Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Configurazione IAM con S3 su Outposts - Amazon S3 su Outposts

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione IAM con S3 su Outposts

AWS Identity and Access Management (IAM) è un programma Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS IAMgli amministratori controllano chi può essere autenticato (effettuato l'accesso) e autorizzato (disporre delle autorizzazioni) a utilizzare le risorse Amazon S3 sulle risorse Outposts. IAMè un software Servizio AWS che puoi utilizzare senza costi aggiuntivi. Per impostazione predefinita, gli utenti non dispongono delle autorizzazioni per le risorse e le operazioni di S3 su Outposts. Per concedere le autorizzazioni di accesso per S3 sulle risorse e le API operazioni di Outposts, puoi utilizzarle IAM per creare utenti, gruppi o ruoli e allegare le autorizzazioni.

Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

Oltre alle politiche IAM basate sull'identità, S3 on Outposts supporta sia le policy relative ai bucket che quelle relative ai punti di accesso. Le policy del bucket e le policy del punto di accesso sono policy basate sulle risorsecollegate alla risorsa S3 su Outposts.

  • Una policy del bucket è collegata al bucket e consente o nega le richieste al bucket e agli oggetti in esso contenuti in base agli elementi nella policy.

  • Al contrario, una policy del punto di accesso è collegata al punto di accesso e consente o nega le richieste al punto di accesso.

La policy del punto di accesso funziona con la policy del bucket collegata al bucket S3 su Outposts sottostante. Affinché un'applicazione o un utente possa accedere agli oggetti in un bucket S3 su Outposts tramite un punto di accesso S3 su Outposts, sia la policy del punto di accesso che la policy del bucket devono consentire la richiesta.

Le limitazioni incluse in una policy di access point si applicano solo alle richieste effettuate tramite quell'access point. Ad esempio, se un punto di accesso è collegato a un bucket, non potrai utilizzare la policy del punto di accesso per consentire o negare le richieste che vengono effettuate direttamente al bucket. Tuttavia, le restrizioni applicate a una policy del bucket possono consentire o rifiutare le richieste effettuate direttamente al bucket o tramite il punto di accesso.

In una IAM policy o in una policy basata sulle risorse, definisci quali azioni di S3 on Outposts sono consentite o negate. Le azioni S3 on Outposts corrispondono a specifiche operazioni di S3 on API Outposts. Le operazioni S3 su Outposts utilizzano il prefisso dello spazio dei nomi s3-outposts:. Le richieste effettuate a S3 on Outposts API control in Regione AWS an e le richieste effettuate agli endpoint degli API oggetti su Outpost vengono autenticate IAM utilizzando e autorizzate tramite il prefisso namespace. s3-outposts: Per lavorare con S3 su Outposts, configura i IAM tuoi utenti e autorizzali sullo spazio dei nomi. s3-outposts: IAM

Per ulteriori informazioni, consulta Operazioni, risorse e chiavi di condizione per Amazon S3 su Outposts nella Documentazione di riferimento per l'autorizzazione ai servizi.

Nota
  • Le liste di controllo degli accessi (ACLs) non sono supportate da S3 su Outposts.

  • Per impostazione predefinita, S3 su Outposts definisce il proprietario del bucket come proprietario dell'oggetto per avere la certezza che al proprietario di un bucket non possa essere impedito di accedere o eliminare oggetti.

  • S3 su Outposts dispone sempre di accesso pubblico blocco S3 abilitato per garantire che gli oggetti non possano mai avere accesso pubblico.

Per ulteriori informazioni sulla configurazione IAM di S3 su Outposts, consulta i seguenti argomenti.

Principi per le policy di S3 su Outposts

Quando crei una policy basata su risorse per concedere l'accesso al bucket S3 su Outposts, devi utilizzare l'elemento Principal per specificare la persona o l'applicazione che può effettuare una richiesta per un'azione o un'operazione su tale risorsa. Per le policy S3 su Outposts, puoi utilizzare uno dei seguenti principali:

  • Un Account AWS

  • Un IAM utente

  • Un IAM ruolo

  • Tutti i principali, specificando un carattere jolly (*) in una policy che utilizza un elemento Condition per limitare l'accesso a un intervallo IP specifico

Importante

Non puoi scrivere una policy per un bucket S3 su Outposts che utilizza un carattere jolly (*) nell'elemento Principal a meno che la policy non includa anche una Condition che limita l'accesso a un intervallo di indirizzi IP specifico. Questa limitazione garantisce che non vi sia alcun accesso pubblico al bucket S3 su Outposts. Per vedere un esempio, consulta Esempi di policy per S3 su Outposts.

Per ulteriori informazioni sull'Principalelemento, vedere AWS JSONPolicy elements: Principal nella Guida per l'IAMutente.

Risorsa ARNs per S3 su Outposts

Amazon Resource Names (ARNs) for S3 on Outposts contiene l'ID Outpost oltre a quello su cui è Regione AWS ospitato l'Outpost, l'ID e Account AWS il nome della risorsa. Per accedere ai bucket e agli oggetti Outposts ed eseguire azioni sui bucket e sugli oggetti Outposts, è necessario utilizzare uno dei ARN formati mostrati nella tabella seguente.

Il partition valore in si ARN riferisce a un gruppo di. Regioni AWS Ciascuno Account AWS è limitato a una partizione. Di seguito sono riportate le partizioni supportate:

  • aws – Regioni AWS

  • aws-us-gov— Regioni AWS GovCloud (US)

La tabella seguente mostra S3 nei formati ARN Outposts.

Amazon S3 su Outposts ARN ARNformato Esempio
secchio ARN arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/bucket/bucket_name arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/bucket/amzn-s3-demo-bucket1
Punto di accesso ARN arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/accesspoint/accesspoint_name arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/accesspoint/access-point-name
Oggetto ARN arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/bucket/bucket_name/object/object_key arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/bucket/amzn-s3-demo-bucket1/object/myobject
ARNOggetto punto di accesso S3 on Outposts (utilizzato nelle politiche) arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/accesspoint/accesspoint_name/object/object_key arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/accesspoint/access-point-name/object/myobject
S3 su Outposts ARN arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904

Esempi di policy per S3 su Outposts

Esempio : policy sui bucket di S3 on Outposts con un preside Account AWS

La seguente policy sui bucket utilizza un Account AWS principale per concedere l'accesso a un bucket S3 on Outposts. Per utilizzare questa policy del bucket, sostituisci user input placeholders con le tue informazioni.

{ "Version":"2012-10-17", "Id":"ExampleBucketPolicy1", "Statement":[ { "Sid":"statement1", "Effect":"Allow", "Principal":{ "AWS":"123456789012" }, "Action":"s3-outposts:*", "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket" } ] }
Esempio : policy del bucket S3 su Outposts policy con principale e chiave di condizione con carattere jolly (*) per limitare l'accesso a un intervallo di indirizzi IP specifico.

La seguente policy del bucket utilizza un principale con carattere jolly (*) con la condizione aws:SourceIp per limitare l'accesso a un intervallo di indirizzi IP specifico. Per utilizzare questa policy del bucket, sostituisci user input placeholders con le tue informazioni.

{ "Version": "2012-10-17", "Id": "ExampleBucketPolicy2", "Statement": [ { "Sid": "statement1", "Effect": "Allow", "Principal": { "AWS" : "*" }, "Action":"s3-outposts:*", "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket", "Condition" : { "IpAddress" : { "aws:SourceIp": "192.0.2.0/24" }, "NotIpAddress" : { "aws:SourceIp": "198.51.100.0/24" } } } ] }

Autorizzazioni per endpoint S3 su Outposts

S3 on Outposts richiede le proprie autorizzazioni per gestire le azioni degli IAM endpoint S3 on Outposts.

Nota
  • Per gli endpoint che utilizzano il tipo di accesso del pool di indirizzi IP (pool CoIP) di proprietà del cliente, è inoltre necessario disporre delle autorizzazioni per lavorare con gli indirizzi IP del pool CoIP, come descritto nella tabella seguente.

  • Per gli account condivisi che accedono a S3 su Outposts AWS Resource Access Manager utilizzando, gli utenti di questi account condivisi non possono creare i propri endpoint su una sottorete condivisa. Se un utente in un account condiviso desidera gestire i propri endpoint, l'account condiviso deve creare una propria sottorete nell'Outpost. Per ulteriori informazioni, consulta Condivisione di S3 su Outposts utilizzando AWS RAM.

La tabella seguente mostra le autorizzazioni relative agli endpoint di S3 on OutpostsIAM.

Azione IAMautorizzazioni
CreateEndpoint

s3-outposts:CreateEndpoint

ec2:CreateNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeVpcs

ec2:DescribeSecurityGroups

ec2:DescribeSubnets

ec2:CreateTags

iam:CreateServiceLinkedRole

Per gli endpoint che utilizzano il tipo di accesso del pool di indirizzi IP di proprietà del cliente on-premise (pool CoIP), sono necessarie le seguenti autorizzazioni aggiuntive:

s3-outposts:CreateEndpoint

ec2:DescribeCoipPools

ec2:GetCoipPoolUsage

ec2:AllocateAddress

ec2:AssociateAddress

ec2:DescribeAddresses

ec2:DescribeLocalGatewayRouteTableVpcAssociations

DeleteEndpoint

s3-outposts:DeleteEndpoint

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

Per gli endpoint che utilizzano il tipo di accesso del pool di indirizzi IP di proprietà del cliente on-premise (pool CoIP), sono necessarie le seguenti autorizzazioni aggiuntive:

s3-outposts:DeleteEndpoint

ec2:DisassociateAddress

ec2:DescribeAddresses

ec2:ReleaseAddress

ListEndpoints

s3-outposts:ListEndpoints

Nota

È possibile utilizzare i tag delle risorse in una IAM politica per gestire le autorizzazioni.

Ruoli collegati ai servizi per S3 su Outposts

S3 on Outposts IAM utilizza ruoli collegati ai servizi per creare alcune risorse di rete per tuo conto. Per ulteriori informazioni, consulta Utilizzo dei ruoli collegati ai servizi per Amazon S3 su Outposts.

Argomento successivo:

Crittografia dei dati

Argomento precedente:

Sicurezza
PrivacyCondizioni del sitoPreferenze cookie
© 2024, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.