Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione dell'accesso con S3 Access Grants
Per aderire al principio del privilegio minimo, definisci l'accesso granulare ai dati di Amazon S3 in base ad applicazioni, personaggi, gruppi o unità organizzative. Puoi utilizzare diversi approcci per ottenere un accesso granulare ai tuoi dati in Amazon S3, a seconda della dimensione e della complessità dei modelli di accesso.
L'approccio più semplice per gestire l'accesso a un small-to-medium numero di set di dati in Amazon S3 AWS Identity and Access Management tramite IAM () principals consiste nel IAMdefinire policy di autorizzazione e policy di bucket S3. Questa strategia funziona, a condizione che le politiche necessarie rientrino nei limiti di dimensione delle policy dei bucket S3 (20 KB) e delle IAM policy (5 KB) e rientrino nel numero di principali consentiti per account. IAM
Man mano che il numero di set di dati e di casi d'uso aumenta, potresti aver bisogno di più spazio per le policy. Un approccio che offre uno spazio significativamente maggiore per le istruzioni di policy consiste nell'utilizzare i Punti di accesso S3 come endpoint aggiuntivi per i bucket S3, poiché ogni punto di accesso può avere una propria policy. È possibile definire modelli di controllo degli accessi piuttosto granulari, poiché è possibile disporre di migliaia di punti di accesso Regione AWS per account, con una politica di dimensioni fino a 20 KB per ogni punto di accesso. Sebbene i Punti di accesso S3 aumentino la quantità di spazio disponibile per le policy, è necessario un meccanismo che consenta ai client di individuare il punto di accesso corretto per il set di dati corretto.
Un terzo approccio consiste nell'implementare un pattern di IAMsession broker, in cui si implementa la logica di decisione di accesso e si generano dinamicamente credenziali di IAM sessione a breve termine per ogni sessione di accesso. Sebbene l'approccio del broker di IAM sessione supporti modelli di autorizzazioni e scalabilità dinamici arbitrari in modo efficace, è necessario creare la logica del modello di accesso.
Invece di utilizzare questi approcci, è possibile utilizzare S3 Access Grants per gestire l'accesso ai dati Amazon S3. S3 Access Grants fornisce un modello semplificato per definire le autorizzazioni di accesso ai dati in Amazon S3 per prefisso, bucket o oggetto. Inoltre, puoi utilizzare S3 Access Grants per concedere l'accesso sia ai IAM principali che direttamente a utenti o gruppi dalla tua directory aziendale.
In genere si definiscono le autorizzazioni per i dati in Amazon S3 mappando utenti e gruppi a set di dati. Puoi utilizzare S3 Access Grants per definire mappature di accesso diretto dei prefissi S3 a utenti e ruoli all'interno di bucket e oggetti Amazon S3. Con lo schema di accesso semplificato di S3 Access Grants, puoi concedere l'accesso in sola lettura, sola scrittura o lettura-scrittura in base al prefisso S3 a entrambi i principali e direttamente a utenti o gruppi da una directory aziendale. IAM Con queste funzionalità di S3 Access Grants, le applicazioni possono richiedere dati da Amazon S3 per conto dell'utente attualmente autenticato dell'applicazione.
Quando integri S3 Access Grants con la funzionalità di propagazione dell'identità affidabile di AWS IAM Identity Center, le tue applicazioni possono effettuare richieste Servizi AWS (incluso S3 Access Grants) direttamente per conto di un utente autenticato della directory aziendale. Le tue applicazioni non devono più mappare prima l'utente su un principale. IAM Inoltre, poiché le identità degli utenti finali vengono propagate fino ad Amazon S3, l'audit degli utenti che hanno avuto accesso a un determinato oggetto S3 è semplificato. Non è più necessario ricostruire la relazione tra diversi utenti e IAM sessioni. Quando utilizzi S3 Access Grants con la propagazione IAM dell'identità affidabile di Identity Center, ogni evento relativo ai AWS CloudTraildati per Amazon S3 contiene un riferimento diretto all'utente finale per conto del quale è stato effettuato l'accesso ai dati.
Per ulteriori informazioni sugli S3 Access Grants, consulta i seguenti argomenti.
Argomenti
- Concetti di S3 Access Grants
- S3 Access Grants e identità delle directory aziendali
- Nozioni di base su S3 Access Grants
- Utilizzo delle istanze S3 Access Grants
- Lavorare con le sedi S3 Access Grants
- Utilizzo delle sovvenzioni in S3 Access Grants
- Ottenere dati S3 utilizzando le concessioni di accesso
- Accesso multi-account S3 Access Grants
- Utilizzo dei AWS tag con S3 Access Grants
- Limitazioni di S3 Access Grants
- Integrazioni con S3 Access Grants