Advanced S3 Concepts - Part 2

1. Amazon S3 CORS (Cross-Origin Resource Sharing)

Le contexte et le problème

Par défaut, les navigateurs web appliquent une règle de sécurité très stricte appelée Same-Origin Policy (Politique de même origine). Si un utilisateur visite site-a.com, le code JavaScript de ce site ne peut pas, par défaut, aller chercher des ressources (comme des polices, des images ou des scripts) sur site-b.com ou sur un bucket S3 mon-bucket.s3.amazonaws.com. Le navigateur bloque la requête pour éviter les attaques malveillantes.

À quoi ça sert ?

CORS est un mécanisme qui permet de dire explicitement au navigateur web : "Hé, j'autorise le site A à venir piocher des ressources dans mon bucket S3".

Ce qu'il faut retenir pour l'examen

2. S3 MFA Delete

Le contexte et le problème

Imaginez qu'un employé en colère ou qu'un pirate réussisse à voler les identifiants d'un administrateur. Il pourrait supprimer définitivement des données critiques de l'entreprise en quelques clics.

À quoi ça sert ?

MFA Delete ajoute une double sécurité physique. Même si vous avez les droits d'accès, AWS va vous demander de saisir un code MFA (Multi-Factor Authentication) pour deux actions ultra-critiques.

Ce qu'il faut retenir pour l'examen (Attention aux pièges !)

3. S3 Access Logs (Journaux d'accès)

Le contexte et le problème

Dans une grande entreprise ou pour des raisons de conformité légale, vous devez être capable de répondre à la question : "Qui a consulté ou modifié ce fichier confidentiel mardi dernier à 14h ?"

À quoi ça sert ?

Les S3 Access Logs enregistrent toutes les requêtes (GET, PUT, DELETE) envoyées à votre bucket. Cela fournit des enregistrements détaillés (IP source, utilisateur, type de requête, date) à des fins d'audit et de sécurité.

Ce qu'il faut retenir pour l'examen

4. Pre-signed URLs (URLs pré-signées)

Le contexte et le problème

Vous avez des fichiers privés dans un bucket S3 (par exemple, des vidéos de formation payantes). Vous ne voulez pas rendre le bucket public. Comment permettre à un utilisateur qui a payé de télécharger sa vidéo sans lui créer un compte AWS ?

À quoi ça sert ?

Une URL pré-signée est une URL temporaire générée par vous (via du code) qui donne une autorisation d'accès temporaire à un objet S3 spécifique. Elle contient une clé de sécurité et une date d'expiration (par exemple, valide pendant 15 minutes).

Ce qu'il faut retenir pour l'examen

5. S3 Object Lock & Glacier Vault Lock

Le contexte et le problème

Dans les secteurs bancaires, de la santé ou du secteur public, la loi impose souvent de conserver des documents (ex: fiches de paie, dossiers médicaux) pendant plusieurs années sans qu'absolument personne (pas même le grand patron ou le pirate qui a volé le compte Root) ne puisse les modifier ou les supprimer.

À quoi ça sert ?

Ils implémentent le modèle WORM (Write Once, Read Many — Écrire une fois, lire plusieurs fois). Une fois le fichier écrit, il est gravé dans le marbre pour la durée choisie.

Ce qu'il faut retenir pour l'examen

S3 Object Lock (Au niveau de l'objet ou du bucket)

Il fonctionne avec deux modes principaux pour gérer la période de rétention (Retention Period) :

Glacier Vault Lock (Pour les archives à long terme)

6. S3 Access Points (Points d'accès S3)

Le contexte et le problème

Imaginez un bucket S3 unique qui centralise toutes les données d'une entreprise (données financières, RH, marketing, tech). Historiquement, vous deviez écrire une Bucket Policy (politique de bucket) géante. Au bout de quelques mois, la politique fait 300 lignes, elle est illisible, et si vous faites une erreur pour accorder un accès au marketing, vous risquez de casser les accès de la finance.

À quoi ça sert ?

Les Access Points permettent de simplifier la gestion des accès en créant des "portes d'entrée" uniques et dédiées pour chaque équipe ou application. Au lieu d'une seule grosse politique de bucket, vous créez un point d'accès pour le marketing (avec sa propre mini-politique), un pour la finance, etc.

Ce qu'il faut retenir pour l'examen

Pour restreindre l'accès à vos données S3 aux seules frontières de votre réseau d'entreprise, vous pouvez configurer un S3 Access Point pour qu'il soit exclusivement accessible depuis l'intérieur d'un VPC (Virtual Private Cloud) spécifique. Concrètement, l'application située dans votre VPC privé va interroger ce point d'accès en empruntant un VPC Gateway Endpoint (ou un VPC Interface Endpoint selon votre architecture), ce qui permet au trafic réseau de transiter intégralement via le réseau interne d'AWS sans jamais s'exposer sur l'Internet public. De cette manière, même si un utilisateur possède des identifiants valides, toute tentative de connexion via ce point d'accès en dehors du VPC ou depuis une connexion Internet classique sera automatiquement bloquée.

7. S3 Object Lambda

Le contexte et le problème

Vous avez un bucket contenant des images en haute résolution ou des fichiers de données clients au format JSON.

À quoi ça sert ?

S3 Object Lambda permet d'intercepter la requête de l'application appelante et de modifier l'objet à la volée via une fonction AWS Lambda avant de lui renvoyer.

Ce qu'il faut retenir pour l'examen

Revision #6
Created 2026-06-03 08:24:47 UTC by Victor
Updated 2026-06-03 12:20:36 UTC by Victor