Impostazione di Object Ownership quando si crea un bucket - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impostazione di Object Ownership quando si crea un bucket

Quando crei un bucket, puoi configurare S3 Object Ownership. Per impostare Object Ownership per un bucket esistente, consulta Impostazione di Object Ownership su un bucket esistente.

S3 Object Ownership è un'impostazione a livello di bucket di Amazon S3 che puoi utilizzare per disabilitare gli elenchi di controllo degli accessi ACLs () e assumere la proprietà di ogni oggetto nel bucket, semplificando la gestione degli accessi per i dati archiviati in Amazon S3. Per impostazione predefinita, S3 Object Ownership è impostato sull'impostazione imposta dal proprietario del bucket e viene disabilitato per i nuovi bucket. ACLs Se ACLs disabilitata, il proprietario del bucket possiede ogni oggetto nel bucket e gestisce l'accesso ai dati esclusivamente utilizzando le politiche di gestione degli accessi. Ti consigliamo di mantenerlo ACLs disabilitato, tranne in circostanze insolite in cui devi controllare l'accesso per ogni oggetto singolarmente.

Object Ownership dispone di tre impostazioni che puoi utilizzare per controllare la proprietà degli oggetti caricati nel tuo bucket e per disabilitarli o ACLs abilitarli:

ACLs disabilitato

  • Proprietario del bucket applicato (impostazione predefinita): ACLs sono disabilitati e il proprietario del bucket possiede automaticamente e ha il pieno controllo su ogni oggetto nel bucket. ACLs non influiscono più sulle autorizzazioni per i dati nel bucket S3. Il bucket utilizza le policy per definire il controllo degli accessi.

ACLs enabled

  • Proprietario del bucket preferito - Il proprietario del bucket possiede e ha il pieno controllo sui nuovi oggetti che altri account scrivono sul bucket con l'ACL bucket-owner-full-control predefinita.

  • Object writer: chi carica un oggetto possiede l'oggetto, ne ha il pieno controllo e può concedere ad altri utenti l'accesso ad esso tramite. Account AWS ACLs

Autorizzazioni: per applicare l'impostazione Bucket owner enforced (Applicata da proprietario bucket) oppure Bucket owner preferred (Preferita da proprietario bucket), devi disporre delle seguenti autorizzazioni: s3:CreateBucket e s3:PutBucketOwnershipControls. Non sono necessarie autorizzazioni aggiuntive quando si crea un bucket con l'impostazione Object writer applicata. Per ulteriori informazioni sulle autorizzazioni di Amazon S3, consulta Azioni, risorse e chiavi di condizione per Amazon S3 in Riferimento alle autorizzazioni di servizio.

Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta Autorizzazioni necessarie per le operazioni API di Amazon S3.

Importante

La maggior parte dei casi d'uso moderni in Amazon S3 non richiede più l'uso di e consigliamo di ACLs disabilitarlo ACLs tranne in circostanze insolite in cui è necessario controllare l'accesso per ogni oggetto singolarmente. Con Object Ownership, puoi disabilitare ACLs e fare affidamento su politiche per il controllo degli accessi. Quando disattivi ACLs, puoi gestire facilmente un bucket con oggetti caricati da AWS account diversi. In qualità di proprietario del bucket, possiedi tutti gli oggetti nel bucket e puoi gestirne l'accesso utilizzando le policy.

  1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nella barra di navigazione nella parte superiore della pagina, scegli il nome del file attualmente visualizzato Regione AWS. Quindi, scegli la Regione in cui creare un bucket.

    Nota

    • Una volta creato, non è possibile modificarne la regione.

    • Scegli una regione nelle tue vicinanze per ridurre al minimo la latenza e i costi o essere conforme ai requisiti normativi. Gli oggetti archiviati in una regione non la lasciano mai a meno che non vengano trasferiti esplicitamente in un'altra regione. Per un elenco di Amazon S3 Regioni AWS, consulta gli Servizio AWS endpoint in. Riferimenti generali di Amazon Web Services

  3. Nel riquadro di navigazione sinistro, scegli Bucket per uso generico.

  4. Scegliere Create bucket (Crea bucket). Viene visualizzata la pagina Create bucket (Crea bucket).

  5. In Nome bucket, immettere il nome del bucket.

    Il nome del bucket deve:

    • Essere univoco all'interno di una partizione. Una partizione è un raggruppamento di regioni. AWS attualmente ha tre partizioni: aws (Regioni commerciali), aws-cn (Regioni della Cina) e aws-us-gov (AWS GovCloud (US) Regions).

    • Deve contenere da 3 a 63 caratteri

    • Sono costituiti solo da lettere minuscole, numeri, punti (.) e trattini (). - Per una migliore compatibilità, ti consigliamo di evitare di utilizzare periodi (.) nei nomi dei bucket, ad eccezione dei bucket utilizzati solo per l'hosting di siti Web statici.

    • Iniziare e finire con una lettera o un numero.

    • Per un elenco completo delle regole di denominazione dei bucket, consulta. Regole di denominazione dei bucket per uso generico

    Importante

    • Una volta creato il bucket, non è possibile modificarne il nome.

    • Non includere informazioni sensibili nel nome del bucket. Il nome del bucket è visibile nel punto in URLs cui si trovano gli oggetti nel bucket.

  6. (Facoltativo) In Configurazione generale, puoi scegliere di copiare le impostazioni di un bucket esistente nel tuo nuovo bucket. Se non desideri copiare le impostazioni di un bucket esistente, vai al passaggio successivo.

    Nota

    Questa opzione:

    • Non è disponibile in AWS CLI ed è disponibile solo nella console Amazon S3

    • Non copia la policy del bucket dal bucket esistente al nuovo bucket

    Per copiare le impostazioni di un bucket esistente, in Copia impostazioni da un bucket esistente, seleziona Scegli bucket. Viene visualizzata la finestra Scegli bucket. Trova il bucket con le impostazioni che desideri copiare e seleziona Scegli il bucket. La finestra Scegli il bucket si chiude e la finestra Crea bucket si riapre.

    In Copia le impostazioni dal bucket esistente, ora viene visualizzato il nome del bucket selezionato. Le impostazioni del tuo nuovo bucket ora corrispondono alle impostazioni del bucket che hai selezionato. Se desideri rimuovere le impostazioni copiate, scegli Ripristina impostazioni predefinite. Controlla le impostazioni rimanenti del bucket nella pagina Crea bucket. Se non desideri apportare modifiche, puoi passare al passaggio finale.

  7. In Proprietà degli oggetti, per disabilitare o abilitare ACLs e controllare la proprietà degli oggetti caricati nel bucket, scegli una delle seguenti impostazioni:

    ACLs disabilitato

    • Proprietario del bucket applicato (impostazione predefinita): ACLs sono disabilitati e il proprietario del bucket possiede automaticamente e ha il pieno controllo su ogni oggetto nel bucket generico. ACLs non influiscono più sulle autorizzazioni di accesso ai dati nel bucket generico S3. Il bucket utilizza esclusivamente le policy per definire il controllo degli accessi.

      Per impostazione predefinita, ACLs sono disabilitati. La maggior parte dei casi d'uso moderni in Amazon S3 non richiede più l'uso di. ACLs Ti consigliamo di rimanere ACLs disabilitato, tranne in circostanze insolite in cui devi controllare l'accesso per ogni oggetto singolarmente. Per ulteriori informazioni, consulta Controllo della proprietà degli oggetti e disattivazione ACLs del bucket.

    ACLs enabled

    • Proprietario del bucket preferito - Il proprietario del bucket possiede e ha il pieno controllo sui nuovi oggetti che altri account scrivono sul bucket con l'ACL bucket-owner-full-control predefinita.

      Se applichi l'impostazione Proprietario del bucket preferito, per richiedere che tutti i caricamenti di Amazon S3 includano l'ACL predefinita bucket-owner-full-control, puoi aggiungere una policy del bucket che consenta solo il caricamento di oggetti che utilizzano questa ACL.

    • Autore di oggetti: chi carica un oggetto possiede l'oggetto, ne ha il pieno controllo e può consentire ad altri utenti di accedervi tramite ACLs. Account AWS

    Nota

    L'impostazione predefinita è Proprietario del bucket applicato. Per applicare l'impostazione predefinita e mantenerla ACLs disattivata, è necessaria solo l's3:CreateBucketautorizzazione. Per abilitare ACLs, è necessario disporre dell's3:PutBucketOwnershipControlsautorizzazione.

  8. In Impostazioni di blocco dell'accesso pubblico per questo bucket scegli le impostazioni di blocco dell'accesso pubblico che vuoi applicare al bucket.

    Per impostazione predefinita, tutte e quattro le impostazioni Blocco dell'accesso pubblico sono abilitate. È consigliabile mantenere tutte le impostazioni abilitate, a meno che non sia necessario disattivarne una o più di una per il caso d'uso specifico. Per ulteriori informazioni sul blocco dell'accesso pubblico, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

    Nota

    Per abilitare tutte le impostazioni Blocco dell'accesso pubblico, è richiesta solo l'autorizzazione s3:CreateBucket. Per disattivare le impostazioni Blocco dell'accesso pubblico, è necessario disporre dell'autorizzazione s3:PutBucketPublicAccessBlock.

  9. (Facoltativo) Per impostazione predefinita, il Bucket Versioning è disabilitato. La funzione Controllo delle versioni è un modo per conservare più versioni di un oggetto nello stesso bucket. Si può utilizzare questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket . Con il controllo delle versioni puoi eseguire facilmente il ripristino dopo errori dell'applicazione e operazioni non intenzionali dell'utente. Per ulteriori informazioni sulla funzione Controllo delle versioni, consulta Conservazione di più versioni degli oggetti con Controllo delle versioni S3.

    Per abilitare il controllo delle versioni sul tuo bucket, scegli Abilita.

  10. (Facoltativo) In Tags (Tag), puoi scegliere di aggiungere tag al bucket. Con l'allocazione AWS dei costi, puoi utilizzare i bucket tag per annotare la fatturazione relativa all'utilizzo di un bucket. Un tag è una coppia chiave-valore che rappresenta un'etichetta assegnata a un bucket. Per ulteriori informazioni, consulta Utilizzo dei tag per l'allocazione dei costi per i bucket S3.

    Per aggiungere un tag al bucket, inserisci un valore in Key (Chiave) e facoltativamente un valore in Value (Valore), quindi scegli Add Tag (Aggiungi tag).

  11. Per configurare la crittografia predefinita, in Tipo di crittografia, scegli una delle seguenti opzioni:

    I bucket e i nuovi oggetti vengono crittografati utilizzando la crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3) come livello base della configurazione di crittografia. Per ulteriori informazioni sulla crittografia predefinita, consulta Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3. Per ulteriori informazioni su SSE-S3, consulta Uso della crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3).

    Per ulteriori informazioni sull'utilizzo della crittografia lato server per crittografare i dati, consulta. Protezione dei dati con la crittografia

  12. Se hai scelto la crittografia lato server con chiavi gestite Amazon S3 (SSE-S3) o la crittografia lato server a doppio livello AWS Key Management Service con AWS KMS() chiavi (DSSE-KMS), procedi come segue:

    1. In Chiave AWS KMS specifica la tua chiave KMS in uno dei seguenti modi:

      • Per scegliere da un elenco di chiavi KMS disponibili, scegli tra le tue e scegli la tua chiave KMS dall'elenco delle chiavi disponibili. AWS KMS keys

        In questo elenco vengono visualizzate sia la chiave Chiave gestita da AWS (aws/s3) che quella gestita dai clienti. Per ulteriori informazioni sulle chiavi gestite dal cliente, consulta Chiavi gestite dal cliente e chiavi AWS nella Guida per gli sviluppatori di AWS Key Management Service .

      • Per specificare l'ARN della chiave KMS, scegli Inserisci l'ARN della AWS KMS key e quindi specifica l'ARN della chiave KMS nel campo visualizzato.

      • Per creare una nuova chiave gestita dal cliente nella AWS KMS console, scegli Crea una chiave KMS.

        Per ulteriori informazioni sulla creazione di una AWS KMS key, consulta Creating keys nella AWS Key Management Service Developer Guide.

      Importante

      Puoi utilizzare solo le chiavi KMS disponibili nello Regione AWS stesso bucket. La console Amazon S3 elenca solo le prime 100 chiavi KMS nella stessa Regione del bucket. Per utilizzare una chiave KMS non presente nell'elenco, devi inserire l'ARN della tua chiave KMS. Se desideri utilizzare una chiave KMS di proprietà di un altro account, devi prima avere l'autorizzazione per utilizzare la chiave, quindi devi inserire l'ARN della chiave KMS. Per ulteriori informazioni sulle autorizzazioni multiaccount per le chiavi KMS, consulta Creazione di chiavi KMS utilizzabili da altri account nella Guida per gli sviluppatori.AWS Key Management Service Per ulteriori informazioni su SSE-KMS, consulta Specifica della crittografia lato server con AWS KMS (SSE-KMS). Per ulteriori informazioni su DSSE-KMS, consulta Utilizzo della crittografia lato server a due livelli con AWS KMS chiavi (DSSE-KMS).

      Quando utilizzi una chiave KMS AWS KMS key per la crittografia lato server in Amazon S3, devi scegliere una chiave KMS di crittografia simmetrica. Amazon S3 supporta solo chiavi KMS di crittografia simmetriche e non chiavi KMS asimmetriche. Per ulteriori informazioni, consulta Identificazione delle chiavi KMS simmetriche e asimmetriche nella Guida per gli sviluppatori di AWS Key Management Service .

    2. Quando configuri il bucket per utilizzare la crittografia predefinita con SSE-KMS, puoi anche utilizzare S3 Bucket Keys. S3 Bucket Keys riduce il costo della crittografia diminuendo il traffico di richieste da Amazon S3 a. AWS KMS Per ulteriori informazioni, consulta Riduzione del costo di SSE-KMS con le chiavi bucket Amazon S3. Le chiavi bucket S3 non sono supportate per DSSE-KMS.

      Per impostazione predefinita, le S3 Bucket Keys sono abilitate nella console Amazon S3. Ti consigliamo di lasciare abilitato S3 Bucket Keys per ridurre i costi. Per disabilitare S3 Bucket Keys per il tuo bucket, in Bucket Key, scegli Disabilita.

  13. (Facoltativo) S3 Object Lock aiuta a proteggere nuovi oggetti dall'eliminazione o dalla sovrascrittura. Per ulteriori informazioni, consulta Blocco di oggetti con Object Lock. Se desideri abilitare S3 Object Lock, procedi come segue:

    1. Scegli Impostazioni avanzate.

      Importante

      L'abilitazione di Object Lock abilita automaticamente il controllo delle versioni per il bucket. Dopo aver abilitato e creato correttamente il bucket, devi anche configurare le impostazioni predefinite di conservazione e conservazione legale di Object Lock nella scheda Proprietà del bucket.

    2. Se desideri attivare Object Lock, scegli Abilita, leggi l'avviso che appare e confermalo.

    Nota

    Per creare un bucket abilitato a Object Lock, devi disporre delle seguenti autorizzazioni:s3:CreateBucket, e. s3:PutBucketVersioning s3:PutBucketObjectLockConfiguration

  14. Seleziona Crea bucket.

Per impostare la proprietà dell'oggetto quando create un nuovo bucket, utilizzate il create-bucket AWS CLI comando con il --object-ownership parametro.

In questo esempio viene applicata l'impostazione Proprietario del bucket applicato per un nuovo bucket utilizzando la AWS CLI:

aws s3api create-bucket --bucket  amzn-s3-demo-bucket --region us-east-1 --object-ownership BucketOwnerEnforced
Importante

Se non imposti la proprietà dell'oggetto quando crei un bucket utilizzando il AWS CLI, l'impostazione predefinita sarà ObjectWriter (ACLs abilitata).

In questo esempio viene definita l'impostazione Proprietario del bucket applicato per un nuovo bucket utilizzando AWS SDK per Java:

    // Build the ObjectOwnership for CreateBucket
    CreateBucketRequest createBucketRequest = CreateBucketRequest.builder()
            .bucket(bucketName)
            .objectOwnership(ObjectOwnership.BucketOwnerEnforced)
            .build()

     // Send the request to Amazon S3 
     s3client.createBucket(createBucketRequest);

Per utilizzare la AWS::S3::Bucket AWS CloudFormation risorsa per impostare la proprietà degli oggetti quando crei un nuovo bucket, consulta OwnershipControlsla AWS::S3::Bucket Guida per l'AWS CloudFormation utente.

Per applicare l'impostazione Proprietario del bucket applicato per S3 Proprietà dell'oggetto, utilizza l'operazione API CreateBucket con l'intestazione della richiesta x-amz-object-ownership impostata su BucketOwnerEnforced. Per ulteriori informazioni, consulta CreateBucket nella Guida di riferimento per l'API di Amazon Simple Storage Service.

Fasi successive: dopo aver eseguito le impostazioni Proprietario del bucket applicato o Proprietario del bucket preferito per Proprietà dell'oggetto, è possibile compiere i seguenti passaggi:

  • Bucket owner applicato: richiedi che tutti i nuovi bucket vengano creati con la ACLs disattivazione utilizzando una policy IAM o Organizations.

  • Proprietario del bucket preferito – Aggiungi una policy di bucket S3 per richiedere l'ACL predefinita bucket-owner-full-control per tutti gli oggetti caricati nel tuo bucket.