Concetti di S3 Access Grants - Amazon Simple Storage Service
Come funziona

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concetti di S3 Access Grants

S3 Access Grants introduce i seguenti concetti per il suo schema di accesso semplificato:

Istanze S3 Access Grants

Un'istanza S3 Access Grants è un container logico per concessioni individuali che definiscono chi ha un determinato livello di accesso a un determinato tipo di dati Amazon S3. Puoi avere un'istanza S3 Access Grants per Regione AWS per Account AWS. Utilizzi questa istanza di S3 Access Grants per controllare l'accesso a tutti i bucket nello stesso account e. Regione AWS Se desideri utilizzare S3 Access Grants per concedere l'accesso alle identità di utenti e gruppi nella directory aziendale, devi anche associare la tua istanza S3 Access Grants a un'istanza (IAM) Identity Center. AWS Identity and Access Management

Posizioni

Una posizione definisce il tipo di dati a cui l'istanza S3 Access Grants può concedere l'accesso. S3 Access Grants opera distribuendo credenziali IAM con accesso limitato a un particolare prefisso, bucket o oggetto S3. Alla posizione S3 Access Grants viene associato un ruolo IAM, dal quale vengono create queste sessioni temporanee. La configurazione di posizione più comune è una posizione singola in s3:// per l'intera istanza S3 Access Grants, che può coprire l'accesso a tutti i bucket S3 dell'account e della Regione AWS. Puoi anche creare più posizioni nella tua istanza S3 Access Grants. Ad esempio, puoi registrare un bucket come una posizione s3://DOC-EXAMPLE-BUCKET1 per le concessioni che desideri limitare a questo bucket e puoi anche registrare la posizione s3:// predefinita.

Concessioni

Per restringere l'ambito di accesso all'interno di una posizione, puoi creare concessioni individuali. Una concessione individuale in un'istanza S3 Access Grants consente a un'entità specifica, un principale IAM o un utente o un gruppo in una directory aziendale, di accedere a un prefisso, un bucket o un oggetto Amazon S3. Per ogni concessione, puoi definire un ambito (un prefisso, un bucket o un oggetto) e un livello di accesso (READ, WRITE o READWRITE) differenti. Ad esempio, potresti avere una concessione che consente a un particolare gruppo di directory aziendali di effettuare l'accesso READ 01234567-89ab-cdef-0123-456789abcdef a s3://DOC-EXAMPLE-BUCKET1/projects/items/*. Questa concessione consente agli utenti di quel gruppo di effettuare un accesso READ a ogni oggetto che ha un nome della chiave con il prefisso projects/items/ nel bucket denominato DOC-EXAMPLE-BUCKET1.

Credenziali temporanee di S3 Access Grants

Un'applicazione può richiedere le credenziali di just-in-time accesso chiamando una nuova operazione API S3 GetDataAccess, per richiedere l'accesso a un singolo oggetto, prefisso o bucket con un livello di autorizzazione di, o. READ WRITE READWRITE L'istanza S3 Access Grants valuta la richiesta GetDataAccess rispetto alle concessioni di cui dispone. Se esiste una concessione corrispondente, S3 Access Grants assume il ruolo IAM associato alla posizione della concessione corrispondente. S3 Access Grants assegna quindi le autorizzazioni della sessione IAM esattamente al bucket, al prefisso o all'oggetto S3 specificato dall'ambito della concessione. L'ora di scadenza delle credenziali di accesso temporanee è predefinita a 1 ora, ma è possibile impostarla su qualsiasi valore compreso tra 15 minuti e 12 ore.

Come funziona

Nel diagramma seguente, una posizione Amazon S3 predefinita con l'ambito s3:// è registrata con il ruolo IAM s3ag-location-role. Questo ruolo IAM dispone delle autorizzazioni per eseguire azioni Amazon S3 all'interno dell'account quando le sue credenziali vengono ottenute tramite S3 Access Grants.

In questa posizione, vengono create due concessioni di accesso individuali per due utenti IAM. All'utente IAM Bob vengono concessi gli accessi READ e WRITE al prefisso bob/ nel bucket DOC-BUCKET-EXAMPLE. A un altro ruolo IAM, Alice, viene concesso solo READ l'accesso al alice/ prefisso nel bucket. DOC-BUCKET-EXAMPLE Viene definita una concessione, colorata in blu, per consentire a Bob di accedere al prefisso bob/ nel bucket DOC-BUCKET-EXAMPLE. Viene definita una concessione, colorata in verde, per consentire ad Alice di accedere al prefisso alice/ nel bucket DOC-BUCKET-EXAMPLE.

Quando Bob è il momento di passare ai READ dati, il ruolo IAM associato alla posizione in cui si trova la sua concessione chiama l'operazione dell'API S3 Access GetDataAccessGrants. Se Bob tenta di leggere (READ) un qualsiasi prefisso o oggetto S3 che inizia con s3://DOC-BUCKET-EXAMPLE/bob/*, la richiesta GetDataAccess restituisce un set di credenziali di sessione IAM temporanee con autorizzazione a s3://DOC-BUCKET-EXAMPLE/bob/*. Allo stesso modo, Bob può scrivere (WRITE) su qualsiasi prefisso o oggetto S3 che inizi con s3://DOC-BUCKET-EXAMPLE/bob/*, perché anche la concessione lo consente.

Alice, invece, può leggere (READ) tutto ciò che inizia con s3://DOC-BUCKET-EXAMPLE/alice/. Tuttavia, se prova a scrivere (WRITE) qualunque cosa su un qualsiasi bucket, prefisso o oggetto in s3://, riceverà un errore Accesso negato (403), perché non esiste alcuna concessione che le dia accesso in scrittura (WRITE) ai dati. Inoltre, se Alice richiede un qualsiasi livello di accesso (READ o WRITE) ai dati esterni as3://DOC-BUCKET-EXAMPLE/alice/, riceverà nuovamente un errore di accesso negato.

Come funziona S3 Access Grants

Questo modello si adatta a un numero elevato di utenti e bucket e semplifica la gestione di tali autorizzazioni. Anziché modificare le policy dei bucket S3 potenzialmente grandi ogni volta che desideri aggiungere o rimuovere una relazione di accesso prefisso-utente individuale, puoi aggiungere e rimuovere concessioni individuali e discrete.