Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione IAM con S3 su Outposts
AWS Identity and Access Management (IAM) è un programma Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS IAMgli amministratori controllano chi può essere autenticato (effettuato l'accesso) e autorizzato (disporre delle autorizzazioni) a utilizzare le risorse Amazon S3 sulle risorse Outposts. IAMè un software Servizio AWS che puoi utilizzare senza costi aggiuntivi. Per impostazione predefinita, gli utenti non dispongono delle autorizzazioni per le risorse e le operazioni di S3 su Outposts. Per concedere le autorizzazioni di accesso per S3 sulle risorse e le API operazioni di Outposts, puoi utilizzarle IAM per creare utenti, gruppi o ruoli e allegare le autorizzazioni.
Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:
-
Utenti e gruppi in: AWS IAM Identity Center
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
-
Utenti gestiti IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate in Creare un ruolo per un provider di identità di terze parti (federazione) nella Guida per l'IAMutente.
-
IAMutenti:
-
Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate in Creare un ruolo per un IAM utente nella Guida per l'IAMutente.
-
(Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate in Aggiungere autorizzazioni a un utente (console) nella Guida per l'IAMutente.
-
Oltre alle politiche IAM basate sull'identità, S3 on Outposts supporta sia le policy relative ai bucket che quelle relative ai punti di accesso. Le policy del bucket e le policy del punto di accesso sono policy basate sulle risorsecollegate alla risorsa S3 su Outposts.
-
Una policy del bucket è collegata al bucket e consente o nega le richieste al bucket e agli oggetti in esso contenuti in base agli elementi nella policy.
-
Al contrario, una policy del punto di accesso è collegata al punto di accesso e consente o nega le richieste al punto di accesso.
La policy del punto di accesso funziona con la policy del bucket collegata al bucket S3 su Outposts sottostante. Affinché un'applicazione o un utente possa accedere agli oggetti in un bucket S3 su Outposts tramite un punto di accesso S3 su Outposts, sia la policy del punto di accesso che la policy del bucket devono consentire la richiesta.
Le limitazioni incluse in una policy di access point si applicano solo alle richieste effettuate tramite quell'access point. Ad esempio, se un punto di accesso è collegato a un bucket, non potrai utilizzare la policy del punto di accesso per consentire o negare le richieste che vengono effettuate direttamente al bucket. Tuttavia, le restrizioni applicate a una policy del bucket possono consentire o rifiutare le richieste effettuate direttamente al bucket o tramite il punto di accesso.
In una IAM policy o in una policy basata sulle risorse, definisci quali azioni di S3 on Outposts sono consentite o negate. Le azioni S3 on Outposts corrispondono a specifiche operazioni di S3 on API Outposts. Le operazioni S3 su Outposts utilizzano il prefisso dello spazio dei nomi s3-outposts:
. Le richieste effettuate a S3 on Outposts API control in Regione AWS an e le richieste effettuate agli endpoint degli API oggetti su Outpost vengono autenticate IAM utilizzando e autorizzate tramite il prefisso namespace. s3-outposts:
Per lavorare con S3 su Outposts, configura i IAM tuoi utenti e autorizzali sullo spazio dei nomi. s3-outposts:
IAM
Per ulteriori informazioni, consulta Operazioni, risorse e chiavi di condizione per Amazon S3 su Outposts nella Documentazione di riferimento per l'autorizzazione ai servizi.
Nota
-
Le liste di controllo degli accessi (ACLs) non sono supportate da S3 su Outposts.
-
Per impostazione predefinita, S3 su Outposts definisce il proprietario del bucket come proprietario dell'oggetto per avere la certezza che al proprietario di un bucket non possa essere impedito di accedere o eliminare oggetti.
-
S3 su Outposts dispone sempre di accesso pubblico blocco S3 abilitato per garantire che gli oggetti non possano mai avere accesso pubblico.
Per ulteriori informazioni sulla configurazione IAM di S3 su Outposts, consulta i seguenti argomenti.
Argomenti
Principi per le policy di S3 su Outposts
Quando crei una policy basata su risorse per concedere l'accesso al bucket S3 su Outposts, devi utilizzare l'elemento Principal
per specificare la persona o l'applicazione che può effettuare una richiesta per un'azione o un'operazione su tale risorsa. Per le policy S3 su Outposts, puoi utilizzare uno dei seguenti principali:
-
Un Account AWS
-
Un IAM utente
-
Un IAM ruolo
-
Tutti i principali, specificando un carattere jolly (*) in una policy che utilizza un elemento
Condition
per limitare l'accesso a un intervallo IP specifico
Importante
Non puoi scrivere una policy per un bucket S3 su Outposts che utilizza un carattere jolly (*
) nell'elemento Principal
a meno che la policy non includa anche una Condition
che limita l'accesso a un intervallo di indirizzi IP specifico. Questa limitazione garantisce che non vi sia alcun accesso pubblico al bucket S3 su Outposts. Per vedere un esempio, consulta Esempi di policy per S3 su Outposts.
Per ulteriori informazioni sull'Principal
elemento, vedere AWS JSONPolicy elements: Principal nella Guida per l'IAMutente.
Risorsa ARNs per S3 su Outposts
Amazon Resource Names (ARNs) for S3 on Outposts contiene l'ID Outpost oltre a quello su cui è Regione AWS ospitato l'Outpost, l'ID e Account AWS il nome della risorsa. Per accedere ai bucket e agli oggetti Outposts ed eseguire azioni sui bucket e sugli oggetti Outposts, è necessario utilizzare uno dei ARN formati mostrati nella tabella seguente.
Il
valore in si ARN riferisce a un gruppo di. Regioni AWS Ciascuno Account AWS è limitato a una partizione. Di seguito sono riportate le partizioni supportate:partition
-
aws
– Regioni AWS -
aws-us-gov
— Regioni AWS GovCloud (US)
La tabella seguente mostra S3 nei formati ARN Outposts.
Amazon S3 su Outposts ARN | ARNformato | Esempio |
---|---|---|
secchio ARN | arn: |
arn: |
Punto di accesso ARN | arn: |
arn: |
Oggetto ARN | arn: |
arn: |
ARNOggetto punto di accesso S3 on Outposts (utilizzato nelle politiche) | arn: |
arn: |
S3 su Outposts ARN | arn: |
arn: |
Esempi di policy per S3 su Outposts
Esempio : policy sui bucket di S3 on Outposts con un preside Account AWS
La seguente policy sui bucket utilizza un Account AWS principale per concedere l'accesso a un bucket S3 on Outposts. Per utilizzare questa policy del bucket, sostituisci
con le tue informazioni.user
input placeholders
{
"Version":"2012-10-17",
"Id":"ExampleBucketPolicy1",
"Statement":[
{
"Sid":"statement1",
"Effect":"Allow",
"Principal":{
"AWS":"123456789012
"
},
"Action":"s3-outposts:*",
"Resource":"arn:aws:s3-outposts:region
:123456789012
:outpost/op-01ac5d28a6a232904
/bucket/example-outposts-bucket
"
}
]
}
Esempio : policy del bucket S3 su Outposts policy con principale e chiave di condizione con carattere jolly (*
) per limitare l'accesso a un intervallo di indirizzi IP specifico.
La seguente policy del bucket utilizza un principale con carattere jolly (*
) con la condizione aws:SourceIp
per limitare l'accesso a un intervallo di indirizzi IP specifico. Per utilizzare questa policy del bucket, sostituisci
con le tue informazioni.user input
placeholders
{
"Version": "2012-10-17",
"Id": "ExampleBucketPolicy2",
"Statement": [
{
"Sid": "statement1",
"Effect": "Allow",
"Principal": { "AWS" : "*" },
"Action":"s3-outposts:*",
"Resource":"arn:aws:s3-outposts:region
:123456789012
:outpost/op-01ac5d28a6a232904
/bucket/example-outposts-bucket
",
"Condition" : {
"IpAddress" : {
"aws:SourceIp": "192.0.2.0/24"
},
"NotIpAddress" : {
"aws:SourceIp": "198.51.100.0/24"
}
}
}
]
}
Autorizzazioni per endpoint S3 su Outposts
S3 on Outposts richiede le proprie autorizzazioni per gestire le azioni degli IAM endpoint S3 on Outposts.
Nota
-
Per gli endpoint che utilizzano il tipo di accesso del pool di indirizzi IP (pool CoIP) di proprietà del cliente, è inoltre necessario disporre delle autorizzazioni per lavorare con gli indirizzi IP del pool CoIP, come descritto nella tabella seguente.
-
Per gli account condivisi che accedono a S3 su Outposts AWS Resource Access Manager utilizzando, gli utenti di questi account condivisi non possono creare i propri endpoint su una sottorete condivisa. Se un utente in un account condiviso desidera gestire i propri endpoint, l'account condiviso deve creare una propria sottorete nell'Outpost. Per ulteriori informazioni, consulta Condivisione di S3 su Outposts utilizzando AWS RAM.
La tabella seguente mostra le autorizzazioni relative agli endpoint di S3 on OutpostsIAM.
Azione | IAMautorizzazioni |
---|---|
CreateEndpoint |
Per gli endpoint che utilizzano il tipo di accesso del pool di indirizzi IP di proprietà del cliente on-premise (pool CoIP), sono necessarie le seguenti autorizzazioni aggiuntive:
|
DeleteEndpoint |
Per gli endpoint che utilizzano il tipo di accesso del pool di indirizzi IP di proprietà del cliente on-premise (pool CoIP), sono necessarie le seguenti autorizzazioni aggiuntive:
|
ListEndpoints |
|
Nota
È possibile utilizzare i tag delle risorse in una IAM politica per gestire le autorizzazioni.
Ruoli collegati ai servizi per S3 su Outposts
S3 on Outposts IAM utilizza ruoli collegati ai servizi per creare alcune risorse di rete per tuo conto. Per ulteriori informazioni, consulta Utilizzo dei ruoli collegati ai servizi per Amazon S3 su Outposts.