Gestione dell'accesso pubblico a un punto di accesso multi-regione Visualizzazione delle impostazioni di Blocco dell'accesso pubblico Amazon S3 per un punto di accesso multi-regione Utilizzo di una policy dei punti di accesso multi-regione Modifica della policy dei punti di accesso multi-regione Esempi di policy dei punti di accesso multi-regione

Autorizzazioni

Gli access point multiregionali di Amazon S3 possono semplificare l'accesso multiplo ai dati per i bucket Amazon S3. Regioni AWS I punti di accesso multi-regione sono endpoint globali denominati che possono essere utilizzati per eseguire operazioni su oggetti di accesso ai dati di Amazon S3, ad esempio GetObject e PutObject. Ogni punto di accesso multi-regione può disporre di autorizzazioni e controlli di rete distinti per qualsiasi richiesta eseguita tramite l'endpoint globale.

Ogni punto di accesso multi-regione può inoltre applicare una policy di accesso personalizzata che funziona in combinazione con la policy di bucket collegata al bucket sottostante. Affinché una richiesta abbia esito positivo, è necessario che tutti i seguenti elementi consentano l'operazione:

Policy dei punti di accesso multi-regione
La politica sottostante () AWS Identity and Access Management IAM
Policy di bucket sottostante (a cui viene indirizzata la richiesta)

È possibile configurare qualsiasi policy Multi-Region Access Point per accettare richieste solo da IAM utenti o gruppi specifici. Per un esempio su come eseguire questa operazione, consulta l'esempio 2 in Esempi di policy dei punti di accesso multi-regione. Per limitare l'accesso ai dati di Amazon S3 a una rete privata, puoi configurare la policy Multi-Region Access Point in modo che accetti le richieste solo da un cloud privato virtuale (). VPC

Ad esempio, supponiamo di effettuare una GetObject richiesta tramite un punto di accesso multiregionale utilizzando un utente chiamato AppDataReader nel tuo account. AWS Per far sì che la richiesta non venga negata, l'utente AppDataReader deve ricevere l'autorizzazione s3:GetObject dal punto di accesso multi-regione e da ogni relativo bucket sottostante. AppDataReader non sarà in grado di recuperare i dati dai bucket che non concedono questa autorizzazione.

Importante

La delega del controllo dell'accesso per un bucket a una policy Multi-Region Access Point non modifica il comportamento del bucket quando vi si accede direttamente tramite il nome del bucket o Amazon Resource Name (). ARN Tutte le operazioni eseguite direttamente sul bucket continueranno a funzionare come prima. Le limitazioni incluse in una policy del punto di accesso multi-regione si applicano solo alle richieste effettuate tramite il corrispondente punto di accesso multi-regione.

Gestione dell'accesso pubblico a un punto di accesso multi-regione

I punti di accesso multi-regione supportano impostazioni di blocco dell'accesso pubblico indipendenti per ciascun punto di accesso. Quando crei un punto di accesso multi-regione puoi specificare le impostazioni di blocco dell'accesso pubblico applicabili.

Nota

Tutte le impostazioni di blocco dell'accesso pubblico abilitate in Impostazioni di blocco dell'accesso pubblico per questo account (nel tuo account) o Impostazioni del Blocco dell'accesso pubblico per bucket esterni continuano a essere valide anche se le impostazioni indipendenti di blocco dell'accesso pubblico per il punto di accesso multi-regione sono disabilitate.

Per qualsiasi richiesta eseguita tramite un punto di accesso multi-regione, Amazon S3 valuta le impostazioni di Blocco dell'accesso pubblico Amazon S3 per:

Punto di accesso multi-regione
I bucket sottostanti (compresi i bucket esterni)
L'account proprietario del punto di accesso multi-regione
L'account proprietario dei bucket sottostanti (inclusi gli account esterni)

Se una di queste impostazioni indica che la richiesta deve essere bloccata, Amazon S3 rifiuta la richiesta. Per ulteriori informazioni sulla caratteristica di blocco dell'accesso pubblico di Amazon S3, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

Importante

Per impostazione predefinita, tutte le impostazioni di Blocco dell'accesso pubblico Amazon S3 sono abilitate per i punti di accesso multi-regione. Devi disabilitare esplicitamente le impostazioni che non vuoi applicare a un punto di accesso multi-regione.

Dopo la creazione del punto di accesso multi-regione, non puoi più modificare le relative impostazioni di blocco dell'accesso pubblico.

Visualizzazione delle impostazioni di Blocco dell'accesso pubblico Amazon S3 per un punto di accesso multi-regione

Per visualizzare le impostazioni di Blocco dell'accesso pubblico Amazon S3 per un punto di accesso multi-regione

Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/
Nel pannello di navigazione a sinistra, scegli Multi-Region Access Points (Punti di accesso multi-regione).
Scegli il nome del punto di accesso multi-regione che desideri esaminare.
Scegli la scheda Autorizzazioni.
In Block Public Access settings for this Multi-Region Access Point (Impostazioni di Blocco dell'accesso pubblico per il punto di accesso multi-regione corrente), seleziona le impostazioni di Blocco dell'accesso pubblico Amazon S3 da applicare al tuo punto di accesso multi-regione.

Nota
Dopo la creazione del punto di accesso multi-regione, non puoi modificare le impostazioni di Blocco dell'accesso pubblico Amazon S3. Pertanto, se intendi bloccare l'accesso pubblico, assicurati che le tue applicazioni funzionino correttamente senza accesso pubblico prima di creare un punto di accesso multi-regione.

Utilizzo di una policy dei punti di accesso multi-regione

Il seguente esempio di politica Multi-Region Access Point consente a un IAM utente di accedere all'elenco e al download di file dal punto di accesso multiregionale. Per utilizzare questa policy di esempio, sostituisci user input placeholders con le tue informazioni.


 {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::123456789012:user/JohnDoe" 
         },
         "Action":[
            "s3:ListBucket",
            "s3:GetObject"
         ],
         "Resource":[
            "arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias",
            "arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias/object/*"
         ]
      }
   ]
}

Per associare la policy dei punti di accesso multi-regione al punto di accesso multi-regione specificato mediante AWS Command Line Interface (AWS CLI), utilizza il comando put-multi-region-access-point-policy seguente. Per utilizzare questo comando di esempio, sostituisci user input placeholders con le tue informazioni. Ogni punto di accesso multi-regione può avere una sola policy, quindi una richiesta effettuata per l'operazione put-multi-region-access-point-policy sostituisce qualsiasi policy esistente associata al punto di accesso multi-regione specificato.

Per esaminare i risultati dell'operazione precedente, utilizza il comando seguente:

Per recuperare la policy dei punti di accesso multi-regione, utilizza il comando seguente:

Modifica della policy dei punti di accesso multi-regione

La policy Multi-Region Access Point (scritta inJSON) fornisce l'accesso allo storage ai bucket Amazon S3 utilizzati con questo punto di accesso multiregionale. Puoi consentire o negare a principali specifici di eseguire varie azioni sul tuo punto di accesso multi-regione. Quando una richiesta viene instradata a un bucket tramite il punto di accesso multi-regione, si applicano le policy di accesso per il punto di accesso multi-regione e per il bucket. La policy di accesso più restrittiva ha sempre la precedenza.

Nota

Se un bucket contiene oggetti di proprietà di altri account, la policy dei punti di accesso multi-regione non si applica agli oggetti di proprietà di altri Account AWS.

Dopo aver applicato una policy dei punti di accesso multi-regione, tale policy non può essere eliminata. È possibile modificare la policy o creare una nuova policy che sovrascriva quella esistente.

Per esaminare la policy dei punti di accesso multi-regione

Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/
Nel pannello di navigazione a sinistra, scegli Multi-Region Access Points (Punti di accesso multi-regione).
Seleziona il nome del punto di accesso multi-regione per il quale desideri modificare la policy.
Scegli la scheda Autorizzazioni.
Scorri verso il basso fino alla sezione Multi-Region Access Point policy (Policy del punto di accesso multi-regione). Scegli Modifica per aggiornare la policy (inJSON).
Viene visualizzata la pagina Edit Multi-Region Access Point policy (Modifica policy del punto di accesso multi-regione). Puoi immettere la policy direttamente nel campo di testo oppure puoi scegliere Add statement (Aggiungi istruzione) per selezionare gli elementi della policy da un elenco a discesa.

Nota
La console visualizza automaticamente il Multi-Region Access Point Amazon Resource Name (ARN), che puoi utilizzare nella policy. Per degli esempi di policy dei punti di accesso multi-regione, consulta Esempi di policy dei punti di accesso multi-regione.

Esempi di policy dei punti di accesso multi-regione

I punti di accesso multiregionali di Amazon S3 supportano le politiche delle risorse AWS Identity and Access Management (IAM). È possibile utilizzare queste policy per controllare l'utilizzo del punto di accesso multi-regione per risorsa, utente o altre condizioni. Affinché un'applicazione o un utente possa accedere agli oggetti tramite un punto di accesso multi-regione, sia il punto di accesso multi-regione che il bucket sottostante devono consentire la stessa richiesta.

Per consentire lo stesso accesso sia al punto di accesso multi-regione che al bucket sottostante, esegui una delle seguenti operazioni:

(Consigliato) Per semplificare i controlli di accesso quando si utilizza un punto di accesso multi-regione di Amazon S3, delega il controllo dell'accesso per il bucket Amazon S3 al punto di accesso multi-regione. Per un esempio su come eseguire questa operazione, consulta l'esempio 1 in questa sezione.
Aggiungi le stesse autorizzazioni contenute nella policy del punto di accesso multi-regione alla policy di bucket sottostante.

Importante

Esempio 1: delega dell'accesso a specifici punti di accesso multi-regione nella policy di bucket (per lo stesso account o per più account)

La seguente policy di esempio per i bucket consente l'accesso completo a livello di bucket a un punto di accesso multi-regione specifico. Questo significa che tutto l'accesso a questo bucket è controllato dalle policy associate al punto di accesso multi-regione. Si consiglia di configurare i bucket in questo modo per tutti i casi d'uso che non richiedono l'accesso diretto al bucket. È possibile utilizzare questa struttura di policy di bucket per i punti di accesso multi-regione nello stesso account o in un altro account.


{
    "Version": "2012-10-17",
    "Statement" : [
    {
        "Effect": "Allow",
        "Principal" : { "AWS": "*" },
        "Action" : "*",
        "Resource" : [ "Bucket ARN", "Bucket ARN/*"],
        "Condition": {
            "StringEquals" : { "s3:DataAccessPointArn" : "MultiRegionAccessPoint_ARN" }
        }
    }]
}

Nota

Se sono presenti più punti di accesso multi-regione a cui concedi l'accesso, assicurati di specificare ogni punto di accesso multi-regione.

Esempio 2: concessione a un account dell'accesso a un punto di accesso multi-regione nella policy del punto di accesso multi-regione

La seguente politica del punto di accesso multiregionale consente all'account di elencare 123456789012 e leggere gli oggetti contenuti nel punto di accesso multiregionale definito dal MultiRegionAccessPoint_ARN.


{
  "Version":"2012-10-17",
  "Statement": [
    {
       "Effect": "Allow",
       "Principal": {
          "AWS":"arn:aws:iam::123456789012:user/JohnDoe"
       },
       "Action":[
          "s3:ListBucket",
          "s3:GetObject"
       ],
       "Resource":[ 
          "MultiRegionAccessPoint_ARN",
          "MultiRegionAccessPoint_ARN/object/*"
       ]
     }
  ]
}

Esempio 3: policy del punto di accesso multi-regione che consente l'elenco dei bucket

La seguente politica del punto di accesso multiregionale consente l'123456789012autorizzazione dell'account a elencare gli oggetti contenuti nel punto di accesso multiregionale definito dal MultiRegionAccessPoint_ARN.


{
   "Version":"2012-10-17",
   "Statement": [
      {
       "Effect": "Allow",
       "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/JohnDoe"
        },
        "Action": "s3:ListBucket",
        "Resource": "MultiRegionAccessPoint_ARN"
       }
    ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo di punti di accesso multi-regione

Restrizioni e limitazioni