Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Archiviazione S3 \| Crea Crea un bucket Amazon S3 per lo storage nel cloud. **Classificazione completa:** Distribuzione \| Componenti dello stack avanzati \| Archiviazione S3 \| Create ## Dettagli del tipo di modifica **** | | | | --- |--- | | Cambia tipo ID | ct-1a68ck03fn98r | | Versione corrente | 5.0 | | Durata di esecuzione prevista | 60 minuti | | Approvazione AWS | Richiesto | | Approvazione del cliente | Campo non obbligatorio | | Modalità di esecuzione | Automatizzata | ## Informazioni aggiuntive ### Crea storage S3 #### Creazione di un bucket S3 con la console Schermata di questo tipo di modifica nella console AMS: ![](http://docs.aws.amazon.com/it_it/managedservices/latest/ctref/images/guiS3CreateCT.png) Come funziona: 1. Vai alla pagina **Crea RFC**: nel riquadro di navigazione a sinistra della console AMS, fai clic **RFCs**per aprire la pagina di RFCs elenco, quindi fai clic su **Crea** RFC. 1. Scegli un tipo di modifica (CT) popolare nella visualizzazione predefinita **Sfoglia i tipi di modifica** o seleziona un CT nella visualizzazione **Scegli per categoria**. + **Naviga per tipo di modifica**: puoi fare clic su un CT popolare nell'area di **creazione rapida** per aprire immediatamente la pagina **Run RFC**. Nota che non puoi scegliere una versione CT precedente con creazione rapida. Per ordinare CTs, utilizzate l'area **Tutti i tipi di modifica** nella vista a **scheda** o **tabella**. In entrambe le visualizzazioni, selezionate un CT, quindi fate clic su **Crea RFC** per aprire la pagina **Esegui RFC**. Se applicabile, accanto al **pulsante Crea **RFC viene visualizzata l'opzione Crea** con una versione precedente**. + **Scegli per categoria**: seleziona una categoria, sottocategoria, articolo e operazione e la casella dei dettagli CT si apre con l'opzione **Crea con una versione precedente, se applicabile**. Fai clic su **Crea RFC** per aprire la pagina **Esegui RFC**. 1. Nella pagina **Run RFC**, apri l'area del nome CT per visualizzare la casella dei dettagli CT. È richiesto un **oggetto** (questo campo viene compilato automaticamente se si sceglie il CT nella vista **Sfoglia i tipi di modifica**). Apri l'area **di configurazione aggiuntiva** per aggiungere informazioni sull'RFC. Nell'area di **configurazione dell'esecuzione**, utilizza gli elenchi a discesa disponibili o inserisci i valori per i parametri richiesti. Per configurare i parametri di esecuzione opzionali, aprite l'area di **configurazione aggiuntiva**. 1. Al termine, fate clic su **Esegui**. Se non sono presenti errori, viene visualizzata la pagina **RFC creata correttamente** con i dettagli RFC inviati e l'output iniziale di **Run**. 1. Apri l'area dei **parametri di esecuzione** per visualizzare le configurazioni inviate. Aggiorna la pagina per aggiornare lo stato di esecuzione RFC. Facoltativamente, annulla la RFC o creane una copia con le opzioni nella parte superiore della pagina. #### Creazione di un bucket S3 con la CLI Come funziona: 1. Usa Inline Create (immetti un `create-rfc` comando con tutti i parametri RFC e di esecuzione inclusi) o Template Create (crei due file JSON, uno per i parametri RFC e uno per i parametri di esecuzione) ed esegui il `create-rfc` comando con i due file come input. Entrambi i metodi sono descritti qui. 1. Invia il `aws amscm submit-rfc --rfc-id {{ID}}` comando RFC: con l'ID RFC restituito. Monitora il comando RFC:. `aws amscm get-rfc --rfc-id {{ID}}` Per verificare la versione del tipo di modifica, usa questo comando: ``` aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value={{CT_ID}} ``` *CREAZIONE IN LINEA*: Esegui il comando create RFC con i parametri di esecuzione forniti in linea (evita le virgolette quando fornisci i parametri di esecuzione in linea), quindi invia l'ID RFC restituito. Ad esempio, puoi sostituire il contenuto con qualcosa del genere: **Esempio con solo parametri obbligatori, versione 5.0:** ``` aws amscm create-rfc --title "my-s3-bucket" --change-type-id "ct-1a68ck03fn98r" --change-type-version "5.0" --execution-parameters "{\"DocumentName\":\"{{AWSManagedServices-CreateBucket}}\",\"Region\":\"{{us-east-1}}\",\"Parameters\":{\"BucketName\":\"{{amzn-s3-demo-bucket}}\"}}" ``` **Esempio con tutti i parametri, versione 5.0:** ``` aws amscm create-rfc --title "My S3 Bucket" --change-type-id "ct-1a68ck03fn98r" --change-type-version "5.0" --execution-parameters "{\"DocumentName\":\"AWSManagedServices-CreateBucket\",\"Region\":\"{{us-east-1}}\",\"Parameters\":{\"BucketName\":\"{{amzn-s3-demo-bucket}}\",\"ServerSideEncryption\":\"KmsManagedKeys\",\"KMSKeyId\":\"{{arn:aws:kms:ap-southeast-2:123456789012:key/9d5948f1-2082-4c07-a183-eb829b8d81c4}}\",\"Versioning\":\"{{Enabled}}\",\"IAMPrincipalsRequiringReadObjectAccess\":[\"{{arn:aws:iam::123456789012:user/myuser}}\",\"{{arn:aws:iam::123456789012:role/myrole}}\"],\"IAMPrincipalsRequiringWriteObjectAccess\":[\"{{arn:aws:iam::123456789012:user/myuser}}\",\"{{arn:aws:iam::123456789012:role/myrole}}\"],\"ServicesRequiringReadObjectAccess\":[\"{{rds.amazonaws.com}}\",\"{{ec2.amazonaws.com}}\",\"{{logs.ap-southeast-2.amazonaws.com}}\"],\"{{ServicesRequiringWriteObjectAccess}}\":[\"{{rds.amazonaws.com}}\",\"{{ec2.amazonaws.com}}\",\"{{logs.ap-southeast-2.amazonaws.com}}\"],\"EnforceSecureTransport\"{{:true,}}\"AccessAllowedIpRanges\":[\"{{1.0.0.0/24\}}",\"{{2.0.0.0/24\}}"]}}" ``` *CREAZIONE DEL MODELLO*: 1. Invia lo schema JSON dei parametri di esecuzione per questo tipo di modifica in un file; questo esempio lo chiama CreateBucketParams .json. ``` aws amscm get-change-type-version --change-type-id "ct-1a68ck03fn98r" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateBucketParams.json ``` 1. Modificate e salvate il file. CreateBucketParams Tieni presente che non è necessario utilizzare l'ID dell'account in`BucketName`, ma ciò può semplificare la ricerca del bucket (ricorda che i nomi dei bucket devono essere univoci nell'account in tutte le aree geografiche e non possono avere lettere maiuscole). Se lo usi per creare un tier-and-tie WordPress sito, potresti voler indicare tale scopo quando imposti il. `BucketName` **Esempio con accesso in lettura:** ``` { "DocumentName": "AWSManagedServices-CreateBucket", "Region": "{{us-east-1}}", "Parameters": { "BucketName": "{{amzn-s3-demo-bucket}}", "IAMPrincipalsWithReadObjectAccess": [ "{{arn:aws:iam::123456789123:role/roleA}}", "{{arn:aws:iam::987654321987:role/roleB}}" ] } } ``` **Esempio con accesso in scrittura:** ``` { "DocumentName": "AWSManagedServices-CreateBucket", "Region": "{{us-east-1}}", "Parameters": { "BucketName": "{{amzn-s3-demo-bucket", "IAMPrincipalsRequiringWriteObjectAccess}}": [ "{{arn:aws:iam::123456789123:role/roleA}}", "{{arn:aws:iam::987654321987:role/roleB}}" ] } } ``` Per la politica risultante, vedere[Concede l'accesso READ a un utente o a un ruolo IAM](#s3-create-read-for-user-or-role). **Esempio con accesso in lettura al servizio:** ``` { "DocumentName": "AWSManagedServices-CreateBucket", "Region": "{{us-east-1}}", "Parameters": { "BucketName": "{{amzn-s3-demo-bucket}}", "ServicesRequiringWriteObjectAccess": [ "{{rds.amazonaws.com}}", "{{logs.ap-southeast-2.amazonaws.com}}", "{{ec2.amazonaws.com}}" ] } } ``` Per la politica risultante, vedere[Concede l'accesso WRITE a un utente o un ruolo IAM](#s3-create-write-for-user-or-role). **Esempio con accesso in scrittura al servizio:** ``` { "DocumentName": "AWSManagedServices-CreateBucket", "Region": "{{us-east-1}}", "Parameters": { "BucketName": "{{amzn-s3-demo-bucket}}", "ServicesRequiringWriteObjectAccess": [ "{{rds.amazonaws.com}}", "{{logs.ap-southeast-2.amazonaws.com}}", "{{ec2.amazonaws.com}}" ] } } ``` **Esempio con Enforce Secure Transport:** ``` { "DocumentName": "AWSManagedServices-CreateBucket", "Region": "{{us-east-1}}", "Parameters": { "BucketName": "{{amzn-s3-demo-bucket}}", "EnforceSecureTransport": "{{true}}" } } ``` Per la politica risultante, vedere[Usi EnforceSecureTransport](#s3-create-enforce-secure-transport). **Esempio con limiti di accesso al bucket da un insieme di intervalli IP:** ``` { "DocumentName": "AWSManagedServices-CreateBucket", "Region": "{{us-east-1}}", "Parameters": { "BucketName": "{{amzn-s3-demo-bucket}}", "AccessAllowedIpRanges": [ "{{1.2.3.0/24}}", "{{2.3.4.0/24}}" ] } } ``` Per la politica risultante, vedere[Limita l'accesso all'intervallo IP](#s3-create-limits-access-to-ips). 1. Esporta il file JSON del modello RFC in un file denominato CreateBucketRfc .json: ``` aws amscm create-rfc --generate-cli-skeleton > CreateBucketRfc.json ``` 1. Modifica e salva il file.json. CreateBucketRfc Ad esempio, puoi sostituire il contenuto con qualcosa del genere: ``` { "ChangeTypeVersion": "{{5.0}}", "ChangeTypeId": "ct-1a68ck03fn98r", "Title": "{{S3-Bucket-Create-RFC}}", "RequestedStartTime": "{{2016-12-05T14:20:00Z}}", "RequestedEndTime": "{{2016-12-05T16:20:00Z}}" } ``` 1. Crea la RFC, specificando il CreateBucketRfc file e il CreateBucketParams file: ``` aws amscm create-rfc --cli-input-json file://CreateBucketRfc.json --execution-parameters file://CreateBucketParams.json ``` Nella risposta ricevi l'ID della nuova RFC e puoi utilizzarlo per inviare e monitorare la RFC. Finché non la invii, la RFC rimane nello stato di modifica e non si avvia. 1. Per visualizzare il bucket S3 o caricare oggetti su di esso, guarda nell'output di esecuzione: usa il `stack_id` per visualizzare il bucket nella Cloud Formation Console, usa il nome del bucket S3 per visualizzare il bucket nella console S3. **Nota** Quando si caricano oggetti da un account non proprietario, è obbligatorio specificare l'`bucket-owner-full-control`ACL, che garantisce all'account proprietario del bucket il pieno controllo su tutti gli oggetti nel bucket. Esempio: ``` aws s3api put-object --acl {{bucket-owner-full-control}} --bucket {{amzn-s3-demo-bucket}} --key {{data.txt}} --body {{/tmp/data.txt}} ``` #### Suggerimenti **Nota** Questa procedura dettagliata descrive e fornisce comandi di esempio per la creazione di un bucket di storage Amazon S3 utilizzando la versione 5.0 del tipo di modifica (ct-1a68ck03fn98r). Questa versione non consente di creare un bucket S3 pubblico, è consentito solo quello privato. Per creare un bucket di archiviazione S3 pubblico, usa una versione precedente del tipo di modifica e specifica **PublicRead**il parametro. **AccessControl** Inoltre, questa procedura dettagliata non concede le autorizzazioni necessarie per eliminare gli oggetti con versione. Per ulteriori informazioni su Amazon S3, consulta la documentazione di [Amazon Simple Storage Service](https://aws.amazon.com/documentation/s3/). #### S3 Storage Bucket: crea esempi di policy risultanti A seconda di come hai creato il bucket di storage Amazon S3, hai creato delle policy. Queste politiche di esempio corrispondono a vari scenari di creazione di Amazon S3 forniti in. [Creazione di un bucket S3 con la CLI](#s3-create-cli) ##### Concede l'accesso READ a un utente o a un ruolo IAM La policy di esempio risultante concede l'accesso READ agli oggetti nel bucket per un utente o un ruolo IAM: ``` { "Sid": "AllowBucketReadActionsForArns", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789123:role/roleA”, "arn:aws:iam::987654321987:role/roleB” ] }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": "arn:aws:s3:::{{ACCOUNT-ID}}.{{BUCKET_NAME}}" }, { "Sid": "AllowObjectReadActionsForArns", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789123:role/roleA”, "arn:aws:iam::987654321987:role/roleB” ] }, "Action": [ "s3:GetObject", "s3:ListMultipartUploadParts" ], "Resource": "arn:aws:s3:::{{ACCOUNT-ID}}.{{amzn-s3-demo-bucket}}/*" } ``` Per i parametri di esecuzione per creare questa policy con lo storage bucket S3 Create change type, vedi [Creazione di un bucket S3 con la CLI](#s3-create-cli) ##### Concede l'accesso WRITE a un utente o un ruolo IAM La seguente policy di esempio risultante concede l'accesso WRITE agli oggetti nel bucket per un utente o un ruolo IAM. Questa politica non concede le autorizzazioni necessarie per eliminare gli oggetti con versione. ``` { "Sid": "AllowObjectWriteActionsForArns", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::123456789123:role/roleA”, "arn:aws:iam::987654321987:role/roleB” ] }, "Action": [ "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": "arn:aws:s3:::{{ACCOUNT-ID}}.{{amzn-s3-demo-bucket}}/*" } ``` Per i parametri di esecuzione per creare questa policy con il bucket di archiviazione S3 Create change type, vedi [Creazione di un bucket S3 con la CLI](#s3-create-cli) ##### Garantisce l'accesso READ per un servizio AWS La policy di esempio risultante concede l'accesso READ agli oggetti nel bucket per un servizio AWS: ``` { "Sid": "AllowBucketReadActionsForServcices", "Effect": "Allow", "Principal": { "Service": [ "rds.amazonaws.com", "logs.ap-southeast-2.amazonaws.com", "ec2.amazonaws.com" ] }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": "arn:aws:s3:::{{ACCOUNT-ID}}.{{amzn-s3-demo-bucket}}/*" }, { "Sid": "AllowObjectReadActionsForServcices", "Effect": "Allow", "Principal": { "Service": [ "rds.amazonaws.com", "logs.ap-southeast-2.amazonaws.com", "ec2.amazonaws.com" ] }, "Action": [ "s3:GetObject", "s3:ListMultipartUploadParts" ], "Resource": "arn:aws:s3:::{{ACCOUNT-ID}}.{{amzn-s3-demo-bucket}}/*" } ``` Per i parametri di esecuzione per creare questa policy con lo storage bucket S3 Create change type, vedi [Creazione di un bucket S3 con la CLI](#s3-create-cli) ##### Concede l'accesso WRITE per un servizio AWS La seguente policy di esempio risultante concede l'accesso WRITE agli oggetti nel bucket per un servizio AWS. Questa policy non concede le autorizzazioni necessarie per eliminare gli oggetti con versione. ``` { "Sid": "AllowObjectWriteActionsForServcices", "Effect": "Allow", "Principal": { "Service": [ "rds.amazonaws.com", "logs.ap-southeast-2.amazonaws.com", "ec2.amazonaws.com" ] }, "Action": [ "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": "arn:aws:s3:::{{ACCOUNT-ID}}.{{amzn-s3-demo-bucket}}/*" } ``` Per i parametri di esecuzione per creare questa policy con il bucket di archiviazione S3 Create change type, vedi [Creazione di un bucket S3 con la CLI](#s3-create-cli) ##### Usi EnforceSecureTransport Esempio risultante di una politica che impone il trasporto sicuro: ``` { "Sid": "EnforceSecureTransport", "Effect": "Deny", "Principal": "*", "Action": "*", "Resource": "arn:aws:s3:::{{ACCOUNT-ID}}.{{amzn-s3-demo-bucket}}/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ``` Per i parametri di esecuzione per creare questa policy con il tipo Create change del bucket di archiviazione S3, vedi [Creazione di un bucket S3 con la CLI](#s3-create-cli) ##### Limita l'accesso all'intervallo IP Esempio di policy risultante che limita l'accesso al bucket da un insieme di intervalli IP: ``` { "Sid": "RestrictBasedOnIPRanges", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::{{ACCOUNT-ID}}.{{amzn-s3-demo-bucket}}/*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ “1.2.3.0/24", “2.3.4.0/24" ] } } } ``` Per i parametri di esecuzione per creare questa policy con lo storage bucket S3 Create change type, vedi [Creazione di un bucket S3 con la CLI](#s3-create-cli) ## Parametri di input di esecuzione Per informazioni dettagliate sui parametri di input di esecuzione, vedere[Schema per la modifica del tipo ct-1a68ck03fn98r](schemas.md#ct-1a68ck03fn98r-schema-section). ## Esempio: parametri obbligatori ``` { "DocumentName" : "AWSManagedServices-CreateBucket", "Region": "us-east-1", "Parameters": { "BucketName": "mybucket" } } ``` ## Esempio: tutti i parametri ``` { "DocumentName" : "AWSManagedServices-CreateBucket", "Region": "us-east-1", "Parameters": { "BucketName": "mybucket", "ServerSideEncryption": "KmsManagedKeys", "KMSKeyId": "arn:aws:kms:ap-southeast-2:123456789012:key/9d5948f1-2082-4c07-a183-eb829b8d81c4", "Versioning": "Enabled", "IAMPrincipalsRequiringReadObjectAccess": [ "arn:aws:iam::123456789012:user/myuser", "arn:aws:iam::123456789012:role/myrole" ], "IAMPrincipalsRequiringWriteObjectAccess": [ "arn:aws:iam::123456789012:user/myuser", "arn:aws:iam::123456789012:role/myrole" ], "ServicesRequiringReadObjectAccess": [ "rds.amazonaws.com", "ec2.amazonaws.com", "logs.ap-southeast-2.amazonaws.com" ], "ServicesRequiringWriteObjectAccess": [ "rds.amazonaws.com", "ec2.amazonaws.com", "logs.ap-southeast-2.amazonaws.com" ], "EnforceSecureTransport": true, "AccessAllowedIpRanges": [ "1.0.0.0/24", "2.0.0.0/24" ], "Tags": [ "{\"Key\": \"foo\", \"Value\": \"bar\"}", "{ \"Key\": \"testkey\",\"Value\": \"testvalue\" }" ] } } ```