Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Utilizzo di tag con bucket S3 per uso generico
<a name="buckets-tagging"></a>

Un AWS tag è una coppia chiave-valore che contiene i metadati sulle risorse, in questo caso i bucket generici di Amazon S3. Puoi taggare i bucket S3 quando li crei o gestire i tag sui bucket esistenti. Per informazioni generali sui tag, consulta [Tagging per l’allocazione dei costi o il controllo degli accessi basato su attributi (ABAC)](tagging.md).

**Nota**  
Non sono previsti costi aggiuntivi per l'utilizzo dei tag sui bucket oltre alle tariffe di richiesta dell'API S3 standard. Per ulteriori informazioni, consulta [Prezzi di Amazon S3](https://aws.amazon.com/s3/pricing/).

## Metodi comuni per utilizzare i tag con i bucket
<a name="common-ways-to-use-tags-bucket"></a>

Usa i tag sui tuoi bucket S3 per:

1. **Allocazione dei costi**: monitorare i costi di archiviazione in base al tag del bucket in Gestione dei costi e fatturazione AWS. Per ulteriori informazioni, consultare [Utilizzo dei tag per l’allocazione dei costi](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-cost-allocation).

1. **Controllo degli accessi basato sugli attributi (ABAC)**: ridimensiona le autorizzazioni di accesso e concedi l'accesso ai bucket S3 in base ai relativi tag. Per ulteriori informazioni, consulta [Utilizzo dei tag per ABAC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-abac).
**Nota**  
Per i bucket generici, ABAC non è abilitato per impostazione predefinita. Per abilitare ABAC per i bucket generici, vedere. [Abilitazione di ABAC in bucket per uso generico](buckets-tagging-enable-abac.md) Per le risorse Amazon S3 come punti di accesso e bucket di directory, ABAC è abilitato per impostazione predefinita. È possibile utilizzare gli stessi tag sia per l’allocazione dei costi che per il controllo degli accessi.

### Bucket per uso generico ABAC per S3
<a name="abac-for-buckets"></a>

I bucket generici Amazon S3 supportano il controllo degli accessi basato sugli attributi (ABAC) tramite tag. Utilizza le chiavi di condizione basate su tag nelle policy aziendali, IAM e AWS S3 bucket. Per le aziende, ABAC in Amazon S3 supporta l'autorizzazione su più AWS account. 

[Nelle tue politiche IAM, puoi controllare l'accesso ai bucket S3 in base ai tag del bucket utilizzando le seguenti chiavi di condizione globali:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys)
+ `aws:ResourceTag/key-name`
  + Usa questa chiave di condizione per confrontare la coppia chiave-valore del tag specificata nella policy con la coppia chiave-valore associata alla risorsa. S3 valuta questa chiave di condizione solo dopo aver abilitato ABAC sul bucket. Ad esempio, puoi richiedere che l'accesso a una risorsa sia consentito solo se la risorsa dispone di una chiave di tag `Dept` collegata al valore `Marketing`. Per ulteriori informazioni, consulta [Controllo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources) dell'accesso alle risorse. AWS 
+ `aws:RequestTag/key-name`
  + Utilizzate questa chiave di condizione per confrontare la coppia chiave-valore del tag passata nella richiesta con la coppia di tag specificata nella politica. Ad esempio, è possibile controllare che la richiesta includa la chiave del tag `Dept` e che abbia il valore `Accounting`. Per ulteriori informazioni, consulta [Controllo dell'accesso durante AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests) le richieste. È possibile utilizzare questa chiave di condizione per limitare quali coppie chiave-valore di tag possono essere passate durante le operazioni API `TagResource` e `CreateBucket`.
+ `aws:TagKeys`
  + Utilizzate questa chiave di condizione per confrontare le chiavi dei tag in una richiesta con le chiavi specificate nella politica. Nell'utilizzo delle policy per controllare gli accessi tramite tag, è consigliabile utilizzare la chiave di condizione `aws:TagKeys` per definire le chiavi di tag ammesse. Per esempi di policy e ulteriori informazioni, consulta [Controllo dell’accesso in base alle chiavi di tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys).
+ `s3:BucketTag/tag-key`
  + Usa questa chiave di condizione per concedere autorizzazioni a dati specifici nei bucket utilizzando i tag. Questa chiave condizionale è applicabile solo dopo che ABAC è stato abilitato nel bucket. Quando si accede a un bucket utilizzando un punto di accesso, la chiave di `aws:ResourceTag/tag-key` condizione fa riferimento ai tag sul bucket sia durante l'autorizzazione relativa al punto di accesso che al bucket. `s3:BucketTag/tag-key`Farà riferimento ai tag solo del bucket per il quale è autorizzato. 

**Nota**  
Quando crei bucket con tag, tieni presente che le condizioni basate sui tag per accedere al tuo bucket utilizzando le chiavi aws: ResourceTag e s3: BucketTag condition sono applicabili solo dopo aver abilitato ABAC sul bucket. Per ulteriori informazioni, consulta [Abilitazione di ABAC in bucket per uso generico](buckets-tagging-enable-abac.md).

### Esempi di politiche ABAC per i bucket
<a name="example-buckets-abac-policies"></a>

Vedi i seguenti esempi di politiche ABAC per i bucket Amazon S3.

#### 1.1 - Policy IAM per creare o modificare bucket con tag specifici
<a name="example-user-policy-request-tag"></a>

In questa policy IAM, gli utenti o i ruoli con questa policy possono creare bucket S3 solo se etichettano il bucket con la chiave del tag `project` e il valore `Trinity ` del tag nella richiesta di creazione del bucket. Possono anche aggiungere o modificare tag su bucket S3 esistenti purché la `TagResource` richiesta includa la coppia chiave-valore del tag. `project:Trinity` Questa policy non fornisce autorizzazioni di lettura, scrittura o eliminazione sui bucket o sui relativi oggetti. 

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "CreateBucketWithTags",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "Trinity"
          ]
        }
      }
    }
  ]
}
```

#### 1.2 - Politica sui bucket per limitare le operazioni
<a name="example-user-policy-resource-tag"></a>

In questa policy sui bucket, i principi IAM (utenti e ruoli) vengono `s3:ListBucket` negati e `s3:PutObject` le azioni sul bucket solo se il valore del `project ` tag sul bucket corrisponde al valore del tag sul `project` bucket. `s3:GetObject`

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenyObjectOperations",
            "Effect": "Deny",
            "Principal": "*",
            "Action": ["s3:ListBucket",
                       "s3:GetObject",
                       "s3:PutObject"],
            "Resource": "arn:aws:s3:::aws-s3-demo/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
                }
            }
        }
    ]
}
```

#### 1.3 - Politica IAM per modificare i tag sulle risorse esistenti
<a name="example-user-policy-tag-keys"></a>

In questa policy IAM, i principali IAM (utenti o ruoli) possono modificare i tag su un bucket solo se il valore del tag `project` del bucket corrisponde al valore del tag `project` del principale. Solo i quattro tag `project` e quelli `cost-center` specificati nelle chiavi di `aws:TagKeys` condizione sono consentiti per questi bucket. `environment` `owner` Ciò aiuta a rafforzare la governance dei tag, impedisce modifiche non autorizzate dei tag e mantiene lo schema di tagging coerente tra i bucket.

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3:TagResource",
        "s3:CreateBucket"
      ],
      "Resource": "*",
      "Condition": {
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "project",
            "environment",
            "owner",
            "cost-center"
          ]
        }
      }
    }
  ]
}
```

#### 1.4 - Utilizzo della chiave di condizione s3: BucketTag
<a name="example-policy-bucket-tag"></a>

In questa policy IAM, l'istruzione condition consente l'accesso ai dati del `aws-s3-demo` bucket solo se il bucket ha la chiave del tag `Environment` e il valore del tag. `Production`

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessViaSpecificBucket",
      "Effect": "Allow",
      "Action": "*",
      "Resource": ["arn:aws:s3:::aws-s3-demo","arn:aws:s3:::aws-s3-demo/*"],
      "Condition": {
        "StringEquals": {
          "s3:BucketTag/Environment": "Production"
        }
      }
    }
  ]
}
```

## Gestione dei tag per i bucket per uso generico
<a name="managing-tags-general-buckets"></a>

Puoi aggiungere o gestire tag per i bucket S3 utilizzando la console Amazon S3, AWS l'interfaccia a riga di comando (CLI) o utilizzando S3:, e. AWS SDKs APIs [TagResource[UntagResource[ListTagsForResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html)](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html)](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html) Per ulteriori informazioni, consulta:

**Topics**