Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Politiques Amazon S3
<a name="orgs_manage_policies_s3"></a>

Les politiques Amazon S3 vous permettent de gérer de manière centralisée les configurations des ressources Amazon S3 à grande échelle sur l'ensemble des comptes d'une organisation. Les politiques Amazon S3 prennent actuellement en charge les paramètres de blocage de l'accès public.

Vous pouvez utiliser une politique Amazon S3 pour spécifier s'il faut activer ou désactiver les quatre paramètres de blocage de l'accès public, et cette spécification s'appliquera à toutes les ressources Amazon S3 au sein des comptes sélectionnés. Vous pouvez utiliser les paramètres de blocage de l'accès public dans une politique Amazon S3 pour appliquer une posture de sécurité cohérente au sein de votre organisation et éliminer les frais opérationnels liés à la gestion des configurations de comptes individuels.

## Comment ça marche
<a name="s3-policies-how-it-works"></a>

Lorsque vous associez une politique Amazon S3 à une entité organisationnelle, elle définit les paramètres qui s'appliquent à toutes les ressources Amazon S3 au sein des comptes relevant de cette étendue. Ces configurations remplacent les paramètres au niveau du compte, ce qui vous permet de gérer de manière centralisée les paramètres Amazon S3.

Les politiques Amazon S3 peuvent être appliquées à l'ensemble d'une organisation, à des unités organisationnelles (OUs) ou à des comptes individuels. Les comptes rejoignant une organisation hériteront automatiquement de toutes les politiques Amazon S3 en fonction de leur emplacement dans la hiérarchie de l'organisation.

Comportement de détachement : si une politique Amazon S3 est dissociée, les comptes reprennent automatiquement leur configuration précédente au niveau du compte. Amazon S3 préserve les paramètres d'origine au niveau du compte afin de permettre une restauration fluide.

## Fonctions principales
<a name="s3-policies-key-features"></a>
+ Contrôle unifié : les quatre paramètres d'accès public par blocs (BlockPublicAcls, BlockPublicPolicy, IgnorePublicAcls, RestrictPublicBuckets) sont contrôlés ensemble en tant que configuration unique
+ Héritage automatique : les nouveaux comptes héritent automatiquement des politiques en fonction de leur placement organisationnel
+ Protection de remplacement : empêche les modifications au niveau du compte lorsque les politiques de l'organisation sont actives
+ Restauration fluide : les paramètres du compte d'origine sont préservés et restaurés lorsque les politiques sont détachées

## Conditions préalables
<a name="s3-policies-prerequisites"></a>

Avant d'utiliser les politiques Amazon S3, assurez-vous d'avoir :
+ Une AWS organisation en mode toutes les fonctionnalités
+ Autorisations pour gérer AWS les politiques des organisations (organisations : CreatePolicyAttachPolicy, organisations :, etc.)
+ Le type de politique Amazon S3 activé pour votre organisation

# Bonnes pratiques relatives à l'utilisation des politiques Amazon S3
<a name="orgs_manage_policies_s3_best_practices"></a>

Lors de la mise en œuvre des politiques Amazon S3 au sein de votre organisation, le respect des meilleures pratiques établies permet de garantir un déploiement et une maintenance réussis.

## Commencez simplement en réalisant de petites modifications
<a name="s3-start-simple-incremental-changes"></a>

Pour simplifier le débogage, commencez par des politiques simples et apportez des modifications à un élément à la fois. Validez le comportement et l'impact de chaque modification avant d'effectuer la suivante. Vous réduisez ainsi le nombre de variables dont vous devez tenir compte lorsqu'une erreur ou un résultat inattendu se produit.

## Mettre en place des processus de révision
<a name="s3-establish-review-processes"></a>

Mettez en œuvre des processus pour surveiller les nouveaux attributs des politiques, évaluer les exceptions aux politiques et apporter des ajustements afin de maintenir l'alignement sur les exigences opérationnelles et de sécurité de votre organisation.

## Validez les modifications apportées à vos politiques Amazon S3 à l'aide de DescribeEffectivePolicy
<a name="s3-validate-policy-changes"></a>

Après avoir modifié une politique Amazon S3, vérifiez les politiques en vigueur pour les comptes représentatifs situés en dessous du niveau auquel vous avez apporté la modification. Vous pouvez consulter la politique effective à l'aide de la console AWS de gestion, de l'opération DescribeEffectivePolicy API ou de l'une de ses variantes de AWS CLI ou de AWS SDK. Assurez-vous que la modification que vous avez apportée a eu l'impact escompté sur la politique effective.

## Communiquez et entraînez-vous
<a name="s3-communicate-and-train"></a>

Assurez-vous que votre organisation comprend l'objectif et l'impact de vos politiques. Fournissez des conseils clairs sur les comportements attendus et sur la manière de gérer les défaillances dues à l'application des politiques.

## Planifier pour répondre aux besoins légitimes d'accès du public
<a name="s3-plan-for-public-access"></a>

Avant de mettre en œuvre des politiques au niveau de l'organisation, identifiez les comptes qui nécessitent des compartiments Amazon S3 publics à des fins commerciales légitimes (telles que l'hébergement de sites Web statiques). Envisagez d'utiliser l'attachement à une politique au niveau de l'unité d'organisation ou au niveau du compte pour exclure ces comptes, ou pour regrouper les besoins en compartiments publics dans des comptes dédiés.

## Surveiller l'application des politiques
<a name="s3-monitor-policy-enforcement"></a>

 AWS CloudTrail À utiliser pour surveiller l'attachement aux politiques et les mesures d'application. Définissez EventBridge des règles pour automatiser les réponses aux violations ou aux modifications des politiques.

# Syntaxe et exemples de politiques Amazon S3
<a name="orgs_manage_policies_s3_syntax"></a>

Une politique Amazon S3 est un fichier en texte brut structuré selon les règles du [JSON](http://json.org). La syntaxe des politiques Amazon S3 suit celle de tous les types de politiques de gestion. Pour de plus amples informations, veuillez consulter [Fonctionnement de l'héritage des politiques de gestion](orgs_manage_policies_inheritance_mgmt.md). Cette rubrique se concentre sur l'application de cette syntaxe générale aux exigences spécifiques des politiques Amazon S3 et aux paramètres de blocage de l'accès public qu'elles permettent de gérer.

L'exemple de politique Amazon S3 suivant montre la syntaxe de base de la politique :

```
{
    "s3_attributes": {
        "public_access_block_configuration": {
            "@@assign": "all"
        }
    }
}
```

## La syntaxe de la politique Amazon S3 inclut les éléments suivants
<a name="s3-policy-syntax-elements"></a>

`s3_attributes`  
La clé de niveau supérieur pour la configuration des politiques Amazon S3.

`public_access_block_configuration`  
Définit le comportement de blocage de l'accès public pour l'organisation.

`@@assign`  
L'opérateur d'affectation qui accepte l'une des deux valeurs suivantes :  
+ `"all"`- Active les quatre paramètres d'accès public par bloc d'Amazon S3 au niveau de l'organisation
+ `"none"`- Désactive le contrôle au niveau de l'organisation, permettant aux comptes individuels de gérer leurs propres paramètres de blocage de l'accès public
Amazon S3 Block Public Access possède quatre paramètres qui contrôlent l'accès public :  

1. **BlockPublicAcls**- Amazon S3 bloquera les autorisations d'accès public appliquées aux buckets ou objets récemment ajoutés, et empêchera la création de nouvelles listes de contrôle d'accès public (ACLs) pour les buckets et objets existants. Ce paramètre ne modifie aucune autorisation existante qui autorise l'accès public aux ressources Amazon S3 à l'aide de ACLs.

1. **BlockPublicPolicy**- Amazon S3 bloquera les nouvelles politiques relatives aux compartiments et aux points d'accès qui accordent un accès public aux compartiments et aux objets. Ce paramètre ne modifie aucune politique existante qui autorise l'accès public aux ressources Amazon S3.

1. **IgnorePublicAcls**- Amazon S3 ignorera tout ACLs ce qui accorde un accès public aux compartiments et aux objets.

1. **RestrictPublicBuckets**- Amazon S3 ignorera l'accès public et entre comptes pour les compartiments ou les points d'accès avec des politiques qui accordent un accès public aux compartiments et aux objets.
Lorsque vous définissez `@@assign` cette option`"all"`, les quatre paramètres sont consolidés et activés au niveau de l'organisation, offrant ainsi une protection complète contre l'accès public à tous les comptes de votre organisation.