Esempio 3: il proprietario del bucket concede autorizzazioni per gli oggetti che non sono di sua proprietà - Amazon Simple Storage Service
Fase 0: preparazione della procedura guidataFase 1: esecuzione delle attività per l'Account AFase 2: esecuzione delle attività per l'Account BFase 3: testare le autorizzazioni Fase 4: pulizia

Esempio 3: il proprietario del bucket concede autorizzazioni per gli oggetti che non sono di sua proprietà

Importante

Concedere le autorizzazioni ai ruoli IAM è una pratica migliore rispetto alla concessione delle autorizzazioni ai singoli utenti. Per informazioni su come effettuare questa operazione, consulta Comprendere le autorizzazioni multi-account e utilizzare i ruoli IAM.

Lo scenario di questo esempio è che il proprietario di un bucket voglia concedere il permesso di accedere agli oggetti, ma il proprietario del bucket non possiede tutti gli oggetti del bucket. In questo esempio, il proprietario del bucket tenta di concedere autorizzazioni agli utenti nel proprio account.

Il proprietario del bucket può permettere ad altri Account AWS di caricare oggetti. Per impostazione predefinita, il proprietario del bucket non possiede oggetti scritti su un bucket da un altro Account AWS. Gli oggetti sono di proprietà degli account che li scrivono in un bucket S3. Se il proprietario del bucket non possiede oggetti nel bucket, il proprietario dell'oggetto deve prima concedere l'autorizzazione al proprietario del bucket utilizzando una lista di controllo degli accessi (ACL) dell'oggetto. Quindi, il proprietario del bucket può concedere i permessi a un oggetto di cui non è proprietario. Per ulteriori informazioni, consulta Proprietà di bucket e oggetti di Amazon S3.

Se il proprietario del bucket esegue l'impostazione proprietario del bucket applicato per S3 Object Ownership per il bucket, il proprietario del bucket possiederà tutti gli oggetti nel bucket, inclusi gli oggetti scritti da un altro Account AWS. Questo approccio risolve il problema degli oggetti che non sono di proprietà del proprietario del bucket. Quindi, puoi delegare le autorizzazioni agli utenti nel tuo account o ad altri Account AWS.

Nota

S3 Proprietà dell'oggetto è un'impostazione a livello di bucket Amazon S3 che è possibile utilizzare per controllare la proprietà degli oggetti caricati nel bucket e per disabilitare o abilitare le liste di controllo degli accessi (ACL). Per impostazione predefinita, Proprietà dell'oggetto è impostata su Proprietario del bucket applicato e tutte le liste di controllo degli accessi (ACL) sono disabilitate. Quando le ACL sono disabilitate, il proprietario del bucket dispone di tutti gli oggetti nel bucket e gestisce l'accesso ad essi in maniera esclusiva utilizzando policy di gestione dell'accesso.

La maggior parte degli attuali casi d'uso in Amazon S3 non richiede più l'uso delle ACL. È consigliabile mantenere le ACL disabilitate, tranne nelle circostanze in cui è necessario controllare individualmente l’accesso per ciascun oggetto. Con le ACL disabilitate, puoi utilizzare le policy per controllare l'accesso a tutti gli oggetti nel bucket, a prescindere da chi ha caricato gli oggetti nel bucket. Per ulteriori informazioni, consulta Controllo della proprietà degli oggetti e disabilitazione degli ACL per il bucket.

In questo esempio supponiamo che il proprietario del bucket non abbia applicato l'impostazione proprietario del bucket applicato per Object Ownership. Il proprietario del bucket delega queste autorizzazioni agli utenti nel suo account. Di seguito è riportato un riepilogo delle fasi della procedura:

Il proprietario di un bucket concede autorizzazioni a oggetti che non possiede.

  1. L'utente amministratore dell'Account A collega una policy di bucket con due istruzioni.

    • Concedere all'Account B autorizzazioni multiaccount per caricare oggetti.

    • Consentire a un utente nel proprio account di accedere agli oggetti nel bucket.

  2. L'utente amministratore dell'account B carica gli oggetti nel bucket di proprietà dell'Account A.

  3. L'amministratore dell'Account B aggiorna l'ACL dell'oggetto e concede al proprietario del bucket l'autorizzazione al controllo completo sull'oggetto.

  4. L'utente dell'Account A fa una verifica accedendo agli oggetti nel bucket, indipendentemente da chi ne ha la proprietà.

Per questo utente, sono necessari due account. La tabella seguente mostra come viene fatto riferimento a questi account e agli utenti amministratori degli account: In questa spiegazione passo per passo, non si utilizzano le credenziali dell'utente root dell'account, in base a quanto riportato nelle linee guida IAM consigliate. Per ulteriori informazioni, consulta Informazioni sull'uso di un utente amministratore per creare risorse e concedere autorizzazioni. Viene invece creato un utente amministratore in ciascun account e le credenziali vengono utilizzate per la creazione di risorse e per concedere autorizzazioni a tali risorse

Account AWSID Account denominato Amministratore nell'account

1111-1111-1111

Account A

AccountAadmin

2222-2222-2222

Account B

AccountBadmin

Tutte le attività di creazione degli utenti e assegnazione delle autorizzazioni vengono effettuate nella Console di gestione AWS. Per verificare le autorizzazioni, la spiegazione passo per passo utilizza gli strumenti a riga di comando, AWS Command Line Interface (AWS CLI) e AWS Tools for Windows PowerShell. Non è pertanto necessario scrivere alcun codice.

Fase 0: preparazione della procedura guidata

  1. Assicurati di disporre di due Account AWS, ognuno con un amministratore, come illustrato nella tabella della sezione precedente.

    1. Registrare un Account AWS, se necessario.

    2. Utilizzando le credenziali dell'account A, accedi alla Console IAM e procedere come segue per creare un utente amministratore:

      • Crea l'utente AccountAadmin e annota le credenziali di sicurezza dell'utente. Per ulteriori informazioni sull'aggiunta di utenti, consulta Creazione di un utente IAM nell'Account AWS nella Guida per l'utente di IAM.

      • Concedi le autorizzazioni di amministratore ad AccountAadmin allegando una policy utente che dia accesso completo. Per istruzioni, consulta Gestione delle policy IAM nella Guida all'utente IAM.

      • Nella Console IAM Dashboard, annota l'URL di accesso dell'utente IAM. Gli utenti di questo account devono utilizzare questo URL per accedere alla Console di gestione AWS. Per ulteriori informazioni, consulta In che modo gli utenti effettuano l'accesso al tuo account nella Guida per l'utente IAM.

    3. Ripeti il passaggio precedente utilizzando le credenziali dell'account B e creare l'utente amministratore AccountBadmin.

  2. Configura la AWS CLI o Tools for Windows PowerShell. Assicurati di salvare le credenziali di amministratore nel modo seguente:

    • Se utilizzi la AWS CLI, crea due profili, AccountAadmin e AccountBadmin, nel file di configurazione.

    • Se utilizzi Tools for Windows PowerShell, assicurati di archiviare le credenziali per la sessione come AccountAadmin e AccountBadmin.

    Per istruzioni, consulta Impostazione degli strumenti per le visite guidate.

Fase 1: esecuzione delle attività per l'Account A

Esegui le operazioni riportate di seguito per l'Account A:

Fase 1.1: Accesso alla console

Utilizzando l'URL di accesso dell'utente IAM per l'account A, accedere a Console di gestione AWS come utente AccountAadmin. Questo utente creerà un bucket e vi allegherà una policy.

Fase 1.2: Creazione di un bucket e di un utente e aggiunta di una policy di bucket che concede le autorizzazioni utente

  1. Nella console di Amazon S3 creare un bucket. Questo esercizio presuppone che il bucket sia stato creato nella zona est della Regione AWS Stati Uniti orientali (Virginia settentrionale) e che il nome sia amzn-s3-demo-bucket1.

    Per istruzioni, consulta Creazione di un bucket per uso generico.

  2. Nella console IAM, crea un utente Dave.

    Per istruzioni dettagliate, consulta Creazione di utenti IAM (console) nella Guida all'utente IAM.

  3. Osserva le credenziali dell'utente Dave.

  4. Nella console di Amazon S3 collegare la seguente policy del bucket a amzn-s3-demo-bucket1. Per istruzioni, consulta Aggiunta di una policy di bucket utilizzando la console di Amazon S3. Seguire le fasi per l'aggiunta di una policy di bucket. Per informazioni su come trovare gli ID account, consulta Ricerca del tuo ID Account AWS.

    La policy concede all'Account B le autorizzazioni s3:PutObject e s3:ListBucket. La policy concede inoltre all'utente Dave l'autorizzazione s3:GetObject.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket1"
            ]
        },
        {
            "Sid": "Statement3",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/Dave"
            },
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1/*"
            ]
        }
    ]
}

Fase 2: esecuzione delle attività per l'Account B

Ora che l'account B ha le autorizzazioni per eseguire operazioni sul bucket dell'account A, l'amministratore dell'account B esegue le seguenti operazioni:

  • Carica un oggetto nel bucket dell'account A

  • Aggiunge una concessione nella ACL dell'oggetto per consentire all'account A, proprietario del bucket, il pieno controllo

Utilizzo di AWS CLI

  1. Con il comando put-object AWS CLI, carica un oggetto. Il parametro --body nel comando identifica il file di origine da caricare. Ad esempio, se il file si trova sull'unità C: di una macchina Windows, specifica c:\HappyFace.jpg. Il parametro --key fornisce il nome della chiave dell'oggetto. 

    aws s3api put-object --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg --body HappyFace.jpg --profile AccountBadmin

  2. Aggiungere un'autorizzazione nell'ACL dell'oggetto per concedere controllo completo dell'oggetto al proprietario del bucket. Per informazioni su come trovare un ID utente canonico, consulta la sezione Trovare l'ID utente canonico per Account AWS nella AWS Guida di riferimento per la gestione degli account.

    aws s3api put-object-acl --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg --grant-full-control id="AccountA-CanonicalUserID" --profile AccountBadmin
Utilizzo di Tools for Windows PowerShell

  1. Con il comando Write-S3Object, carica un oggetto. 

    Write-S3Object -BucketName amzn-s3-demo-bucket1 -key HappyFace.jpg -file HappyFace.jpg -StoredCredentials AccountBadmin

  2. Aggiungere un'autorizzazione nell'ACL dell'oggetto per concedere controllo completo dell'oggetto al proprietario del bucket.

    Set-S3ACL -BucketName amzn-s3-demo-bucket1 -Key HappyFace.jpg -CannedACLName "bucket-owner-full-control" -StoredCreden

Fase 3: testare le autorizzazioni

A questo punto, verifica se l'utente Dave nell'Account A ha accesso all'oggetto di proprietà dell'Account B.

Utilizzo di AWS CLI

  1. Aggiungi le credenziali dell'utente Dave al file di configurazione della AWS CLI e crea un nuovo profilo, UserDaveAccountA. Per ulteriori informazioni, consulta Impostazione degli strumenti per le visite guidate.

    [profile UserDaveAccountA]
aws_access_key_id = access-key
aws_secret_access_key = secret-access-key
region = us-east-1

  2. Esegui il comando della CLI di get-object per scaricare HappyFace.jpg e salvarlo in locale. Le credenziali dell'utente Dave vengono fornite aggiungendo il parametro --profile.

    aws s3api get-object --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg Outputfile.jpg --profile UserDaveAccountA
Utilizzo di Tools for Windows PowerShell

  1. Archivia le credenziali AWS dell'utente Dave, come UserDaveAccountA, in una archiviazione persistente. 

    Set-AWSCredentials -AccessKey UserDave-AccessKey -SecretKey UserDave-SecretAccessKey -storeas UserDaveAccountA

  2. Esegui il comando Read-S3Object per scaricare l'oggetto HappyFace.jpg e salvarlo in locale. Le credenziali dell'utente Dave vengono fornite aggiungendo il parametro -StoredCredentials. 

    Read-S3Object -BucketName amzn-s3-demo-bucket1 -Key HappyFace.jpg -file HappyFace.jpg  -StoredCredentials UserDaveAccountA

Fase 4: pulizia

  1. Una volta terminato il test, è possibile eseguire le seguenti operazioni di pulizia:

    1. Accedi alla Console di gestione AWS utilizzando le credenziali dell'Account A e procedere come di seguito:

      • Nella console di Amazon S3 rimuovere la policy del bucket collegata a amzn-s3-demo-bucket1. Nelle Proprietà del bucket, elimina la policy nella sezione Autorizzazioni.

      • Se il bucket è stato creato per questo esercizio, nella console di Amazon S3 eliminare gli oggetti e quindi il bucket.

      • Nella Console IAM, rimuovi l'utente AccountAadmin. Per istruzioni dettagliate, consulta Eliminazione di un utente IAM nella Guida all'utente IAM.

  2. Accedere alla Console di gestione AWS tramite le credenziali dell'Account B. Nella Console IAM, elimina l'utente AccountBadmin.