Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Concetti di S3 Access Grants
S3 Access Grants introduce i seguenti concetti per il suo schema di accesso semplificato:
- Istanze S3 Access Grants
-
Un'istanza S3 Access Grants è un container logico per concessioni individuali che definiscono chi ha un determinato livello di accesso a un determinato tipo di dati Amazon S3. Puoi avere un'istanza S3 Access Grants per Regione AWS per Account AWS. Utilizzi questa istanza di S3 Access Grants per controllare l'accesso a tutti i bucket nello stesso account e. Regione AWS Se desideri utilizzare S3 Access Grants per concedere l'accesso alle identità di utenti e gruppi nella directory aziendale, devi anche associare la tua istanza S3 Access Grants a un'istanza (IAM) Identity Center. AWS Identity and Access Management
- Posizioni
-
Una posizione definisce il tipo di dati a cui l'istanza S3 Access Grants può concedere l'accesso. S3 Access Grants opera distribuendo credenziali IAM con accesso limitato a un particolare prefisso, bucket o oggetto S3. Alla posizione S3 Access Grants viene associato un ruolo IAM, dal quale vengono create queste sessioni temporanee. La configurazione di posizione più comune è una posizione singola in
s3://
per l'intera istanza S3 Access Grants, che può coprire l'accesso a tutti i bucket S3 dell'account e della Regione AWS. Puoi anche creare più posizioni nella tua istanza S3 Access Grants. Ad esempio, puoi registrare un bucket come una posiziones3://DOC-EXAMPLE-BUCKET1
per le concessioni che desideri limitare a questo bucket e puoi anche registrare la posiziones3://
predefinita. - Concessioni
-
Per restringere l'ambito di accesso all'interno di una posizione, puoi creare concessioni individuali. Una concessione individuale in un'istanza S3 Access Grants consente a un'entità specifica, un principale IAM o un utente o un gruppo in una directory aziendale, di accedere a un prefisso, un bucket o un oggetto Amazon S3. Per ogni concessione, puoi definire un ambito (un prefisso, un bucket o un oggetto) e un livello di accesso (
READ
,WRITE
oREADWRITE
) differenti. Ad esempio, potresti avere una concessione che consente a un particolare gruppo di directory aziendali di effettuare l'accessoREAD
01234567-89ab-cdef-0123-456789abcdef
as3://DOC-EXAMPLE-BUCKET1/projects/items/*
. Questa concessione consente agli utenti di quel gruppo di effettuare un accessoREAD
a ogni oggetto che ha un nome della chiave con il prefissoprojects/items/
nel bucket denominatoDOC-EXAMPLE-BUCKET1
. - Credenziali temporanee di S3 Access Grants
-
Un'applicazione può richiedere le credenziali di just-in-time accesso chiamando una nuova operazione API S3 GetDataAccess, per richiedere l'accesso a un singolo oggetto, prefisso o bucket con un livello di autorizzazione di, o.
READ
WRITE
READWRITE
L'istanza S3 Access Grants valuta la richiestaGetDataAccess
rispetto alle concessioni di cui dispone. Se esiste una concessione corrispondente, S3 Access Grants assume il ruolo IAM associato alla posizione della concessione corrispondente. S3 Access Grants assegna quindi le autorizzazioni della sessione IAM esattamente al bucket, al prefisso o all'oggetto S3 specificato dall'ambito della concessione. L'ora di scadenza delle credenziali di accesso temporanee è predefinita a 1 ora, ma è possibile impostarla su qualsiasi valore compreso tra 15 minuti e 12 ore.
Come funziona
Nel diagramma seguente, una posizione Amazon S3 predefinita con l'ambito s3://
è registrata con il ruolo IAM s3ag-location-role
. Questo ruolo IAM dispone delle autorizzazioni per eseguire azioni Amazon S3 all'interno dell'account quando le sue credenziali vengono ottenute tramite S3 Access Grants.
In questa posizione, vengono create due concessioni di accesso individuali per due utenti IAM. All'utente IAM Bob vengono concessi gli accessi READ
e WRITE
al prefisso bob/
nel bucket DOC-BUCKET-EXAMPLE
. A un altro ruolo IAM, Alice, viene concesso solo READ
l'accesso al alice/
prefisso nel bucket. DOC-BUCKET-EXAMPLE
Viene definita una concessione, colorata in blu, per consentire a Bob di accedere al prefisso bob/
nel bucket DOC-BUCKET-EXAMPLE
. Viene definita una concessione, colorata in verde, per consentire ad Alice di accedere al prefisso alice/
nel bucket DOC-BUCKET-EXAMPLE
.
Quando Bob è il momento di passare ai READ
dati, il ruolo IAM associato alla posizione in cui si trova la sua concessione chiama l'operazione dell'API S3 Access GetDataAccessGrants. Se Bob tenta di leggere (READ
) un qualsiasi prefisso o oggetto S3 che inizia con s3://DOC-BUCKET-EXAMPLE/bob/*
, la richiesta GetDataAccess
restituisce un set di credenziali di sessione IAM temporanee con autorizzazione a s3://DOC-BUCKET-EXAMPLE/bob/*
. Allo stesso modo, Bob può scrivere (WRITE
) su qualsiasi prefisso o oggetto S3 che inizi con s3://DOC-BUCKET-EXAMPLE/bob/*
, perché anche la concessione lo consente.
Alice, invece, può leggere (READ
) tutto ciò che inizia con s3://DOC-BUCKET-EXAMPLE/alice/
. Tuttavia, se prova a scrivere (WRITE
) qualunque cosa su un qualsiasi bucket, prefisso o oggetto in s3://
, riceverà un errore Accesso negato (403), perché non esiste alcuna concessione che le dia accesso in scrittura (WRITE
) ai dati. Inoltre, se Alice richiede un qualsiasi livello di accesso (READ
o WRITE
) ai dati esterni as3://DOC-BUCKET-EXAMPLE/alice/
, riceverà nuovamente un errore di accesso negato.
![Come funziona S3 Access Grants](images/s3ag-how-it-works.png)
Questo modello si adatta a un numero elevato di utenti e bucket e semplifica la gestione di tali autorizzazioni. Anziché modificare le policy dei bucket S3 potenzialmente grandi ogni volta che desideri aggiungere o rimuovere una relazione di accesso prefisso-utente individuale, puoi aggiungere e rimuovere concessioni individuali e discrete.