Configurazione amministratore - Amazon Quick
Concedi ad Amazon Quick l'accesso ai bucket Amazon S3Prepara la configurazione dei ruoli e delle policy IAMConfigurazione dell'accesso VPC per Amazon S3 Connector in Amazon QuickLimita l'accesso ai bucket Amazon S3 con assegnazioni di policy IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione amministratore

Prima che gli utenti possano creare integrazioni e knowledge base di Amazon S3, un amministratore di Amazon Quick deve completare le seguenti attività di configurazione.

Concedi ad Amazon Quick l'accesso ai bucket Amazon S3

Concedi ad Amazon Quick l'accesso ai bucket Amazon S3 di cui la tua organizzazione ha bisogno. Questo vale sia che i bucket si trovino nello stesso AWS account o in un altro account.

  1. Nella console di amministrazione di Amazon Quick, in Autorizzazioni, scegli AWS le risorse.

  2. In Consenti accesso e individuazione automatica per queste risorse, seleziona la casella di controllo Amazon S3.

  3. Scegli Select S3 bucket.

  4. Nella finestra di dialogo Seleziona i bucket Amazon S3, scegli la scheda che corrisponde alla posizione del bucket:

    • Bucket S3 collegati all'account Quick: seleziona i bucket dall'elenco a cui desideri che Amazon Quick acceda. Per impostazione predefinita, i bucket selezionati dispongono di autorizzazioni di sola lettura.

    • Bucket S3 a cui puoi accedere attraverso AWS: per i bucket tra più account, assicurati che il proprietario dell'account abbia autorizzato il tuo account. Scegli Usa un bucket diverso, inserisci il nome del bucket e scegli Aggiungi bucket S3.

  5. (Facoltativo) Per i bucket tra più account, seleziona Limita l'accesso al generatore della knowledge base per limitare l'accesso in modo che solo l'utente che crea la knowledge base possa utilizzare il bucket.

  6. Scegli Fine.

I bucket selezionati sono ora accessibili agli utenti durante la creazione della knowledge base.

Prepara la configurazione dei ruoli e delle policy IAM

L'integrazione con Amazon S3 utilizza l' AWS autenticazione per accedere ai bucket Amazon S3. Prepara la configurazione del ruolo e della policy IAM prima che gli utenti configurino l'integrazione.

Autorizzazioni IAM richieste

Assicurati che il tuo AWS account disponga delle seguenti autorizzazioni minime per il bucket Amazon S3:

  • s3:GetObject— Leggi gli oggetti dal bucket.

  • s3:ListBucket— Elenca i contenuti del bucket.

  • s3:GetBucketLocation— Ottieni informazioni sulla regione del bucket.

  • s3:GetObjectVersion— Ottieni le versioni degli oggetti.

  • s3:ListBucketVersions— Elenca le versioni del bucket.

Configura le autorizzazioni del bucket Amazon S3 per l'accesso tra account

Se accedi ai bucket Amazon S3 da un AWS account diverso, devi configurare le policy IAM nell'account di origine. AWS

Per configurare le autorizzazioni del bucket Amazon S3 per l'accesso tra account

  1. Accedi alla console di AWS gestione per l'account che contiene il bucket Amazon S3.

  2. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  3. Scegli il bucket a cui vuoi concedere l'accesso.

  4. Selezionare Permissions (Autorizzazioni), quindi Bucket Policy (Policy bucket).

  5. Aggiungi una policy bucket con i seguenti elementi:

    • Version— Impostato su «2012-10-17"

    • Statement— Array contenente dichiarazioni politiche con:

      • Sid— "AllowQuickSuiteS3Access»

      • Effect— «Consenti»

      • Principal— AWS ARN per il ruolo del servizio Amazon Quick nel tuo account. Ad esempio, il principale dovrebbe avere il seguente aspetto: "Principal": { "AWS": "arn:aws:iam::<quick_account_id>:role/service-role/aws-quicksight-service-role-v0" }

      • Action— Serie di autorizzazioni Amazon S3: s3:, s3:GetObject, s3:, s3:ListBucket, s3: GetBucketLocation GetObjectVersion ListBucketVersions

      • Resource— «*» (si riferisce alla chiave corrente), il percorso del bucket di Amazon S3 dovrebbe essere simile al seguente: "Resource": [ "arn:aws:s3:::bucket_name"]

  6. Scegli Save changes (Salva modifiche).

Configura le autorizzazioni delle chiavi KMS (se il tuo bucket utilizza la crittografia)

Se il tuo bucket Amazon S3 utilizza la crittografia AWS KMS, completa i seguenti passaggi.

Per configurare le autorizzazioni delle chiavi KMS

  1. Apri la console AWS Key Management Service (AWS KMS) in /kms. https://console.aws.amazon.com

  2. Scegli la chiave KMS utilizzata per crittografare il tuo bucket Amazon S3.

  3. Scegliere Key policy (Policy chiave), quindi scegliere Edit (Modifica).

  4. Aggiungi una dichiarazione alla politica chiave con i seguenti elementi strutturali:

    • Sid – "AllowQuickSuiteKMSAccess"

    • Effect— «Consenti»

    • Principal— AWS ARN per il ruolo del servizio Amazon Quick nel tuo account. Ad esempio, il principale dovrebbe avere il seguente aspetto: "Principal": { "AWS": "arn:aws:iam::<quick_account_id>:role/service-role/aws-quicksight-service-role-v0" }

    • Action— Matrice di autorizzazioni KMS: kms: Decrypt, kms: DescribeKey

    • Resource— «*» (si riferisce alla chiave corrente), il percorso del bucket di Amazon S3 dovrebbe essere simile al seguente: "Resource": [ "arn:aws:s3:::bucket_name"]

  5. Scegli Save changes (Salva modifiche).

  6. Attendi 2-3 minuti per la propagazione delle modifiche alle policy.

Configurazione dell'accesso VPC per Amazon S3 Connector in Amazon Quick

Le autorizzazioni VPC garantiscono che Amazon Quick possa accedere al tuo bucket Amazon S3 solo tramite connessioni endpoint VPC o VPC sicure.

Modifica della politica richiesta

Aggiungi questa dichiarazione alla tua politica di accesso al bucket per consentire ad Amazon Quick di accedere al tuo bucket tramite endpoint VPC:

{
  "Sid": "Allow-Quick-access"		 	 	 ,
  "Principal": "arn:aws:iam::Quick Account:role/service-role/aws-quicksight-service-role-v0",
  "Action": "s3:*",
  "Effect": "Allow",
  "Resource": [
    "arn:aws:s3:::amzn-s3-demo-bucket",
    "arn:aws:s3:::amzn-s3-demo-bucket/*"
  ],
  "Condition": {
    "Null": {
      "aws:SourceVpce": "false"
    }
  }
}

  • Sostituiscilo amzn-s3-demo-bucket con il nome del tuo bucket.

  • Quick AccountSostituiscilo con il tuo account Amazon Quick.

"aws:SourceVpce": "false"Questa condizione garantisce che Amazon Quick possa accedere al tuo bucket solo tramite endpoint VPC, mantenendo i tuoi requisiti di sicurezza.

Politiche di negazione

Se il tuo bucket ha una politica che limita il traffico verso uno specifico VPC o endpoint VPC tramite Deny Policy, devi invertire questa politica perché le politiche di negazione hanno la precedenza sulle politiche di autorizzazione.

Esempio:

{
   "Version":"2012-10-17"		 	 	 ,                   
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
                    "arn:aws:s3:::amzn-s3-demo-bucket/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpce": "vpce-0abcdef1234567890"
         }
       }
     }
   ]
}

Dovrebbe essere invertita in:

{
   "Version":"2012-10-17"		 	 	 ,                   
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Allow",
       "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
                    "arn:aws:s3:::amzn-s3-demo-bucket/*"],
       "Condition": {
         "StringEquals": {
           "aws:SourceVpce": "vpce-0abcdef1234567890"
         }
       }
     }
   ]
}

Best practice

Limita l'accesso al tuo ruolo in Amazon Quick

Le politiche di accesso dovrebbero far sì che il chiamante sia il tuo ARN del ruolo Amazon Quick o, almeno, il tuo account Amazon Quick. Ciò garantisce che, nonostante consenta il traffico VPC, le chiamate provengano solo da fonti previste.

Consigli sulla sicurezza

  • Limita le politiche al tuo ruolo in Amazon Quick per il traffico più sicuro

  • Rivedi regolarmente le tue politiche relative ai valori limite per assicurarti che seguano il principio del privilegio minimo

Limita l'accesso ai bucket Amazon S3 con assegnazioni di policy IAM

Puoi controllare quali bucket Amazon S3 gli utenti di Amazon Quick possono utilizzare per creare basi di conoscenza creando policy IAM e assegnandole a utenti specifici, gruppi o a tutti gli utenti tramite assegnazioni di policy Amazon Quick IAM. Ciò consente di limitare chi può creare basi di conoscenza in base a gruppi specifici, comprese le knowledge base compatibili con ACL.

Nota

Le policy IAM assegnate tramite Amazon Quick hanno la precedenza sulle policy a livello di AWS risorsa. Per garantire che i requisiti di accesso siano soddisfatti, configura le politiche IAM in modo appropriato.

Ad esempio, puoi assegnare una policy restrittiva a utenti specifici che devono accedere a bucket compatibili con ACL, mentre assegnare una policy più ampia a tutti gli utenti per i bucket non ACL.

Fase 1: creare una policy di accesso Amazon S3 in IAM

Crea una policy IAM nella console AWS IAM che definisca a quali bucket Amazon S3 possono accedere gli utenti per la creazione di knowledge base. La seguente policy di esempio concede l'accesso a due bucket specifici:

{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1",
                "arn:aws:s3:::amzn-s3-demo-bucket-2"
            ]
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-2/*"
            ]
        },
        {
            "Action": [
                "s3:ListBucketMultipartUploads",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1",
                "arn:aws:s3:::amzn-s3-demo-bucket-2"
            ]
        },
        {
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-2/*"
            ]
        }
    ]
}

Sostituisci amzn-s3-demo-bucket-1 e amzn-s3-demo-bucket-2 con i nomi dei bucket Amazon S3 a cui desideri concedere l'accesso.

Fase 2: Assegna la policy in Amazon Quick

Dopo aver creato la policy IAM, assegnala a utenti o gruppi Amazon Quick.

  1. Nella console di amministrazione di Amazon Quick, in Autorizzazioni, scegli le assegnazioni delle policy IAM.

  2. Scegli Aggiungi nuovo incarico.

  3. Inserisci un nome per l'assegnazione.

  4. Nella pagina Seleziona una policy IAM, cerca e seleziona la policy IAM che hai creato nel passaggio 1. Scegli Next (Successivo).

  5. Nella pagina Assegna utenti e gruppi, scegli una delle seguenti opzioni:

    • Seleziona Assegna a tutti gli utenti e i gruppi per applicare la politica a tutti gli utenti attuali e futuri.

    • Cerca e seleziona utenti o gruppi specifici a cui assegnare la politica.

    Scegli Next (Successivo).

  6. Nella pagina Rivedi e abilita le modifiche, verifica i dettagli dell'assegnazione e scegli Salva e abilita.

Gli utenti a cui non viene esplicitamente concesso l'accesso tramite un'assegnazione di policy IAM non saranno in grado di accedere ai bucket Amazon S3 con restrizioni per creare integrazioni o knowledge base.