Come funziona Amazon S3 con IAM
Prima di utilizzare IAM per gestire l'accesso ad Amazon S3, è necessario conoscere le funzioni IAM disponibili per l'utilizzo di Amazon S3.
| Funzionalità IAM | Supporto Amazon S3 |
|---|---|
|
Sì |
|
|
Sì |
|
|
Sì |
|
|
Sì |
|
|
Sì |
|
|
Sì |
|
|
Parziale |
|
|
Sì |
|
|
Sì |
|
|
Sì |
|
|
Parziale |
Per avere una visione di alto livello di come Amazon S3 e altri servizi di AWS funzionano con la maggior parte delle funzioni IAM, consulta Servizi che funzionano con AWS IAM nella Guida all'utente IAM.
Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta Autorizzazioni necessarie per le operazioni API di Amazon S3.
Policy basate sull'identità per Amazon S3
Supporta le policy basate sull’identità: sì
Le policy basate sull’identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un’identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consultare Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente nella Guida per l’utente di IAM.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta Guida di riferimento agli elementi delle policy JSON IAM nella Guida per l’utente di IAM.
Esempi di policy basate sull'identità per Amazon S3
Per visualizzare esempi di policy basate sull'identità di Amazon S3, consulta Policy basate sull'identità per Amazon S3.
Policy basate sulle risorse in Amazon S3
Supporta le policy basate sulle risorse: sì
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le policy di attendibilità dei ruoli di IAM e le policy dei bucket di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio specificare un’entità principale. Le entità principali possono includere account, utenti, ruoli, utenti federati o Servizi AWS.
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per maggiori informazioni, consultare Accesso a risorse multi-account in IAM nella Guida per l’utente di IAM.
Il servizio Amazon S3 supporta le policy di bucket, le policy di punto di accesso e le concessioni di accesso:
-
Le policy di bucket sono policy basate sulle risorse e collegate a un bucket Amazon S3. Una policy di bucket definisce quali sono i principali che possono eseguire azioni sul bucket.
-
Le policy dei punti di accesso sono policy basate sulle risorse che vengono valutate insieme alla policy di bucket sottostante.
-
I permessi di accesso sono un modello semplificato per definire le autorizzazioni di accesso ai dati in Amazon S3 per prefisso, bucket o oggetto. Per informazioni su S3 Access Grants, consulta Gestione dell'accesso con S3 Access Grants.
Principali per le policy dei bucket
L'elemento Principal specifica l'utente, l'account, il servizio o un'altra entità a cui è consentito o negato l'accesso a una risorsa. Di seguito vengono illustrati alcuni esempi di specifica del Principal. Per ulteriori informazioni, consulta Principali nella Guida per l'utente di IAM.
Concessione di autorizzazioni a un Account AWS
Per concedere le autorizzazioni a un Account AWS, identifica tale account utilizzando il formato riportato di seguito.
"AWS":"account-ARN"
Di seguito vengono mostrati gli esempi.
"Principal":{"AWS":"arn:aws:iam::AccountIDWithoutHyphens:root"}
"Principal":{"AWS":["arn:aws:iam::AccountID1WithoutHyphens:root","arn:aws:iam::AccountID2WithoutHyphens:root"]}
Nota
Gli esempi precedenti forniscono le autorizzazioni all’utente root, che delega le autorizzazioni a livello di account. Tuttavia, le policy IAM sono ancora necessarie per i ruoli e gli utenti specifici dell’account.
Concessione delle autorizzazioni a un utente IAM
Per concedere l'autorizzazione a un utente IAM nel tuo account, devi fornire una coppia nome-valore "AWS":".user-ARN"
"Principal":{"AWS":"arn:aws:iam::account-number-without-hyphens:user/username"}
Per esempi dettagliati che forniscono istruzioni dettagliate, consulta Esempio 1: il proprietario del bucket concede agli utenti le autorizzazioni per il bucket e Esempio 3: il proprietario del bucket concede autorizzazioni per gli oggetti che non sono di sua proprietà.
Nota
Se un'identità IAM viene eliminata dopo aver aggiornato la policy del bucket, la policy del bucket mostrerà un identificatore univoco nell'elemento principale anziché un ARN. Questi ID univoci non vengono mai riutilizzati, quindi puoi rimuovere in sicurezza i principali con identificatori univoci da tutte le dichiarazioni di policy. Per ulteriori informazioni sugli identificatori unici, consulta Identificatori IAM nella Guida per l'utente di IAM.
Concessione di autorizzazioni anonime
avvertimento
Si deve prestare attenzione a concedere l'accesso anonimo al proprio bucket Amazon S3. Quando si concede l'accesso anonimo, si consente a qualsiasi persona al mondo di accedere al bucket. È consigliabile non concedere mai alcun tipo di accesso anonimo in scrittura al bucket S3.
Per assegnare l'autorizzazione a tutti, vale a dire l'accesso anonimo, è necessario impostare i caratteri jolly ("*") come valore Principal. Ad esempio, se si configura un bucket come un sito Web, si vuole che tutti gli oggetti presenti nel bucket siano pubblicamente accessibili.
"Principal":"*"
"Principal":{"AWS":"*"}
L'utilizzo di "Principal": "*" con un effetto Allow in una politica basata sulle risorse consente a chiunque, anche se non ha effettuato l'accesso a AWS, di accedere alle tue risorse.
L'utilizzo di "Principal" : { "AWS" : "*" } con un effetto Allow in una policy basata sulle risorse consente a qualsiasi utente root, utente IAM, sessione del ruolo assunto o utente federato in qualsiasi account nella stessa partizione di accedere alla tua risorsa.
Per gli utenti anonimi, questi due metodi sono equivalenti. Per ulteriori informazioni, consulta Tutti i principali nella Guida per l'utente di IAM.
Non è possibile utilizzare un carattere jolly per associare parte di un nome di un principale o di un ARN.
Importante
Nelle policy di controllo degli accessi AWS, i principali "*" e {"AWS": "*"} si comportano in modo identico.
Limitazione delle autorizzazioni per le risorse
Puoi anche utilizzare la policy delle risorse per limitare l'accesso a risorse che altrimenti sarebbero disponibili per i principali IAM. Usa un'istruzione Deny per impedire l'accesso.
L'esempio seguente blocca l'accesso se non viene utilizzato un protocollo di trasporto sicuro:
Utilizzare il "Principal": "*" in modo che questa restrizione si applichi a tutti è una best practice, anziché tentare di negare l'accesso solo a account o principali specifici utilizzando questo metodo.
Richiesta dell'accesso tramite URL CloudFront
È possibile richiedere che gli utenti accedano ai contenuti di Amazon S3 solo utilizzando gli URL di CloudFront anziché quelli di Amazon S3. A tal fine, creare un controllo di accesso all'origine (OAC) di CloudFront. Quindi, modifica le autorizzazioni sui dati S3. Nelle policy di bucket, è possibile impostare CloudFront come principale come segue:
"Principal":{"Service":"cloudfront.amazonaws.com"}
Utilizzo di un elemento Condition della policy per consentire a CloudFront di accedere al bucket solo quando la richiesta è per conto della distribuzione CloudFront che contiene l'origine S3.
"Condition": { "StringEquals": { "AWS:SourceArn": "arn:aws:cloudfront::111122223333:distribution/CloudFront-distribution-ID" } }
Per ulteriori informazioni su come richiedere l'accesso a S3 attraverso gli URL di CloudFront, consulta Limitazione dell'accesso a un'origine Amazon Simple Storage Service nella Guida per gli sviluppatori di Amazon CloudFront. Per ulteriori informazioni sui vantaggi di Amazon CloudFront in termini di sicurezza e privacy, consulta la sezione Configurazione dell'accesso sicuro e limitazione dell'accesso ai contenuti.
Esempi di policy basate sulle risorse per Amazon S3
Per visualizzare esempi di policy per i bucket Amazon S3, consulta Policy dei bucket per Amazon S3.
Per visualizzare esempi di policy per i punti di accesso, consulta Configurazione delle policy IAM per l'utilizzo degli access point.
Azioni di policy per Amazon S3
Supporta le operazioni di policy: si
Gli amministratori possono utilizzare le policy JSON di AWS per specificare gli accessi ai diversi elementi. In altre parole, quale entità principale può eseguire operazioni su quali risorse e in quali condizioni.
L’elemento Action di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l’accesso a un criterio. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Di seguito sono illustrati diversi tipi di relazione di mappatura tra le operazioni API S3 e le azioni di policy richieste.
Mappatura uno-a-uno con lo stesso nome. Ad esempio, per utilizzare l'operazione API
PutBucketPolicy, è necessaria l'azione di policys3:PutBucketPolicy.Mappatura uno-a-uno con nomi diversi. Ad esempio, per utilizzare l'operazione API
ListObjectsV2, è necessaria l'azione di policys3:ListBucket.Mappatura uno-a-molti. Ad esempio, per utilizzare l'operazione API
HeadObject, è necessaria l'operaziones3:GetObject. Inoltre, quando si utilizza S3 Object Lock e si desidera ottenere lo stato di conservazione legale di un oggetto o le impostazioni di conservazione, prima di poter utilizzare l'operazione APIHeadObjectsono necessarie anche le azioni di policys3:GetObjectLegalHoldos3:GetObjectRetentioncorrispondenti.Mappatura molti-a-uno. Ad esempio, per utilizzare le operazioni API
ListObjectsV2oHeadBucket, è necessaria l'azione di policys3:ListBucket.
Per visualizzare un elenco di azioni Amazon S3 da utilizzare nelle policy, consulta Azioni definite da Amazon S3 in Riferimento alle autorizzazioni di servizio. Per un elenco completo delle operazioni API di Amazon S3, consulta Azioni API di Amazon S3 in Riferimento API di Amazon Simple Storage Service.
Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta Autorizzazioni necessarie per le operazioni API di Amazon S3.
Le azioni di policy in Amazon S3 utilizzano il seguente prefisso prima dell'azione:
s3
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
"Action": [ "s3:action1", "s3:action2" ]
Operazioni relative ai bucket
Le operazioni sui bucket sono operazioni API S3 che operano sul tipo di risorsa bucket. For example: CreateBucket, ListObjectsV2 e PutBucketPolicy. Le azioni di policy S3 per le operazioni sui bucket richiedono che l'elemento Resource nelle policy sui bucket o nelle policy basate sull'identità IAM sia l'identificatore nome della risorsa Amazon (ARN) del tipo di bucket S3 nel seguente formato di esempio.
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
La seguente policy di bucket concede all'utente Akua12345678901s3:ListBucket per eseguire l'operazione ListObjectsV2 e di elencare gli oggetti in un bucket S3.
Operazioni su bucket nelle policy per i punti di accesso di bucket per uso generico
Le autorizzazioni fornite in un punto di accesso per una policy di bucket per uso generico sono efficaci solo se il bucket sottostante consente le stesse autorizzazioni. Quando si utilizzano i punti di accesso S3, è necessario delegare il controllo dell'accesso dal bucket al punto di accesso o aggiungere le stesse autorizzazioni nelle policy dei punti di accesso alle policy del bucket sottostante. Per ulteriori informazioni, consulta Configurazione delle policy IAM per l'utilizzo degli access point. Nelle policy dei punti di accesso, le azioni delle policy S3 per le operazioni sui bucket richiedono l'utilizzo dell'ARN del punto di accesso per l'elemento Resource nel seguente formato.
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point"
La seguente policy del punto di accesso concede all'utente Akua12345678901s3:ListBucket di eseguire l'operazione API ListObjectsV2 attraverso il punto di accesso S3 denominato example-access-pointAkuaexample-access-point
Nota
Non tutte le operazioni di bucket sono supportate dai punti di accesso di bucket per uso generico. Per ulteriori informazioni, consulta Compatibilità dei punti di accesso con le operazioni S3.
Operazioni su bucket nelle policy per i punti di accesso di bucket di directory
Le autorizzazioni fornite in un punto di accesso per una policy di bucket di directory sono efficaci solo se il bucket sottostante consente le stesse autorizzazioni. Quando si utilizzano i punti di accesso S3, è necessario delegare il controllo dell'accesso dal bucket al punto di accesso o aggiungere le stesse autorizzazioni nelle policy dei punti di accesso alle policy del bucket sottostante. Per ulteriori informazioni, consulta Configurazione delle policy IAM per l’utilizzo dei punti di accesso per i bucket di directory. Nelle policy dei punti di accesso, le azioni delle policy S3 per le operazioni sui bucket richiedono l'utilizzo dell'ARN del punto di accesso per l'elemento Resource nel seguente formato.
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3"
La seguente policy di punto di accesso fornisce all’utente Akua12345678901s3:ListBucket per eseguire l’operazione API ListObjectsV2 attraverso il punto di accesso denominato example-access-point--usw2-az1--xa-s3Akuaexample-access-point--usw2-az1--xa-s3
Nota
Non tutte le operazioni di bucket sono supportate dai punti di accesso di bucket di directory. Per ulteriori informazioni, consulta Operazioni sugli oggetti per i punti di accesso di bucket di directory.
Operazioni con gli oggetti
Le operazioni sugli oggetti sono operazioni API S3 che agiscono sul tipo di risorsa oggetto. For example: GetObject, PutObject e DeleteObject. Le azioni delle policy S3 per le operazioni sugli oggetti richiedono che l'elemento Resource nelle policy sia l'ARN dell'oggetto S3 nei seguenti formati di esempio.
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/*"
Nota
L'ARN dell'oggetto deve contenere una barra in avanti dopo il nome del bucket, come visto negli esempi precedenti.
La seguente policy del bucket concede all'utente Akua12345678901s3:PutObject. Questa autorizzazione consente a Akuaamzn-s3-demo-bucket
Operazioni sugli oggetti nelle policy dei punti di accesso
Quando si utilizzano i punti di accesso S3 per controllare l'accesso alle operazioni sugli oggetti, è possibile utilizzare le policy dei punti di accesso. Quando si utilizzano le policy dei punti di accesso, le azioni delle policy S3 per le operazioni sugli oggetti richiedono l'utilizzo dell'ARN del punto di accesso per l'elemento Resource nel seguente formato: arn:aws:s3:. Per le operazioni sugli oggetti che utilizzano punti di accesso, è necessario includere il valore region:account-id:accesspoint/access-point-name/object/resource/object/ dopo l'intero ARN del punto di accesso nell'elemento Resource. Ecco alcuni esempi.
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point/object/*"
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point/object/prefix/*"
La seguente policy del punto di accesso concede all'utente Akua12345678901s3:GetObject. Questa autorizzazione consente a Akuaexample-access-point
Nota
Non tutte le operazioni sugli oggetti sono supportate dai punti di accesso. Per ulteriori informazioni, consulta Compatibilità dei punti di accesso con le operazioni S3.
Operazioni su oggetti nelle policy per i punti di accesso di bucket di directory
Quando si utilizzano i punti di accesso di bucket di directory per controllare l’accesso alle operazioni degli oggetti, è possibile utilizzare le policy di punti di accesso. Quando si utilizzano le policy dei punti di accesso, le azioni delle policy S3 per le operazioni sugli oggetti richiedono l'utilizzo dell'ARN del punto di accesso per l'elemento Resource nel seguente formato: arn:aws:s3:. Per le operazioni sugli oggetti che utilizzano punti di accesso, è necessario includere il valore region:account-id:accesspoint/access-point-name/object/resource/object/ dopo l'intero ARN del punto di accesso nell'elemento Resource. Ecco alcuni esempi.
"Resource": "arn:aws:s3express:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3/object/*"
"Resource": "arn:aws:s3express:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3/object/prefix/*"
La seguente policy del punto di accesso concede all'utente Akua12345678901s3:GetObject. Questa autorizzazione consente a Akuaexample-access-point--usw2-az1--xa-s3
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAkuato get objects through access point", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::12345678901:user/Akua" }, "Action": "s3express:CreateSession","s3:GetObject" "Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3/object/*" } ] }
Nota
Non tutte le operazioni di oggetti sono supportate dai punti di accesso di bucket di directory. Per ulteriori informazioni, consulta Operazioni sugli oggetti per i punti di accesso di bucket di directory.
Operazioni sui punti di accesso di bucket per uso generico
Le operazioni sui punti di accesso sono operazioni API S3 che operano sul tipo di risorsa accesspoint. For example: CreateAccessPoint, DeleteAccessPoint e GetAccessPointPolicy. Le azioni delle policy S3 per le operazioni sui punti di accesso possono essere utilizzate solo nelle policy IAM basate sull'identità, non nelle policy di bucket o punti di accesso. Le operazioni sui punti di accesso richiedono che l'elemento Resource sia l'ARN del punto di accesso nel seguente formato di esempio.
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point"
La seguente policy IAM basata sull'identità concede all'indirizzo s3:GetAccessPointPolicy il permesso di eseguire l'operazione GetAccessPointPolicy sul punto di accesso S3 denominato example-access-point
Quando si usano i punti di accesso, per controllare l'accesso alle operazioni sui bucket, consulta Operazioni su bucket nelle policy per i punti di accesso di bucket per uso generico; per controllare l'accesso alle operazioni sugli oggetti, consulta Operazioni sugli oggetti nelle policy dei punti di accesso. Per ulteriori informazioni su come configurare le policy dei punti di accesso, consulta Configurazione delle policy IAM per l'utilizzo degli access point.
Operazioni sui punti di accesso di bucket di directory
Le operazioni sui punti di accesso di bucket di directory sono operazioni API S3 che operano sul tipo di risorsa accesspoint. For example: CreateAccessPoint, DeleteAccessPoint e GetAccessPointPolicy. Le azioni delle policy S3 per le operazioni sui punti di accesso possono essere utilizzate solo nelle policy IAM basate sull'identità, non nelle policy di bucket o punti di accesso. Le operazioni sui punti di accesso di bucket di directory richiedono che l’elemento Resource sia l’ARN del punto di accesso nel seguente formato di esempio.
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3"
La seguente policy IAM basata su identità fornisce l’autorizzazione s3express:GetAccessPointPolicy per eseguire l’operazione API GetAccessPointPolicy sul punto di accesso denominato example-access-point--usw2-az1--xa-s3
La seguente policy IAM basata su identità fornisce l’autorizzazione s3express:CreateAccessPoint per creare un punto di accesso di bucket di directory.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Grant CreateAccessPoint.", "Principal": "*", "Action": "s3express:CreateSession", "s3express:CreateAccessPoint""Effect": "Allow", "Resource": "*" } ] }
La seguente policy IAM basata su identità fornisce l’autorizzazione s3express:PutAccessPointScope per creare un ambito del punto di accesso di bucket di directory.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Grant PutAccessPointScope", "Principal": "*", "Action": "s3express:CreateSession", "s3express:CreateAccessPoint", "S3Express:PutAccessPointScope""Effect": "Allow", "Resource": "*", } ] }
Quando si utilizzano i punti di accesso di bucket di directory per controllare l’accesso alle operazioni sui bucket, consulta Operazioni su bucket nelle policy per i punti di accesso di bucket di directory e per controllare l’accesso alle operazioni sugli oggetti, consulta Operazioni su oggetti nelle policy per i punti di accesso di bucket di directory. Per ulteriori informazioni su come configurare le policy di punti di accesso di bucket di directory, consulta Configurazione delle policy IAM per l’utilizzo dei punti di accesso per i bucket di directory.
Operazioni sui punti di accesso Lambda per oggetti
Con Lambda per oggetti Amazon S3, è possibile aggiungere il proprio codice alle richieste di Amazon S3 GET, LIST e HEAD per modificare ed elaborare i dati mentre vengono restituiti a un'applicazione. È possibile effettuare richieste attraverso un punto di accesso Lambda per oggetti, che funziona come le richieste attraverso altri punti di accesso. Per ulteriori informazioni, consulta Trasformazione di oggetti con S3 Object Lambda.
Per ulteriori informazioni su come configurare le policy per le operazioni sui punti di accesso Lambda per oggetti, consulta Configurazione delle policy IAM per i punti di accesso Lambda per oggetti.
Operazioni con punti di accesso multiregionali
Un punto di accesso multiregionale fornisce un endpoint globale che le applicazioni possono utilizzare per soddisfare le richieste dai bucket S3 situati in più Regione AWS. È possibile utilizzare un punto di accesso multiregionale per creare applicazioni multiregionali con la stessa architettura utilizzata in una singola Regione ed eseguirle in qualsiasi parte del mondo. Per ulteriori informazioni, consulta Gestione del traffico multi-regione con punti di accesso multi-regione.
Per ulteriori informazioni su come configurare le policy per le operazioni dei punti di accesso multiregionali, consulta Esempi di policy dei punti di accesso multi-regione.
Operazioni di processo in batch
(Operazioni in batch) Le operazioni di processo sono operazioni API S3 che operano sul tipo di risorsa di processo, Ad esempio DescribeJob e CreateJob. Le azioni delle policy S3 per le operazioni di processo possono essere utilizzate solo nelle policy basate sull'identità IAM, non nelle policy dei bucket. Inoltre, le operazioni di processo richiedono che l'elemento Resource nelle policy basate sull'identità IAM sia l'ARN di job nel seguente formato di esempio.
"Resource": "arn:aws:s3:*:123456789012:job/*"
La seguente policy IAM basata sull'identità concede all'utente s3:DescribeJob l'autorizzazione a eseguire l'operazione API DescribeJob sul processo di Operazioni in batch S3 denominato example-job
Operazioni di configurazione dell'Storage Lens S3
Per ulteriori informazioni su come configurare le operazioni di configurazione di S3 Storage Lens, consulta Impostazione delle autorizzazioni di Amazon S3 Storage Lens.
Operazioni sugli account
Le operazioni sugli account sono operazioni API S3 che operano a livello di account, ad esempio GetPublicAccessBlock (per account). L'account non è un tipo di risorsa definito da Amazon S3. Le azioni delle policy S3 per le operazioni sugli account possono essere utilizzate solo nelle policy basate sull'identità IAM, non nelle policy dei bucket. Inoltre, le operazioni sugli account richiedono che l'elemento Resource nelle policy IAM basate sull'identità sia "*".
La seguente policy IAM basata sull'identità concede all'indirizzo s3:GetAccountPublicAccessBlock l'autorizzazione a eseguire l'operazione API a livello di account e a recuperare le impostazioni del blocco di accesso pubblico a livello di account GetPublicAccessBlock e recuperare le impostazioni del blocco di accesso pubblico a livello di account.
Esempi di policy per Amazon S3
-
Per visualizzare esempi di policy basate sull'identità di Amazon S3, consulta Policy basate sull'identità per Amazon S3.
-
Per visualizzare esempi di policy basate sulle risorse di Amazon S3, consulta Policy dei bucket per Amazon S3 e Configurazione delle policy IAM per l'utilizzo degli access point.
Risorse di policy per Amazon S3
Supporta le risorse relative alle policy: sì
Gli amministratori possono utilizzare le policy JSON di AWS per specificare chi ha accesso a cosa. In altre parole, quale entità principale può eseguire operazioni su quali risorse e in quali condizioni.
L’elemento JSON Resource della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specificare una risorsa utilizzando il suo nome della risorsa Amazon (ARN). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (*) per indicare che l’istruzione si applica a tutte le risorse.
"Resource": "*"
Alcune azioni API di Amazon S3 supportano più risorse. Ad esempio, s3:GetObject accede a example-resource-1example-resource-2
"Resource": [ "example-resource-1", "example-resource-2"
Le risorse in Amazon S3 sono bucket, oggetti, punti di accesso o processi. In una policy, utilizzare il nome della risorsa Amazon (ARN) del bucket, dell'oggetto, del punto di accesso o del processo per identificare la risorsa.
Per un elenco completo dei tipi di risorse Amazon S3 e dei relativi ARN, consulta Risorse definite da Amazon S3 nel Riferimento alle autorizzazioni di servizio. Per sapere con quali azioni è possibile specificare l'ARN di ogni risorsa, consulta Azioni definite da Amazon S3.
Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta Autorizzazioni necessarie per le operazioni API di Amazon S3.
Caratteri jolly negli ARN delle risorse
È possibile utilizzare caratteri jolly come parte dell'ARN della risorsa. È possibile utilizzare i caratteri jolly (* e ?) all'interno di qualsiasi segmento ARN (le parti separate dai due punti). Un asterisco (*) rappresenta qualsiasi combinazione di zero o più caratteri, mentre un punto interrogativo (?) rappresenta qualsiasi singolo carattere. È possibile utilizzare più caratteri * o ? in ogni segmento. Tuttavia, un carattere jolly non può essere esteso a più segmenti.
-
Il seguente ARN utilizza il carattere jolly
*nella parterelative-IDdell'ARN per identificare tutti gli oggetti nel bucketamzn-s3-demo-bucketarn:aws:s3:::amzn-s3-demo-bucket/* -
Il seguente ARN utilizza
*per indicare tutti i bucket e gli oggetti S3.arn:aws:s3:::* -
Il seguente ARN utilizza entrambi i caratteri jolly,
*e?, nella parterelative-ID. Questo ARN identifica tutti gli oggetti in bucket comeamzn-s3-demo-example1bucketamzn-s3-demo-example2bucketamzn-s3-demo-example3bucketarn:aws:s3:::amzn-s3-demo-example?bucket/*
Variabili di policy per gli ARN delle risorse
È possibile utilizzare le variabili delle policy negli ARN di Amazon S3. Al momento della valutazione della policy, queste variabili predefinite vengono sostituite dai valori corrispondenti. Supponiamo di organizzare il bucket come una raccolta di cartelle, con una cartella per ogni utente. Il nome della cartella è lo stesso del nome utente. Per assegnare agli utenti le autorizzazioni per le rispettive cartelle, è possibile specificare la variabile di policy nell'ARN della risorsa:
arn:aws:s3:::bucket_name/developers/${aws:username}/
In fase di esecuzione, quando la policy viene valutata, la variabile ${aws:username} nell'ARN della risorsa viene sostituita con il nome utente della persona che sta effettuando la richiesta.
Esempi di policy per Amazon S3
-
Per visualizzare esempi di policy basate sull'identità di Amazon S3, consulta Policy basate sull'identità per Amazon S3.
-
Per visualizzare esempi di policy basate sulle risorse di Amazon S3, consulta Policy dei bucket per Amazon S3 e Configurazione delle policy IAM per l'utilizzo degli access point.
Chiavi di condizione per Amazon S3
Supporta le chiavi di condizione delle policy specifiche del servizio: sì
Gli amministratori possono utilizzare le policy JSON di AWS per specificare gli accessi ai diversi elementi. In altre parole, quale entità principale può eseguire operazioni su quali risorse e in quali condizioni.
L’elemento Condition specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione globali di AWS, consultare Chiavi di contesto delle condizioni globali di AWS nella Guida per l’utente di IAM.
Ciascuna chiave di condizione di Amazon S3 corrisponde all'intestazione della richiesta con lo stesso nome consentito dall'API su cui può essere impostata la condizione. Le chiavi di condizione specifiche di Amazon S3 determinano il comportamento delle intestazioni di richiesta con lo stesso nome. Ad esempio, la chiave di condizione s3:VersionId usata per concedere l'autorizzazione condizionale per l'autorizzazione s3:GetObjectVersion definisce il comportamento del parametro di query versionId impostato in una richiesta GET Object.
Per un elenco delle chiavi di condizione di Amazon S3, consulta Chiavi di condizione per Amazon S3 in Riferimento alle autorizzazioni di servizio. Per sapere con quali azioni e risorse è possibile utilizzare una chiave di condizione, consulta Azioni definite da Amazon S3.
Esempio: limitazione del caricamento di oggetti a oggetti con una classe di storage specifica
Si supponga che il conto A, rappresentato dall'ID dell'account 123456789012DaveDaveSTANDARD_IA. Per limitare il caricamento di oggetti con una classe di storage specifica, l'amministratore dell'Account A può utilizzare la chiave di condizione s3:x-amz-storage-class, come illustrato nella policy di bucket di esempio seguente.
Nell'esempio, il blocco Condition specifica la condizione StringEquals che viene applicata alla coppia chiave-valore "s3:x-amz-acl":["public-read"]. Esiste un insieme predefinito di chiavi che possono essere utilizzate nell'espressione di una condizione. L'esempio utilizza la chiave di condizione s3:x-amz-acl. Questa condizione richiede che l'utente includa l'intestazione x-amz-acl con il valore public-read in ogni richiesta PutObject.
Esempi di policy per Amazon S3
-
Per visualizzare esempi di policy basate sull'identità di Amazon S3, consulta Policy basate sull'identità per Amazon S3.
-
Per visualizzare esempi di policy basate sulle risorse di Amazon S3, consulta Policy dei bucket per Amazon S3 e Configurazione delle policy IAM per l'utilizzo degli access point.
ACL in Amazon S3
Supporta le ACL: Sì
In Amazon S3, le liste di controllo degli accessi (ACL) controllano quali Account AWS hanno le autorizzazioni per accedere a una risorsa. Le ACL sono simili alle policy basate sulle risorse, anche se non utilizzano il formato del documento di policy JSON.
Importante
La maggior parte degli attuali casi d'uso in Amazon S3 non richiede più l'uso delle ACL.
Per informazioni sull'uso delle ACL per controllare l'accesso in Amazon S3, consulta Gestione degli accessi con le ACL.
ABAC con Amazon S3
Supporta ABAC (tag nelle policy): parzialmente
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, chiamati tag. Puoi allegare tag alle entità IAM e alle risorse AWS, quindi progettare policy ABAC per consentire operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’elemento condizione di una policy utilizzando le chiavi di condizione aws:ResourceTag/, key-nameaws:RequestTag/ o key-nameaws:TagKeys.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è Sì. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà Parziale.
Per maggiori informazioni su ABAC, consultare Definizione delle autorizzazioni con autorizzazione ABAC nella Guida per l’utente di IAM. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consultare Utilizzo del controllo degli accessi basato su attributi (ABAC) nella Guida per l’utente di IAM.
Per informazioni sulle risorse che supportano ABAC in Amazon S3, consulta Utilizzo dei tag per il controllo degli accessi basato su attributi (ABAC).
Per visualizzare esempi di policy basate sull'identità per limitare l'accesso ai processi di Operazioni in batch S3 in base ai tag, consulta Controllo delle autorizzazioni per le operazioni in batch utilizzando i tag di processo.
ABAC e tag degli oggetti
Nelle policy ABAC, gli oggetti utilizzano i tag s3: invece dei tag aws:. Per controllare l'accesso agli oggetti in base ai tag degli oggetti, si forniscono informazioni sui tag nell'elemento Condition di una policy utilizzando i seguenti tag:
-
s3:ExistingObjectTag/tag-key -
s3:RequestObjectTagKeys -
s3:RequestObjectTag/tag-key
Per informazioni sull'uso dei tag degli oggetti per controllare l'accesso, comprese le policy di autorizzazione di esempio, consulta Tagging e policy di controllo degli accessi.
Utilizzo di credenziali temporanee con Amazon S3
Supporta le credenziali temporanee: sì
Le credenziali temporanee forniscono l’accesso a breve termine alle risorse AWS e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare credenziali temporanee in modo dinamico anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta Credenziali di sicurezza temporanee in IAM e Servizi AWS compatibili con IAM nella Guida per l’utente IAM.
Sessioni di accesso in avanti per Amazon S3
Supporta l’inoltro delle sessioni di accesso (FAS): sì
La tecnologia FAS utilizza le autorizzazioni dell’entità principale che effettua la chiamata a un Servizio AWS, combinate con la richiesta di un Servizio AWS, per effettuare richieste a servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consultare Forward access sessions.
FAS viene utilizzato da Amazon S3 per effettuare chiamate a AWS KMS per decifrare un oggetto quando è stato utilizzato SSE-KMS per crittografarlo. Per ulteriori informazioni, consulta Utilizzo della crittografia lato server con chiavi AWS KMS (SSE-KMS).
Anche S3 Access Grants utilizza il FAS. Dopo aver creato una concessione di accesso ai dati S3 per una particolare identità, il beneficiario della concessione richiede una credenziale temporanea a S3 Access Grants. S3 Access Grants ottiene una credenziale temporanea per il richiedente da AWS STS e la distribuisce al richiedente. Per ulteriori informazioni, consulta Richiedi l'accesso ai dati di Amazon S3 tramite S3 Access Grants.
Ruoli di servizio per Amazon S3
Supporta i ruoli di servizio: sì
Un ruolo di servizio è un ruolo IAM che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per maggiori informazioni, consultare la sezione Creazione di un ruolo per delegare le autorizzazioni a un Servizio AWS nella Guida per l’utente di IAM.
avvertimento
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità di Amazon S3. Modifica i ruoli di servizio solo quando Amazon S3 fornisce indicazioni in tal senso.
Ruoli collegati al servizio per Amazon S3
Supporta i ruoli legati ai servizi: Parziale
Un ruolo collegato al servizio è un tipo di ruolo di servizio che è collegato a un Servizio AWS. Il servizio può assumere il ruolo per eseguire un’azione per tuo conto. I ruoli collegati al servizio sono visualizzati nell’account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Amazon S3 supporta i ruoli collegati ai servizi per Amazon S3 Storage Lens. Per informazioni dettagliate sulla creazione o sulla gestione dei ruoli legati al servizio Amazon S3, consulta Utilizzo dei ruoli collegati ai servizi per Amazon S3 Storage Lens.
Servizio Amazon S3 come principale
| Nome del servizio nella policy | Funzione S3 | Ulteriori informazioni |
|---|---|---|
|
|
Replica di Amazon S3 |
Panoramica della configurazione della replica in tempo reale |
|
|
Notifiche di eventi S3 |
|
|
|
Inventario S3 |
|
|
|
S3 Access Grants |
|
|
|
Operazioni in batch S3 |
|
|
|
S3 Server Access Logging |
Abilitazione della registrazione degli accessi al server Amazon S3 |
|
|
S3 Storage Lens |
Visualizzazione dei parametri di Amazon S3 Storage Lens utilizzando una esportazione di dati |
