Configurazione delle politiche IAM per l'utilizzo dei punti di accesso per i bucket di directory - Amazon Simple Storage Service
Punti di accesso per esempi di policy relative a directory bucketsChiavi di condizioneDelegazione del controllo di accesso agli access pointConcessione delle autorizzazioni per i punti di accesso multi-account

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione delle politiche IAM per l'utilizzo dei punti di accesso per i bucket di directory

Gli access point supportano policy relative alle risorse AWS Identity and Access Management (IAM) che consentono di controllare l'uso del punto di accesso in base alla risorsa, all'utente o ad altre condizioni. Affinché un'applicazione o un utente possa accedere agli oggetti tramite un punto di accesso, sia il punto di accesso che la policy bucket sottostante devono consentire la richiesta.

Importante

L'aggiunta di un punto di accesso a un bucket di directory non modifica il comportamento del bucket quando vi si accede direttamente tramite il nome del bucket. Tutte le operazioni esistenti inerenti il bucket continueranno a funzionare come prima. Le restrizioni incluse in una policy o nell'ambito del punto di accesso si applicano solo alle richieste effettuate tramite tale punto di accesso.

Quando utilizzi le policy relative alle risorse IAM, assicurati di risolvere gli avvisi di sicurezza, gli errori, gli avvisi generali e i suggerimenti relativi alla sicurezza AWS Identity and Access Management Access Analyzer prima di salvare la policy. IAM Access Analyzer esegue controlli sulle policy per convalidare le policy rispetto alla grammatica delle policy IAM e alle best practice. Questi controlli generano risultati e forniscono suggerimenti per aiutarti a creare policy funzionali e conformi alle best practice per la sicurezza.

Per ulteriori informazioni sulla convalida delle policy tramite IAM Access Analyzer, consulta Convalida delle policy di IAM Access Analyzer nella Guida per l'utente di IAM. Per visualizzare un elenco delle avvertenze, degli errori e dei suggerimenti restituiti da IAM Access Analyzer, consulta il Riferimento al controllo delle policy di IAM Access Analyzer.

Punti di accesso per esempi di policy relative a directory buckets

Le seguenti politiche relative ai punti di accesso mostrano come controllare le richieste verso un bucket di directory. Le politiche relative ai punti di accesso richiedono un bucket ARNs o un punto di accesso. ARNs Gli alias dei punti di accesso non sono supportati nelle policy. Di seguito è riportato un esempio di ARN di un punto di accesso:


  arn:aws:s3express:region:account-id:accesspoint/myaccesspoint--zoneID--xa-s3

È possibile visualizzare l'ARN del punto di accesso nei dettagli di un punto di accesso. Per ulteriori informazioni, consulta Visualizza i dettagli dei tuoi punti di accesso per i bucket di directory.

Nota

Le autorizzazioni concesse in una policy del punto di accesso sono valide solo se anche il bucket sottostante consente lo stesso accesso. Puoi farlo in due modi:

  1. (Consigliato) Delega il controllo degli accessi dal bucket al punto di accesso come descritto in Delegazione del controllo di accesso agli access point.

  2. Aggiungere le stesse autorizzazioni contenute nella policy del punto di accesso alla policy del bucket sottostante.

Esempio 1 — Politica di controllo del servizio per limitare i punti di accesso alle origini della rete VPC

La seguente politica di controllo del servizio richiede che tutti i nuovi punti di accesso vengano creati con un'origine di rete di cloud privato virtuale (VPC). Con questa politica in vigore, gli utenti dell'organizzazione non possono creare alcun punto di accesso accessibile da Internet.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Deny",
        "Action": "s3express:CreateAccessPoint",
        "Resource": "*",
        "Condition": {
            "StringNotEquals": {
                "s3express:AccessPointNetworkOrigin": "VPC"
            }
        }
    }
  ]
}
Esempio 2 — Politica dei punti di accesso per limitare l'accesso ai bucket ai punti di accesso con origine dalla rete VPC

La seguente politica del punto di accesso limita tutti gli accessi al bucket amzn-s3-demo-bucket--zoneID--x-s3 a un punto di accesso con un'origine di rete VPC.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "Effect": "Deny",
            "Resource": "arn:aws:s3express:region:111122223333:bucket/amzn-s3-demo-bucket--zoneID--x-s3",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "s3express:AccessPointNetworkOrigin": "VPC"
                }
            }
        }
    ]
}

Chiavi di condizione

I punti di accesso per i bucket di directory dispongono di chiavi di condizione che è possibile utilizzare nelle policy IAM per controllare l'accesso alle risorse. Le seguenti chiavi di condizione rappresentano solo una parte di una policy IAM. Per esempi completi di policy, consulta Punti di accesso per esempi di policy relative a directory buckets, Delegazione del controllo di accesso agli access point e Concessione delle autorizzazioni per i punti di accesso multi-account.

s3express:DataAccessPointArn

Questo esempio mostra come filtrare l'accesso in base al nome di risorsa Amazon (ARN) di un punto di accesso e corrisponde a tutti i punti di accesso per Account AWS 111122223333 nella regione: region

"Condition" : {
    "StringLike": {
        "s3express:DataAccessPointArn": "arn:aws:s3express:region:111122223333:accesspoint/*"
    }
}
s3express:DataAccessPointAccount

Questo esempio mostra un operatore stringa che è possibile utilizzare per la corrispondenza dell'ID account del proprietario di un punto di accesso. L'esempio seguente restituisce tutti i punti di accesso di proprietà dell' Account AWS 111122223333.

"Condition" : {
    "StringEquals": {
        "s3express:DataAccessPointAccount": "111122223333"
    }
}
s3express:AccessPointNetworkOrigin

Questo esempio mostra un operatore stringa che è possibile utilizzare per la corrispondenza dell'origine di rete, Internet o VPC. L'esempio seguente esegue la corrispondenza solo degli access point con un'origine VPC.

"Condition" : {
    "StringEquals": {
        "s3express:AccessPointNetworkOrigin": "VPC"
    }
}
s3express:Permissions

Puoi utilizzarlo s3express:Permissions per limitare l'accesso a specifiche operazioni API nell'ambito del punto di accesso. Sono supportate le seguenti operazioni API:

  • PutObject

  • GetObject

  • DeleteObject

  • ListBucket(richiesto perListObjectsV2)

  • GetObjectAttributes

  • AbortMultipartUpload

  • ListBucketMultipartUploads

  • ListMultipartUploadParts

Nota

Quando si utilizzano chiavi di condizione multivalore, si consiglia di utilizzarle ForAllValues con Allow le istruzioni e ForAnyValue con Deny le istruzioni. Per ulteriori informazioni, consulta Chiavi di contesto multivalore nella Guida per l'utente IAM.

Per ulteriori informazioni sull'uso delle chiavi di condizione con Amazon S3, consulta Azioni, risorse e chiavi di condizione per Amazon S3 in Riferimento alle autorizzazioni di servizio.

Per ulteriori informazioni sulle autorizzazioni richieste per le operazioni dell'API S3 in base ai tipi di risorse S3, consulta. Autorizzazioni necessarie per le operazioni API di Amazon S3

Delegazione del controllo di accesso agli access point

È possibile delegare il controllo degli accessi dalla policy del bucket alla policy del punto di accesso. La policy di bucket di esempio seguente consente l'accesso completo a tutti i punti di accesso dell'account del proprietario del bucket. Dopo aver applicato la policy, tutti gli accessi a questo bucket sono controllati dalle policy dei punti di accesso. Si consiglia di configurare i bucket in questo modo per tutti i casi d'uso che non richiedono l'accesso diretto al bucket.

Esempio policy bucket che delega il controllo degli accessi ai punti di accesso
{
    "Version": "2012-10-17",
    "Statement" : [
    {
        "Effect": "Allow",
        "Principal" : { "AWS": "*" },
        "Action" : "*",
        "Resource" : [ "Bucket ARN",
        "Condition": {
            "StringEquals" : { "s3express:DataAccessPointAccount" : "Bucket owner's account ID" }
        }
    }]
}

Concessione delle autorizzazioni per i punti di accesso multi-account

Per creare un punto di accesso a un bucket di proprietà di un altro account, devi prima creare il punto di accesso specificando il nome del bucket e l'ID del proprietario dell'account. Il proprietario del bucket deve quindi aggiornare la policy di bucket per autorizzare le richieste dal punto di accesso. La creazione di un punto di accesso è simile alla creazione di un DNS CNAME in quanto il punto di accesso non fornisce l'accesso al contenuto del bucket. Tutti gli accessi ai bucket sono controllati dalla policy di bucket. La policy di bucket di esempio consente di eseguire richieste GET e LIST sul bucket da un punto di accesso di proprietà di un Account AWS attendibile.

Sostituire Bucket ARN con l'ARN del secchio.

Esempio della politica del bucket che delega le autorizzazioni a un altro Account AWS

{
    "Version": "2012-10-17",
    "Statement" : [
    {
        "Effect": "Allow",
        "Principal" : { "AWS": "*" },
        "Action" : "s3express:CreateSession",
        "Resource" : [ "Bucket ARN" ],
        "Condition": {
            "StringEquals" : { 
                "s3express:DataAccessPointAccount": "Access point owner's account ID" 
            },
            "ForAllValues:StringEquals": {
                "s3express:Permissions": [
                    "GetObject",
                    "ListBucket"
                ]
            }
        }
    }]
}