Utilizzo dei tag con i bucket di directory S3 - Amazon Simple Storage Service
Metodi comuni per utilizzare i tag con i bucket di directoryGestione dei tag per i bucket di directory

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei tag con i bucket di directory S3

Un AWS tag è una coppia chiave-valore che contiene i metadati relativi alle risorse, in questo caso i bucket di directory Amazon S3. Puoi taggare i bucket di directory S3 quando li crei o gestire i tag sui bucket di directory esistenti. Per informazioni generali sui tag, consulta. Etichettatura per l'allocazione dei costi o il controllo degli accessi basato sugli attributi (ABAC)

Nota

Non sono previsti costi aggiuntivi per l'utilizzo dei tag nei bucket di directory oltre alle tariffe di richiesta dell'API S3 standard. Per ulteriori informazioni, consulta Prezzi di Amazon S3.

Metodi comuni per utilizzare i tag con i bucket di directory

Usa i tag nei bucket di directory S3 per:

  1. Allocazione dei costi: monitora i costi di archiviazione in base al bucket tag in. Gestione dei costi e fatturazione AWS Per ulteriori informazioni, consulta Utilizzo dei tag per l'allocazione dei costi.

  2. Controllo degli accessi basato sugli attributi (ABAC): ridimensiona le autorizzazioni di accesso e concedi l'accesso ai bucket di directory S3 in base ai relativi tag. Per ulteriori informazioni, consulta Uso dei tag per ABAC.

Nota

È possibile utilizzare gli stessi tag sia per l'allocazione dei costi che per il controllo degli accessi.

Bucket di directory ABAC per S3

I bucket di directory Amazon S3 supportano il controllo degli accessi basato sugli attributi (ABAC) tramite tag. Utilizza le chiavi di condizione basate su tag nelle policy delle tue AWS organizzazioni, di IAM e di S3 Directory Bucket. Per le aziende, ABAC in Amazon S3 supporta l'autorizzazione su più AWS account.

Nelle tue politiche IAM, puoi controllare l'accesso ai bucket di directory S3 in base ai tag del bucket utilizzando le seguenti chiavi di condizione globali:

  • aws:ResourceTag/key-name

    • Utilizzare questa chiave per confrontare la coppia chiave-valore del tag specificata nella policy con la coppia chiave-valore associata alla risorsa. Ad esempio, puoi richiedere che l'accesso a una risorsa sia consentito solo se la risorsa dispone di una chiave di tag Dept collegata al valore Marketing. Per ulteriori informazioni, consulta Controllo dell'accesso alle risorse. AWS

  • aws:RequestTag/key-name

    • Utilizzare questa chiave per confrontare la coppia chiave-valore del tag passata nella richiesta con la coppia del tag specificata nella policy. Ad esempio, è possibile controllare che la richiesta includa la chiave del tag Dept e che abbia il valore Accounting. Per ulteriori informazioni, vedere Controllo dell'accesso durante AWS le richieste. Puoi utilizzare questa chiave di condizione per limitare le coppie chiave-valore di tag che possono essere passate durante le operazioni TagResource e CreateBucket API.

  • aws:TagKeys

    • Utilizzare questa chiave per confrontare le chiavi dei tag in una richiesta con quelle specificate nella policy. Nell'utilizzo delle policy per controllare gli accessi tramite tag, è consigliabile utilizzare la chiave di condizione aws:TagKeys per definire le chiavi di tag ammesse. Per esempi di politiche e ulteriori informazioni, consulta Controllo dell'accesso in base alle chiavi dei tag. Puoi creare un bucket di directory S3 con tag. Per consentire l'aggiunta di tag durante il funzionamento dell'CreateBucketAPI, devi creare una policy che includa sia le azioni che les3express:TagResource. s3express:CreateBucket È quindi possibile utilizzare la chiave aws:TagKeys condition per imporre l'utilizzo di tag specifici nella CreateBucket richiesta.

  • s3express:BucketTag/tag-key

    • Usa questa chiave di condizione per concedere autorizzazioni a dati specifici nei bucket di directory utilizzando i tag. Quando si accede a un bucket di directory utilizzando un punto di accesso, questa chiave di condizione fa riferimento ai tag del bucket di directory sia durante l'autorizzazione relativa al punto di accesso che al bucket di directory, mentre aws:ResourceTag/tag-key farà riferimento solo ai tag della risorsa per cui è stata autorizzata.

Esempi di politiche ABAC per i bucket di directory

Vedi i seguenti esempi di politiche ABAC per i bucket di directory Amazon S3.

1.1 - Politica IAM per creare o modificare bucket con tag specifici

In questa policy IAM, gli utenti o i ruoli con questa policy possono creare bucket di directory S3 solo se etichettano il bucket con la chiave del tag project e il valore del tag Trinity nella richiesta di creazione del bucket. Possono anche aggiungere o modificare tag sui bucket di directory S3 esistenti, purché la TagResource richiesta includa la coppia chiave-valore del tag. project:Trinity Questa politica non concede autorizzazioni di lettura, scrittura o eliminazione sui bucket o sui relativi oggetti. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CreateBucketWithTags",
      "Effect": "Allow",
      "Action": [
        "s3express:CreateBucket",
        "s3express:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "Trinity"
          ]
        }
      }
    }
  ]
}

1.2 - Politica del bucket per limitare le operazioni sul bucket utilizzando i tag

In questa policy sui bucket, i responsabili IAM (utenti e ruoli) possono eseguire operazioni utilizzando l'CreateSessionazione sul bucket solo se il valore del tag del bucket corrisponde al valore del project tag del bucket. project

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowObjectOperations",
      "Effect": "Allow",
      "Principal": {
        "AWS": "111122223333"
      },
      "Action": "s3express:CreateSession",
      "Resource": "arn:aws::s3express:us-west-2:111122223333:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        }
      }
    }
  ]
}

1.3 - Politica IAM per modificare i tag sulle risorse esistenti mantenendo la governance dei tag

In questa policy IAM, i responsabili IAM (utenti o ruoli) possono modificare i tag su un bucket solo se il valore del tag del bucket corrisponde al valore del project tag del bucket. project Solo i quattro tag project e quelli cost-center specificati nelle chiavi di aws:TagKeys condizione sono consentiti per questi bucket di directory. environment owner Questo aiuta a rafforzare la governance dei tag, impedisce modifiche non autorizzate dei tag e mantiene lo schema di tagging coerente in tutti i bucket.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3express:TagResource"
      ],
      "Resource": "arn:aws::s3express:us-west-2:111122223333:bucket/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "project",
            "environment",
            "owner",
            "cost-center"
          ]
        }
      }
    }
  ]
}

1.4 - Utilizzo di s3express: chiave di condizione BucketTag

In questa policy IAM, l'istruzione condition consente l'accesso ai dati del bucket solo se il bucket ha la chiave Environment del tag e il valore del tag. Production 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAccessToSpecificAccessPoint",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws::s3express:us-west-2:111122223333:accesspoint/*",
      "Condition": {
        "StringEquals": {
          "s3express:BucketTag/Environment": "Production"
        }
      }
    }
  ]
}

Gestione dei tag per i bucket di directory

Puoi aggiungere o gestire tag per i bucket di directory S3 utilizzando la console Amazon S3, AWS l'interfaccia a riga di comando (CLI), AWS SDKs o utilizzando S3:, e. APIs TagResourceUntagResourceListTagsForResource Per ulteriori informazioni, consultare:

Argomenti