Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Octroi d’autorisations avec S3 Access Grants
Une *autorisation* d'accès individuelle dans une instance S3 Access Grants permet à une identité spécifique (un principal Gestion des identités et des accès AWS (IAM), un utilisateur ou un groupe dans un annuaire d'entreprise d'accéder à un emplacement enregistré dans votre instance S3 Access Grants. Un emplacement associe des compartiments ou des préfixes à un rôle IAM. Les autorisations d’accès S3 endosseront ce rôle IAM pour fournir des informations d’identification temporaires aux bénéficiaires.
Après avoir [enregistré au moins un emplacement](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-location.html) dans votre instance d’autorisations d’accès S3, vous pouvez créer une autorisation d’accès.
Le bénéficiaire peut être un utilisateur ou un rôle IAM, ou encore un utilisateur ou un groupe provenant d’un annuaire. Un utilisateur d’annuaire est un utilisateur issu de votre annuaire d’entreprise ou d’une source d’identité externe que vous avez [associée à votre instance d’autorisations d’accès S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-instance-idc.html). Pour de plus amples informations, veuillez consulter [S3 Access Grants et identités d’annuaire d’entreprise](access-grants-directory-ids.md). Pour créer une autorisation pour un utilisateur ou un groupe spécifique à partir d’IAM Identity Center, recherchez le GUID utilisé par IAM Identity Center afin d’identifier cet utilisateur dans IAM Identity Center (par exemple, `a1b2c3d4-5678-90ab-cdef-EXAMPLE11111`). Pour plus d’informations sur l’utilisation d’IAM Identity Center pour consulter les informations utilisateur, consultez [Affichage des attributions des utilisateurs et des groupes](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-view-assignments.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
Vous pouvez accorder l’accès à un compartiment, à un préfixe ou à un objet. Dans Amazon S3, un préfixe est une chaîne de caractères située au début d’un nom de clé d’objet et qui sert à organiser les objets au sein d’un compartiment. Il peut s’agir de n’importe quelle chaîne de caractères autorisés, par exemple des noms de clé d’objet d’un compartiment commençant par le préfixe `engineering/`.
**Topics**
+ [Création d’octrois](access-grants-grant-create.md)
+ [Affichage d’un octroi](access-grants-grant-view.md)
+ [Suppression d’un octroi](access-grants-grant-delete.md)
# Création d’octrois
Une *autorisation* d'accès individuelle dans une instance S3 Access Grants permet à une identité spécifique (un principal Gestion des identités et des accès AWS (IAM), un utilisateur ou un groupe dans un annuaire d'entreprise d'accéder à un emplacement enregistré dans votre instance S3 Access Grants. Un emplacement associe des compartiments ou des préfixes à un rôle IAM. Les autorisations d’accès S3 endosseront ce rôle IAM pour fournir des informations d’identification temporaires aux bénéficiaires.
Après avoir [enregistré au moins un emplacement](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-location.html) dans votre instance d’autorisations d’accès S3, vous pouvez créer une autorisation d’accès.
Le bénéficiaire peut être un utilisateur ou un rôle IAM, ou encore un utilisateur ou un groupe provenant d’un annuaire. Un utilisateur d’annuaire est un utilisateur issu de votre annuaire d’entreprise ou d’une source d’identité externe que vous avez [associée à votre instance d’autorisations d’accès S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-instance-idc.html). Pour de plus amples informations, veuillez consulter [S3 Access Grants et identités d’annuaire d’entreprise](access-grants-directory-ids.md). Pour créer une autorisation pour un utilisateur ou un groupe spécifique à partir d’IAM Identity Center, recherchez le GUID utilisé par IAM Identity Center afin d’identifier cet utilisateur dans IAM Identity Center (par exemple, `a1b2c3d4-5678-90ab-cdef-EXAMPLE11111`). Pour plus d’informations sur l’utilisation d’IAM Identity Center pour consulter les informations utilisateur, consultez [Affichage des attributions des utilisateurs et des groupes](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-view-assignments.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
Vous pouvez accorder l’accès à un compartiment, à un préfixe ou à un objet. Dans Amazon S3, un préfixe est une chaîne de caractères située au début d’un nom de clé d’objet et qui sert à organiser les objets au sein d’un compartiment. Il peut s’agir de n’importe quelle chaîne de caractères autorisés, par exemple des noms de clé d’objet d’un compartiment commençant par le préfixe `engineering/`.
## Sous-préfixe
Lorsque vous accordez l’accès à un emplacement enregistré, vous pouvez utiliser le champ `Subprefix` pour restreindre l’étendue de l’accès à un sous-ensemble de cet emplacement. Si l’emplacement enregistré que vous choisissez pour l’autorisation est le chemin S3 par défaut (`s3://`), vous devez réduire la portée de cette autorisation. Vous ne pouvez pas créer d’autorisation d’accès pour l’emplacement par défaut (`s3://`), ce qui permettrait au bénéficiaire d’accéder à chaque compartiment d’une Région AWS. À la place, vous devez limiter la portée de l’autorisation à l’un des éléments suivants :
+ Un compartiment : `s3://bucket/*`
+ Un préfixe dans un compartiment : `s3://bucket/prefix*`
+ Un préfixe dans un préfixe : `s3://bucket/prefixA/prefixB*`
+ Un objet : `s3://bucket/object-key-name`
Si vous créez une autorisation d’accès dans laquelle l’emplacement enregistré est un compartiment, vous pouvez transmettre l’un des éléments suivants dans le champ `Subprefix` pour limiter la portée de cette autorisation :
+ Un préfixe dans le compartiment : `prefix*`
+ Un préfixe dans un préfixe : `prefixA/prefixB*`
+ Un objet : `/object-key-name`
Une fois que vous avez créé l'autorisation, l'étendue de la subvention qui s'affiche dans la console Amazon S3 ou `GrantScope` qui est renvoyée dans la réponse API ou AWS Command Line Interface (AWS CLI) est le résultat de la concaténation du chemin de localisation avec le. `Subprefix` Assurez-vous que ce chemin concaténé correspond bien au compartiment, au préfixe ou à l’objet S3 auquel vous souhaitez accorder l’accès.
**Note**
Si vous devez créer une autorisation d’accès qui octroie l’accès à un seul objet, vous devez spécifier que le type d’autorisation est pour un objet. Pour ce faire, dans un appel d’API ou une commande CLI, transmettez le paramètre `s3PrefixType` avec la valeur `Object`. Dans la console Amazon S3, lorsque vous créez l’autorisation, après avoir sélectionné un emplacement, sous **Portée de l’octroi**, cochez la case **Grant scope is an object** (La portée de l’octroi est un objet).
Vous ne pouvez pas créer d’autorisation d’accès à un compartiment si celui-ci n’existe pas encore. En revanche, vous pouvez créer une autorisation pour un préfixe qui n’existe pas encore.
Pour le nombre maximum d’autorisations d’accès que vous pouvez créer dans votre instance d’autorisations d’accès S3, consultez [Limitations de S3 Access Grants](access-grants-limitations.md).
Vous pouvez créer une autorisation d'accès à l'aide de la console Amazon S3 AWS CLI, de l'API REST Amazon S3 et AWS SDKs.
## Utilisation de la console S3
**Pour créer une autorisation d’accès**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans le volet de navigation de gauche, choisissez **Access Grants**.
1. Sur la page **Octrois d’accès S3**, choisissez la région qui contient l’instance d’octrois d’accès S3 qui vous intéresse.
Si vous utilisez l’instance S3 Access Grants pour la première fois, assurez-vous d’avoir terminé l’[étape 2 : Enregistrer un emplacement](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-location.html) et d’être passé à l’**étape 3** de l’Assistant **Mise en place de l’instance Access Grants**. Si vous possédez déjà une instance S3 Access Grants, choisissez **Afficher les détails**, puis, dans l’onglet **Octrois**, choisissez **Créer un octroi**.
1. Dans la section **Portée de l’octroi**, sélectionnez ou entrez un emplacement enregistré.
Si vous avez sélectionné l’emplacement `s3://` par défaut, utilisez la zone **Sous-préfixe** pour réduire la portée de l’autorisation d’accès. Pour plus d’informations, consultez [Sous-préfixe](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-grant.html#subprefix). Si vous accordez l’accès uniquement à un objet, sélectionnez **Le périmètre de l’octroi est un objet**.
1. Sous **Autorisations et accès**, sélectionnez le niveau d’**autorisation** : **Lecture**, **Écriture** ou les deux.
Choisissez ensuite le **type de bénéficiaire**. Si vous avez ajouté votre annuaire d’entreprise à IAM Identity Center et associé cette instance IAM Identity Center à votre instance S3 Access Grants, vous pouvez choisir **Identité du répertoire depuis IAM Identity Center**. Si vous choisissez cette option, obtenez l’ID de l’utilisateur ou du groupe auprès d’IAM Identity Center et entrez-le dans cette section.
Si le **type de bénéficiaire** est un utilisateur ou un rôle IAM, choisissez **Principal IAM**. Sous **Type principal d’IAM**, choisissez **Utilisateur** ou **Rôle**. Ensuite, sous **Utilisateur principal d’IAM**, choisissez dans la liste ou entrez l’ID de l’identité.
1. Pour créer l’autorisation S3 Access Grants, choisissez **Suivant** ou **Créer une autorisation**.
1. Si l’option **Suivant** ou **Créer un octroi** est désactivée :
**Impossible de créer un octroi**
+ Il se peut que vous deviez d’abord [enregistrer un emplacement](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-location.html) dans votre instance S3 Access Grants.
+ Vous ne disposez peut-être pas de l’autorisation `s3:CreateAccessGrant` pour créer une autorisation d’accès. Contactez l’administrateur de votre compte.
## À l'aide du AWS CLI
Pour l'installer AWS CLI, reportez-vous à la section [Installation du AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) dans le *guide de AWS Command Line Interface l'utilisateur*.
Les exemples suivants montrent comment créer une demande d’autorisation d’accès pour un principal IAM et comment créer une demande d’autorisation d’accès pour un utilisateur ou un groupe d’annuaire d’entreprise.
Pour utiliser les exemples de commandes suivants, remplacez les `user input placeholders` par vos propres informations.
**Note**
Si vous créez une autorisation d’accès qui accorde l’accès à un seul objet, incluez le paramètre requis `--s3-prefix-type Object`.
**Example Créer une demande d’autorisation d’accès pour un principal IAM**
```
aws s3control create-access-grant \
--account-id 111122223333 \
--access-grants-location-id a1b2c3d4-5678-90ab-cdef-EXAMPLE22222 \
--access-grants-location-configuration S3SubPrefix=prefixB* \
--permission READ \
--grantee GranteeType=IAM,GranteeIdentifier=arn:aws:iam::123456789012:user/data-consumer-3
```
**Example Créer une réponse d’octroi d’accès**
```
{"CreatedAt": "2023-05-31T18:41:34.663000+00:00",
"AccessGrantId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"AccessGrantArn": "arn:aws:s3:us-east-2:111122223333:access-grants/default/grant/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Grantee": {
"GranteeType": "IAM",
"GranteeIdentifier": "arn:aws:iam::111122223333:user/data-consumer-3"
},
"AccessGrantsLocationId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"AccessGrantsLocationConfiguration": {
"S3SubPrefix": "prefixB*"
},
"GrantScope": "s3://amzn-s3-demo-bucket/prefix*",
"Permission": "READ"
}
```
**Créer une demande d’autorisation d’accès pour un utilisateur ou un groupe d’annuaire**
Pour créer une demande d’autorisation d’accès pour un utilisateur ou un groupe d’annuaire, vous devez d’abord obtenir le GUID de l’utilisateur ou du groupe d’annuaire en exécutant l’une des commandes suivantes.
**Example Obtenir un GUID pour un utilisateur ou un groupe d’annuaire**
Vous pouvez trouver le GUID d'un utilisateur IAM Identity Center via la console IAM Identity Center ou en utilisant le ou. AWS CLI AWS SDKs La commande suivante répertorie les utilisateurs de l’instance IAM Identity Center spécifiée, avec leurs noms et identifiants.
```
aws identitystore list-users --identity-store-id d-1a2b3c4d1234
```
Cette commande répertorie les groupes figurant dans l’instance IAM Identity Center spécifiée.
```
aws identitystore list-groups --identity-store-id d-1a2b3c4d1234
```
**Example Créer une autorisation d’accès pour un utilisateur ou un groupe d’annuaire**
Cette commande est similaire à la création d’un octroi pour des utilisateurs ou des rôles IAM, si ce n’est que le type de bénéficiaire est `DIRECTORY_USER` ou `DIRECTORY_GROUP`, et que l’identifiant du bénéficiaire est le GUID de l’utilisateur ou du groupe d’annuaire.
```
aws s3control create-access-grant \
--account-id 123456789012 \
--access-grants-location-id default \
--access-grants-location-configuration S3SubPrefix="amzn-s3-demo-bucket/rafael/*" \
--permission READWRITE \
--grantee GranteeType=DIRECTORY_USER,GranteeIdentifier=83d43802-00b1-7054-db02-f1d683aacba5 \
```
## Utilisation de l'API REST
Pour plus d’informations sur la prise en charge de l’API REST Amazon S3 pour la gestion des autorisations d’accès, consultez les sections suivantes dans la *Référence des API Amazon Simple Storage Service* :
+ [CreateAccessGrant](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrant.html)
+ [DeleteAccessGrant](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrant.html)
+ [GetAccessGrant](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrant.html)
+ [ListAccessGrants](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrants.html)
## En utilisant le AWS SDKs
Cette section fournit des exemples de création d'une autorisation d'accès à l'aide du AWS SDKs.
------
#### [ Java ]
Pour utiliser l’exemple suivant, remplacez les `user input placeholders` par vos propres informations :
**Note**
Si vous créez une autorisation d’accès qui accorde l’accès à un seul objet, incluez le paramètre requis `.s3PrefixType(S3PrefixType.Object)`.
**Example Créer une demande d’autorisation d’accès**
```
public void createAccessGrant() {
CreateAccessGrantRequest createRequest = CreateAccessGrantRequest.builder()
.accountId("111122223333")
.accessGrantsLocationId("a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa")
.permission("READ")
.accessGrantsLocationConfiguration(AccessGrantsLocationConfiguration.builder().s3SubPrefix("prefixB*").build())
.grantee(Grantee.builder().granteeType("IAM").granteeIdentifier("arn:aws:iam::111122223333:user/data-consumer-3").build())
.build();
CreateAccessGrantResponse createResponse = s3Control.createAccessGrant(createRequest);
LOGGER.info("CreateAccessGrantResponse: " + createResponse);
}
```
**Example Créer une réponse d’octroi d’accès**
```
CreateAccessGrantResponse(
CreatedAt=2023-06-07T05:20:26.330Z,
AccessGrantId=a1b2c3d4-5678-90ab-cdef-EXAMPLE33333,
AccessGrantArn=arn:aws:s3:us-east-2:444455556666:access-grants/default/grant/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333,
Grantee=Grantee(
GranteeType=IAM,
GranteeIdentifier=arn:aws:iam::111122223333:user/data-consumer-3
),
AccessGrantsLocationId=a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa,
AccessGrantsLocationConfiguration=AccessGrantsLocationConfiguration(
S3SubPrefix=prefixB*
),
GrantScope=s3://amzn-s3-demo-bucket/prefixB,
Permission=READ
)
```
------
# Affichage d’un octroi
Vous pouvez consulter les détails d'une autorisation d'accès dans votre instance Amazon S3 Access Grants en utilisant la console Amazon S3, le AWS Command Line Interface (AWS CLI), l'API REST Amazon S3 et le AWS SDKs.
## Utilisation de la console S3
**Pour afficher les détails d’une autorisation d’accès**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans le volet de navigation de gauche, choisissez **Access Grants**.
1. Sur la page **Octrois d’accès S3**, choisissez la région qui contient l’instance d’octrois d’accès S3 qui vous intéresse.
1. Choisissez **Afficher les détails** pour cette instance.
1. Sur la page des détails, choisissez l’onglet **Octrois**.
1. Dans la section **Autorisations**, recherchez l’autorisation d’accès que vous souhaitez consulter. Pour filtrer la liste des octrois, utilisez la zone de recherche.
## À l'aide du AWS CLI
Pour l'installer AWS CLI, reportez-vous à la section [Installation du AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) dans le *guide de AWS Command Line Interface l'utilisateur*.
Pour utiliser les exemples de commandes suivants, remplacez les `user input placeholders` par vos propres informations.
**Example : Obtenir les détails d’une autorisation d’accès**
```
aws s3control get-access-grant \
--account-id 111122223333 \
--access-grant-id a1b2c3d4-5678-90ab-cdef-EXAMPLE22222
```
Réponse :
```
{
"CreatedAt": "2023-05-31T18:41:34.663000+00:00",
"AccessGrantId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"AccessGrantArn": "arn:aws:s3:us-east-2:111122223333:access-grants/default/grant-a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"Grantee": {
"GranteeType": "IAM",
"GranteeIdentifier": "arn:aws:iam::111122223333:user/data-consumer-3"
},
"Permission": "READ",
"AccessGrantsLocationId": "12a6710f-5af8-41f5-b035-0bc795bf1a2b",
"AccessGrantsLocationConfiguration": {
"S3SubPrefix": "prefixB*"
},
"GrantScope": "s3://amzn-s3-demo-bucket/"
}
```
**Example : Répertorier toutes les autorisations d’accès dans une instance d’autorisations d’accès S3**
Vous pouvez éventuellement utiliser les paramètres suivants pour limiter les résultats à un préfixe S3 ou à une identité Gestion des identités et des accès AWS (IAM) :
+ **Sous-préfixe** : `--grant-scope s3://bucket-name/prefix*`
+ **Identité IAM** : `--grantee-type IAM` et `--grantee-identifier arn:aws:iam::123456789000:role/accessGrantsConsumerRole`
```
aws s3control list-access-grants \
--account-id 111122223333
```
Réponse :
```
{
"AccessGrantsList": [{"CreatedAt": "2023-06-14T17:54:46.542000+00:00",
"AccessGrantId": "dd8dd089-b224-4d82-95f6-975b4185bbaa",
"AccessGrantArn": "arn:aws:s3:us-east-2:111122223333:access-grants/default/grant/dd8dd089-b224-4d82-95f6-975b4185bbaa",
"Grantee": {
"GranteeType": "IAM",
"GranteeIdentifier": "arn:aws:iam::111122223333:user/data-consumer-3"
},
"Permission": "READ",
"AccessGrantsLocationId": "23514a34-ea2e-4ddf-b425-d0d4bfcarda1",
"GrantScope": "s3://amzn-s3-demo-bucket/prefixA*"
},
{"CreatedAt": "2023-06-24T17:54:46.542000+00:00",
"AccessGrantId": "ee8ee089-b224-4d72-85f6-975b4185a1b2",
"AccessGrantArn": "arn:aws:s3:us-east-2:111122223333:access-grants/default/grant/ee8ee089-b224-4d72-85f6-975b4185a1b2",
"Grantee": {
"GranteeType": "IAM",
"GranteeIdentifier": "arn:aws:iam::111122223333:user/data-consumer-9"
},
"Permission": "READ",
"AccessGrantsLocationId": "12414a34-ea2e-4ddf-b425-d0d4bfcacao0",
"GrantScope": "s3://amzn-s3-demo-bucket/prefixB*"
},
]
}
```
## Utilisation de l'API REST
Vous pouvez utiliser les opérations d’API Amazon S3 pour consulter les détails d’une autorisation d’accès et répertorier toutes les autorisations d’accès dans une instance S3 Access Grants. Pour en savoir plus sur la prise en charge de l’API REST pour la gestion des autorisations d’accès, consultez les sections suivantes dans la *Référence des API Amazon Simple Storage Service* :
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrant.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrant.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrants.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrants.html)
## En utilisant le AWS SDKs
Cette section fournit des exemples de la manière d'obtenir les détails d'une autorisation d'accès à l'aide du AWS SDKs.
Pour utiliser les exemples suivants, remplacez `user input placeholders` par vos propres informations.
------
#### [ Java ]
**Example : Obtenir les détails d’un octroi d’accès**
```
public void getAccessGrant() {
GetAccessGrantRequest getRequest = GetAccessGrantRequest.builder()
.accountId("111122223333")
.accessGrantId("a1b2c3d4-5678-90ab-cdef-EXAMPLE22222")
.build();
GetAccessGrantResponse getResponse = s3Control.getAccessGrant(getRequest);
LOGGER.info("GetAccessGrantResponse: " + getResponse);
}
```
Réponse :
```
GetAccessGrantResponse(
CreatedAt=2023-06-07T05:20:26.330Z,
AccessGrantId=a1b2c3d4-5678-90ab-cdef-EXAMPLE22222,
AccessGrantArn=arn:aws:s3:us-east-2:111122223333:access-grants/default/grant-fd3a5086-42f7-4b34-9fad-472e2942c70e,
Grantee=Grantee(
GranteeType=IAM,
GranteeIdentifier=arn:aws:iam::111122223333:user/data-consumer-3
),
Permission=READ,
AccessGrantsLocationId=12a6710f-5af8-41f5-b035-0bc795bf1a2b,
AccessGrantsLocationConfiguration=AccessGrantsLocationConfiguration(
S3SubPrefix=prefixB*
),
GrantScope=s3://amzn-s3-demo-bucket/
)
```
**Example : Répertorier tous les octrois d’accès dans une instance d’octrois d’accès S3**
Vous pouvez éventuellement utiliser ces paramètres pour limiter les résultats à un préfixe S3 ou à une identité IAM :
+ **Portée** : `GrantScope=s3://bucket-name/prefix*`
+ **Bénéficiaire** : `GranteeType=IAM` et `GranteeIdentifier= arn:aws:iam::111122223333:role/accessGrantsConsumerRole`
```
public void listAccessGrants() {
ListAccessGrantsRequest listRequest = ListAccessGrantsRequest.builder()
.accountId("111122223333")
.build();
ListAccessGrantsResponse listResponse = s3Control.listAccessGrants(listRequest);
LOGGER.info("ListAccessGrantsResponse: " + listResponse);
}
```
Réponse :
```
ListAccessGrantsResponse(
AccessGrantsList=[
ListAccessGrantEntry(
CreatedAt=2023-06-14T17:54:46.540z,
AccessGrantId=dd8dd089-b224-4d82-95f6-975b4185bbaa,
AccessGrantArn=arn:aws:s3:us-east-2:111122223333:access-grants/default/grant/dd8dd089-b224-4d82-95f6-975b4185bbaa,
Grantee=Grantee(
GranteeType=IAM, GranteeIdentifier= arn:aws:iam::111122223333:user/data-consumer-3
),
Permission=READ,
AccessGrantsLocationId=23514a34-ea2e-4ddf-b425-d0d4bfcarda1,
GrantScope=s3://amzn-s3-demo-bucket/prefixA
),
ListAccessGrantEntry(
CreatedAt=2023-06-24T17:54:46.540Z,
AccessGrantId=ee8ee089-b224-4d72-85f6-975b4185a1b2,
AccessGrantArn=arn:aws:s3:us-east-2:111122223333:access-grants/default/grant/ee8ee089-b224-4d72-85f6-975b4185a1b2,
Grantee=Grantee(
GranteeType=IAM, GranteeIdentifier= arn:aws:iam::111122223333:user/data-consumer-9
),
Permission=READ,
AccessGrantsLocationId=12414a34-ea2e-4ddf-b425-d0d4bfcacao0,
GrantScope=s3://amzn-s3-demo-bucket/prefixB*
)
]
)
```
------
# Suppression d’un octroi
Vous pouvez supprimer des autorisations d’accès de votre instance Amazon S3 Access Grants. Vous ne pouvez pas annuler la suppression d’une autorisation d’accès. Une fois que vous avez supprimé une autorisation d’accès, le bénéficiaire n’a plus accès à vos données Amazon S3.
Vous pouvez supprimer une autorisation d'accès en utilisant la console Amazon S3, le AWS Command Line Interface (AWS CLI), l'API REST Amazon S3 et le AWS SDKs.
## Utilisation de la console S3
**Pour supprimer une autorisation d’accès**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans le volet de navigation de gauche, choisissez **Access Grants**.
1. Sur la page **Octrois d’accès S3**, choisissez la région qui contient l’instance d’octrois d’accès S3 qui vous intéresse.
1. Choisissez **Afficher les détails** pour cette instance.
1. Sur la page des détails, choisissez l’onglet **Octrois**.
1. Recherchez l’octroi que vous souhaitez supprimer. Lorsque vous avez localisé l’octroi, choisissez la case d’option correspondante.
1. Sélectionnez **Delete (Supprimer)**. Une boîte de dialogue apparaît pour vous avertir que cette action ne peut pas être annulée. Choisissez à nouveau **Supprimer** pour supprimer l’octroi.
## À l'aide du AWS CLI
Pour l'installer AWS CLI, reportez-vous à la section [Installation du AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) dans le *guide de AWS Command Line Interface l'utilisateur*.
Pour utiliser l’exemple de commande suivant, remplacez les `user input placeholders` par vos propres informations.
**Example : Supprimer une autorisation d’accès**
```
aws s3control delete-access-grant \
--account-id 111122223333 \
--access-grant-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
// No response body
```
## Utilisation de l'API REST
Pour plus d’informations sur la prise en charge de l’API REST Amazon S3 pour la gestion des autorisations d’accès, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrant.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrant.html) dans la *Référence des API Amazon Simple Storage Service*.
## En utilisant le AWS SDKs
Cette section fournit des exemples de suppression d'une autorisation d'accès à l'aide du AWS SDKs. Pour utiliser l’exemple suivant, remplacez les `user input placeholders` par vos propres informations.
------
#### [ Java ]
**Example : Supprimer un octroi d’accès**
```
public void deleteAccessGrant() {
DeleteAccessGrantRequest deleteRequest = DeleteAccessGrantRequest.builder()
.accountId("111122223333")
.accessGrantId("a1b2c3d4-5678-90ab-cdef-EXAMPLE11111")
.build();
DeleteAccessGrantResponse deleteResponse = s3Control.deleteAccessGrant(deleteRequest);
LOGGER.info("DeleteAccessGrantResponse: " + deleteResponse);
}
```
Réponse :
```
DeleteAccessGrantResponse()
```
------