Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione di IAM con S3 su Outposts
AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può autenticarsi (eseguire l'accesso) ed è autorizzato (dispone di autorizzazioni) a utilizzare le risorse di Amazon S3 su Outpost. IAM è un Servizio AWS il cui uso non comporta costi aggiuntivi. Per impostazione predefinita, gli utenti non dispongono delle autorizzazioni per le risorse e le operazioni di S3 su Outposts. Per concedere le autorizzazioni di accesso per S3 sulle risorse e le operazioni API di Outposts, puoi utilizzare IAM per creare utenti, gruppi o ruoli a cui associare le autorizzazioni.
Per fornire l'accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
-
Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
-
Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Create a role for a third-party identity provider (federation) della Guida per l'utente IAM.
-
Utenti IAM:
-
Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate nella pagina Create a role for an IAM user della Guida per l'utente IAM.
-
(Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente IAM.
-
Oltre alle policy IAM basate sull'identità, S3 su Outposts supporta sia le policy del bucket che le policy dei punti di accesso. Le policy del bucket e le policy del punto di accesso sono policy basate sulle risorsecollegate alla risorsa S3 su Outposts.
-
Una policy del bucket è collegata al bucket e consente o nega le richieste al bucket e agli oggetti in esso contenuti in base agli elementi nella policy.
-
Al contrario, una policy del punto di accesso è collegata al punto di accesso e consente o nega le richieste al punto di accesso.
La policy del punto di accesso funziona con la policy del bucket collegata al bucket S3 su Outposts sottostante. Affinché un'applicazione o un utente possa accedere agli oggetti in un bucket S3 su Outposts tramite un punto di accesso S3 su Outposts, sia la policy del punto di accesso che la policy del bucket devono consentire la richiesta.
Le limitazioni incluse in una policy di access point si applicano solo alle richieste effettuate tramite quell'access point. Ad esempio, se un punto di accesso è collegato a un bucket, non potrai utilizzare la policy del punto di accesso per consentire o negare le richieste che vengono effettuate direttamente al bucket. Tuttavia, le restrizioni applicate a una policy del bucket possono consentire o rifiutare le richieste effettuate direttamente al bucket o tramite il punto di accesso.
In una policy IAM o in una policy basata su risorse, definisci quali operazioni S3 su Outposts saranno consentite o negate. Le operazioni S3 su Outposts corrispondono a operazioni API S3 su Outposts specifiche. Le operazioni S3 su Outposts utilizzano il prefisso dello spazio dei nomi s3-outposts:. Le richieste effettuate all'API di controllo S3 on Outposts in Regione AWS un e le richieste effettuate agli endpoint dell'API oggetto su Outpost vengono autenticate utilizzando IAM e autorizzate tramite il prefisso namespace. s3-outposts: Configurare gli utenti IAM e autorizzarli a fronte dello spazio dei nomi IAM s3-outposts: per lavorare con S3 su Outposts.
Per ulteriori informazioni, consulta Operazioni, risorse e chiavi di condizione per Amazon S3 su Outposts nella Documentazione di riferimento per l'autorizzazione ai servizi.
Nota
-
Le liste di controllo degli accessi (ACLs) non sono supportate da S3 su Outposts.
-
Per impostazione predefinita, S3 su Outposts definisce il proprietario del bucket come proprietario dell'oggetto per avere la certezza che al proprietario di un bucket non possa essere impedito di accedere o eliminare oggetti.
-
S3 su Outposts dispone sempre di accesso pubblico blocco S3 abilitato per garantire che gli oggetti non possano mai avere accesso pubblico.
Per ulteriori informazioni sulla configurazione di IAM per S3 su Outposts, consulta i seguenti argomenti.
Argomenti
Principi per le policy di S3 su Outposts
Quando crei una policy basata su risorse per concedere l'accesso al bucket S3 su Outposts, devi utilizzare l'elemento Principal per specificare la persona o l'applicazione che può effettuare una richiesta per un'azione o un'operazione su tale risorsa. Per le policy S3 su Outposts, puoi utilizzare uno dei seguenti principali:
-
Un Account AWS
-
Un utente IAM
-
Un ruolo IAM:
-
Tutti i principali, specificando un carattere jolly (*) in una policy che utilizza un elemento
Conditionper limitare l'accesso a un intervallo IP specifico
Importante
Non puoi scrivere una policy per un bucket S3 su Outposts che utilizza un carattere jolly (*) nell'elemento Principal a meno che la policy non includa anche una Condition che limita l'accesso a un intervallo di indirizzi IP specifico. Questa limitazione garantisce che non vi sia alcun accesso pubblico al bucket S3 su Outposts. Per vedere un esempio, consulta Esempi di policy per S3 su Outposts.
Per ulteriori informazioni sull'elemento Principal, consulta Elementi della policy JSON di AWS : principale nella Guida per l'utente di IAM.
Risorsa ARNs per S3 su Outposts
Amazon Resource Names (ARNs) for S3 on Outposts contiene l'ID Outpost oltre a quello su cui è Regione AWS ospitato l'Outpost, l'ID e Account AWS il nome della risorsa. Per accedere ed eseguire operazioni sui bucket e sugli oggetti Outposts, è necessario utilizzare uno dei formati ARN mostrati nella tabella seguente.
Il partition
-
aws– Regioni AWS -
aws-us-gov— Regioni AWS GovCloud (US)
La tabella seguente mostra i formati ARN di S3 su Outposts.
| Amazon S3 su ARN Outposts. | Formato ARN | Esempio |
|---|---|---|
| Bucket ARN | arn: |
arn: |
| ARN del punto di accesso | arn: |
arn: |
| Oggetto ARN | arn: |
arn: |
| ARN dell'oggetto punto di accesso S3 su Outpost (utilizzato nelle policy) | arn: |
arn: |
| ARN di S3 su Outposts | arn: |
arn: |
Esempi di policy per S3 su Outposts
Esempio : policy sui bucket di S3 on Outposts con un preside Account AWS
La seguente policy sui bucket utilizza un Account AWS principale per concedere l'accesso a un bucket S3 on Outposts. Per utilizzare questa policy del bucket, sostituisci user
input placeholders
{
"Version":"2012-10-17",
"Id":"ExampleBucketPolicy1",
"Statement":[
{
"Sid":"statement1",
"Effect":"Allow",
"Principal":{
"AWS":"123456789012"
},
"Action":"s3-outposts:*",
"Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket"
}
]
}Esempio : policy del bucket S3 su Outposts policy con principale e chiave di condizione con carattere jolly (*) per limitare l'accesso a un intervallo di indirizzi IP specifico.
La seguente policy del bucket utilizza un principale con carattere jolly (*) con la condizione aws:SourceIp per limitare l'accesso a un intervallo di indirizzi IP specifico. Per utilizzare questa policy del bucket, sostituisci user input
placeholders
{
"Version": "2012-10-17",
"Id": "ExampleBucketPolicy2",
"Statement": [
{
"Sid": "statement1",
"Effect": "Allow",
"Principal": { "AWS" : "*" },
"Action":"s3-outposts:*",
"Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket",
"Condition" : {
"IpAddress" : {
"aws:SourceIp": "192.0.2.0/24"
},
"NotIpAddress" : {
"aws:SourceIp": "198.51.100.0/24"
}
}
}
]
} Autorizzazioni per endpoint S3 su Outposts
S3 su Outposts richiede proprie autorizzazioni in IAM per gestire le operazioni degli endpoint S3 su Outposts.
Nota
-
Per gli endpoint che utilizzano il tipo di accesso del pool di indirizzi IP (pool CoIP) di proprietà del cliente, è inoltre necessario disporre delle autorizzazioni per lavorare con gli indirizzi IP del pool CoIP, come descritto nella tabella seguente.
-
Per gli account condivisi che accedono a S3 su Outposts AWS Resource Access Manager utilizzando, gli utenti di questi account condivisi non possono creare i propri endpoint su una sottorete condivisa. Se un utente in un account condiviso desidera gestire i propri endpoint, l'account condiviso deve creare una propria sottorete nell'Outpost. Per ulteriori informazioni, consulta Condivisione di S3 su Outposts utilizzando AWS RAM.
La tabella seguente mostra le autorizzazioni IAM correlate agli endpoint S3 su Outposts.
| Azione | Autorizzazioni IAM |
|---|---|
CreateEndpoint |
Per gli endpoint che utilizzano il tipo di accesso del pool di indirizzi IP di proprietà del cliente on-premise (pool CoIP), sono necessarie le seguenti autorizzazioni aggiuntive:
|
DeleteEndpoint |
Per gli endpoint che utilizzano il tipo di accesso del pool di indirizzi IP di proprietà del cliente on-premise (pool CoIP), sono necessarie le seguenti autorizzazioni aggiuntive:
|
ListEndpoints |
|
Nota
Puoi utilizzare i tag delle risorse in una policy IAM per gestire le autorizzazioni.
Ruoli collegati ai servizi per S3 su Outposts
S3 su Outposts utilizza ruoli IAM collegati ai servizi per creare alcune risorse di rete per tuo conto. Per ulteriori informazioni, consulta Utilizzo dei ruoli collegati ai servizi per Amazon S3 su Outposts.
