Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Fonctionnement de S3 Files avec IAM
Cette page décrit comment AWS Identity and Access Management (IAM) fonctionne avec S3 Files et comment vous pouvez utiliser les politiques IAM pour contrôler l'accès à vos systèmes de fichiers.
S3 Files utilise IAM pour deux types distincts de contrôle d'accès :
+ **Accès aux API** : contrôle qui peut créer, gérer et supprimer les ressources des fichiers S3, telles que les systèmes de fichiers, les cibles de montage et les points d'accès. Vous contrôlez cet accès à l'aide de politiques basées sur l'identité associées aux utilisateurs, aux groupes ou aux rôles IAM.
+ **Accès client** : contrôle ce que les clients (vos ressources informatiques montées) peuvent faire avec le système de fichiers une fois qu'ils se connectent, comme lire, écrire ou accéder à des fichiers en tant qu'utilisateur root. Vous contrôlez cet accès à l'aide d'une combinaison de politiques basées sur les ressources, de politiques basées sur l'identité, de points d'accès et d'autorisations POSIX.
En utilisant IAM, vous pouvez autoriser les clients à effectuer des actions spécifiques sur un système de fichiers, y compris l’accès racine, en lecture seule et en écriture. Une autorisation « d’autorisation » sur une action dans le cadre d’une stratégie d’identité IAM ou d’une politique de ressources du système de fichiers autorise l’accès à cette action. L’autorisation n’a pas besoin d’être accordée à la fois dans une politique d’identité et dans une politique de ressources.
Les politiques de votre compartiment S3 sur votre compartiment S3 lié régissent également l'accès de votre ressource de calcul et de votre système de fichiers à votre compartiment S3. Vous devez également vous assurer que les politiques de compartiment de votre compartiment source ne refusent pas l'accès à votre ressource de calcul ou à votre système de fichiers. Pour plus de détails, consultez les [politiques relatives aux compartiments pour Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html).
## Politiques basées sur l’identité
Les politiques basées sur l'identité sont des politiques JSON que vous attachez aux utilisateurs, groupes ou rôles IAM. Vous pouvez fournir ces autorisations en rédigeant des politiques personnalisées ou en joignant une politique AWS gérée. Pour plus d'informations sur les politiques gérées disponibles pour l'accès aux API et l'accès client, consultez [les politiques AWS gérées pour Amazon S3 Files](s3-files-security-iam-awsmanpol.md).
S3 Files optimise également les performances de lecture en permettant aux clients de lire les données des fichiers directement à partir du compartiment S3 source. Lorsque vous montez un système de fichiers S3 sur votre ressource de calcul, vous devez ajouter une politique en ligne au rôle IAM de votre ressource de calcul qui accorde des autorisations pour lire des objets depuis le compartiment S3 spécifié. L'assistant de montage utilise ces autorisations pour lire les données S3. Pour plus de détails sur cette politique, consultez[Rôle IAM pour associer votre système de fichiers aux AWS ressources de calcul](s3-files-prereq-policies.md#s3-files-prereq-iam-compute-role).
## Politiques basées sur les ressources
Une stratégie de système de fichiers est une stratégie basée sur les ressources IAM que vous associez directement à un système de fichiers pour contrôler l'accès des clients. Vous pouvez utiliser les politiques du système de fichiers pour accorder ou refuser aux clients des autorisations leur permettant d'effectuer des opérations telles que le montage, l'écriture et l'accès root.
Un système de fichiers possède soit une politique de système de fichiers vide (par défaut), soit exactement une politique explicite. Les politiques du système de fichiers S3 sont limitées à 20 000 caractères. Pour plus d'informations sur la création et la gestion des politiques de système de fichiers, consultez[Création de politiques de système de fichiers](s3-files-file-system-policies-creating.md).
## Actions relatives aux fichiers S3 pour les clients
Vous pouvez spécifier les actions suivantes dans une politique de système de fichiers pour contrôler l'accès des clients :
| Action | Description |
| --- | --- |
| s3files:ClientMount | Fournit un accès en lecture seule à un système de fichiers. |
| s3files:ClientWrite | Fournit les droits d’écriture sur un système de fichiers. |
| s3files:ClientRootAccess | Permet d’utiliser l’utilisateur root lors de l’accès à un système de fichiers. |
## Clés de condition des fichiers S3 pour les clients
Vous pouvez utiliser les clés de condition suivantes dans l'`Condition`élément d'une politique de système de fichiers pour affiner davantage le contrôle d'accès :
| Clé de condition | Description | Opérateur |
| --- | --- | --- |
| s3files:AccessPointArn | ARN du point d'accès S3 Files auquel le client se connecte. | String |
## Exemples de stratégie de système de fichiers
### Exemple : Accorder l’accès en lecture seule
La politique de système de fichiers suivante n'accorde que des autorisations `ClientMount` (en lecture seule) au rôle `ReadOnly` IAM. Remplacez *111122223333* par votre identifiant de AWS compte.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ReadOnly"
},
"Action": [
"s3files:ClientMount"
]
}
]
}
```
### Exemple : accorder l'accès à un point d'accès S3 Files
La politique de système de fichiers suivante utilise un élément de condition pour accorder à un point d'accès spécifique un accès complet au système de fichiers lors du montage via le point d'accès spécifié. Remplacez l'ARN du point d'accès et l'ID de compte par vos valeurs. Pour de plus amples informations, veuillez consulter [Création de points d'accès pour un système de fichiers S3](s3-files-access-points-creating.md).
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::555555555555:role/S3FilesAccessPointFullAccess"
},
"Action": [
"s3files:Client*"
],
"Condition": {
"StringEquals": {
"s3files:AccessPointArn": "arn:partition:s3files:region:account-id:file-system/fs-1234567890/access-point/fsap-0987654321"
}
}
}
]
}
```
## Autorisations POSIX
Une fois l'autorisation IAM réussie, S3 Files applique les autorisations POSIX standard (style Unix) au niveau des fichiers et des répertoires. Les autorisations POSIX contrôlent l'accès en fonction de l'ID utilisateur (UID), de l'ID de groupe (GID) et des bits d'autorisation (lecture, écriture, exécution) associés à chaque fichier et répertoire. Les points d'accès peuvent imposer une identité d'utilisateur POSIX spécifique pour toutes les demandes, simplifiant ainsi la gestion des accès pour les ensembles de données partagés. Pour de plus amples informations, veuillez consulter [Création de points d'accès pour un système de fichiers S3](s3-files-access-points-creating.md).
## Groupes de sécurité
Les groupes de sécurité agissent comme un pare-feu au niveau du réseau qui contrôle le trafic entre vos ressources informatiques et les cibles de montage du système de fichiers. Pour plus de détails sur la configuration des groupes de sécurité pour démarrer avec S3 Files, consultez[Groupes de sécurité](s3-files-prereq-policies.md#s3-files-prereq-security-groups).
# AWS politiques gérées pour Amazon S3 Files
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : AmazonS3FilesFullAccess
Vous pouvez associer la politique `AmazonS3FilesFullAccess` à vos identités IAM. Cette politique accorde un accès complet aux fichiers Amazon S3, y compris les autorisations pour créer et gérer des systèmes de fichiers, des cibles de montage et des points d'accès. Pour plus d'informations sur cette politique, consultez [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesFullAccess.html)la référence des politiques AWS gérées.
## AWS politique gérée : AmazonS3FilesReadOnlyAccess
Vous pouvez associer la politique `AmazonS3FilesReadOnlyAccess` à vos identités IAM. Cette politique accorde un accès en lecture seule aux fichiers Amazon S3, y compris les autorisations pour consulter les systèmes de fichiers, les cibles de montage, les points d'accès et les configurations associées. Pour plus d'informations sur cette politique, consultez [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesReadOnlyAccess.html)la référence des politiques AWS gérées.
## AWS politique gérée : AmazonS3FilesClientFullAccess
Vous pouvez associer la politique `AmazonS3FilesClientFullAccess` à vos identités IAM. Cette politique accorde au client un accès complet aux systèmes de fichiers S3 Files, y compris la possibilité de monter, de lire, d'écrire et d'accéder à des fichiers en tant qu'utilisateur root. Pour plus d'informations sur cette politique, consultez [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientFullAccess.html)la référence des politiques AWS gérées.
## AWS politique gérée : AmazonS3FilesClientReadWriteAccess
Vous pouvez associer la politique `AmazonS3FilesClientReadWriteAccess` à vos identités IAM. Cette politique accorde aux clients l'accès en lecture et en écriture aux systèmes de fichiers S3 Files, y compris la possibilité de les monter, de les lire et d'écrire. Cette politique n'accorde pas d'accès root. Pour plus d'informations sur cette politique, consultez [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientReadWriteAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientReadWriteAccess.html)la référence des politiques AWS gérées.
## AWS politique gérée : AmazonS3FilesClientReadOnlyAccess
Vous pouvez associer la politique `AmazonS3FilesClientReadOnlyAccess` à vos identités IAM. Cette politique accorde au client un accès en lecture seule aux systèmes de fichiers S3 Files, y compris la possibilité de monter et de lire depuis le système de fichiers. Pour plus d'informations sur cette politique, consultez [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientReadOnlyAccess.html)la référence des politiques AWS gérées.
## AWS politique gérée : AmazonS3FilesCSIDriverPolicy
Vous pouvez associer la politique `AmazonS3FilesCSIDriverPolicy` à vos identités IAM. Cette politique autorise le pilote Amazon EFS Container Storage Interface (CSI) à gérer les points d'accès aux fichiers S3 pour le compte des clusters Amazon EKS. Pour plus d'informations sur cette politique, consultez [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesCSIDriverPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesCSIDriverPolicy.html)la référence des politiques AWS gérées.
## AWS politique gérée : AmazonElasticFileSystemUtils
Vous pouvez associer la politique `AmazonElasticFileSystemUtils` à vos identités IAM. Cette politique autorise les utilitaires clients S3 Files (amazon-efs-utils) à effectuer des opérations telles que la description des cibles de montage, la publication de CloudWatch métriques et de journaux, et la communication avec AWS Systems Manager. Pour plus d'informations sur cette politique, consultez [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemUtils.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemUtils.html)la référence des politiques AWS gérées.
## Mises à jour des politiques AWS gérées par Amazon S3 Files
Consultez les détails des mises à jour des politiques AWS gérées pour Amazon S3 Files depuis que S3 Files a commencé à suivre ces modifications.
| Modifier | Description | Date |
| --- | --- | --- |
| `AmazonElasticFileSystemUtils`— Mis à jour | Ajout d' CloudWatch PutMetricData autorisations Amazon pour prendre en charge la publication des statistiques de connectivité des clients. | 7 avril 2026 |
| `AmazonS3FilesCSIDriverPolicy`— Ajouté | Nouvelle politique gérée qui autorise le pilote Amazon EFS CSI à gérer les points d'accès aux fichiers S3 pour le compte des clusters Amazon EKS. | 7 avril 2026 |
| `AmazonS3FilesClientReadOnlyAccess`— Ajouté | Nouvelle politique gérée qui accorde aux clients un accès en lecture seule aux systèmes de fichiers S3 Files. | 7 avril 2026 |
| `AmazonS3FilesClientReadWriteAccess`— Ajouté | Nouvelle politique gérée qui accorde aux clients l'accès en lecture et en écriture aux systèmes de fichiers S3 Files. | 7 avril 2026 |
| `AmazonS3FilesClientFullAccess`— Ajouté | Nouvelle politique gérée qui accorde aux clients un accès complet aux systèmes de fichiers S3 Files, y compris l'accès root. | 7 avril 2026 |
| `AmazonS3FilesReadOnlyAccess`— Ajouté | Nouvelle politique gérée qui accorde un accès en lecture seule aux ressources de S3 Files. | 7 avril 2026 |
| `AmazonS3FilesFullAccess`— Ajouté | Nouvelle politique gérée qui accorde un accès complet aux ressources de S3 Files. | 7 avril 2026 |
| S3 Files a commencé à suivre les modifications | Amazon S3 Files a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 7 avril 2026 |