Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Octroi d'accès et d'autorisations pour les partages de fichiers et les buckets
<a name="add-file-share"></a>

Une fois votre passerelle de fichiers S3 activée et exécutée, vous pouvez ajouter des partages de fichiers supplémentaires et accorder l'accès aux compartiments Amazon S3, y compris aux compartiments situés dans des emplacements différents Comptes AWS de vos passerelles et partages de fichiers. Les sections suivantes décrivent comment utiliser les rôles IAM pour fournir à votre passerelle des autorisations d'accès pour les compartiments Amazon S3 et les points de terminaison VPC, éviter certains problèmes de sécurité et connecter les partages de fichiers aux compartiments situés entre eux. Comptes AWS

Pour plus d'informations sur la création d'un nouveau partage de fichiers, consultez[Création d'un partage de fichiers](GettingStartedCreateFileShare.md).

Cette section contient les rubriques suivantes, qui fournissent des informations supplémentaires sur la manière d'accorder l'accès et les autorisations pour les partages de fichiers et les compartiments Amazon S3 :

**Rubriques**
+ [Octroi de l'accès à un compartiment Amazon S3](grant-access-s3.md)- Découvrez comment autoriser votre passerelle de fichiers à télécharger des fichiers dans votre compartiment Amazon S3 et à effectuer des actions sur tous les points d'accès ou points de terminaison Amazon Virtual Private Cloud (Amazon VPC) qu'elle utilise pour se connecter au compartiment.
+ [Prévention du problème de l’adjoint confus entre services](cross-service-confused-deputy-prevention.md)- Découvrez comment éviter un problème de sécurité courant dans lequel une entité qui n'est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à effectuer cette action.
+ [Utilisation d'un partage de fichiers pour un accès entre comptes](cross-account-access.md)- Découvrez comment autoriser l'accès à un compte Amazon Web Services et aux utilisateurs de ce compte pour accéder à des ressources appartenant à un autre compte Amazon Web Services. 

# Octroi de l'accès à un compartiment Amazon S3
<a name="grant-access-s3"></a>

Lorsque vous créez un partage de fichiers, votre passerelle de fichiers a besoin d'un accès pour télécharger des fichiers dans votre compartiment Amazon S3 et pour effectuer des actions sur les points d'accès ou les points de terminaison du cloud privé virtuel (VPC) qu'elle utilise pour se connecter au compartiment. Pour accorder cet accès, votre passerelle de fichiers assume un rôle Gestion des identités et des accès AWS (IAM) associé à une politique IAM qui accorde cet accès.

Le rôle requiert cette stratégie IAM avec une relation d'approbation de service de jetons de sécurité (STS). La stratégie détermine les actions que le rôle peut effectuer. En outre, votre compartiment S3 et tous les points d'accès ou points de terminaison VPC associés doivent disposer d'une politique d'accès autorisant le rôle IAM à y accéder.

Vous pouvez créer le rôle et la politique d'accès vous-même, ou votre passerelle de fichiers peut les créer pour vous. Si votre passerelle de fichiers crée la politique pour vous, celle-ci contient une liste d'actions S3. Pour plus d'informations sur les rôles et les autorisations, consultez la section [Création d'un rôle pour déléguer des autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *guide de l'utilisateur IAM*.

L'exemple suivant est une politique de confiance qui permet à votre passerelle de fichiers d'assumer un rôle IAM.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "storagegateway.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

**Important**  
Storage Gateway peut assumer les rôles de service existants transmis à l'aide de l'action de `iam:PassRole` stratégie, mais il ne prend pas en charge les politiques IAM qui utilisent la clé de `iam:PassedToService` contexte pour limiter l'action à des services spécifiques.  
Pour plus d’informations, consultez les rubriques suivantes dans le *Gestion des identités et des accès AWS Guide de l’utilisateur* :  
[IAM : transmettre un rôle IAM à un service spécifique AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam-passrole-service.html)
[Octroi à un utilisateur de l'autorisation de transmettre un rôle à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)
[Clés disponibles pour IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_PassedToService)

Si vous ne souhaitez pas que votre passerelle de fichiers crée une politique en votre nom, vous pouvez créer votre propre stratégie et l'associer à votre partage de fichiers. Pour plus d'informations sur cette étape, consultez [Création d'un partage de fichiers](GettingStartedCreateFileShare.md).

L'exemple de politique suivant permet à votre passerelle de fichiers d'effectuer toutes les actions Amazon S3 répertoriées dans la politique. La première partie de l'instruction permet de toutes les actions répertoriées d'être exécutées sur le compartiment S3 nommé `amzn-s3-demo-bucket`. La seconde partie autorise les actions répertoriées sur tous les objets dans `amzn-s3-demo-bucket`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "s3:GetAccelerateConfiguration",
                "s3:GetBucketLocation",
                "s3:GetBucketVersioning",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Effect": "Allow"
        }
    ]
}
```

------

L'exemple de politique suivant est similaire au précédent, mais permet à votre passerelle de fichiers d'effectuer les actions nécessaires pour accéder à un bucket via un point d'accès.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:us-east-1:111122223333:accesspoint/TestAccessPointName/*",
            "Effect": "Allow"
        }
    ]
}
```

------

**Note**  
Si vous devez connecter votre partage de fichiers à un compartiment S3 via un point de terminaison VPC, consultez les [politiques de point de terminaison pour Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) dans le guide de l'*AWS PrivateLink utilisateur*.

**Note**  
Pour les compartiments chiffrés, le partage de fichiers doit utiliser la clé du compte du compartiment S3 de destination.

**Note**  
***Si votre passerelle de fichiers utilise SSE-KMS ou DSSE-KMS pour le chiffrement, assurez-vous que le rôle IAM associé au partage de fichiers inclut les autorisations KMS:Encrypt, *KMS:Decrypt**, kms : \$1, kms :* et kms :. ReEncrypt GenerateDataKey DescribeKey*** Pour plus d'informations, consultez [Using Identity-Based Policies (IAM Policies) pour Storage Gateway](https://docs.aws.amazon.com/filegateway/latest/files3/using-identity-based-policies.html).

# Prévention du problème de l’adjoint confus entre services
<a name="cross-service-confused-deputy-prevention"></a>

Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner un problème de confusion chez les adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le *service appelant*) appelle un autre service (le *service appelé*). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé à accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services avec des principaux de service qui ont eu accès aux ressources de votre compte. 

Nous recommandons d'utiliser les clés de contexte de condition [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)et les clés contextuelles dans les politiques de ressources afin de limiter les autorisations qui AWS Storage Gateway accordent un autre service à la ressource. Si vous utilisez les deux clés de contexte de condition globale, la valeur `aws:SourceAccount` et le compte de la valeur `aws:SourceArn` doit utiliser le même ID de compte lorsqu’il est utilisé dans la même déclaration de stratégie.

La valeur de `aws:SourceArn` doit être l'ARN du Storage Gateway auquel votre partage de fichiers est associé.

Le moyen le plus efficace de se protéger contre le problème de député confus consiste à utiliser la clé de contexte de condition globale `aws:SourceArn` avec l’ARN complet de la ressource. Si vous ne connaissez pas l’ARN complet de la ressource ou si vous spécifiez plusieurs ressources, utilisez la clé de contexte de condition globale `aws:SourceArn` avec des caractères génériques (`*`) pour les parties inconnues de l’ARN. Par exemple, `arn:aws:servicename::123456789012:*`. 

L'exemple suivant montre comment utiliser les clés contextuelles de condition `aws:SourceAccount` globale `aws:SourceArn` et les clés contextuelles de Storage Gateway pour éviter le problème de confusion des adjoints.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
       "Sid": "ConfusedDeputyPreventionExamplePolicy",
       "Effect": "Allow",
       "Principal": {
         "Service": "storagegateway.amazonaws.com"
       },
       "Action": "sts:AssumeRole",
       "Condition": {
         "StringEquals": {
           "aws:SourceAccount": "444455556666"
         },
         "ArnLike": {
          "aws:SourceArn": "arn:aws:storagegateway:us-east-1:444455556666:gateway/sgw-123456DA"
        }
      }
    }
  ]  
}
```

------

# Utilisation d'un partage de fichiers pour un accès entre comptes
<a name="cross-account-access"></a>

L'accès *entre comptes* se produit lorsqu'un compte Amazon Web Services et les utilisateurs de ce compte obtiennent l'accès à des ressources appartenant à un autre compte Amazon Web Services. Avec File Gateway, vous pouvez utiliser un partage de fichiers dans un compte Amazon Web Services pour accéder aux objets d'un compartiment Amazon S3 appartenant à un autre compte Amazon Web Services.

**Pour utiliser un partage de fichiers appartenant à un compte Amazon Web Services pour accéder à un compartiment S3 dans un autre compte Amazon Web Services**

1. Assurez-vous que le propriétaire du compartiment S3 a accordé à votre compte Amazon Web Services l'accès au compartiment S3 auquel vous devez accéder et aux objets qu'il contient. Pour plus d'informations sur la manière d'accorder cet accès, consultez l'[exemple 2 : le propriétaire du bucket accorde des autorisations de bucket entre comptes](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*. Pour obtenir la liste des autorisations requises, consultez [Octroi de l'accès à un compartiment Amazon S3](grant-access-s3.md).

1. Assurez-vous que le rôle IAM que votre partage de fichiers utilise pour accéder au compartiment S3 inclut des autorisations pour les opérations telles que `s3:GetObjectAcl` et `s3:PutObjectAcl`. De plus, assurez-vous que le rôle IAM inclut une stratégie d'approbation qui autorise votre compte à assumer ce rôle IAM. Pour voir un exemple d'une telle stratégie d'approbation, consultez [Octroi de l'accès à un compartiment Amazon S3](grant-access-s3.md).

   Si votre partage de fichiers utilise un rôle existant pour accéder au compartiment S3, vous devez inclure des autorisations pour les opérations telles que `s3:GetObjectAc` et `s3:PutObjectAcl`. Le rôle a également besoin d'une stratégie d'approbation qui autorise votre compte à endosser ce rôle. Pour voir un exemple d'une telle stratégie d'approbation, consultez [Octroi de l'accès à un compartiment Amazon S3](grant-access-s3.md).

1. [Choisissez **les fichiers Gateway accessibles au propriétaire du compartiment S3** lors de la création de votre partage de fichiers ou de la modification des paramètres de partage de fichiers à l'https://console.aws.amazon.com/storagegateway/accueil.](https://console.aws.amazon.com/storagegateway/)

Une fois que vous avez créé ou mis à jour votre partage de fichiers pour l'accès entre comptes et monté le partage de fichiers sur site, nous vous recommandons vivement de tester votre configuration. Pour ce faire, vous pouvez répertorier le contenu du répertoire ou écrire des fichiers de test et vérifier que les fichiers apparaissent en tant qu'objets dans le compartiment S3.

**Important**  
Assurez-vous de configurer les stratégies correctement pour accorder un accès entre comptes au compte utilisé par votre partage de fichiers. Dans le cas contraire, les mises à jour des fichiers par le biais de vos applications sur site ne se propagent pas dans le compartiment Amazon S3 avec lequel vous travaillez.

## Ressources
<a name="related-topics-fileshare"></a>

Pour plus d'informations sur les stratégies d'accès et les listes de contrôle d'accès, consultez les ressources suivantes :

[Instructions relatives à l'utilisation des options de politique d'accès disponibles](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-policy-alternatives-guidelines.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*

[Présentation de la liste de contrôle d’accès (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html) dans le *Guide de l’utilisateur Amazon Simple Storage Service*