Prima di provare le procedure guidate di esempio

Passaggi che utilizzano le policy per gestire l'accesso alle risorse Amazon S3

Questo argomento contiene i seguenti esempi di procedure guidate introduttive per concedere l'accesso alle risorse di Amazon S3. In questi esempi viene utilizzata la console Console di gestione AWS per creare risorse (bucket, oggetti, utenti) e concedere loro le autorizzazioni. Gli esempi mostrano quindi come verificare le autorizzazioni utilizzando gli strumenti a riga di comando per evitare di scrivere il codice. Forniamo comandi che utilizzano sia AWS Command Line Interface (AWS CLI) che AWS Tools for Windows PowerShell.

Esempio 1: il proprietario del bucket concede agli utenti le autorizzazioni per il bucket

Per default, gli utenti IAM creati nell'account non dispongono delle autorizzazioni. In questo esercizio agli utenti verrà concessa un'autorizzazione per eseguire le operazioni sui bucket e sugli oggetti.
Esempio 2: il proprietario del bucket concede autorizzazioni per il bucket multiaccount

In questo esercizio un proprietario del bucket, Account A, concede le autorizzazioni multiaccount a un altro Account AWS, Account B, che delega quindi queste autorizzazioni agli utenti nel suo account.
Gestione delle autorizzazioni per l'oggetto quando il proprietario dell'oggetto non corrisponde al proprietario del bucket

Gli scenari di esempio in questo caso riguardano un proprietario del bucket che concede ad altri le autorizzazioni per l'oggetto, sebbene non tutti gli oggetti nel bucket siano di sua proprietà. Di quali autorizzazioni ha bisogno il proprietario del bucket e come può delegare tali autorizzazioni?

Account AWS che crea un bucket è chiamato proprietario del bucket. Il proprietario può concedere ad altri Account AWS l'autorizzazione per caricare gli oggetti. Gli oggetti sono di proprietà degli Account AWS che li hanno creati. Il proprietario del bucket non dispone delle autorizzazioni per gli oggetti creati dagli altri Account AWS. Se il proprietario del bucket scrive una policy del bucket che concede l'accesso agli oggetti, la policy non si applica agli oggetti di proprietà di altri account.

In questo caso il proprietario dell'oggetto deve in primo luogo concedere le autorizzazioni al proprietario del bucket utilizzando un'ACL dell'oggetto. Il proprietario del bucket può quindi delegare queste autorizzazioni per l'oggetto ad altri, agli utenti nel proprio account o a un altro Account AWS, come mostrano gli esempi riportati di seguito.
- Esempio 3: il proprietario del bucket concede autorizzazioni per gli oggetti che non sono di sua proprietà
  
  In questo esercizio il proprietario del bucket ottiene prima le autorizzazioni dal proprietario dell'oggetto, Il proprietario del bucket quindi delega queste autorizzazioni agli utenti nel suo account.
- Esempio 4 - Proprietario di un bucket che concede un'autorizzazione multi-account agli oggetti di cui non è proprietario
  
  Dopo aver ricevuto i permessi dal proprietario dell'oggetto, il proprietario del bucket non può delegare i permessi ad altri Account AWS perché la delega tra account non è supportata (consulta Delega delle autorizzazioni). Tuttavia, il proprietario del bucket può creare un ruolo IAM con le autorizzazioni per eseguire operazioni specifiche (ad esempio GET Object) e consentire a un altro Account AWS di assumere tale ruolo. Chiunque assuma il ruolo potrà quindi accedere agli oggetti. Questo esempio mostra in che modo un proprietario del bucket può utilizzare un ruolo IAM per abilitare questa delega multiaccount.

Prima di provare le procedure guidate di esempio

In questi esempi viene utilizzata la console Console di gestione AWS per creare risorse e concedere autorizzazioni. Per verificare i permessi, gli esempi utilizzano gli strumenti a riga di comando AWS CLI e AWS Tools for Windows PowerShell, senza dover scrivere alcun codice. Per testare le autorizzazioni, è necessario configurare uno di questi strumenti. Per ulteriori informazioni, consulta Impostazione degli strumenti per le visite guidate.

Inoltre, quando si creano le risorse, questi esempi non utilizzano le credenziali dell'utente root di Account AWS. ma viene creato un utente amministratore in questi account per eseguire queste attività.

Informazioni sull'uso di un utente amministratore per creare risorse e concedere autorizzazioni

AWS Identity and Access Management (IAM) sconsiglia di utilizzare le credenziali dell'utente root dell'Account AWS per effettuare richieste. Invece, crea un utente o un ruolo IAM, concedi a tale utente o ruolo l'accesso completo, quindi utilizza le relative credenziali per fare richieste. Questo utente viene definito utente o ruolo amministratore. Per ulteriori informazioni, consultare la sezione relativa a credenziali Utente root dell'account AWS e identità IAM nella Riferimenti generali di AWS e Best practice di IAM nella Guida per l'utente di IAM.

In tutte le procedure guidate di esempio riportate in questa sezione vengono utilizzate le credenziali dell'utente amministratore. Se non è stato ancora creato un utente amministratore per l'Account AWS, negli argomenti di questa sezione viene illustrato come crearlo.

Per accedere a Console di gestione AWS utilizzando le credenziali dell'utente, è necessario utilizzare l'URL di accesso dell'utente IAM. La console IAM fornisce questo URL per l'Account AWS. Negli argomenti di questa sezione viene illustrato come ottenere l'URL.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Esempi di policy basate sull’identità

Configurazione degli strumenti