Advanced S3 Concepts - Part 2
1. Amazon S3 CORS (Cross-Origin Resource Sharing)
Le contexte et le problème
À quoi ça sert ?
CORS est un mécanisme qui permet de dire explicitement au navigateur web : "Hé, j'autorise le site A à venir piocher des ressources dans mon bucket S3".
Ce qu'il faut retenir pour l'examen
-
C’est une politique du navigateur web : Ce n'est pas S3 qui bloque la requête, c'est le navigateur de l'utilisateur qui refuse de charger la ressource parce que S3 n'a pas renvoyé les bons en-têtes d'autorisation.
-
La configuration : Vous écrivez une règle CORS (en JSON) sur le bucket S3 pour lister les origines autorisées (ex:
https://mon-site-web.com), les méthodes (GET, PUT) et les en-têtes.
2. S3 MFA Delete
Le contexte et le problème
Imaginez qu'un employé en colère ou qu'un pirate réussisse à voler les identifiants d'un administrateur. Il pourrait supprimer définitivement des données critiques de l'entreprise en quelques clics.
À quoi ça sert ?
MFA Delete ajoute une double sécurité physique. Même si vous avez les droits d'accès, AWS va vous demander de saisir un code MFA (Multi-Factor Authentication) pour deux actions ultra-critiques.
Ce qu'il faut retenir pour l'examen (Attention aux pièges !)
-
Quand le MFA est-il requis ?
-
Pour supprimer définitivement une version d'un objet.
-
Pour suspendre le versioning du bucket.
-
-
Le versioning doit être activé : Logique, puisque le MFA Delete sert principalement à protéger les versions des objets. Vous ne pouvez pas activer le MFA Delete si le versioning n'est pas activé.
-
Le piège de l'examen (Root Account) : Seul le compte racine (Root Account) de la solution AWS peut activer ou désactiver le MFA Delete. Un utilisateur IAM, même avec les droits
AdministratorAccess, ne peut pas le faire. (Note : en revanche, pour supprimer l'objet une fois configuré, l'utilisateur IAM peut le faire s'il a les droits ET le token MFA).