Aller au contenu

Gérer les accès au stockage objet (S3) (niveau intermédiaire à avancé)

Dès son inscription à VALERIA, chaque chercheuse et chercheur de l’Université Laval possède un espace de 4 To de stockage S3 subventionné par l’ULaval.

Par défaut, seul le propriétaire d'un compartiment a accès à son compartiment et seulement lui est en mesure de donner accès à d'autres utilisatrices et utilisateurs à ses données. En modifiant la politique d'accès à un compartiment, il est possible de :

  • Donner des accès en partie ou en totalité aux données à d'autres personnes utilisatrices

  • Rendre les données disponibles à partir de l'Internet

Attention

Peu importe la politique choisie, le propriétaire conserve toujours un accès complet à son compartiment, même si une politique d’accès lui en interdit l’accès.

Attention

La gestion des accès se fait au niveau du compartiment. La portée d'une politique d'accès de type compartiment ne dépasse jamais le compartiment lui-même. Chaque compartiment a donc une politique qui est indépendante. Il est donc nécessaire d'écrire et d'appliquer une politique sur chacun des compartiments.

Gestion des accès par VALERIA (recommandé)

La gestion des accès aux compartiments S3 est sous la responsabilité directe de la chercheuse ou du chercheur, par l’entremise de notre portail authentifié. Les détails et la procédure seront abordés plus bas dans cette page. Avec une bonne connaissance sur le stockage S3, il est possible de gérer les accès aux compartiments. Consulter la section « Gérer ses politiques d'accès via S3cmd » plus bas pour voir un exemple.

Profil chercheuse ou chercheur ULaval

Dès que l’inscription à VALERIA est complétée, il est possible d’effectuer les actions suivantes :

  • Créer un compartiment

  • Afficher ses compartiments

  • Supprimer un compartiment

  • Gérer les accès à un compartiment

  • Téléverser des fichiers

  • Télécharger des fichiers

  • Remplacer des fichiers

  • Supprimer des fichiers

Pour partager des accès de compartiments à d’autres utilisatrices et utilisateurs, la chercheuse ou le chercheur doit d’abord ajouter une personne collaboratrice en utilisant l’application de Gestion des accès aux ressources, disponible sur le portail de VALERIA.

Modifier les permissions des compartiments S3 avec l'application de Gestion des accès aux ressources de VALERIA

L’application Gestion des accès aux ressources, accessible dans le portail authentifié de VALERIA, offre une fonctionnalité vous permettant de gérer les accès à votre stockage et à vos compartiments S3. Ainsi, vous pouvez spécifier si vous accordez à vos personnes collaboratrices des droits en lecture, en écriture ou en suppression et ce, indépendamment pour chacun de vos compartiments.

Attention

En modifiant les permissions de vos compartiments S3 avec l'application Gestion des accès aux ressources, cela écrase les permissions préexistantes et peut avoir des conséquences si :

  • Vous avez rédigé vous-même vos politiques d’accès aux compartiments S3;

  • Vous utilisez un schéma de permission qui restreint les accès aux dossiers d'un compartiment;

  • Vous utilisez des comptes applicatifs pour accéder aux données des compartiments.

Si un ou plusieurs de ces cas s’appliquent à vous, nous vous conseillons fortement de continuer à gérer vous-mêmes les accès à vos compartiments S3 et de ne PAS utiliser l'application de Gestion des accès aux ressources.

Accès en lecture, écriture ou suppression

Les accès aux compartiments S3 octroyés à une personne collaboratrice peuvent être en lecture, en écriture ou en suppression.

En lecture, la personne peut :

  • Afficher le compartiment et les fichiers du compartiment

  • Télécharger un fichier

En écriture, la personne peut :

  • Afficher le compartiment et les fichiers du compartiment

  • Télécharger un fichier

  • Téléverser un fichier

  • Remplacer un fichier

En suppression, la personne peut supprimer un fichier, ce qui entraîne la disparition définitive du fichier dans le compartiment.

Pour une personne collaboratrice

La chercheuse ou le chercheur peut attribuer des accès de personne collaboratrice à une utilisatrice ou un utilisateur en suivant les étapes plus bas.

D'abord, s'assurer que la personne fait partie des personnes collaboratrices avec l’aide de l’application Gestion des accès aux ressources.

Personne déjà collaboratrice

  • Cliquer sur l'icône de modification des accès aux ressources.

  • Ajuster les permissions pour chaque compartiment S3 souhaité (lecture, écrire ou suppression)

  • Cliquer sur modifier

Personne non-collaboratrice

  • Entrer le nom ou le courriel de la personne souhaitée et sélectionner la personne souhaitée

  • Ajuster les permissions pour chaque compartiment S3 souhaité (lecture, écrire ou suppression)

  • Cliquer sur modifier

Gérer ses politiques d'accès via S3cmd (niveau intermédiaire à avancé)

Avec une bonne connaissance des politiques d'accès de S3, il est possible de les appliquer vous-même. Pour savoir comment utiliser S3cmd, consulter la section sur la gestion des politiques d’accès avec s3cmd.

Les prochaines sections montrent un exemple d'une politique courante. Pour supporter cette démonstration, la structure de fichiers suivantes sera utilisée comme référence.

Attention

Ne jamais partager vos clés S3. Chaque utilisatrice et utilisateur doit utiliser ses propres clés.

Accès complet pour une personne collaboratrice de confiance

Voici une politique qui permet de donner un accès complet (données et gestion) à un compartiment à une personne collaboratrice.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Accès complet à la gestion et aux données pour idulCollaborateurComplet",
      "Effect": "Allow",
      "Principal": { "AWS": [ "arn:aws:iam:::user/idulCollaborateurComplet" ] },
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::mon-compartiment/*",
        "arn:aws:s3:::mon-compartiment"
      ]
    }
  ]
}

Accès Lecture + Écriture à tout le compartiment à une personne collaboratrice

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Accès Lecture et Écriture à un collaborateur",
      "Effect": "Allow",
      "Principal": { "AWS": [ "arn:aws:iam:::user/idulCollaborateurRW" ] },
      "Action": [
        "s3:ListBucket",
        "s3:PutObject",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:DeleteObject",
        "s3:DeleteObjectVersion",
        "s3:DeleteObject"
      ],
      "Resource": [ "arn:aws:s3:::mon-compartiment", "arn:aws:s3:::mon-compartiment/*" ]
    }
  ]
}

Accès Lecture + Écriture au dossier Centre à plusieurs personnes collaboratrices

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Afficher le dossier Centre",
      "Effect": "Allow",
      "Principal": { "AWS": [
        "arn:aws:iam:::user/idulCentre1RW",
        "arn:aws:iam:::user/idulCentre2RW"
      ] },
      "Action": "s3:ListBucket",
      "Resource": [ "arn:aws:s3:::mon-compartiment" ],
      "Condition":{"StringLike":{"s3:prefix":["Centre/"],"s3:delimiter":["/"]}}
    },
    {
      "Sid": "idul123: Accès Lecture et Écriture à son dossier",
      "Effect": "Allow",
      "Action": ["s3:*"],
      "Principal": { "AWS": [
        "arn:aws:iam:::user/idulCentre1RW",
        "arn:aws:iam:::user/idulCentre2RW"
      ] },
      "Resource": [ "arn:aws:s3:::mon-compartiment/Centre/*" ]
    }
  ]
}

Accès Lecture + Écriture à un dossier individuel privé partagé avec la personne propriétaire du compartiment

Pour donner les permissions à deux étudiant(e)s à leur dossier respectif, dans un même compartiment.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "idul123: Afficher le dossier idul123",
      "Effect": "Allow",
      "Principal": { "AWS": [ "arn:aws:iam:::user/idul123" ] },
      "Action": "s3:ListBucket",
      "Resource": [ "arn:aws:s3:::mon-compartiment-etudiants" ],
      "Condition":{"StringLike":{"s3:prefix":["idul123/"],"s3:delimiter":["/"]}}
    },
    {
      "Sid": "idul123: Accès Lecture et Écriture à son dossier",
      "Effect": "Allow",
      "Action": ["s3:*"],
      "Principal": { "AWS": [ "arn:aws:iam:::user/idul123" ] },
      "Resource": [ "arn:aws:s3:::mon-compartiment-etudiants/idul123/*" ]
    },
    {
      "Sid": "idul999: Afficher le dossier idul999",
      "Effect": "Allow",
      "Principal": { "AWS": [ "arn:aws:iam:::user/idul999" ] },
      "Action": "s3:ListBucket",
      "Resource": [ "arn:aws:s3:::mon-compartiment-etudiants" ],
      "Condition":{"StringLike":{"s3:prefix":["idul999/"],"s3:delimiter":["/"]}}
    },
    {
      "Sid": "idul999: Accès Lecture et Écriture à son dossier",
      "Effect": "Allow",
      "Action": ["s3:*"],
      "Principal": { "AWS": [ "arn:aws:iam:::user/idul999" ] },
      "Resource": [ "arn:aws:s3:::mon-compartiment-etudiants/idul999/*" ]
    }
  ]
}

Rendre un compartiment visible depuis l'Internet

Pour donner un accès anonyme en lecture à un compartiment. Les documents seront disponibles à l'adresse suivante, en ajustant le nom du compartiment selon votre cas. Par exemple, pour le fichier index.html, l'URL sera: https://mon-compartiment-web.s3.valeria.science/index.html

{
  "Version": "2012-10-17",
  "Id": "doc.valeria-policies",
  "Statement": [
    {
      "Sid": "WEB_LECTURE_SEULEMENT",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:ListBucket",
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::mon-compartiment-web",
        "arn:aws:s3:::mon-compartiment-web/*"
      ]
    }
  ]
}