Utilizzo dei tag con i bucket di directory S3 - Amazon Simple Storage Service
Come funzionano i tagMetodi comuni di utilizzo dei tagLavorare con i tag

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei tag con i bucket di directory S3

Un AWS tag è una coppia chiave-valore che contiene i metadati relativi alle risorse, in questo caso i bucket di directory Amazon S3. Puoi taggare i bucket di directory S3 quando li crei o gestire i tag sui bucket di directory esistenti. Non sono previsti costi aggiuntivi per l'utilizzo dei tag nei bucket di directory oltre alle tariffe standard di richiesta dell'API S3. Per ulteriori informazioni, consulta Prezzi di Amazon S3.

Come funzionano i tag

I bucket di directory Amazon S3 supportano due tipi di tag:

  • AWS-tags generati: applica AWS automaticamente questi tag e non è possibile modificarli o rimuoverli. Per ulteriori informazioni sui tag AWS-generated, consulta Using AWS-generated tags.

  • Tag definiti dall'utente: applichi questi tag ai bucket di directory S3 o ad altre risorse e li gestisci.

Tag definiti dall'utente

Un tag definito dall'utente è una coppia chiave-valore di tag che viene utilizzata per etichettare le risorse. I tag definiti dall'utente sono costituiti da una chiave obbligatoria e da un valore opzionale. Questi sono i componenti principali di un tag definito dall'utente:

La chiave del tag

La chiave di tag corrisponde al nome obbligatorio del tag. Ad esempio, project è la chiave del tag nella seguente coppia chiave-valore del tag:

Chiave Valore
project Trinity

La chiave tag è una stringa con distinzione tra maiuscole e minuscole che deve contenere tra 1 e 128 caratteri Unicode.

Il valore del tag

Il valore del tag è una stringa opzionale. Ad esempio, Trinity è il valore del tag in questa coppia chiave-valore del tag:

Chiave Valore
project Trinity

Il valore del tag è una stringa con distinzione tra maiuscole e minuscole che può contenere tra 0 e 256 caratteri Unicode.

Per i dettagli sui caratteri consentiti nei tag definiti dall'utente e altre restrizioni, consulta Restrizioni sui tag definiti dall'utente nella Guida per l'utente.AWS Billing and Cost Management

Il set di tag

Ogni bucket di directory S3 ha un set di tag che contiene tutte le coppie di tag, chiavi e valori assegnate a quel bucket. Un set di tag può contenere fino a 50 tag definiti dall'utente oppure può essere vuoto.

Sebbene ogni chiave debba essere unica in un set di tag, è possibile utilizzare lo stesso valore più volte. Ad esempio, puoi avere lo stesso valore per Trinity le seguenti due chiavi di tag:

Chiave Valore
project Trinity
cost-center Trinity

All'interno di un bucket, quando aggiungi un tag con la stessa chiave di un tag esistente, il nuovo valore sovrascrive il vecchio valore.

AWS non applica alcun significato semantico ai tag. I tag sono interpretati prettamente come stringhe di caratteri.

Per aggiungere, elencare, modificare o eliminare tag, puoi utilizzare la console Amazon S3, l'interfaccia a riga di AWS comando (AWS CLI) o l'API Amazon S3.

Metodi comuni di utilizzo dei tag

Usa i tag nei bucket di directory S3 per:

  1. Allocazione dei costi: monitora i costi di archiviazione in base al bucket tag in. AWS Billing and Cost Management

  2. Controllo degli accessi basato sugli attributi (ABAC): ridimensiona le autorizzazioni di accesso e concedi l'accesso ai bucket di directory S3 in base ai relativi tag.

Nota

Puoi utilizzare gli stessi tag sia per l'allocazione dei costi che per il controllo degli accessi.

Utilizzo dei tag per l'allocazione dei costi

Tieni traccia dei costi di storage di Amazon S3 applicando tag ai bucket di directory S3 e attivando questi tag per l'allocazione dei costi.

Per iniziare a tracciare i costi:

  1. Aggiungi tag ai bucket di directory S3 o usa i tag esistenti. Per ulteriori informazioni su come aggiungere tag definiti dall'utente ai bucket di directory, consulta. Lavorare con i tag Ad esempio, puoi etichettare i bucket con un tag che identifica un progetto o un gruppo di progetti.

  2. Attiva i tag per l'allocazione dei costi nella console. AWS Billing and Cost Management Vedi Attivazione dei tag di allocazione dei costi definiti dall'utente nella Guida per l'utente.AWS Billing and Cost Management È possibile attivare tag definiti o generati dall'utente. AWS Per ulteriori informazioni, vedere Organizzazione e monitoraggio dei costi utilizzando i tag di allocazione AWS dei costi.

AWS utilizza i tag attivati per organizzare i costi delle risorse in vari strumenti di fatturazione e gestione dei costi, come:

  • Rapporto sull'allocazione dei costi

    Fornisce una visualizzazione di alto livello dei costi organizzati in base ai tag attivati. Per ulteriori informazioni, consulta Utilizzo del rapporto mensile sull'allocazione dei costi nella AWS Billing User Guide.

  • Report su costi e utilizzo (CUR)

    Fornisce il set più dettagliato di dati su AWS costi e utilizzo, comprese le suddivisioni dei costi basate su tag. Per ulteriori informazioni, consulta Cosa sono i report sui AWS costi e sull'utilizzo? nella Guida per l'utente di AWS Data Export.

Utilizzo dei tag per il controllo degli accessi basato sugli attributi (ABAC)

Il controllo degli accessi basato sugli attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, ad esempio ai tag. Puoi allegare tag a entità AWS Identity and Access Management (IAM) (utenti o ruoli) e a AWS risorse, come i bucket di directory Amazon S3. Quindi, puoi controllare le autorizzazioni a queste risorse utilizzando condizioni basate su tag nelle politiche di controllo degli accessi per consentire o negare le operazioni quando tali condizioni sono soddisfatte.

bucket di directory ABAC per S3

I bucket di directory Amazon S3 supportano il controllo degli accessi basato sugli attributi (ABAC) tramite tag. Utilizza le chiavi di condizione basate su tag nelle policy delle tue AWS organizzazioni, di IAM e di S3 Directory Bucket. Per le aziende, ABAC in Amazon S3 supporta l'autorizzazione su più AWS account.

Nelle tue politiche IAM, puoi controllare l'accesso ai bucket di directory S3 in base ai tag del bucket utilizzando le seguenti chiavi di condizione globali:

  • aws:ResourceTag/key-name

    • Utilizzare questa chiave per confrontare la coppia chiave-valore del tag specificata nella policy con la coppia chiave-valore associata alla risorsa. Ad esempio, puoi richiedere che l'accesso a una risorsa sia consentito solo se la risorsa dispone di una chiave di tag Dept collegata al valore Marketing. Per ulteriori informazioni, consulta Controllo dell'accesso alle risorse. AWS

  • aws:RequestTag/key-name

    • Utilizzare questa chiave per confrontare la coppia chiave-valore del tag passata nella richiesta con la coppia del tag specificata nella policy. Ad esempio, è possibile controllare che la richiesta includa la chiave del tag Dept e che abbia il valore Accounting. Per ulteriori informazioni, vedere Controllo dell'accesso durante AWS le richieste. Puoi utilizzare questa chiave di condizione per limitare le coppie chiave-valore di tag che possono essere passate durante le operazioni TagResource e CreateBucket API.

  • aws:TagKeys

    • Utilizzare questa chiave per confrontare le chiavi dei tag in una richiesta con quelle specificate nella policy. Nell'utilizzo delle policy per controllare gli accessi tramite tag, è consigliabile utilizzare la chiave di condizione aws:TagKeys per definire le chiavi di tag ammesse. Per esempi di politiche e ulteriori informazioni, consulta Controllo dell'accesso in base alle chiavi dei tag. Puoi creare un bucket di directory S3 con tag. Per consentire l'aggiunta di tag durante il funzionamento dell'CreateBucketAPI, devi creare una policy che includa sia le azioni che les3express:TagResource. s3express:CreateBucket È quindi possibile utilizzare la chiave aws:TagKeys condition per imporre l'utilizzo di tag specifici nella CreateBucket richiesta.

  • s3express:BucketTag/tag-key

    • Usa questa chiave di condizione per concedere autorizzazioni a dati specifici nei bucket di directory utilizzando i tag. Quando si accede a un bucket di directory utilizzando un punto di accesso, questa chiave di condizione fa riferimento ai tag del bucket di directory sia durante l'autorizzazione relativa al punto di accesso che al bucket di directory, mentre aws:ResourceTag/tag-key farà riferimento solo ai tag della risorsa per cui è stata autorizzata.

Policy di esempio

Vedi i seguenti esempi di politiche ABAC per i bucket di directory Amazon S3.

1.1 - Politica IAM per creare o modificare bucket con tag specifici

In questa policy IAM, gli utenti o i ruoli con questa policy possono creare bucket di directory S3 solo se etichettano il bucket con la chiave del tag project e il valore del tag Trinity nella richiesta di creazione del bucket. Possono anche aggiungere o modificare tag sui bucket di directory S3 esistenti, purché la TagResource richiesta includa la coppia chiave-valore del tag. project:Trinity Questa politica non concede autorizzazioni di lettura, scrittura o eliminazione sui bucket o sui relativi oggetti. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CreateBucketWithTags",
      "Effect": "Allow",
      "Action": [
        "s3express:CreateBucket",
        "s3express:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "Trinity"
          ]
        }
      }
    }
  ]
}
1.2 - Politica del bucket per limitare le operazioni sul bucket utilizzando i tag

In questa policy sui bucket, i responsabili IAM (utenti e ruoli) possono eseguire operazioni utilizzando l'CreateSessionazione sul bucket solo se il valore del tag del bucket corrisponde al valore del project tag del bucket. project

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowObjectOperations",
      "Effect": "Allow",
      "Principal": {
        "AWS": "111122223333"
      },
      "Action": "s3express:CreateSession",
      "Resource": "arn:aws:s3express:us-west-2:111122223333:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        }
      }
    }
  ]
}
1.3 - Politica IAM per modificare i tag sulle risorse esistenti mantenendo la governance dei tag

In questa policy IAM, i responsabili IAM (utenti o ruoli) possono modificare i tag su un bucket solo se il valore del tag del bucket corrisponde al valore del project tag del bucket. project Solo i quattro tag project e quelli cost-center specificati nelle chiavi di aws:TagKeys condizione sono consentiti per questi bucket di directory. environment owner Questo aiuta a rafforzare la governance dei tag, impedisce modifiche non autorizzate dei tag e mantiene lo schema di tagging coerente in tutti i bucket.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3express:TagResource"
      ],
      "Resource": "arn:aws:s3express:*:*:bucket/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "project",
            "environment",
            "owner",
            "cost-center"
          ]
        }
      }
    }
  ]
}
1.4 - Utilizzo di s3express: chiave di condizione BucketTag

In questa policy IAM, l'istruzione condition consente l'accesso ai dati del bucket solo se il bucket ha la chiave Environment del tag e il valore del tag. Production 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAccessToSpecificAccessPoint",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws:s3express:*:*:accesspoint/*",
      "Condition": {
        "StringEquals": {
          "s3express:BucketTag/Environment": "Production"
        }
      }
    }
  ]
}

Lavorare con i tag

Puoi aggiungere o gestire tag per i bucket di directory S3 utilizzando la console Amazon S3, AWS l'interfaccia a riga di comando (CLI), AWS SDKs o utilizzando S3:, e. APIs TagResourceUntagResourceListTagsForResource Per ulteriori informazioni, consultare:

Argomenti