Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Prerequisiti per la disabilitazione ACLs Una lista di controllo degli accessi ai bucket (ACL) in Amazon S3 è un meccanismo che consente di definire autorizzazioni granulari per singoli oggetti all'interno di un bucket S3, specificando AWS quali account o gruppi possono accedere e modificare tali oggetti. La maggior parte dei casi d'uso moderni in Amazon S3 non richiede più l'uso di. ACLs Ti consigliamo di utilizzare le policy AWS Identity and Access Management (IAM) e bucket per gestire l'accesso e mantenerli ACLs disabilitati, tranne nei casi in cui devi controllare l'accesso per ogni oggetto singolarmente. Se hai ACLs abilitato il bucket, prima di disattivarlo ACLs, completa i seguenti prerequisiti: **Topics** + [ ## Rivedi il bucket e l'oggetto ACLs e migra le autorizzazioni ACL ](#object-ownership-acl-permissions) + [ ## Identifica tutte le richieste che richiedono una ACL per l'autorizzazione ](#object-ownership-acl-identify) + [ ## Esamina e aggiorna le policy del bucket che utilizzano chiavi di condizione relative all'ACL ](#object-ownership-bucket-policies) + [ ## Casi d'uso di esempio ](#object-ownership-migrating-acls) ## Rivedi il bucket e l'oggetto ACLs e migra le autorizzazioni ACL Quando disabiliti ACLs, le autorizzazioni concesse dal bucket e dall'oggetto non influiscono più sull'accesso. ACLs Prima di disabilitarlo ACLs, esamina il bucket e l'oggetto. ACLs Ogni bucket e oggetto esistenti ACLs ha un equivalente in una policy IAM. I seguenti esempi di bucket policy mostrano come `READ` e `WRITE` le autorizzazioni per bucket e object ACLs mapping alle autorizzazioni IAM. Per ulteriori informazioni su come ogni ACL si traduce in autorizzazioni IAM, consulta [Mappatura delle autorizzazioni ACL e delle autorizzazioni della policy di accesso](acl-overview.md#acl-access-policy-permission-mapping). Prima di disabilitare: ACLs + Se l'ACL del bucket concede l'accesso al di fuori del tuo AWS account, per prima cosa devi migrare le autorizzazioni ACL del bucket alla tua policy sul bucket. + Quindi, ripristina l’ACL del bucket sull’ACL privata predefinita. + È inoltre consigliabile rivedere le autorizzazioni ACL a livello di oggetto e di migrarle nella policy di bucket. Se il tuo bucket ACLs concede autorizzazioni di lettura o scrittura ad altre persone esterne al tuo account, prima di poterle disabilitare ACLs, devi migrare queste autorizzazioni alla tua policy bucket. Dopo aver migrato queste autorizzazioni, è possibile impostare **Proprietà dell’oggetto** sull’impostazione *Proprietario del bucket applicato*. Se non esegui la migrazione di bucket ACLs che garantiscono l'accesso in lettura o scrittura all'esterno del tuo account, la tua richiesta di applicare l'impostazione Bucket owner enforce non riesce e restituisce il codice di errore. [InvalidBucketAclWithObjectOwnership](object-ownership-error-responses.md#object-ownership-error-responses-invalid-acl) Se l'ACL del bucket concede l'accesso al di fuori del tuo Account AWS, prima di disabilitarlo ACLs, devi migrare le autorizzazioni ACL del bucket alla tua policy sul bucket e reimpostare l'ACL del bucket sull'ACL privato predefinito. Se non esegui la migrazione e il ripristino, la tua richiesta di applicare l'impostazione di disabilitazione forzata del proprietario del Bucket ha esito negativo e restituisce il codice di errore. ACLs [InvalidBucketAclWithObjectOwnership](object-ownership-error-responses.md#object-ownership-error-responses-invalid-acl) Ti consigliamo inoltre di rivedere le autorizzazioni ACL dell'oggetto e di migrarle alla policy di bucket. Per esaminare e migrare le autorizzazioni ACL alle policy di bucket, consultare i seguenti argomenti. **Topics** + [ ### Esempi di policy di bucket ](#migrate-acl-permissions-bucket-policies) + [ ### Utilizzo della console S3 per esaminare e migrare le autorizzazioni ACL ](#review-migrate-acl-console) + [ ### Utilizzo di AWS CLI per rivedere e migrare le autorizzazioni ACL ](#review-migrate-acl-cli) ### Esempi di policy di bucket Questi esempi di policy bucket mostrano come migrare le autorizzazioni ACL dei `WRITE` bucket `READ` e degli oggetti di terze parti verso una policy bucket. Account AWS `READ_ACP`e `WRITE_ACP` ACLs sono meno rilevanti per le politiche perché concedono autorizzazioni relative all'ACL (,, e). `s3:GetBucketAcl` `s3:GetObjectAcl` `s3:PutBucketAcl` `s3:PutObjectAcl` **Example — `READ` ACL per un bucket** Se il tuo bucket ha un `READ` ACL che concede l' Account AWS `111122223333`autorizzazione a elencare il contenuto del tuo bucket, puoi scrivere una policy sul bucket che conceda, le autorizzazioni per il tuo bucket. `s3:ListBucket` `s3:ListBucketVersions` `s3:ListBucketMultipartUploads` **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Permission to list the objects in a bucket", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root" ] }, "Action": [ "s3:ListBucket", "s3:ListBucketVersions", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket" } ] } ``` **Example — per ogni oggetto in un bucket `READ` ACLs** Se ogni oggetto nel tuo bucket ha un `READ` ACL a cui concede l'accesso Account AWS `111122223333`, puoi scrivere una policy sul bucket che conceda `s3:GetObject` e `s3:GetObjectVersion` autorizzi a questo account per ogni oggetto nel tuo bucket. **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Read permission for every object in a bucket", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root" ] }, "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" } ] } ``` Questo elemento di risorsa esemplificativo consente l'accesso a un oggetto specifico. ``` "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/OBJECT-KEY" ``` **Example — `WRITE` ACL che concede le autorizzazioni per scrivere oggetti su un bucket** Se il tuo bucket ha un `WRITE` ACL che concede l' Account AWS `111122223333`autorizzazione a scrivere oggetti nel tuo bucket, puoi scrivere una policy sul bucket che conceda l'autorizzazione per il tuo bucket. `s3:PutObject` **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Permission to write objects to a bucket", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root" ] }, "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" } ] } ``` ### Utilizzo della console S3 per esaminare e migrare le autorizzazioni ACL **Per esaminare le autorizzazioni ACL di un bucket** 1. Accedi Console di gestione AWS e apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 1. Nell'elenco **Bucket**, seleziona il nome del bucket. 1. Scegli la scheda **Autorizzazioni**. 1. Alla voce **Lista di controllo accessi (ACL)**, controlla le autorizzazioni ACL del bucket. **Per esaminare le autorizzazioni ACL di un oggetto** 1. Accedi Console di gestione AWS e apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 1. Nell'elenco **Buckets** (Bucket), scegli il nome del bucket contenente l'oggetto. 1. Nell'elenco **Oggetti** scegli il nome dell'oggetto. 1. Scegli la scheda **Autorizzazioni**. 1. Alla voce **Lista di controllo accessi (ACL)**, controlla le autorizzazioni ACL dell'oggetto. **Per migrare le autorizzazioni ACL e aggiornare l'ACL del bucket** 1. Accedi Console di gestione AWS e apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 1. Nell'elenco **Bucket**, seleziona il nome del bucket. 1. Nella sezione **Autorizzazioni**, alla voce **Policy del bucket**, scegliere **Modifica**. 1. Nella casella **Policy**, aggiungi o aggiorna la policy del bucket. Per le policy di bucket di esempio, consulta [Esempi di policy di bucket](#migrate-acl-permissions-bucket-policies) e [Casi d'uso di esempio](#object-ownership-migrating-acls). 1. Scegli **Save changes** (Salva modifiche). 1. [Aggiorna l'ACL del bucket](managing-acls.md) per rimuovere le autorizzazioni ACL ad altri gruppi o Account AWS. 1. [Applica l'impostazione **Proprietario del bucket applicato**](object-ownership-existing-bucket.md) per Proprietà dell'oggetto. ### Utilizzo di AWS CLI per rivedere e migrare le autorizzazioni ACL 1. Per restituire l'ACL del bucket per il tuo bucket, usa il comando: [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-acl.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-acl.html) AWS CLI ``` aws s3api get-bucket-acl --bucket amzn-s3-demo-bucket ``` Ad esempio, questa ACL di bucket concede l'accesso `WRITE` e `READ` a un account di terze parti. In questa ACL, l'account di terze parti è identificato dall'[ID utente canonico](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId). Per applicare e disabilitare l'impostazione forzata del proprietario del Bucket ACLs, devi migrare queste autorizzazioni per l'account di terze parti a una policy bucket. ``` { "Owner": { "ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID" }, "Grants": [ { "Grantee": { "ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID", "Type": "CanonicalUser" }, "Permission": "FULL_CONTROL" }, { "Grantee": { "ID": "72806de9d1ae8b171cca9e2494a8d1335dfced4ThirdPartyAccountCanonicalUserID", "Type": "CanonicalUser" }, "Permission": "READ" }, { "Grantee": { "ID": "72806de9d1ae8b171cca9e2494a8d1335dfced4ThirdPartyAccountCanonicalUserID", "Type": "CanonicalUser" }, "Permission": "WRITE" } ] } ``` Per altri esempi, vedi. ACLs [Casi d'uso di esempio](#object-ownership-migrating-acls) 1. Migrazione delle autorizzazioni ACL del bucket a una policy di bucket: Questo esempio di policy di bucket concede autorizzazioni `s3:PutObject` e `s3:ListBucket` per un account di terze parti. Nella policy bucket, l'account di terze parti è identificato dall' Account AWS ID (`111122223333`). ``` aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://policy.json policy.json: { "Version": "2012-10-17", "Statement": [ { "Sid": "PolicyForCrossAccountAllowUpload", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root" ] }, "Action": [ "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" } ] } ``` Per ulteriori policy di bucket esemplificative, consulta [Esempi di policy di bucket](#migrate-acl-permissions-bucket-policies) e [Casi d'uso di esempio](#object-ownership-migrating-acls). 1. Per restituire l'ACL per un oggetto specifico, utilizzate il [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-object-acl.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-object-acl.html) AWS CLI comando. ``` aws s3api get-object-acl --bucket amzn-s3-demo-bucket --key EXAMPLE-OBJECT-KEY ``` 1. Se necessario, migrare le autorizzazioni ACL degli oggetti alla policy del bucket. Questo elemento di risorsa esemplificativo concede l'accesso a un oggetto specifico in una policy di bucket. ``` "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/EXAMPLE-OBJECT-KEY" ``` 1. Ripristina l'ACL per il bucket sull'ACL predefinito. ``` aws s3api put-bucket-acl --bucket amzn-s3-demo-bucket --acl private ``` 1. [Applica l'impostazione Proprietario del bucket applicato](object-ownership-existing-bucket.md) per Proprietà dell'oggetto. ## Identifica tutte le richieste che richiedono una ACL per l'autorizzazione Per identificare le richieste Amazon S3 che richiedono ACLs l'autorizzazione, puoi utilizzare il `aclRequired` valore nei log di accesso al server Amazon S3 oppure. AWS CloudTrail Se la richiesta richiede un ACL per l'autorizzazione o se sono presenti richieste `PUT` che specificano un ACL, la stringa è `Yes`. Se non è ACLs necessario, se stai impostando un `bucket-owner-full-control` ACL predefinito o se le richieste sono consentite dalla tua policy bucket, la stringa di `aclRequired` valore è "`-`" nei log di accesso al server di Amazon S3 ed è assente in. CloudTrail Per ulteriori informazioni sui valori `aclRequired` attesi, consulta [Valori `aclRequired` per le richieste di Amazon S3](acl-overview.md#aclrequired-s3). Se `PutBucketAcl` disponi di `PutObjectAcl` richieste con intestazioni che concedono autorizzazioni basate sull'ACL, ad eccezione dell'ACL predefinito, devi rimuovere tali intestazioni prima di `bucket-owner-full-control` poterle disabilitare. ACLs In caso contrario, le tue richieste non avranno esito positivo. Per tutte le altre richieste che richiedevano un ACL per l'autorizzazione, migra tali autorizzazioni ACL alle policy dei bucket. Quindi, rimuovi qualsiasi bucket ACLs prima di abilitare l'impostazione applicata dal proprietario del bucket. **Nota** Non rimuovere oggetti. ACLs In caso contrario, le applicazioni che si basano sull'oggetto ACLs per le autorizzazioni perderanno l'accesso. Se vedi che nessuna richiesta richiede un ACL per l'autorizzazione, puoi procedere alla disattivazione. ACLs Per ulteriori informazioni sull'identificazione delle richieste, vedere [Utilizzo dei log degli accessi al server Amazon S3 per identificare le richieste](using-s3-access-logs-to-identify-requests.md) e[Identificazione delle richieste Amazon S3 tramite CloudTrail](cloudtrail-request-identification.md). ## Esamina e aggiorna le policy del bucket che utilizzano chiavi di condizione relative all'ACL Dopo aver applicato la disattivazione dell'impostazione forzata del proprietario del bucket ACLs, i nuovi oggetti possono essere caricati nel bucket solo se la richiesta utilizza il controllo completo del proprietario del bucket ACLs o non specifica un ACL. Prima di disabilitarli ACLs, consulta la politica del bucket per le chiavi di condizione relative all'ACL. Se la policy del bucket utilizza una chiave di condizione relativa all'ACL per richiedere l'ACL predefinita `bucket-owner-full-control` (ad esempio `s3:x-amz-acl`), non è necessario aggiornare la policy del bucket. La seguente policy di bucket utilizza il codice `s3:x-amz-acl` per richiedere l'ACL predefinita `bucket-owner-full-control` per le richieste `PutObject` di S3. Questa policy richiede *ancora* all'object writer di specificare l'ACL predefinita `bucket-owner-full-control`. Tuttavia, i bucket ACLs disattivati accettano ancora questo ACL, quindi le richieste continuano ad avere esito positivo senza che siano necessarie modifiche sul lato client. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "OnlyAllowWritesToMyBucketWithBucketOwnerFullControl", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:user/ExampleUser" ] }, "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ] } ``` ------ Tuttavia, se la policy di bucket utilizza una chiave di condizione relativa all'ACL che richiede un'ACL diversa, è necessario rimuovere questa chiave di condizione. Questo esempio di bucket policy richiede l'`public-read`ACL per le `PutObject` richieste S3 e pertanto deve essere aggiornata prima della disabilitazione. ACLs ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Only allow writes to my bucket with public read access", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:user/ExampleUser" ] }, "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "public-read" } } } ] } ``` ------ ## Casi d'uso di esempio Negli esempi seguenti viene illustrato come migrare le autorizzazioni ACL alle policy di bucket per casi d'uso specifici. **Topics** + [ ### Concedere l'accesso al gruppo di consegna di log S3 per la registrazione di log degli accessi al server ](#object-ownership-server-access-logs) + [ ### Concedere l'accesso pubblico in lettura agli oggetti nel bucket ](#object-ownership-public-read) + [ ### Concedi ad Amazon ElastiCache (Redis OSS) l'accesso al tuo bucket S3 ](#object-ownership-elasticache-redis) ### Concedere l'accesso al gruppo di consegna di log S3 per la registrazione di log degli accessi al server Se desideri applicare l'impostazione forzata del proprietario del bucket da disabilitare ACLs per un bucket di destinazione per la registrazione degli accessi al server (noto anche come bucket di destinazione), devi migrare le autorizzazioni ACL del *bucket* per il gruppo di consegna dei log S3 al logging service principal () in una policy bucket. `logging.s3.amazonaws.com` Per ulteriori informazioni sulle autorizzazioni della distribuzione dei registri, consultare [Autorizzazioni per la distribuzione dei registri](enable-server-access-logging.md#grant-log-delivery-permissions-general). Questa ACL del bucket concede l'accesso `WRITE` e `READ_ACP` al gruppo di distribuzione di registri S3: ``` { "Owner": { "ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID" }, "Grants": [ { "Grantee": { "Type": "CanonicalUser", "ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID" }, "Permission": "FULL_CONTROL" }, { "Grantee": { "Type": "Group", "URI": "http://acs.amazonaws.com/groups/s3/LogDelivery" }, "Permission": "WRITE" }, { "Grantee": { "Type": "Group", "URI": "http://acs.amazonaws.com/groups/s3/LogDelivery" }, "Permission": "READ_ACP" } ] } ``` **Per migrare le autorizzazioni ACL del bucket per il gruppo di distribuzione di registri S3 al principale del servizio di registrazione in una policy di bucket** 1. Aggiungi la seguente policy di bucket al bucket di destinazione, sostituendo i valori di esempio. ``` aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://policy.json policy.json: { { "Version": "2012-10-17", "Statement": [ { "Sid": "S3ServerAccessLogsPolicy", "Effect": "Allow", "Principal": { "Service": "logging.s3.amazonaws.com" }, "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/EXAMPLE-LOGGING-PREFIX*", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:s3:::SOURCE-BUCKET-NAME" }, "StringEquals": { "aws:SourceAccount": "SOURCE-AWS-ACCOUNT-ID" } } } ] } ``` 1. Ripristina l'ACL per il bucket di destinazione all'ACL predefinita. ``` aws s3api put-bucket-acl --bucket amzn-s3-demo-bucket --acl private ``` 1. [Applica l'impostazione Proprietario del bucket applicato](object-ownership-existing-bucket.md) per Proprietà dell'oggetto al bucket di destinazione. ### Concedere l'accesso pubblico in lettura agli oggetti nel bucket Se il tuo oggetto ACLs concede l'accesso pubblico in lettura a tutti gli oggetti nel tuo bucket, puoi migrare queste autorizzazioni ACL a una policy bucket. Questa ACL di oggetto concede l'accesso pubblico in lettura a un oggetto in un bucket: ``` { "Owner": { "ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID" }, "Grants": [ { "Grantee": { "ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID", "Type": "CanonicalUser" }, "Permission": "FULL_CONTROL" }, { "Grantee": { "Type": "Group", "URI": "http://acs.amazonaws.com/groups/global/AllUsers" }, "Permission": "READ" } ] } ``` **Per migrare le autorizzazioni ACL di lettura pubblica a una policy di bucket** 1. Per concedere l'accesso in lettura pubblica a tutti gli oggetti nel bucket, aggiungere la seguente policy di bucket, sostituendo i valori di esempio. ``` aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://policy.json policy.json: { "Version": "2012-10-17", "Statement": [ { "Sid": "PublicReadGetObject", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*" ] } ] } ``` Per concedere l'accesso pubblico a un oggetto specifico in una policy di bucket, utilizzare il seguente formato per l'elemento `Resource`. ``` "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/OBJECT-KEY" ``` Per concedere l'accesso pubblico a tutti gli oggetti con un prefisso specifico, utilizzare il seguente formato per l'elemento `Resource`. ``` "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/PREFIX/*" ``` 1. [Applica l'impostazione Proprietario del bucket applicato](object-ownership-existing-bucket.md) per Proprietà dell'oggetto. ### Concedi ad Amazon ElastiCache (Redis OSS) l'accesso al tuo bucket S3 Puoi [esportare il tuo backup ElastiCache (Redis OSS)](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-exporting.html) in un bucket S3, che ti consente di accedere al backup dall'esterno. ElastiCache Per esportare il backup in un bucket S3, devi concedere le ElastiCache autorizzazioni per copiare un'istantanea nel bucket. Se hai concesso le autorizzazioni a un ACL ElastiCache in un bucket, devi migrare queste autorizzazioni a una policy del bucket prima di applicare l'impostazione di disabilitazione applicata dal proprietario del bucket. ACLs Per ulteriori informazioni, consulta [Concedi ElastiCache l'accesso al tuo bucket Amazon S3](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-exporting.html#backups-exporting-grant-access) nella *Amazon ElastiCache * User Guide. L'esempio seguente mostra le autorizzazioni ACL del bucket a cui concedono le autorizzazioni. ElastiCache ``` { "Owner": { "ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID" }, "Grants": [ { "Grantee": { "ID": "852b113e7a2f25102679df27bb0ae12b3f85be6BucketOwnerCanonicalUserID", "Type": "CanonicalUser" }, "Permission": "FULL_CONTROL" }, { "Grantee": { "ID": "540804c33a284a299d2547575ce1010f2312ef3da9b3a053c8bc45bf233e4353", "Type": "CanonicalUser" }, "Permission": "READ" }, { "Grantee": { "ID": "540804c33a284a299d2547575ce1010f2312ef3da9b3a053c8bc45bf233e4353", "Type": "CanonicalUser" }, "Permission": "WRITE" }, { "Grantee": { "ID": "540804c33a284a299d2547575ce1010f2312ef3da9b3a053c8bc45bf233e4353", "Type": "CanonicalUser" }, "Permission": "READ_ACP" } ] } ``` **Per migrare le autorizzazioni ACL del bucket per ElastiCache (Redis OSS) a una policy bucket** 1. Aggiungere la seguente policy di bucket al bucket di destinazione, sostituendo i valori di esempio. ``` aws s3api put-bucket-policy --bucket amzn-s3-demo-bucket --policy file://policy.json policy.json: { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt15399483", "Effect": "Allow", "Principal": { "Service": "Region.elasticache-snapshot.amazonaws.com" }, "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:GetBucketAcl", "s3:ListMultipartUploadParts", "s3:ListBucketMultipartUploads" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ] } ] } ``` 1. Resettare l'ACL per il bucket all'ACL di default: ``` aws s3api put-bucket-acl --bucket amzn-s3-demo-bucket --acl private ``` 1. [Applica l'impostazione Proprietario del bucket applicato](object-ownership-existing-bucket.md) per Proprietà dell'oggetto.