Gestione dell'accesso con S3 Access Grants

Per aderire al principio del privilegio minimo, definisci l'accesso granulare ai dati di Amazon S3 in base ad applicazioni, personaggi, gruppi o unità organizzative. Puoi utilizzare diversi approcci per ottenere un accesso granulare ai tuoi dati in Amazon S3, a seconda della dimensione e della complessità dei modelli di accesso.

L'approccio più semplice per gestire l'accesso a small-to-medium numerosi set di dati in Amazon S3 tramite AWS Identity and Access Management (IAM) i principi fondamentali consistono nel definire le politiche di IAMautorizzazione e le politiche dei bucket S3. Questa strategia funziona a condizione che le politiche necessarie rientrino nei limiti di dimensione delle policy dei bucket S3 (20 KB) e delle IAM policy (5 KB) e rientrino nel numero di IAM principali consentiti per account.

Man mano che il numero di set di dati e di casi d'uso aumenta, potresti aver bisogno di più spazio per le policy. Un approccio che offre uno spazio significativamente maggiore per le istruzioni di policy consiste nell'utilizzare i Punti di accesso S3 come endpoint aggiuntivi per i bucket S3, poiché ogni punto di accesso può avere una propria policy. È possibile definire modelli di controllo degli accessi piuttosto granulari, poiché è possibile disporre di migliaia di punti di accesso per Regione AWS per account, con una politica di dimensioni fino a 20 KB per ogni punto di accesso. Sebbene i Punti di accesso S3 aumentino la quantità di spazio disponibile per le policy, è necessario un meccanismo che consenta ai client di individuare il punto di accesso corretto per il set di dati corretto.

Un terzo approccio consiste nell'implementare un modello di broker di IAM sessione, in cui si implementa la logica di decisione di accesso e si generano dinamicamente credenziali di IAM sessione a breve termine per ogni sessione di accesso. Sebbene l'approccio del broker di IAM sessione supporti modelli di autorizzazioni e scalabilità dinamici arbitrari in modo efficace, è necessario creare la logica del modello di accesso.

Invece di utilizzare questi approcci, è possibile utilizzare S3 Access Grants per gestire l'accesso ai dati Amazon S3. S3 Access Grants fornisce un modello semplificato per definire le autorizzazioni di accesso ai dati in Amazon S3 per prefisso, bucket o oggetto. Inoltre, puoi utilizzare S3 Access Grants per concedere l'accesso sia ai IAM principali che direttamente a utenti o gruppi dalla tua directory aziendale.

In genere si definiscono le autorizzazioni per i dati in Amazon S3 mappando utenti e gruppi a set di dati. Puoi utilizzare S3 Access Grants per definire mappature di accesso diretto dei prefissi S3 a utenti e ruoli all'interno di bucket e oggetti Amazon S3. Con lo schema di accesso semplificato di S3 Access Grants, puoi concedere l'accesso in sola lettura, sola scrittura o lettura-scrittura in base al prefisso S3 a entrambi i principali e direttamente a utenti o gruppi da una directory aziendale. IAM Con queste funzionalità di S3 Access Grants, le applicazioni possono richiedere dati da Amazon S3 per conto dell'utente attualmente autenticato dell'applicazione.

Quando integri S3 Access Grants con la funzionalità di propagazione dell'identità affidabile di AWS IAM Identity Center, le tue applicazioni possono effettuare richieste a Servizi AWS (incluso S3 Access Grants) direttamente per conto di un utente autenticato dell'elenco aziendale. Le tue applicazioni non devono più mappare prima l'utente su un principale. IAM Inoltre, poiché le identità degli utenti finali vengono propagate fino ad Amazon S3, l'audit degli utenti che hanno avuto accesso a un determinato oggetto S3 è semplificato. Non è più necessario ricostruire la relazione tra diversi utenti e IAM sessioni. Quando utilizzi S3 Access Grants con la propagazione delle IAM identità affidabile di Identity Center, ogni AWS CloudTraildata event per Amazon S3 contiene un riferimento diretto all'utente finale per conto del quale è stato effettuato l'accesso ai dati.

Per ulteriori informazioni sugli S3 Access Grants, consulta i seguenti argomenti.