Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Amazon S3: accesso al bucket S3, ma bucket di produzione rifiutato senza MFA recente Questo esempio mostra come creare una policy basata sull'identità che consenta a un amministratore Amazon S3 di accedere a qualsiasi bucket, inclusi l'aggiornamento, l'aggiunta e l'eliminazione di oggetti. Tuttavia, rifiuta esplicitamente l'accesso al bucket `amzn-s3-demo-bucket-production` se l'utente non ha effettuato l'accesso utilizzando l'[autenticazione multi-fattore (MFA)](id_credentials_mfa.md) negli ultimi 30 minuti. Questo criterio concede le autorizzazioni necessarie per eseguire questa azione nella console o a livello di codice utilizzando l'API o. AWS CLI AWS Per utilizzare questa politica, sostituisci la politica dell'{{italicized placeholder text}}esempio con le tue informazioni. Quindi, segui le indicazioni fornite in [Creazione di una policy](access_policies_create.md) o [Modifica di una policy](access_policies_manage-edit.md). Questa policy non consente mai l'accesso a livello di programmazione al bucket `amzn-s3-demo-bucket` utilizzando le chiavi di accesso degli utenti a lungo termine. Questa operazione viene eseguita utilizzando la chiave di condizione `aws:MultiFactorAuthAge` con l'operatore di condizione `NumericGreaterThanIfExists`. Questa condizione di policy restituisce `true` se MFA non è presente o se l'età di MFA è superiore a 30 minuti. In tali situazioni, l'accesso è negato. Per accedere al `amzn-s3-demo-bucket-production` bucket a livello di codice, l'amministratore S3 deve utilizzare credenziali temporanee generate negli ultimi 30 minuti utilizzando l'operazione API. [GetSessionToken](id_credentials_temp_request.md#api_getsessiontoken) ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "ListAllS3Buckets", "Effect": "Allow", "Action": ["s3:ListAllMyBuckets"], "Resource": "arn:aws:s3:::*" }, { "Sid": "AllowBucketLevelActions", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*" }, { "Sid": "AllowBucketObjectActions", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:GetObject", "s3:GetObjectAcl", "s3:DeleteObject" ], "Resource": "arn:aws:s3:::*/*" }, { "Sid": "RequireMFAForProductionBucket", "Effect": "Deny", "Action": "s3:*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket-production/*", "arn:aws:s3:::amzn-s3-demo-bucket-production" ], "Condition": { "NumericGreaterThanIfExists": {"aws:MultiFactorAuthAge": "1800"} } } ] } ``` ------