Comment puis-je corriger une stratégie de compartiment qui utilise un identifiant incorrect pour un VPC ou pour le point de terminaison d'un VPC ?

Lecture de 5 minute(s)
0

Mon compartiment Amazon Simple Storage Service (Amazon S3) indique un identifiant incorrect pour un Amazon Virtual Private Cloud (Amazon VPC) ou pour le point de terminaison d'un VPC. Je souhaite corriger la stratégie afin de pouvoir à nouveau accéder au compartiment.

Résolution

Remarque :

L'ID du VPC ou du point de terminaison d'un VPC est valide, mais ne correspond pas au bon VPC

Remarque : si vous avez spécifié un ID de VPC dans la stratégie de compartiment, vous devez associer un point de terminaison d'un VPC au VPC. Dans le cas contraire, le compartiment ne peut pas être mis à jour.

Procédez comme suit :

  1. Connectez-vous à une instance Amazon Elastic Compute Cloud (Amazon EC2) qui se trouve dans le VPC autorisé.
    Remarque : l'instance Amazon EC2 doit également utiliser une table de routage qui autorise le trafic vers Amazon S3 via le point de terminaison d'un VPC. L'instance doit également disposer d'un rôle ou d'informations d'identification autorisant l'accès au compartiment S3.

  2. À partir de l'instance, exécutez la commande AWS CLI get-bucket-policy pour obtenir la stratégie de compartiment :

    aws s3api get-bucket-policy --bucket example_bucket
  3. Important : vous devez copier la stratégie de compartiment existante, car vous en aurez besoin ultérieurement.

  4. Supprimez la stratégie de compartiment :

    aws s3api delete-bucket-policy --bucket example_bucket
  5. modifiez la stratégie de compartiment précédente pour pointer vers le VPC ou vers le point de terminaison d'un VPC approprié. Vous pouvez également supprimez la restriction VPC si vous n'avez pas besoin que l'accès soit restreint par le VPC.

  6. Enregistrez la stratégie corrigée au format JSON.

  7. À partir d'un compte AWS ayant accès au compartiment, exécutez la commande put-bucket-policy pour ajouter la stratégie de compartiment corrigée au compartiment :

    aws s3api put-bucket-policy --bucket example_bucket --policy file://policy.json

L'ID du VPC ou du point de terminaison d'un VPC n'est pas valide

Vous recevrez un message d'erreur si l'ID du VPC ou du point de terminaison d'un VPC figurant dans la stratégie de compartiment n'est pas valide (ou s'il est mal saisi). Pour mettre à jour la stratégie, vous devez disposer d'un accès utilisateur root au compte. Il est impossible de modifier ou de supprimer une stratégie à l'aide d'un accès de niveau administrateur.

Remarque : ces procédures ne sont pas applicables à AWS GovCloud (US). Si vous êtes un utilisateur d'AWS GovCloud (US), contactez AWS Support pour obtenir de l'aide.

Utilisation de la console Amazon S3 pour corriger la stratégie de compartiment

Procédez comme suit :

  1. Ouvrez la console Amazon S3 en tant qu'utilisateur root.
  2. Sélectionnez le compartiment Amazon S3 qui utilise la stratégie de compartiment que vous souhaitez supprimer ou modifier.
    Remarque : l'erreur Accès refusé peut survenir dans la console après l'ouverture du compartiment. Vous pouvez malgré tout passer aux étapes suivantes.
  3. Choisissez la vue Autorisations.
  4. Choisissez Stratégie de compartiment.
  5. Pour supprimer la stratégie de compartiment, choisissez Supprimer. Pour modifier uniquement l'ID du VPC ou l'ID du point de terminaison d'un VPC, corrigez l'ID dans l'éditeur de stratégie de compartiment, puis choisissez Enregistrer.
    Avertissement : si vous optez pour la suppression de la stratégie de compartiment, veillez à conserver une copie de la stratégie de compartiment existante à titre de référence.

Utilisation de l'interface AWS CLI pour corriger la stratégie de compartiment

Avertissement : cette procédure utilise les informations d'identification de l'utilisateur root (clés d'accès). Il est recommandé d'utiliser les informations d'identification de l'utilisateur root uniquement pour les scénarios d'urgence ou de restauration. Pour en savoir plus, reportez-vous à Protégez vos informations d'identification d'utilisateur root et évitez de les utiliser pour des tâches quotidiennes.

Procédez comme suit :

  1. Exécutez la commande suivante pour configurer l'interface AWS CLI :

    aws configure
  2. Saisissez vos informations d'identification d'utilisateur root. Pour obtenir des instructions sur la façon de générer ces informations d'identification, consultez la section Création de clés d'accès pour l'utilisateur root.

  3. Obtenez la stratégie de compartiment :

    aws s3api get-bucket-policy --bucket example_bucket
  4. Important : vous devez copier la stratégie de compartiment existante, car vous en aurez besoin ultérieurement.

  5. Exécutez la commande suivante pour supprimer la stratégie de compartiment :

    aws s3api delete-bucket-policy --bucket example_bucket
  6. modifiez la stratégie de compartiment précédente pour pointer vers le VPC ou vers le point de terminaison d'un VPC approprié. Vous pouvez également supprimez la restriction VPC si vous n'avez pas besoin que l'accès soit restreint par le VPC.

  7. Enregistrez la stratégie corrigée au format JSON.

  8. Exécutez la commande put-bucket-policy pour ajouter la stratégie de compartiment corrigée au compartiment :

    aws s3api put-bucket-policy --bucket example_bucket --policy file://policy.json

Suivez les recommandations d'AWS

Une fois la stratégie de compartiment corrigée, il est conseillé de prendre les mesures suivantes :

Informations connexes

Contrôle de l'accès à partir des points de terminaison d'un VPC avec des stratégies de compartiment

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 6 mois