

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Présentation de la liste de contrôle d’accès (ACL)
<a name="acl-overview"></a>

Les listes de contrôle d’accès (ACL) d’Amazon S3 vous permettent d’accéder aux compartiments et aux objets. Chaque compartiment et objet possède une liste ACL qui lui est attachée comme sous-ressource. Il définit le Comptes AWS ou les groupes auxquels l'accès est accordé et le type d'accès. Lors de la réception d’une demande sur une ressource, Amazon S3 vérifie la liste ACL correspondante pour s’assurer que le demandeur possède les autorisations d’accès nécessaires. 

La propriété d'objets S3 est un paramètre Amazon S3 au niveau des compartiments que vous pouvez utiliser pour contrôler la propriété des objets qui sont chargés dans votre compartiment, ainsi que pour désactiver ou activer les listes ACL. Par défaut, la propriété des objets est définie sur le paramètre Propriétaire du compartiment appliqué et toutes les listes ACL sont désactivées. Lorsque les ACL sont désactivées, le propriétaire du compartiment détient tous les objets du compartiment et gère leur accès exclusivement au moyen de politiques de gestion des accès.

 La majorité des cas d’utilisation modernes dans Amazon S3 ne nécessitent plus l’utilisation des listes ACL. Nous vous recommandons de maintenir les listes ACL désactivées, sauf si vous devez contrôler individuellement l’accès à chaque objet. Lorsque les listes ACL sont désactivées, vous pouvez utiliser des politiques pour contrôler l’accès à tous les objets de votre compartiment, quelle que soit la personne qui les a chargés dans votre compartiment. Pour de plus amples informations, veuillez consulter [Consultez Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment](about-object-ownership.md).

**Important**  
Si votre compartiment à usage général utilise Propriétaire du compartiment appliqué pour le paramètre Propriétaire de l’objet S3, vous devez utiliser des stratégies pour accorder l’accès à votre compartiment à usage général et aux objets qu’il contient. Quand le paramètre Propriétaire du compartiment appliqué est activé, les demandes de définition des listes de contrôle d’accès (ACL) ou des listes ACL de mise à jour échouent et renvoient le code d’erreur `AccessControlListNotSupported`. Les demandes de lecture de listes ACL sont toujours prises en charge.

Lorsque vous créez un compartiment ou un objet, Amazon S3 crée une liste ACL par défaut qui octroie au propriétaire de la ressource le contrôle total sur celle-ci. Ce comportement est illustré dans l’exemple de liste ACL de compartiment suivant (la liste ACL d’objet par défaut possède la même structure) :

**Example**  

```
 1. <?xml version="1.0" encoding="UTF-8"?>
 2. <AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
 3.   <Owner>
 4.     <ID>*** Owner-Canonical-User-ID ***</ID>
 5.   </Owner>
 6.   <AccessControlList>
 7.     <Grant>
 8.       <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
 9.                xsi:type="Canonical User">
10.         <ID>*** Owner-Canonical-User-ID ***</ID>
11.       </Grantee>
12.       <Permission>FULL_CONTROL</Permission>
13.     </Grant>
14.   </AccessControlList>
15. </AccessControlPolicy>
```

L’exemple de liste ACL inclut un élément `Owner` qui identifie le propriétaire par l’ID d’utilisateur canonique du Compte AWS. Pour obtenir des instructions pour trouver votre ID d’utilisateur canonique, consultez [Trouver un Compte AWS ID utilisateur canonique](#finding-canonical-id). L'`Grant`élément identifie le bénéficiaire (soit un groupe prédéfini, Compte AWS soit un groupe prédéfini) et l'autorisation accordée. Cette liste ACL par défaut possède un élément `Grant` pour le propriétaire. Vous accordez des autorisations en ajoutant des éléments `Grant`, avec chaque accord identifiant le bénéficiaire et l’autorisation. 

**Note**  
Une liste ACL peut avoir 100 accords maximum.

**Topics**
+ [Qui est un bénéficiaire ?](#specifying-grantee)
+ [Quelles autorisations puis-je octroyer ?](#permissions)
+ [Valeurs `ACL requises` pour les demandes Amazon S3 courantes](#aclrequired-s3)
+ [Exemple de liste ACL](#sample-acl)
+ [Liste ACL prête à l’emploi](#canned-acl)

## Qui est un bénéficiaire ?
<a name="specifying-grantee"></a>

Lorsque vous accordez des droits d’accès, vous spécifiez chaque bénéficiaire sous la forme d’une paire `{{type}}="{{value}}"`, où le `{{type}}` est l’un des suivants :
+ `id`— Si la valeur spécifiée est l'ID utilisateur canonique d'un Compte AWS
+ `uri` : si vous accordez des autorisations à un groupe prédéfini

**Avertissement**  
Lorsque vous accordez à d'autres personnes l' Comptes AWS accès à vos ressources, sachez qu'elles Comptes AWS peuvent déléguer leurs autorisations aux utilisateurs de leurs comptes. Il s’agit d’un *accès intercompte*. Pour en savoir plus sur l’utilisation de l’accès intercompte, consultez [Création d’un rôle pour la délégation d’autorisations à un utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*. 

### Trouver un Compte AWS ID utilisateur canonique
<a name="finding-canonical-id"></a>

L’ID d’utilisateur canonique est associé au Compte AWS. Cet ID est composé d’une longue chaîne de caractères, par exemple :

`79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be`

Pour découvrir comment trouver l’ID d’utilisateur canonique de votre compte, consultez [Recherche de l’ID d’utilisateur canonique de votre Compte AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId) dans le *Guide de référence sur la gestion des comptes AWS *.

Vous pouvez également rechercher l'ID utilisateur canonique d'un Compte AWS en lisant l'ACL d'un bucket ou d'un objet auquel il Compte AWS possède des autorisations d'accès. Lorsqu'une personne Compte AWS obtient des autorisations par le biais d'une demande de subvention, une entrée de subvention est ajoutée à l'ACL avec l'ID utilisateur canonique du compte. 

**Note**  
Si vous rendez votre compartiment public (non recommandé), n’importe quel utilisateur non authentifié pourra y charger des objets. Ces utilisateurs anonymes ne disposent pas d’un Compte AWS. Lorsqu’un utilisateur anonyme charge un objet dans votre compartiment, Amazon S3 ajoute un ID utilisateur canonique spécial (`65a011a29cdf8ec533ec3d1ccaae921c`) comme propriétaire de l’objet dans la liste ACL. Pour plus d’informations, consultez [Propriété du compartiment et de l’objet Amazon S3](access-policy-language-overview.md#about-resource-owner).

### Groupes prédéfinis Amazon S3
<a name="specifying-grantee-predefined-groups"></a>

Amazon S3 possède un ensemble de groupes prédéfinis. Lorsque l’accès à un compte est accordé à un groupe, vous spécifiez l’un des URI Amazon S3 au lieu de l’ID d’utilisateur canonique. Amazon S3 fournit les groupes prédéfinis suivants :
+ ****Groupe des utilisateurs authentifiés**** – Représenté par `http://acs.amazonaws.com/groups/global/AuthenticatedUsers`.

  Ce groupe représente tout le monde Comptes AWS. **L'autorisation d'accès à ce groupe permet Compte AWS à n'importe qui d'accéder à la ressource.** Toutefois, toutes les demandes doivent être signées (authentifiées).
**Avertissement**  
Lorsque vous accordez l'accès au **groupe Utilisateurs authentifiés**, n'importe quel utilisateur AWS authentifié dans le monde peut accéder à votre ressource.
+ ****Groupe de tous les utilisateurs**** – Représenté par `http://acs.amazonaws.com/groups/global/AllUsers`.

  **Une autorisation d’accès à ce groupe permet à tout le monde d’accéder à la ressource.** Les demandes peuvent être signées (authentifiées) ou non (anonymes). Les demandes non signées omettent l’en-tête Authentification dans la demande.
**Avertissement**  
Nous vous recommandons vivement de ne pas jamais accorder au **groupe de tous les utilisateurs** les autorisations `WRITE`, `WRITE_ACP` ou `FULL_CONTROL`. Par exemple, bien que les autorisations `WRITE` n’autorisent pas les non-propriétaires à remplacer ou supprimer des objets existants, les autorisations `WRITE` permettent à quiconque de stocker dans votre compartiment des objets, qui vous sont facturés. Pour plus de détails sur ces autorisations, consultez la section [Quelles autorisations puis-je octroyer ?](#permissions) suivante.
+ ****Groupe de livraison des journaux**** – Représenté par `http://acs.amazonaws.com/groups/s3/LogDelivery`.

  Une autorisation `WRITE` sur un compartiment permet à ce groupe d’écrire des journaux d’accès au serveur (consultez [Enregistrement de demandes avec journalisation des accès au serveur](ServerLogs.md)) dans le compartiment.

**Note**  
Lorsque vous utilisez des ACL, un bénéficiaire peut être un Compte AWS ou l'un des groupes Amazon S3 prédéfinis. Toutefois, le bénéficiaire ne peut pas être un utilisateur IAM. Pour plus d’informations sur les utilisateurs et autorisations AWS dans IAM, consultez [Utilisation d’ Gestion des identités et des accès AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/).

## Quelles autorisations puis-je octroyer ?
<a name="permissions"></a>

Le tableau suivant répertorie l’ensemble des autorisations qu’Amazon S3 prend en charge dans une liste ACL. Toutes les autorisations de liste ACL sont identiques pour les listes ACL d’objet et de compartiment. Toutefois, selon le contexte (liste ACL de compartiment ou liste ACL d’objet), ces autorisations de liste ACL accordent des autorisations pour des opérations spécifiques de compartiment ou d’objet. Le tableau répertorie les autorisations et décrit ce qu’elles signifient pour des objets et des compartiments. 

Pour plus d’informations sur les autorisations ACL dans la console Amazon S3, consultez [Configuration des listes ACL](managing-acls.md).


| Autorisations | Lorsqu’elles sont accordées sur un compartiment | Lorsqu’elles sont accordées sur un objet | 
| --- | --- | --- | 
| READ | Elles permettent au bénéficiaire de répertorier les objets dans le compartiment | Elles permettent au bénéficiaire de lire les données de l’objet et ses métadonnées | 
| WRITE | Elles permettent au bénéficiaire de créer des objets dans le compartiment. Pour les propriétaires de compartiments et d’objets existants, elles permettent également de supprimer et de remplacer ces objets. | Ne s'applique pas | 
| READ\_ACP | Elles permettent au bénéficiaire de lire la liste ACL du compartiment | Elles permettent au bénéficiaire de lire la liste ACL de l’objet | 
| WRITE\_ACP | Elles permettent au bénéficiaire d’écrire la liste ACL pour le compartiment applicable | Elles permettent au bénéficiaire d’écrire la liste ACL pour l’objet applicable | 
| FULL\_CONTROL | Elle accorde au bénéficiaire les autorisations READ, WRITE, READ\_ACP et WRITE\_ACP sur le compartiment | Elle accorde au bénéficiaire les autorisations READ, READ\_ACP et WRITE\_ACP sur l’objet | 

**Avertissement**  
Soyez vigilant lorsque vous accordez des autorisations d’accès à vos compartiments et objets S3. Par exemple, l’octroi de l’accès `WRITE` à un compartiment permet au bénéficiaire de créer des objets dans le compartiment. Nous vous recommandons vivement de lire l’ensemble de la section [Présentation de la liste de contrôle d’accès (ACL)](#acl-overview) avant d’accorder des autorisations.

### Mappage des autorisations de liste ACL et de stratégie d’accès
<a name="acl-access-policy-permission-mapping"></a>

Comme illustré dans la table précédente, une liste ACL permet uniquement d’accorder un ensemble limité d’autorisations, comparé au nombre d’autorisations configurables dans une stratégie d’accès (consultez [Actions de politique pour Amazon S3](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions)). Chacune de ces autorisations permet une ou plusieurs opérations Amazon S3.

Le tableau suivant montre comment chacune des autorisations de liste ACL est mappée aux autorisations de stratégie d’accès correspondantes. Comme vous pouvez le voir, une stratégie d’accès accorde plus d’autorisations qu’une liste ACL. Vous utilisez les ACL principalement pour accorder des read/write autorisations de base, similaires aux autorisations de système de fichiers. Pour plus d’informations sur le moment où utiliser une ACL, consultez [Gestion des identités et des accès pour Amazon S3](security-iam.md).

Pour plus d’informations sur les autorisations ACL dans la console Amazon S3, consultez [Configuration des listes ACL](managing-acls.md).


| Autorisation de liste ACL | Autorisations de stratégie d’accès correspondantes lorsqu’une autorisation de liste ACL est accordée sur un compartiment  | Autorisations de stratégie d’accès correspondantes lorsqu’une autorisation de liste ACL est accordée sur un objet | 
| --- | --- | --- | 
| READ | s3:ListBucket, s3:ListBucketVersions et s3:ListBucketMultipartUploads  | s3:GetObject et s3:GetObjectVersion | 
| WRITE |  `s3:PutObject`<br />Le propriétaire du compartiment peut créer, remplacer et supprimer n’importe quel objet dans le compartiment, et le propriétaire de l’objet bénéficie du `FULL_CONTROL` sur son objet.<br />De plus, lorsque le bénéficiaire est le propriétaire du compartiment, l’accord d’une autorisation `WRITE` dans la liste ACL d’un compartiment permet d’exécuter l’action `s3:DeleteObjectVersion` sur n’importe quelle version de ce compartiment.  | Ne s'applique pas | 
| READ\_ACP | s3:GetBucketAcl  | s3:GetObjectAcl et s3:GetObjectVersionAcl | 
| WRITE\_ACP | s3:PutBucketAcl | s3:PutObjectAcl et s3:PutObjectVersionAcl | 
| FULL\_CONTROL | Équivaut à accorder les autorisations de liste ACL READ, WRITE, READ\_ACP et WRITE\_ACP. Par conséquent, cette autorisation de liste ACL est mappée à une combinaison d’autorisations de stratégie d’accès correspondantes. | Équivaut à accorder les autorisations de liste ACL READ, READ\_ACP et WRITE\_ACP. Par conséquent, cette autorisation de liste ACL est mappée à une combinaison d'autorisations de stratégie d'accès correspondantes. | 

### Clés de condition
<a name="acl-specific-condition-keys"></a>

Lorsque vous accordez des autorisations de stratégie d’accès, vous pouvez utiliser des clés de condition pour limiter la valeur de l’ACL sur un objet à l’aide d’une stratégie de compartiment. Les clés de contexte suivantes correspondent aux listes ACL. Vous pouvez utiliser ces clés de contexte pour exiger l’utilisation d’une liste ACL spécifique dans une demande :
+ `s3:x-amz-grant-read` ‐ Exiger un accès en lecture.
+ `s3:x-amz-grant-write` ‐ Exiger un accès en écriture.
+ `s3:x-amz-grant-read-acp` ‐ Exiger un accès en lecture à l’ACL du compartiment.
+ `s3:x-amz-grant-write-acp` ‐ Exiger un accès en écriture à l’ACL du compartiment.
+ `s3:x-amz-grant-full-control` ‐ Exiger un contrôle total.
+ `s3:x-amz-acl` ‐ Exiger une [Liste ACL prête à l’emploi](#canned-acl).

Par exemple, les politiques impliquant des ACL-specific en-têtes, voir[Octroi de s3 : PutObject autorisation assortie d'une condition obligeant le propriétaire du bucket à obtenir le contrôle total](example-bucket-policies-condition-keys.md#grant-putobject-conditionally-1). Pour obtenir la liste complète des clés de condition spécifiques à Amazon S3, consultez [Actions, ressources et clés de condition pour Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) dans la *Référence de l’autorisation de service*.

Pour plus d’informations sur les autorisations relatives aux opérations d’API S3 par type de ressource S3, consultez [Autorisations requises pour les opérations d’API Amazon S3](using-with-s3-policy-actions.md).

## Valeurs `ACL requises` pour les demandes Amazon S3 courantes
<a name="aclrequired-s3"></a>

Pour identifier les demandes Amazon S3 qui ont nécessité des listes ACL pour l’autorisation, vous pouvez utiliser la valeur `aclRequired` dans les journaux d’accès du serveur Amazon S3 ou AWS CloudTrail. La `aclRequired` valeur qui apparaît dans les journaux CloudTrail d'accès au serveur Amazon S3 dépend des opérations appelées et de certaines informations concernant le demandeur, le propriétaire de l'objet et le propriétaire du compartiment. Si aucune ACL n'est requise, ou si vous définissez l'ACL `bucket-owner-full-control` prédéfinie, ou si les demandes sont autorisées par votre politique de compartiment, la chaîne de `aclRequired` valeur est « `-` » dans les journaux d'accès au serveur Amazon S3 et est absente dans CloudTrail.

Les tableaux suivants répertorient les `aclRequired` valeurs attendues dans les journaux CloudTrail d'accès au serveur Amazon S3 pour les différentes opérations d'API Amazon S3. Vous pouvez utiliser ces informations pour comprendre quelles opérations Amazon S3 dépendent des listes ACL pour l’autorisation. Dans les tables suivantes, A, B et C représentent les différents comptes associés au demandeur, au propriétaire de l’objet et au propriétaire du compartiment. Les entrées suivies d’un astérisque (\*) indiquent l’un des comptes A, B ou C. 

**Note**  
Les opérations `PutObject` de la table suivante, sauf indication contraire, indiquent les demandes qui ne définissent pas de liste ACL, sauf si la liste ACL est `bucket-owner-full-control`. Une valeur nulle pour `aclRequired` indique qu'elle `aclRequired` est absente des AWS CloudTrail journaux.

 Le tableau suivant indique les `aclRequired` valeurs de CloudTrail. 


| Nom de l’opération | Demandeur | Propriétaire de l’objet | Propriétaire du compartiment  | La politique du compartiment autorise l’accès | Valeur `aclRequired` | Raison | 
| --- | --- | --- | --- | --- | --- | --- | 
| GetObject | A | A | A | Oui ou Non | null | Same-account accès | 
| GetObject | A | B | A | Oui ou Non | null | Same-account accès avec le propriétaire du compartiment imposé | 
| GetObject | A | A | B | Oui | null | Cross-account accès accordé par bucket policy | 
| GetObject | A | A | B | Non | Oui | Cross-account l'accès repose sur l'ACL | 
| GetObject | A | A | B | Oui | null | Cross-account accès accordé par bucket policy | 
| GetObject | A | B | B | Non | Oui | Cross-account l'accès repose sur l'ACL | 
| GetObject | A |  B |  C | Oui | null | Cross-account accès accordé par bucket policy | 
| GetObject | A |  B |  C | Non | Oui | Cross-account l'accès repose sur l'ACL | 
| PutObject | A | Non applicable | A | Oui ou Non | null | Same-account accès | 
| PutObject | A | Non applicable | B | Oui | null | Cross-account accès accordé par bucket policy | 
| PutObject | A | Non applicable | B | Non | Oui | Cross-account l'accès repose sur l'ACL | 
| PutObject avec une liste ACL (sauf pour bucket-owner-full-control) | \* | Non applicable | \* | Oui ou Non | Oui | Demande autorise la liste ACL | 
| ListObjects | A | Non applicable | A | Oui ou Non | null | Same-account accès | 
| ListObjects | A | Non applicable | B | Oui | null | Cross-account accès accordé par bucket policy | 
| ListObjects | A | Non applicable | B | Non | Oui | Cross-account l'accès repose sur l'ACL | 
| DeleteObject | A | Non applicable | A | Oui ou Non | null | Same-account accès | 
| DeleteObject | A | Non applicable | B | Oui | null | Cross-account accès accordé par bucket policy | 
| DeleteObject | A | Non applicable | B | Non | Oui | Cross-account l'accès repose sur l'ACL | 
| PutObjectAcl | \* | \* | \* | Oui ou Non | Oui | Demande autorise la liste ACL | 
| PutBucketAcl | \* | Non applicable | \* | Oui ou Non | Oui | Demande autorise la liste ACL | 

 

**Note**  
Les opérations `REST.PUT.OBJECT` de la table suivante, sauf indication contraire, indiquent les demandes qui ne définissent pas de liste ACL, sauf si la liste ACL est `bucket-owner-full-control`. Une chaîne de valeur `aclRequired` « `-` » indique une valeur nulle dans les journaux d’accès au serveur Amazon S3.

 Le tableau suivant indique les valeurs `aclRequired` des journaux d’accès au serveur Amazon S3. 


| Nom de l’opération | Demandeur | Propriétaire de l’objet | Propriétaire du compartiment  | La politique du compartiment autorise l’accès | Valeur `aclRequired` | Raison | 
| --- | --- | --- | --- | --- | --- | --- | 
| REST.GET.OBJECT | A | A | A | Oui ou Non | - | Same-account accès | 
| REST.GET.OBJECT | A | B | A | Oui ou Non | - | Same-account accès avec le propriétaire du compartiment imposé | 
| REST.GET.OBJECT | A | A | B | Oui | - | Cross-account accès accordé par bucket policy | 
| REST.GET.OBJECT | A | A | B | Non | Oui | Cross-account l'accès repose sur l'ACL | 
| REST.GET.OBJECT | A | B | B | Oui | - | Cross-account accès accordé par bucket policy | 
| REST.GET.OBJECT | A | B | B | Non | Oui | Cross-account l'accès repose sur l'ACL | 
| REST.GET.OBJECT | A |  B |  C | Oui | - | Cross-account accès accordé par bucket policy | 
| REST.GET.OBJECT | A |  B |  C | Non | Oui | Cross-account l'accès repose sur l'ACL | 
| REST.PUT.OBJECT | A | Non applicable | A | Oui ou Non | - | Same-account accès | 
| REST.PUT.OBJECT | A | Non applicable | B | Oui | - | Cross-account accès accordé par bucket policy | 
| REST.PUT.OBJECT | A | Non applicable | B | Non | Oui | Cross-account l'accès repose sur l'ACL | 
| REST.PUT.OBJECT avec une liste ACL (sauf pour bucket-owner-full-control) | \* | Non applicable | \* | Oui ou Non | Oui | Demande autorise la liste ACL | 
| REST.GET.BUCKET | A | Non applicable | A | Oui ou Non | - | Same-account accès | 
| REST.GET.BUCKET | A | Non applicable | B | Oui | - | Cross-account accès accordé par bucket policy | 
| REST.GET.BUCKET | A | Non applicable | B | Non | Oui | Cross-account l'accès repose sur l'ACL | 
| REST.DELETE.OBJECT | A | Non applicable | A | Oui ou Non | - | Same-account accès | 
| REST.DELETE.OBJECT | A | Non applicable | B | Oui | - | Cross-account accès accordé par bucket policy | 
| REST.DELETE.OBJECT | A | Non applicable | B | Non | Oui | Cross-account l'accès repose sur l'ACL | 
| REST.PUT.ACL | \* | \* | \* | Oui ou Non | Oui | Demande autorise la liste ACL | 

## Exemple de liste ACL
<a name="sample-acl"></a>

L’exemple de liste ACL suivant sur un compartiment identifie le propriétaire de la ressource et un ensemble d’accords. Le format est la représentation XML d’une liste ACL dans l’API REST Amazon S3. Le propriétaire du compartiment possède l’accès `FULL_CONTROL` sur la ressource. En outre, l'ACL montre comment les autorisations sont accordées sur une ressource à deux Comptes AWS, identifiés par un ID utilisateur canonique, et à deux des groupes Amazon S3 prédéfinis décrits dans la section précédente.

**Example**  

```
 1. <?xml version="1.0" encoding="UTF-8"?>
 2. <AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
 3.   <Owner>
 4.     <ID>Owner-canonical-user-ID</ID>
 5.   </Owner>
 6.   <AccessControlList>
 7.     <Grant>
 8.       <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser">
 9.         <ID>Owner-canonical-user-ID</ID>
10.       </Grantee>
11.       <Permission>FULL_CONTROL</Permission>
12.     </Grant>
13.     
14.     <Grant>
15.       <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser">
16.         <ID>user1-canonical-user-ID</ID>
17.       </Grantee>
18.       <Permission>WRITE</Permission>
19.     </Grant>
20. 
21.     <Grant>
22.       <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser">
23.         <ID>user2-canonical-user-ID</ID>
24.       </Grantee>
25.       <Permission>READ</Permission>
26.     </Grant>
27. 
28.     <Grant>
29.       <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Group">
30.         <URI>http://acs.amazonaws.com/groups/global/AllUsers</URI> 
31.       </Grantee>
32.       <Permission>READ</Permission>
33.     </Grant>
34.     <Grant>
35.       <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Group">
36.         <URI>http://acs.amazonaws.com/groups/s3/LogDelivery</URI>
37.       </Grantee>
38.       <Permission>WRITE</Permission>
39.     </Grant>
40. 
41.   </AccessControlList>
42. </AccessControlPolicy>
```

## Liste ACL prête à l’emploi
<a name="canned-acl"></a>

Amazon S3 prend en charge un ensemble d’accords prédéfinis, appelées *listes ACL prédéfinies*. Chaque liste ACL prête à l’emploi possède un ensemble prédéfini de bénéficiaires et d’autorisations. Le tableau suivant liste l’ensemble des listes ACL prêtes à l’emploi et les accords prédéfinis associés. 


| Liste ACL prête à l'emploi | S’applique à | Autorisations ajoutées à la liste ACL | 
| --- | --- | --- | 
| private | Compartiment et objet | Le propriétaire obtient l’accès FULL\_CONTROL. Personne d’autre ne possède les droits d’accès (par défaut). | 
| public-read | Compartiment et objet | Le propriétaire obtient l’accès FULL\_CONTROL. Le groupe AllUsers (consultez [Qui est un bénéficiaire ?](#specifying-grantee)) obtient l’accès READ.  | 
| public-read-write | Compartiment et objet | Le propriétaire obtient l’accès FULL\_CONTROL. Le groupe AllUsers obtient l’accès READ et WRITE. L’accord de ce type d’accès sur un compartiment n’est généralement pas recommandé. | 
| aws-exec-read | Compartiment et objet | Le propriétaire obtient l’accès FULL\_CONTROL. Amazon EC2 obtient l’accès READ pour faire une demande GET sur une solution groupée Amazon Machine Image (AMI) issu d’Amazon S3. | 
| authenticated-read | Compartiment et objet | Le propriétaire obtient l’accès FULL\_CONTROL. Le groupe AuthenticatedUsers obtient l’accès READ. | 
| bucket-owner-read | Objet | Le propriétaire de l’objet obtient l’accès FULL\_CONTROL. Le propriétaire du compartiment obtient l’accès READ. Si vous spécifiez cette ACL prédéfinie lors de la création du compartiment, Amazon S3 l’ignore. | 
| bucket-owner-full-control | Objet  | Le propriétaire de l’objet et celui du compartiment obtiennent l’accès FULL\_CONTROL sur l’objet. Si vous spécifiez cette ACL prédéfinie lors de la création du compartiment, Amazon S3 l'ignore. | 
| log-delivery-write | Compartiment  | Le groupe LogDelivery obtient les autorisations WRITE et READ\_ACP sur le compartiment. Pour plus d’informations sur les journaux, consultez ([Enregistrement de demandes avec journalisation des accès au serveur](ServerLogs.md)). | 

**Note**  
Vous pouvez uniquement spécifier l’une des listes ACL prêtes à l’emploi dans la demande.

Vous pouvez spécifier une liste ACL prédéfinie dans votre demande grâce à l’en-tête `x-amz-acl`. Lorsqu’Amazon S3 reçoit une demande contenant une liste ACL prédéfinie, il ajoute les accords prédéfinis à la liste ACL de la ressource. 