès public à plusieurs niveaux : au niveau de l'organisation (utilisation AWS Organizations), au niveau du compte et au niveau du compartiment et du point d'accès. Pour obtenir des instructions sur la configuration du blocage de l’accès public, consultez [Configuration du blocage d’accès public](#configuring-block-public-access).

Quand Amazon S3 reçoit une demande d’accès à un compartiment ou à un objet, il détermine si le paramètre de blocage de l’accès public est défini pour le compartiment ou le compte du propriétaire de compartiment. Si le compte fait partie d'une politique de blocage AWS Organizations de l'accès public, Amazon S3 vérifie également les paramètres au niveau de l'organisation. Si la demande a été effectuée via un point d’accès, Amazon S3 vérifie également les paramètres de blocage de l’accès public pour le point d’accès. S’il existe un paramètre de blocage de l’accès public interdisant l’accès demandé, Amazon S3 rejette la demande. 

Le blocage de l’accès public Amazon S3 fournit quatre paramètres. Ces paramètres sont indépendants et peuvent être fournis sous n'importe quelle combinaison. Chaque paramètre peut être appliqué à un point d’accès, à un compartiment ou à un Compte AWS entier. Au niveau de l'organisation, les quatre paramètres sont appliqués ensemble en tant que politique unifiée. Vous ne pouvez pas sélectionner des paramètres individuels de manière granulaire. Si les paramètres de blocage de l’accès public pour le point d’accès, le compartiment ou le compte diffèrent, Amazon S3 applique la combinaison la plus restrictive des paramètres du point d’accès, du compartiment et du compte. Les paramètres au niveau du compte héritent automatiquement des politiques au niveau de l'organisation lorsqu'ils sont présents, et S3 adopte la politique la plus restrictive entre les paramètres au niveau du compartiment et les paramètres effectifs au niveau du compte. Par exemple, si une politique de blocage de l'accès public est activée dans votre organisation, mais que le blocage de l'accès public est désactivé pour un compartiment spécifique, le compartiment sera toujours protégé car S3 applique les paramètres les plus restrictifs au niveau de l'organisation/du compte. À l'inverse, si la politique de votre organisation est désactivée mais que le blocage de l'accès public est activé pour un bucket, ce bucket reste protégé par ses paramètres au niveau du bucket. 

Lorsqu'Amazon S3 évalue si une opération est interdite par un paramètre de blocage de l'accès public, il rejette toute demande qui enfreint une politique de l'organisation (qui applique le paramètre BPA du compte) ou un paramètre de point d'accès, de compartiment ou de compte.

**Important**  
L'accès public est accordé aux compartiments et aux objets par le biais de listes de contrôle d'accès (ACLs), de politiques de point d'accès, de politiques de compartiments, ou de toutes les politiques. Pour être sûr que l’accès public à tous vos points d’accès, compartiments et objets Amazon S3 est bloqué, nous vous recommandons d’activer les quatre paramètres liés au blocage de l’accès public pour votre compte. Pour les organisations qui gèrent plusieurs comptes, envisagez d'utiliser des politiques de blocage de l'accès public au niveau de l'organisation pour un contrôle centralisé. En outre, nous vous recommandons d'activer également les quatre paramètres pour chaque compartiment afin de vous conformer au contrôle AWS S3.8 des meilleures pratiques de sécurité de Security Hub. Ces paramètres bloquent l’accès public pour tous les compartiments et points d’accès présents et futurs.   
Avant d'appliquer ces paramètres, vérifiez que vos applications fonctionnent correctement sans accès public. Si vous avez besoin d’un certain niveau d’accès public à vos compartiments ou objets, par exemple pour héberger un site web statique comme décrit dans [Hébergement d’un site Web statique à l’aide d’Amazon S3](WebsiteHosting.md), vous pouvez personnaliser les paramètres individuels afin de les adapter à vos cas d’utilisation du stockage.  
L'activation du blocage de l'accès public permet de protéger vos ressources en empêchant l'accès public d'être accordé par le biais des politiques de ressources ou des listes de contrôle d'accès (ACLs) directement associées aux ressources S3. Outre l’activation du blocage de l’accès public, inspectez attentivement les politiques suivantes pour vous assurer qu’elles n’accordent pas d’accès public :  
Politiques basées sur l'identité associées aux AWS principaux associés (par exemple, les rôles IAM)
Politiques basées sur les AWS ressources associées (par exemple, clés AWS Key Management Service (KMS))

**Note**  
Vous pouvez activer les paramètres de blocage de l'accès public uniquement pour les organisations, les points d'accès, les compartiments et Comptes AWS. Amazon S3 ne prend pas en charge les paramètres de blocage de l’accès public par objet.
Lorsque vous appliquez des paramètres de blocage de l'accès public à un compte, ils s'appliquent à tous Régions AWS dans le monde entier. Les paramètres peuvent ne pas prendre effet immédiatement ou simultanément dans toutes les Régions, mais ils finissent par s’y propager.
Lorsque vous appliquez des politiques de blocage de l'accès public au niveau de l'organisation, elles se propagent automatiquement aux comptes membres sélectionnés et remplacent les paramètres au niveau des comptes.

**Topics**
+ [Paramètres de la fonctionnalité de blocage de l’accès public](#access-control-block-public-access-options)
+ [Gestion des blocages d'accès public au niveau de l'organisation](#access-control-block-public-access-organization-level)
+ [Exécution d’opérations de blocage d’accès public sur un point d’accès](#access-control-block-public-access-examples-access-point)
+ [La signification du mot « public »](#access-control-block-public-access-policy-status)
+ [Utilisation de l’analyseur d’accès IAM pour S3 pour passer en revue les compartiments publics](#access-analyzer-public-info)
+ [Permissions](#access-control-block-public-access-permissions)
+ [Configuration du blocage d’accès public](#configuring-block-public-access)
+ [Configuration des paramètres de blocage d’accès public pour votre compte](configuring-block-public-access-account.md)
+ [Configuration des paramètres de blocage d’accès public pour vos compartiments S3](configuring-block-public-access-bucket.md)

## Paramètres de la fonctionnalité de blocage de l’accès public
<a name="access-control-block-public-access-options"></a>

La fonctionnalité de blocage de l’accès public S3 fournit quatre paramètres. Vous pouvez appliquer ces paramètres de manière combinée à des points d’accès, à des compartiments ou à des Comptes AWS entiers. Au niveau de l'organisation, vous pouvez uniquement activer ou désactiver les quatre paramètres ensemble en utilisant une approche « tout » ou « aucun ». Le contrôle granulaire des paramètres individuels n'est pas disponible. Si vous appliquez un paramètre à un compte, il s’applique à tous les compartiments et points d’accès appartenant à ce compte. Les paramètres au niveau du compte héritent automatiquement des politiques de l'organisation lorsqu'ils sont présents. De même, si vous appliquez un paramètre à un compartiment, il s’applique à tous les points d’accès associés à ce compartiment.

L'héritage et l'application des politiques fonctionnent comme suit :
+ Les politiques au niveau de l'organisation s'appliquent automatiquement aux comptes des membres, en appliquant tous les paramètres existants au niveau des comptes
+ Les paramètres au niveau du compte héritent des politiques de l'organisation lorsqu'elles sont présentes ou utilisent des paramètres configurés localement lorsqu'aucune politique d'organisation n'existe
+ Les paramètres au niveau du compartiment fonctionnent indépendamment mais sont soumis à des restrictions d'application. S3 applique la combinaison la plus restrictive à tous les niveaux applicables : paramètres au niveau de l'organisation/du compte et au niveau du compartiment. Cela signifie qu'un bucket hérite de la protection de base de son compte (qui peut être géré par l'organisation), mais S3 appliquera la configuration la plus restrictive entre les paramètres du bucket et les paramètres effectifs du compte.

Le tableau suivant contient les paramètres disponibles.


| Nom | Description | 
| --- | --- | 
| BlockPublicAcls |  La configuration de cette option sur `TRUE` entraîne le comportement suivant : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/AmazonS3/latest/userguide/access-control-block-public-access.html) Lorsque ce paramètre est défini sur`TRUE`, les opérations spécifiées échouent (qu'elles soient effectuées via l'API REST ou AWS SDKs). AWS CLI Toutefois, les politiques existantes et celles ACLs relatives aux compartiments et aux objets ne sont pas modifiées. Ce paramètre vous permet de vous protéger contre l'accès public tout en vous permettant d'auditer, d'affiner ou de modifier les politiques existantes, ainsi que celles ACLs relatives à vos compartiments et à vos objets.  Les points d'accès ne leur sont pas ACLs associés. Si vous appliquez ce paramètre à un point d’accès, il agit comme une transmission au compartiment sous-jacent. Si ce paramètre est activé sur un point d’accès, les demandes effectuées via le point d’accès se comportent comme si ce paramètre était activé dans le compartiment sous-jacent, que ce paramètre soit activé ou non dans le compartiment.   | 
| IgnorePublicAcls |  Si cette option est définie`TRUE`, Amazon S3 ignore tous les éléments publics ACLs d'un compartiment et tous les objets qu'il contient. Ce paramètre vous permet de bloquer en toute sécurité l'accès public accordé par ACLs tout en autorisant les `PutObject` appels qui incluent une ACL publique (par opposition à ceux `BlockPublicAcls` qui rejettent les `PutObject` appels qui incluent une ACL publique). L'activation de ce paramètre n'affecte pas la persistance des paramètres existants ACLs et n'empêche pas la définition d'un nouveau public ACLs .  Les points d'accès ne leur sont pas ACLs associés. Si vous appliquez ce paramètre à un point d’accès, il agit comme une transmission au compartiment sous-jacent. Si ce paramètre est activé sur un point d’accès, les demandes effectuées via le point d’accès se comportent comme si ce paramètre était activé dans le compartiment sous-jacent, que ce paramètre soit activé ou non dans le compartiment.   | 
| BlockPublicPolicy |  Si vous définissez cette option sur `TRUE` pour un compartiment, Amazon S3 rejette les appels à `PutBucketPolicy` si la stratégie de compartiment spécifiée autorise l’accès public. Si vous définissez cette option sur `TRUE` pour un compartiment, Amazon S3 rejette également les appels à `PutAccessPointPolicy` pour tous les points d’accès du même compte du compartiment si la stratégie spécifiée autorise l’accès public.  Si vous définissez cette option sur `TRUE` pour un point d’accès, Amazon S3 rejette les appels à `PutAccessPointPolicy` et `PutBucketPolicy` effectués via le point d’accès si la stratégie spécifiée (pour le point d’accès ou le compartiment sous-jacent) autorise l’accès public. Vous pouvez utiliser ce paramètre pour autoriser les utilisateurs à gérer des stratégies de point d’accès et de compartiment, sans toutefois les autoriser à partager publiquement le compartiment ou les objets qu’il contient. L’activation de ce paramètre n’a pas d’incidence sur les stratégies de point d’accès ou de compartiment existantes.  Pour utiliser ce paramètre efficacement, nous vous recommandons de l’appliquer au niveau du *compte*. Une stratégie de compartiment peut autoriser les utilisateurs à modifier les paramètres de blocage de l’accès public d’un compte. Par conséquent, les utilisateurs autorisés à modifier une stratégie de compartiment peuvent insérer une stratégie qui leur permet de désactiver les paramètres de blocage de l’accès public pour le compartiment. Si ce paramètre est activé pour le compte entier, et non pour un compartiment spécifique, Amazon S3 bloque les stratégies publiques même si un utilisateur modifie la stratégie de compartiment pour désactiver ce paramètre.   | 
| RestrictPublicBuckets |  Si vous définissez cette option de `TRUE` manière à restreindre l'accès à un point d'accès ou à un bucket soumis à une politique publique, aux seuls responsables du AWS service et aux utilisateurs autorisés du compte du propriétaire du bucket et du compte du propriétaire du point d'accès. Ce paramètre bloque tous les accès entre comptes au point d'accès ou au compartiment (sauf pour les responsables du AWS service), tout en permettant aux utilisateurs du compte de gérer le point d'accès ou le compartiment. L’activation de ce paramètre n’a pas d’incidence sur les stratégies de point d’accès ou de compartiment existantes, mais Amazon S3 bloque l’accès public et entre comptes provenant des stratégies de point d’accès ou de compartiment publiques, notamment la délégation non publique à des comptes spécifiques.  | 

**Important**  
Les appels à `GetBucketAcl` et `GetObjectAcl` renvoient toujours les autorisations en vigueur pour le compartiment ou l’objet spécifié. Par exemple, supposons qu’un compartiment dispose d’une ACL accordant l’accès public, mais que le paramètre `IgnorePublicAcls` soit également activé pour le même compartiment. Dans ce cas, `GetBucketAcl` renvoie une liste ACL qui reflète les autorisations d’accès appliquées par Amazon S3, plutôt que la liste ACL associée au compartiment.
Les paramètres de blocage de l'accès public ne modifient pas les politiques existantes ou ACLs. Par conséquent, la suppression d’un paramètre de blocage de l’accès public conduit un compartiment ou un objet doté d’une ACL ou d’une stratégie publique à de nouveau être accessible publiquement. 

## Gestion des blocages d'accès public au niveau de l'organisation
<a name="access-control-block-public-access-organization-level"></a>

L'accès public par blocs au niveau de l'organisation utilise des AWS Organizations politiques pour gérer de manière centralisée les contrôles d'accès public S3 dans l'ensemble de votre organisation. Lorsqu'elles sont activées, ces politiques s'appliquent automatiquement aux comptes sélectionnés et remplacent les paramètres individuels au niveau du compte.

Pour plus d'informations sur le blocage de l'accès public au niveau de l'organisation, consultez la [politique S3](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_s3.html) dans le *guide de AWS Organizations l'utilisateur*.

## Exécution d’opérations de blocage d’accès public sur un point d’accès
<a name="access-control-block-public-access-examples-access-point"></a>

Pour effectuer des opérations de blocage de l'accès public sur un point d'accès, utilisez le AWS CLI service`s3control`. 

**Important**  
Vous ne pouvez pas modifier les paramètres de blocage de l’accès public d’un point d’accès après sa création. Vous pouvez les spécifier uniquement lors de la création du point d’accès.

## La signification du mot « public »
<a name="access-control-block-public-access-policy-status"></a>

### ACLs
<a name="public-acls"></a>

Amazon S3 considère qu’une ACL de compartiment ou d’objet est publique si elle accorde des autorisations aux membres des groupes `AllUsers` ou `AuthenticatedUsers` prédéfinis. Pour plus d’informations sur les groupes prédéfinis, consultez [Groupes prédéfinis Amazon S3](acl-overview.md#specifying-grantee-predefined-groups).

### Politiques de compartiment
<a name="public-bucket-policies"></a>

Lors de l’évaluation d’une stratégie de compartiment, Amazon S3 commence par assumer que la stratégie est publique. Puis, il évalue la stratégie pour déterminer si elle qualifiée comme non publique. Pour être considérée comme non publique, une stratégie de compartiment doit accorder l’accès uniquement aux valeurs fixes (valeurs ne contenant aucun caractère générique ni [aucune variable de politique Gestion des identités et des accès AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)) d’un ou de plusieurs des éléments suivants :
+ Un AWS principal, un utilisateur, un rôle ou un responsable de service (par exemple`aws:PrincipalOrgID`)
+ Un ensemble de blocs de routage inter-domaines sans classe (CIDR) utilisant `aws:SourceIp`. Pour plus d’informations sur CIDR, consultez [RFC 4632](http://www.rfc-editor.org/rfc/rfc4632.txt) sur le site web RFC Editor.
**Note**  
Les stratégies de compartiment qui accordent un accès conditionné par la clé de condition `aws:SourceIp` avec de très larges plages d’adresses IP (par exemple, 0.0.0.0/1) sont considérées comme « publiques ». Cela inclut des valeurs plus larges que `/8` pour IPv4 et `/32` pour IPv6 (à l'exception des plages RFC1918 privées). Le blocage de l’accès public rejette ces politiques « publiques » et empêche l’accès intercompte aux compartiments utilisant déjà ces politiques « publiques ».
+ `aws:SourceArn`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:SourceOwner`
+ `aws:SourceAccount`
+ `aws:userid`, hors du modèle "`AROLEID:*`"
+ `s3:DataAccessPointArn`
**Note**  
Lorsqu’elle est utilisée dans une stratégie de compartiment, cette valeur peut contenir un caractère générique pour le nom du point d’accès sans rendre la stratégie publique, tant que l’ID du compte est fixe. Par exemple, autoriser l’accès à `arn:aws:s3:us-west-2:123456789012:accesspoint/*` permettrait l’accès à n’importe quel point d’accès associé au compte `123456789012` dans la Région `us-west-2`, sans rendre la stratégie de compartiment publique. Ce comportement est différent pour les stratégies de point d’accès. Pour de plus amples informations, veuillez consulter [Points d’accès](#access-control-block-public-access-policy-status-access-points).
+ `s3:DataAccessPointAccount`

Pour plus d’informations sur les stratégies de compartiment, consultez [Politiques de compartiment pour Amazon S3](bucket-policies.md).

**Note**  
Lorsque vous utilisez des [clés de contexte à valeurs multiples](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html), vous devez utiliser les opérateurs `ForAllValues` ou `ForAnyValue`.

**Example : politiques relatives aux compartiments publics**  
Conformément à ces règles, les exemples de stratégies suivants sont considérés comme publics.  

```
{
		"Principal": "*", 
		"Resource": "*", 
		"Action": "s3:PutObject", 
		"Effect": "Allow" 
	}
```

```
{
		"Principal": "*", 
		"Resource": "*", 
		"Action": "s3:PutObject", 
		"Effect": "Allow", 
		"Condition": { "StringLike": {"aws:SourceVpc": "vpc-*"}}
	}
```
Ces stratégies peuvent devenir non publiques grâce à une valeur fixe en incluant l’une des clés de condition énumérée précédemment. Par exemple, la dernière stratégie ci-dessus peut devenir non publique si vous définissez `aws:SourceVpc` sur une valeur fixe, comme suit :  

```
{
		"Principal": "*", 
		"Resource": "*", 
		"Action": "s3:PutObject", 
		"Effect": "Allow", 
		"Condition": {"StringEquals": {"aws:SourceVpc": "vpc-91237329"}}
	}
```

### Comment Amazon S3 évalue une stratégie de compartiment qui contient des autorisations d’accès publiques et non publiques ?
<a name="access-control-block-public-access-policy-example"></a>

Cet exemple illustre comment Amazon S3 évalue une politique de compartiment contenant des autorisations d’accès publiques et non publiques.

Supposons qu’un compartiment dispose d’une stratégie qui accorde l’accès à un ensemble de mandataires fixes. Conformément aux règles précédemment décrites, cette stratégie n’est pas publique. Ainsi, si vous activez le paramètre `RestrictPublicBuckets`, la stratégie reste effective comme indiqué, car `RestrictPublicBuckets` s’applique uniquement aux compartiments disposant de stratégies publiques. Cependant, si vous ajoutez une déclaration publique à la stratégie, `RestrictPublicBuckets` s’applique au compartiment. Il permet uniquement aux responsables du AWS service et aux utilisateurs autorisés du compte du propriétaire du bucket d'accéder au bucket.

Par exemple, supposons qu’un compartiment détenu par « Account-1 » dispose d’une stratégie contenant les éléments suivants :

1. Une déclaration qui accorde l'accès à AWS CloudTrail (qui est un principal AWS de service)

1. Une instruction qui accorde l’accès au compte « Account-2 »

1. Une instruction qui accorde l’accès au public, par exemple en indiquant `"Principal": "*"` sans aucune `Condition` restrictive

Cette stratégie peut être publique à cause de la troisième instruction. Une fois cette politique en place et `RestrictPublicBuckets` activée, Amazon S3 autorise l'accès uniquement par CloudTrail. Notez que bien que l’instruction 2 ne soit pas publique, Amazon S3 désactive l’accès à « Account-2 ». En effet, l’instruction 3 permet à la stratégie entière de devenir publique, ainsi `RestrictPublicBuckets` s’applique. Par conséquent, Amazon S3 désactive l’accès intercompte, bien que la stratégie délègue l’accès à un compte spécifique, « Account-2 ». Mais si vous supprimez l’instruction 3 de la stratégie, cette dernière ne peut pas être publique et `RestrictPublicBuckets` ne s’applique plus. Ainsi, « Account-2 » a de nouveau accès au compartiment, même si `RestrictPublicBuckets` reste activé.

### Points d’accès
<a name="access-control-block-public-access-policy-status-access-points"></a>

Amazon S3 évalue les paramètres de blocage de l’accès public de façon légèrement différente pour les points d’accès par rapport aux compartiments. Les règles qu’Amazon S3 applique pour déterminer quand une stratégie de point d’accès est publique sont généralement les mêmes pour les points d’accès et pour les compartiments, sauf dans les cas suivants :
+ Un point d’accès ayant une origine réseau VPC est toujours considéré comme non public, quel que soit le contenu de sa stratégie de point d’accès.
+ Une stratégie de point d’accès qui accorde l’accès à un ensemble de points d’accès utilisant `s3:DataAccessPointArn` est considérée comme publique. Notez que ce comportement est différent de celui des stratégies de compartiment. Par exemple, une stratégie de compartiment qui accorde l’accès aux valeurs de `s3:DataAccessPointArn` correspondant à `arn:aws:s3:us-west-2:123456789012:accesspoint/*` n’est pas considérée comme publique. Toutefois, la même instruction dans une stratégie de point d’accès rendrait le point d’accès public.

## Utilisation de l’analyseur d’accès IAM pour S3 pour passer en revue les compartiments publics
<a name="access-analyzer-public-info"></a>

Vous pouvez utiliser IAM Access Analyzer pour S3 pour examiner les compartiments contenant des compartiments ACLs, des politiques de compartiment ou des politiques de point d'accès qui accordent un accès public. IAM Access Analyzer for S3 vous avertit de la présence de compartiments configurés pour autoriser l'accès à toute personne sur Internet ou autre Comptes AWS, y compris Comptes AWS en dehors de votre organisation. Pour chaque compartiment public ou partagé, vous recevez des résultats qui signalent la source et le niveau d’accès public ou partagé. 

Dans l’analyseur d’accès IAM pour S3, vous pouvez bloquer tout accès public à un compartiment en un seul clic. Vous pouvez également aller plus loin en configurant des niveaux d’accès précis dans les paramètres des niveaux d’autorisation des compartiments. Pour les cas d'utilisation spécifiques et vérifiés nécessitant un accès public ou partagé, vous pouvez confirmer et enregistrer votre intention de maintenir le niveau d'accès public ou partagé en archivant les résultats pour le compartiment.

Dans de rares cas, l’analyse d’accès IAM pour S3 et le blocage de l’accès public Amazon S3 peuvent différer selon qu’un compartiment est public ou non. Ce comportement est dû au fait que le blocage de l’accès public Amazon S3 valide l’existence d’actions en plus d’évaluer l’accès public. Supposons que la stratégie de compartiment contienne une instruction `Action` qui autorise l’accès public pour une action qui n’est pas prise en charge par Amazon S3 (par exemple, `s3:NotASupportedAction`). Dans ce cas, le blocage de l’accès public Amazon S3 considère le compartiment comme public, car cette instruction pourrait potentiellement le rendre public si l’action venait à être prise en charge ultérieurement. Si le blocage de l’accès public Amazon S3 et l’analyseur d’accès IAM pour S3 divergent dans leurs évaluations, nous vous recommandons de revoir la stratégie de compartiment et de supprimer toutes les actions non prises en charge.

Pour plus d'informations sur l'analyseur d'accès IAM pour S3, consultez [Examen de l’accès aux compartiments à l’aide de l’analyseur d’accès IAM pour S3](access-analyzer.md).

## Permissions
<a name="access-control-block-public-access-permissions"></a>

Pour utiliser les fonctions du blocage de l’accès public Amazon S3, vous devez disposer des autorisations suivantes.


| Opération | Autorisations requises | 
| --- | --- | 
| Statut de la stratégie de compartiment GET | s3:GetBucketPolicyStatus | 
| Paramètres de blocage de l’accès public du compartiment GET | s3:GetBucketPublicAccessBlock | 
| Paramètres de blocage de l’accès public du compartiment PUT | s3:PutBucketPublicAccessBlock | 
| Paramètres de blocage de l’accès public du compartiment DELETE | s3:PutBucketPublicAccessBlock | 
| Paramètres de blocage de l’accès public du compte GET | s3:GetAccountPublicAccessBlock | 
| Paramètres de blocage de l’accès public du compte PUT | s3:PutAccountPublicAccessBlock | 
| Paramètres de blocage de l’accès public du compte DELETE | s3:PutAccountPublicAccessBlock | 
| Paramètres de blocage de l’accès public du point d’accès PUT | s3:CreateAccessPoint | 

**Note**  
Les opérations `DELETE` exigent les mêmes autorisations que les opérations `PUT`. Il n’existe pas d’autorisations distinctes pour les opérations `DELETE`.

## Configuration du blocage d’accès public
<a name="configuring-block-public-access"></a>

Pour plus d'informations sur la configuration de l'accès public par blocs pour vos Compte AWS compartiments Amazon S3 et vos points d'accès, consultez les rubriques suivantes :
+ [Configuration des paramètres de blocage d’accès public pour votre compte](configuring-block-public-access-account.md)
+ [Configuration des paramètres de blocage d’accès public pour vos compartiments S3](configuring-block-public-access-bucket.md)
+ [Exécution d’opérations de blocage d’accès public sur un point d’accès](#access-control-block-public-access-examples-access-point)

# Configuration des paramètres de blocage d’accès public pour votre compte
<a name="configuring-block-public-access-account"></a>

**Important**  
Si votre compte est géré par une politique de blocage de l'accès public au niveau de l'organisation, vous ne pouvez pas modifier ces paramètres au niveau du compte. Les politiques au niveau de l'organisation remplacent les configurations au niveau du compte. Pour plus d'informations sur les options de gestion centralisée, consultez la [politique S3](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_s3.html) dans le *guide de AWS Organizations l'utilisateur*.

Amazon S3 Block Public Access fournit des paramètres pour les points d'accès, les compartiments, les organisations et les comptes afin de vous aider à gérer l'accès public aux ressources Amazon S3. Par défaut, les nouveaux compartiments, points d’accès et objets n’autorisent pas l’accès public. Pour plus d’informations, consultez [Blocage de l’accès public à votre stockage Amazon S3](access-control-block-public-access.md).

**Note**  
Les paramètres au niveau du compte remplacent les paramètres sur les objets individuels. La configuration de votre compte pour bloquer l’accès public annulera tous les paramètres d’accès public définis pour les objets individuels de votre compte. Lorsque les politiques au niveau de l'organisation sont actives, les paramètres au niveau du compte héritent automatiquement de la politique de l'organisation et ne peuvent pas être modifiés directement.

Vous pouvez utiliser la console S3, AWS CLI AWS SDKs, et l'API REST pour configurer les paramètres de blocage de l'accès public pour tous les compartiments de votre compte lorsqu'ils ne sont pas gérés par les politiques de l'organisation. Consultez les sections ci-dessous pour en savoir plus.

Pour configurer les paramètres de blocage d’accès public pour vos compartiments, consultez [Configuration des paramètres de blocage d’accès public pour vos compartiments S3](configuring-block-public-access-bucket.md). Pour plus d’informations sur les points d’accès, consultez [Exécution d’opérations de blocage d’accès public sur un point d’accès](access-control-block-public-access.md#access-control-block-public-access-examples-access-point).

## Utiliser la console S3.
<a name="block-public-access-account"></a>

La fonctionnalité de blocage de l’accès public Amazon S3 empêche l’application de paramètres qui autorisent un accès public aux données dans des compartiments S3. Cette section explique comment modifier les paramètres de blocage de l’accès public pour tous les compartiments S3 de votre Compte AWS. Pour en savoir plus sur le blocage de l’accès public, consultez [Blocage de l’accès public à votre stockage Amazon S3](access-control-block-public-access.md).

**Pour modifier les paramètres de blocage de l'accès public pour tous les compartiments S3 d'un Compte AWS**

1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. Choisissez **Block Public Access settings for this account (Bloquer les paramètres d’accès public pour ce compte)**.

1. Choisissez **Edit (Modifier)** pour modifier les paramètres de blocage de l’accès public pour tous les compartiments de votre Compte AWS.

1. Choisissez les paramètres que vous souhaitez modifier, puis **Enregistrer**.

1. Lorsque vous êtes invité à confirmer l’opération, entrez **confirm**. Choisissez ensuite **Confirmer** pour enregistrer vos modifications.

Si vous recevez un message d'erreur indiquant « Ce compte n'autorise pas la modification de ses paramètres d'accès public au bloc S3 au niveau du compte en raison d'une politique organisationnelle d'accès public au bloc S3 en vigueur », votre compte est géré par des politiques au niveau de l'organisation. Contactez l'administrateur de votre organisation pour modifier ces paramètres.

## À l'aide du AWS CLI
<a name="access-control-block-public-access-examples-cli"></a>

Vous pouvez utiliser le blocage de l’accès public Amazon S3 via AWS CLI. Pour plus d'informations sur la configuration et l'utilisation du AWS CLI, voir [Qu'est-ce que le AWS Command Line Interface ?](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 

**Compte**
+ Pour effectuer des opérations Block Public Access sur un compte, utilisez le service AWS CLI de `s3control`. Les opérations au niveau des comptes qui utilisent ce service sont les suivantes :
  + `PutPublicAccessBlock` (pour un compte)
  + `GetPublicAccessBlock` (pour un compte)
  + `DeletePublicAccessBlock` (pour un compte)

**Note**  
`PutPublicAccessBlock`et les `DeletePublicAccessBlock` opérations renverront une erreur « Accès refusé » lorsque le compte est géré par des politiques au niveau de l'organisation. Les `GetPublicAccessBlock` opérations au niveau du compte renverront la politique appliquée au niveau de l'organisation, le cas échéant.

Pour obtenir des informations et des exemples supplémentaires, consultez [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/put-public-access-block.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/put-public-access-block.html) dans la *Référence AWS CLI *.

## En utilisant le AWS SDKs
<a name="access-control-block-public-access-examples-sdk"></a>

------
#### [ Java ]

Les exemples suivants vous montrent comment utiliser Amazon S3 Block Public Access AWS SDK pour Java pour configurer un bloc d'accès public sur un compte Amazon S3.

**Note**  
`PutPublicAccessBlock`et les `DeletePublicAccessBlock` opérations échoueront avec un message d'erreur « Accès refusé » si le compte est géré par des politiques au niveau de l'organisation.

```
AWSS3ControlClientBuilder controlClientBuilder = AWSS3ControlClientBuilder.standard();
controlClientBuilder.setRegion(<region>);
controlClientBuilder.setCredentials(<credentials>);
					
AWSS3Control client = controlClientBuilder.build();
client.putPublicAccessBlock(new PutPublicAccessBlockRequest()
		.withAccountId(<account-id>)
		.withPublicAccessBlockConfiguration(new PublicAccessBlockConfiguration()
				.withIgnorePublicAcls(<value>)
				.withBlockPublicAcls(<value>)
				.withBlockPublicPolicy(<value>)
				.withRestrictPublicBuckets(<value>)));
```

**Important**  
Cet exemple s’applique uniquement aux opérations au niveau des comptes qui utilisent la classe client `AWSS3Control`. Pour les opérations au niveau des compartiments, consultez l’exemple précédent.

------
#### [ Other SDKs ]

Pour plus d'informations sur l'utilisation de l'autre AWS SDKs, consultez la section [Développement avec Amazon S3 AWS SDKs à l'aide du](https://docs.aws.amazon.com/AmazonS3/latest/API/sdk-general-information-section.html) document de *référence sur les API Amazon S3*.

------

## Utilisation de l'API REST
<a name="access-control-block-public-access-examples-api"></a>

Pour plus d'informations sur l'utilisation d'Amazon S3 Block Public Access via REST APIs, consultez les rubriques suivantes dans le manuel *Amazon Simple Storage Service API Reference*.
+ Opérations au niveau des comptes
  + [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html)- Échoue lorsque le compte est géré par les politiques de l'organisation
  + [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html)- Renvoie la configuration effective, y compris les politiques de l'organisation.
  + [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html)- Échoue lorsque le compte est géré par les politiques de l'organisation.

Le message d'erreur suivant s'affichera pour les opérations restreintes : « Ce compte n'autorise pas la modification de ses paramètres d'accès public au bloc S3 au niveau du compte en raison d'une politique organisationnelle d'accès public au bloc S3 en vigueur. »

# Configuration des paramètres de blocage d’accès public pour vos compartiments S3
<a name="configuring-block-public-access-bucket"></a>

Amazon S3 Block Public Access fournit des paramètres pour les points d'accès, les compartiments, les organisations et les comptes afin de vous aider à gérer l'accès public aux ressources Amazon S3. Par défaut, les nouveaux compartiments, points d’accès et objets n’autorisent pas l’accès public. Pour de plus amples informations, veuillez consulter [Blocage de l’accès public à votre stockage Amazon S3](access-control-block-public-access.md).

**Note**  
Les paramètres de blocage de l'accès public au niveau du compartiment fonctionnent parallèlement aux politiques au niveau de l'organisation et du compte. S3 applique le paramètre le plus restrictif entre les configurations au niveau du compartiment et les configurations efficaces au niveau du compte (qui peuvent être appliquées par les politiques de l'organisation, le cas échéant).

Vous pouvez utiliser la console S3, AWS CLI AWS SDKs, et l'API REST pour accorder un accès public à un ou plusieurs compartiments. Vous pouvez également bloquer l’accès public à des compartiments qui sont déjà publics. Consultez les sections ci-dessous pour en savoir plus.

Pour configurer les paramètres de blocage de l’accès public pour chaque compartiment dans votre compte, consultez [Configuration des paramètres de blocage d’accès public pour votre compte](configuring-block-public-access-account.md). Pour une gestion centralisée à l'échelle de l'organisation, consultez la [politique S3](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_s3.html) dans le guide de l'*AWS Organizations utilisateur*.

Pour plus d’informations sur la configuration du blocage de l’accès public des points d’accès, consultez [Exécution d’opérations de blocage d’accès public sur un point d’accès](access-control-block-public-access.md#access-control-block-public-access-examples-access-point).

# Utiliser la console S3.
<a name="block-public-access-bucket"></a>

La fonctionnalité de blocage de l’accès public Amazon S3 empêche l’application de paramètres qui autorisent un accès public aux données dans des compartiments S3. Cette section explique comment modifier les paramètres de la fonctionnalité de blocage de l’accès public pour un ou plusieurs compartiments S3. Pour plus d'informations sur le blocage de l'accès public à l'aide de AWS CLI AWS SDKs,, et du REST Amazon S3 APIs, consultez[Blocage de l’accès public à votre stockage Amazon S3](access-control-block-public-access.md).

Vous pouvez voir si votre compartiment est accessible publiquement dans la colonne **Analyseur d’accès IAM** de la liste **Compartiments**. Pour de plus amples informations, veuillez consulter [Examen de l’accès aux compartiments à l’aide de l’analyseur d’accès IAM pour S3](access-analyzer.md).

Si vous voyez une `Error` lorsque vous répertoriez vos compartiments et leurs paramètres d'accès public, il se peut que vous ne disposiez pas des autorisations requises. Assurez-vous d’avoir ajouté les autorisations suivantes à votre politique d’utilisateur ou de rôle :

```
s3:GetAccountPublicAccessBlock
s3:GetBucketPublicAccessBlock
s3:GetBucketPolicyStatus
s3:GetBucketLocation
s3:GetBucketAcl
s3:ListAccessPoints
s3:ListAllMyBuckets
```

Dans de rares cas, les demandes peuvent également échouer en raison d'un Région AWS Pannes.

**Pour modifier les paramètres de blocage de l’accès public Amazon S3 pour un compartiment S3 simple**

Suivez ces étapes si vous devez modifier les paramètres d’accès public pour un seul compartiment S3.

1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. Dans la liste **Nom du compartiment**, choisissez le nom du compartiment que vous souhaitez utiliser.

1. Choisissez **Permissions**.

1. Choisissez **Modifier** en regard de **Bloquer l’accès public (paramètres de compartiment)** pour modifier les paramètres d’accès public du compartiment. Pour en savoir plus sur les quatre paramètres de blocage de l’accès public Amazon S3, consultez [Paramètres de la fonctionnalité de blocage de l’accès public](access-control-block-public-access.md#access-control-block-public-access-options).

1. Choisissez l’un des paramètres, puis **Enregistrer les modifications**.

1. Lorsque vous êtes invité à confirmer l’opération, entrez **confirm**. Choisissez ensuite **Confirmer** pour enregistrer vos modifications.

**Important**  
Même si vous désactivez les paramètres de blocage de l'accès public au niveau du compartiment, celui-ci peut toujours être protégé par des politiques au niveau du compte ou de l'organisation. S3 applique toujours la combinaison de paramètres la plus restrictive à tous les niveaux.

Vous pouvez également modifier les paramètres de blocage de l’accès public Amazon S3 lorsque vous créez un compartiment. Pour de plus amples informations, veuillez consulter [Création d’un compartiment à usage général](create-bucket-overview.md). 

## À l'aide du AWS CLI
<a name="configuring-block-public-access-bucket-cli"></a>

Pour bloquer l'accès public à un bucket ou pour supprimer le blocage d'accès public, utilisez le AWS CLI service`s3api`. Les opérations au niveau des compartiments qui utilisent ce service sont les suivantes :
+ `PutPublicAccessBlock` (pour un compartiment)
+ `GetPublicAccessBlock` (pour un compartiment)
+ `DeletePublicAccessBlock` (pour un compartiment)
+ `GetBucketPolicyStatus`

Pour plus d’informations et des exemples, consultez [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-public-access-block.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-public-access-block.html) dans la *référence AWS CLI *.

**Note**  
Ces opérations au niveau du compartiment ne sont pas limitées par les politiques au niveau de l'organisation. Cependant, le comportement efficace en matière d'accès public restera régi par la combinaison la plus restrictive de paramètres du bucket, du compte et de l'organisation. Pour plus d'informations sur la hiérarchie et les interactions entre les politiques, consultez[Utiliser la console S3.](block-public-access-bucket.md).

## En utilisant le AWS SDKs
<a name="configuring-block-public-access-bucket-sdk"></a>

------
#### [ Java ]

```
AmazonS3 client = AmazonS3ClientBuilder.standard()
	  .withCredentials(<credentials>)
	  .build();

client.setPublicAccessBlock(new SetPublicAccessBlockRequest()
		.withBucketName(<bucket-name>)
		.withPublicAccessBlockConfiguration(new PublicAccessBlockConfiguration()
				.withBlockPublicAcls(<value>)
				.withIgnorePublicAcls(<value>)
				.withBlockPublicPolicy(<value>)
				.withRestrictPublicBuckets(<value>)));
```

**Important**  
Cet exemple s’applique uniquement aux opérations au niveau des compartiments qui utilisent la classe client `AmazonS3`. Pour les opérations au niveau des comptes, consultez l’exemple suivant.

------
#### [ Other SDKs ]

Pour plus d'informations sur l'utilisation de l'autre AWS SDKs, consultez la section [Développement avec Amazon S3 AWS SDKs à l'aide du](https://docs.aws.amazon.com/AmazonS3/latest/API/sdk-general-information-section.html) document de *référence sur les API Amazon S3*.

------

## Utilisation de l'API REST
<a name="configuring-block-public-access-bucket-api"></a>

Pour plus d'informations sur l'utilisation d'Amazon S3 Block Public Access via REST APIs, consultez les rubriques suivantes dans le manuel *Amazon Simple Storage Service API Reference*.
+ Opérations au niveau des compartiments
  + [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html)
  + [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html)
  + [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html)
  + [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicyStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicyStatus.html)