

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Autorisation des opérations d’API de point de terminaison régional avec IAM
<a name="s3-express-security-iam"></a>

Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui aide les administrateurs à contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être authentifié (connecté) et autorisé à utiliser des ressources Amazon S3 dans des compartiments de répertoires et dans des opérations S3 Express One Zone. Vous pouvez utiliser IAM sans frais supplémentaires. 

Par défaut, les utilisateurs ne disposent pas d’autorisations pour les compartiments de répertoires. Pour accorder des autorisations d’accès pour les compartiments de répertoires, vous pouvez utiliser IAM pour créer des utilisateurs, des groupes ou des rôles, et attacher des autorisations à ces identités. Pour plus d’informations sur IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*. 

Pour fournir l’accès, vous pouvez ajouter des autorisations à vos utilisateurs, groupes ou rôles via les méthodes suivantes :
+ **Utilisateurs et groupes dans AWS IAM Identity Center** : créez un ensemble d'autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-create-a-permission-set.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ **Utilisateurs gérés dans IAM via un fournisseur d’identité** : créez un rôle pour la fédération d’identité. Pour plus d’informations, consultez [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ **Rôles et utilisateurs IAM** : créez un rôle que votre utilisateur peut endosser. Suivez les instructions fournies dans [Création d’un rôle pour la délégation d’autorisations à un utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.

Pour plus d’informations sur IAM pour S3 Express One Zone, consultez les rubriques suivantes.

**Topics**
+ [Principaux](#s3-express-security-iam-principals)
+ [Ressources](#s3-express-security-iam-resources)
+ [Actions spécifiques aux compartiments de répertoires](#s3-express-security-iam-actions)
+ [Politiques IAM basées sur l’identité pour les compartiments de répertoires](s3-express-security-iam-identity-policies.md)
+ [Exemples de politiques de compartiment pour les compartiments de répertoires](s3-express-security-iam-example-bucket-policies.md)
+ [AWS politiques gérées pour Amazon S3 Express One Zone](s3-express-one-zone-security-iam-awsmanpol.md)

## Principaux
<a name="s3-express-security-iam-principals"></a>

Lorsque vous créez une politique basée sur les ressources pour accorder l’accès à vos compartiments, vous devez utiliser l’élément `Principal` pour spécifier la personne ou l’application qui peut effectuer une demande d’action ou d’opération sur cette ressource. Pour des politiques de compartiment de répertoires, vous pouvez utiliser les principaux suivants :
+ Un AWS compte
+ Un utilisateur IAM
+ Un rôle IAM
+ Un utilisateur fédéré

Pour plus d’informations, consultez [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans le *Guide de l’utilisateur IAM*.

## Ressources
<a name="s3-express-security-iam-resources"></a>

Amazon Resource Names (ARNs) pour les compartiments de répertoire contient l'`s3express`espace de noms Région AWS, l'ID de AWS compte et le nom du compartiment de répertoire, qui inclut l'ID de AWS zone. (une zone de disponibilité ou un identifiant de zone locale).

Pour accéder à votre compartiment de répertoires et y effectuer des actions, vous devez utiliser le format d’ARN suivant :

```
arn:aws:s3express:{{region}}:{{account-id}}:bucket/{{base-bucket-name}}--{{zone-id}}--x-s3
```

Pour accéder au point d’accès d’un compartiment de répertoires et y effectuer des actions, vous devez utiliser le format d’ARN suivant :

```
arn:aws::s3express:{{region}}:{{account-id}}:accesspoint/{{accesspoint-basename}}--{{zone-id}}--xa-s3
```

Pour plus d'informations ARNs, consultez le *guide [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)de l'utilisateur IAM*. Pour plus d’informations sur les ressources, consultez [Éléments de politique JSON IAM : Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) dans le *Guide de l’utilisateur IAM*.

## Actions spécifiques aux compartiments de répertoires
<a name="s3-express-security-iam-actions"></a>

Dans une politique basée sur l’identité IAM ou sur les ressources, vous définissez quelles actions S3 sont autorisées ou refusées. Les actions correspondent à des opérations d’API spécifiques. Lorsque vous utilisez des compartiments de répertoires, vous devez utiliser l’espace de noms S3 Express One Zone `s3express` pour accorder les autorisations.

Lorsque vous accordez l’autorisation `s3express:CreateSession`, l’opération d’API `CreateSession` récupère un jeton de session temporaire pour toutes les opérations d’API de point de terminaison zonal (niveau de l’objet). Le jeton de session renvoie des informations d’identification qui sont utilisées pour toutes les autres opérations d’API de point de terminaison zonal. Par conséquent, vous n’accordez pas d’autorisations d’accès aux opérations d’API de point de terminaison zonal avec des politiques IAM. `CreateSession` active l’accès à toutes les opérations au niveau de l’objet. Pour obtenir la liste des opérations et des autorisations de l’API de point de terminaison zonal, consultez [Authentification et autorisation des demandes](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-authenticating-authorizing.html). 

Pour en savoir plus sur l’opération d’API `CreateSession`, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) dans la *Référence des API Amazon Simple Storage Service*.

Vous pouvez indiquer les actions suivantes dans l’élément `Action` d’une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d’effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l’accès à l’opération d’API du même nom. Toutefois, dans certains cas, une seule action contrôle l’accès à plusieurs opérations d’API. L’accès aux actions de niveau compartiment peut être accordé uniquement dans des politiques basées sur l’identité IAM (utilisateur ou rôle) et non pas dans des politiques de compartiment.

Pour plus d’informations sur la configuration de stratégies de point d’accès, consultez [Configuration de politiques IAM pour l’utilisation de points d’accès de compartiments de répertoires](access-points-directory-buckets-policies.md).

Pour plus d’informations, consultez [Actions, ressources et clés de condition pour Amazon S3 Express](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3express.html).