Controllo degli accessi in Amazon S3 - Amazon Simple Storage Service
Risorse S3IdentitàStrumenti di gestione degli accessiAzioniCasi d'uso della gestione degli accessiRisoluzione dei problemi di gestione dell'accesso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo degli accessi in Amazon S3

In AWS, una risorsa è un'entità con cui puoi lavorare. In Amazon Simple Storage Service (S3), i bucket e gli oggetti sono le risorse Amazon S3 originali. È probabile che ogni cliente S3 abbia dei bucket contenenti oggetti. Con l'aggiunta di nuove funzionalità a S3, sono state aggiunte anche risorse aggiuntive, ma non tutti i clienti utilizzano queste risorse specifiche per le funzionalità. Per ulteriori informazioni sulle risorse di Amazon S3, consulta. Risorse S3

Per impostazione predefinita, tutte le risorse Amazon S3 sono private. Inoltre, per impostazione predefinita, l'utente root di chi Account AWS ha creato la risorsa (proprietario della risorsa) e IAM gli utenti all'interno di quell'account con le autorizzazioni necessarie possono accedere a una risorsa da loro creata. Il proprietario della risorsa decide chi altro può accedere alla risorsa e le azioni che altri possono eseguire sulla risorsa. S3 dispone di vari strumenti di gestione degli accessi che puoi utilizzare per concedere ad altri l'accesso alle tue risorse S3.

Le sezioni seguenti forniscono una panoramica delle risorse S3, degli strumenti di gestione degli accessi S3 disponibili e dei migliori casi d'uso per ogni strumento di gestione degli accessi. Gli elenchi contenuti in queste sezioni vogliono essere completi e includono tutte le risorse S3, gli strumenti di gestione degli accessi e i casi d'uso comuni di gestione degli accessi. Allo stesso tempo, queste sezioni sono progettate per essere directory che consentono di accedere ai dettagli tecnici desiderati. Se hai una buona conoscenza di alcuni dei seguenti argomenti, puoi passare alla sezione che ti riguarda.

Per ulteriori informazioni sulle autorizzazioni alle API operazioni S3 in base ai tipi di risorse S3, consulta. Autorizzazioni richieste per le operazioni di Amazon API S3

Argomenti

Risorse S3

Le risorse originali di Amazon S3 sono i bucket e gli oggetti in essi contenuti. Man mano che vengono aggiunte nuove funzionalità a S3, vengono aggiunte anche nuove risorse. Di seguito è riportato un elenco completo delle risorse S3 e delle rispettive funzionalità.

Tipo di risorsa Funzionalità Amazon S3 Descrizione

bucket

Caratteristiche principali

Un bucket è un container per oggetti o file. Per memorizzare un oggetto in S3, crea un bucket e poi carica uno o più oggetti nel bucket. Per ulteriori informazioni, consulta Creazione, configurazione e utilizzo di bucket Amazon S3.

object

Un oggetto può essere un file e qualsiasi metadato che descrive quel file. Quando un oggetto è nel bucket, puoi aprirlo, scaricarlo e spostarlo. Per ulteriori informazioni, consulta Lavorare con oggetti in Amazon S3.

accesspoint

Access point

Gli access point sono endpoint di rete denominati collegati a bucket che puoi utilizzare per eseguire operazioni sugli oggetti Amazon S3, come e. GetObject PutObject Ogni punto di accesso dispone di autorizzazioni e controlli di rete distinti e di una politica personalizzata del punto di accesso che funziona in combinazione con la policy del bucket associata al bucket sottostante. È possibile configurare qualsiasi punto di accesso per accettare richieste solo da un cloud privato virtuale (VPC) o configurare impostazioni di accesso pubblico a blocchi personalizzate per ogni punto di accesso. Per ulteriori informazioni, consulta Gestione dell'accesso a set di dati condivisi con punti di accesso.

objectlambdaaccesspoint

Un Object Lambda Access Point è un punto di accesso per un bucket associato anche a una funzione Lambda. Con Object Lambda Access Point, puoi aggiungere il tuo codice ad Amazon GET S3 LIST HEAD e richiedere di modificare ed elaborare i dati non appena vengono restituiti a un'applicazione. Per ulteriori informazioni, consulta Creazione di punti di accesso Object Lambda.

multiregionaccesspoint

I punti di accesso multiregione forniscono un endpoint globale che le applicazioni possono utilizzare per soddisfare le richieste dei bucket Amazon S3 che si trovano in più regioni. AWS Puoi utilizzare i punti di accesso multi-regione per creare applicazioni multi-regione con la stessa architettura utilizzata in una singola regione e quindi eseguire tali applicazioni in qualsiasi parte del mondo. Invece di inviare richieste sulla rete Internet pubblica congestionata, le richieste di applicazioni effettuate a un endpoint globale Multi-Region Access Point vengono instradate automaticamente attraverso la rete AWS globale fino al bucket Amazon S3 più vicino. Per ulteriori informazioni, consulta Gestione del traffico multiregionale con punti di accesso multiregionali.

job

Operazioni in batch S3

Un job è una risorsa della funzionalità Batch Operations di S3. Puoi utilizzare S3 Batch Operations per eseguire operazioni batch su larga scala su elenchi di oggetti Amazon S3 specificati. Amazon S3 monitora lo stato di avanzamento del processo operativo in batch, invia notifiche e archivia un rapporto dettagliato di completamento di tutte le azioni, offrendoti un'esperienza completamente gestita, verificabile e senza server. Per ulteriori informazioni, consulta Esecuzione di operazioni sugli oggetti in blocco con Batch Operations.

storagelensconfiguration

S3 Storage Lens

Una configurazione S3 Storage Lens raccoglie i parametri di storage e i dati utente a livello di organizzazione su tutti gli account. S3 Storage Lens offre agli amministratori una visione unica dell'utilizzo e dell'attività dello storage di oggetti su centinaia o addirittura migliaia di account di un'organizzazione, con dettagli per generare approfondimenti a più livelli di aggregazione. Per ulteriori informazioni, consulta Valutazione dell'attività e dell'utilizzo dello storage con Amazon S3 Storage Lens.

storagelensgroup

Un gruppo S3 Storage Lens aggrega le metriche utilizzando filtri personalizzati basati sui metadati degli oggetti. I gruppi S3 Storage Lens ti aiutano a studiare le caratteristiche dei tuoi dati, come la distribuzione degli oggetti per età, i tipi di file più comuni e altro ancora. Per ulteriori informazioni, consulta Utilizzo dei gruppi di S3 Storage Lens per filtrare e aggregare le metriche.

accessgrantsinstance

S3 Access Grants

Un'istanza S3 Access Grants è un contenitore per le concessioni S3 che crei. Con S3 Access Grants, puoi creare sovvenzioni ai tuoi dati Amazon S3 per IAM identità all'interno del tuo account, IAM identità in altri account (più account) e identità di directory aggiunte dalla tua directory aziendale. AWS IAM Identity Center Per ulteriori informazioni su S3 Access Grants, consulta. Gestione dell'accesso con S3 Access Grants

accessgrantslocation

Un Access Grants Location è un bucket, un prefisso all'interno di un bucket o un oggetto che registri nell'istanza di S3 Access Grants. È necessario registrare le sedi all'interno dell'istanza S3 Access Grants prima di poter creare una concessione per quella posizione. Quindi, con S3 Access Grants, puoi concedere l'accesso al bucket, al prefisso o all'oggetto per le identità all'interno del tuo account, IAM le identità in altri account (più account) e IAM le identità di directory aggiunte dalla tua directory aziendale. AWS IAM Identity Center Per ulteriori informazioni su S3 Access Grants, consulta Gestione dell'accesso con S3 Access Grants

accessgrant

Una concessione di accesso è una concessione individuale ai tuoi dati Amazon S3. Con S3 Access Grants, puoi creare sovvenzioni ai tuoi dati Amazon S3 per IAM identità all'interno del tuo account, IAM identità in altri account (più account) e identità di directory aggiunte dalla tua directory aziendale. AWS IAM Identity Center Per ulteriori informazioni su S3 Access Grants, consulta Gestione dell'accesso con S3 Access Grants
Bucket

Esistono due tipi di bucket Amazon S3: bucket generici e bucket di directory.

Classificazione delle risorse S3

Amazon S3 offre funzionalità per classificare e organizzare le risorse S3. La categorizzazione delle risorse non è utile solo per organizzarle, ma consente anche di impostare regole di gestione degli accessi basate sulle categorie di risorse. In particolare, i prefissi e i tag sono due funzionalità di organizzazione dell'archiviazione che è possibile utilizzare per impostare le autorizzazioni di gestione degli accessi.

Nota

Le seguenti informazioni si applicano ai bucket per uso generico. I bucket di directory non supportano l'etichettatura e presentano limitazioni relative ai prefissi. Per ulteriori informazioni, consulta Autorizzazione dell'endpoint APIs regionale con IAM.

  • Prefissi: un prefisso in Amazon S3 è una stringa di caratteri all'inizio del nome chiave di un oggetto che viene utilizzata per organizzare gli oggetti archiviati nei bucket S3. È possibile utilizzare un carattere delimitatore, ad esempio una barra (/), per indicare la fine del prefisso all'interno del nome della chiave dell'oggetto. Ad esempio, potreste avere nomi di chiavi di oggetto che iniziano con il engineering/ prefisso o nomi di chiavi di oggetto che iniziano con il prefisso. marketing/campaigns/ L'uso di un delimitatore alla fine del prefisso, ad esempio una barra, / emula le convenzioni di denominazione di cartelle e file. Tuttavia, in S3, il prefisso fa parte del nome della chiave dell'oggetto. Nei bucket S3 per uso generico, non esiste una vera gerarchia di cartelle.

    Amazon S3 supporta l'organizzazione e il raggruppamento di oggetti utilizzando i relativi prefissi. Puoi anche gestire l'accesso agli oggetti tramite i relativi prefissi. Ad esempio, è possibile limitare l'accesso solo agli oggetti con nomi che iniziano con un prefisso specifico.

    Per ulteriori informazioni, consulta Organizzazione degli oggetti utilizzando i prefissi. La console S3 utilizza il concetto di cartelle, che, nei bucket generici, sono essenzialmente prefissi aggiunti al nome della chiave dell'oggetto. Per ulteriori informazioni, consulta Organizzazione degli oggetti nella console di Amazon S3 utilizzando le cartelle.

  • Tag: ogni tag è una coppia chiave-valore che assegni alle risorse. Ad esempio, puoi taggare alcune risorse con il tag. topicCategory=engineering È possibile utilizzare i tag per facilitare l'allocazione dei costi, la categorizzazione e l'organizzazione e il controllo degli accessi. Il bucket tagging viene utilizzato solo per l'allocazione dei costi. Puoi taggare oggetti, S3 Storage Lens, lavori e S3 Access Grants per scopi organizzativi o per il controllo degli accessi. In S3 Access Grants, puoi anche utilizzare i tag per l'allocazione dei costi. Come esempio di controllo dell'accesso alle risorse utilizzando i relativi tag, puoi condividere solo gli oggetti che hanno un tag specifico o una combinazione di tag.

    Per ulteriori informazioni, consulta Controllare l'accesso alle AWS risorse utilizzando i tag delle risorse nella Guida IAM per l'utente.

Identità

In Amazon S3, il proprietario della risorsa è l'identità che ha creato la risorsa, ad esempio un bucket o un oggetto. Per impostazione predefinita, solo l'utente root dell'account che ha creato la risorsa e IAM le identità all'interno dell'account che dispongono dell'autorizzazione richiesta possono accedere alla risorsa S3. I proprietari delle risorse possono consentire ad altre identità di accedere alle proprie risorse S3.

Le identità che non possiedono una risorsa possono richiedere l'accesso a tale risorsa. Le richieste a una risorsa sono autenticate o non autenticate. Le richieste autenticate devono includere un valore di firma che autentichi il mittente della richiesta, ma le richieste non autenticate non richiedono una firma. Si consiglia di concedere l'accesso solo agli utenti autenticati. Per ulteriori informazioni sull'autenticazione delle richieste, consulta Effettuare richieste in Amazon S3 API Reference.

Importante

Ti consigliamo di non utilizzare le credenziali dell'utente Account AWS root per effettuare richieste autenticate. Invece, crea un IAM ruolo e concedi a quel ruolo l'accesso completo. Gli utenti con questo ruolo vengono definiti utenti amministratori. È possibile utilizzare le credenziali assegnate al ruolo di amministratore, anziché le credenziali dell'utente Account AWS root, per interagire AWS ed eseguire attività, come creare un bucket, creare utenti e concedere autorizzazioni. Per ulteriori informazioni, consulta le credenziali dell'utente Account AWS root e le credenziali IAM utente nella Riferimenti generali di AWS, e consulta le migliori pratiche di sicurezza nella Guida per l'utente. IAM IAM

Le identità che accedono ai tuoi dati in Amazon S3 possono essere una delle seguenti:

Account AWS owner

Account AWS Quello che ha creato la risorsa. Ad esempio, l'account che ha creato il bucket. Questo account possiede la risorsa. Per ulteriori informazioni, vedere AWS account root user.

IAMidentità nello stesso account del proprietario Account AWS

Quando configura gli account per i nuovi membri del team che richiedono l'accesso a S3, il Account AWS proprietario può utilizzare AWS Identity and Access Management (IAM) per creare utenti, gruppi e ruoli. Il Account AWS proprietario può quindi condividere le risorse con queste IAM identità. Il proprietario dell'account può anche specificare le autorizzazioni per fornire IAM le identità, che consentono o negano le azioni che possono essere eseguite sulle risorse condivise.

IAMle identità offrono funzionalità avanzate, inclusa la possibilità di richiedere agli utenti di inserire le credenziali di accesso prima di accedere alle risorse condivise. Utilizzando IAM le identità, è possibile implementare una forma di IAM autenticazione a più fattori (MFA) per supportare una solida base di identità. Una procedura IAM ottimale consiste nel creare ruoli per la gestione degli accessi anziché concedere le autorizzazioni a ogni singolo utente. Assegnate ai singoli utenti il ruolo appropriato. Per ulteriori informazioni, consulta Best practice di sicurezza in IAM.

Altri proprietari di AWS account e relative IAM identità (accesso da più account)

Il Account AWS proprietario può inoltre concedere ad altri proprietari di AWS account o IAM identità che appartengono a un altro AWS account l'accesso alle risorse.

Nota

Delega delle autorizzazioni: se un utente Account AWS possiede una risorsa, può concedere tali autorizzazioni a un'altra persona. Account AWS Tale account può quindi delegare tali autorizzazioni, o un sottoinsieme di esse, agli utenti dello stesso account. Questa operazione si definisce delega delle autorizzazioni. Tuttavia, un account che riceve le autorizzazioni da un altro account non può delegare tali autorizzazioni «su più account» a un altro. Account AWS

Utenti anonimi (accesso pubblico)

Il Account AWS proprietario può rendere pubbliche le risorse. Rendendo pubblica una risorsa tecnicamente la risorsa viene condivisa con l'utente anonimo. I bucket creati a partire da aprile 2023 bloccano tutti gli accessi pubblici per impostazione predefinita, a meno che non si modifichi questa impostazione. Ti consigliamo di impostare i bucket per bloccare l'accesso pubblico e di concedere l'accesso solo agli utenti autenticati. Per ulteriori informazioni sul blocco dell'accesso pubblico, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

Servizi AWS

Il proprietario della risorsa può concedere a un altro AWS servizio l'accesso a una risorsa Amazon S3. Ad esempio, puoi concedere al AWS CloudTrail servizio l's3:PutObjectautorizzazione a scrivere file di registro nel tuo bucket. Per ulteriori informazioni, vedere Fornire l'accesso a un AWS servizio.

Identità degli elenchi aziendali

Il proprietario della risorsa può concedere agli utenti o ai ruoli della directory aziendale l'accesso a una risorsa S3 utilizzando S3 Access Grants. Per ulteriori informazioni sull'aggiunta della directory aziendale a AWS IAM Identity Center, consulta Cos'è IAM Identity Center? .

Proprietari di bucket o risorse

I bucket Account AWS che usi per creare bucket e caricare oggetti sono i proprietari di tali risorse. Un proprietario del bucket può concedere a un altro Account AWS (o agli utenti di un altro account) autorizzazioni multiaccount per caricare gli oggetti.

Quando il proprietario del bucket consente a un altro account di caricare oggetti in un bucket, il proprietario del bucket, per impostazione predefinita, possiede tutti gli oggetti caricati nel proprio bucket. Tuttavia, se le impostazioni preferite del bucket proprietario del bucket e del proprietario del bucket sono disattivate, chi carica gli oggetti possiede tali oggetti e il Account AWS proprietario del bucket non dispone delle autorizzazioni sugli oggetti di proprietà di un altro account, con le seguenti eccezioni:

  • È il proprietario del bucket a pagare la fattura. Il proprietario del bucket può rifiutare l'accesso agli oggetti nel bucket o eliminarli, indipendentemente dall'utente a cui appartengono.

  • Il proprietario del bucket può archiviare qualsiasi oggetto o ripristinare gli oggetti archiviati, indipendentemente dal proprietario. L'archiviazione fa riferimento alla classe di storage utilizzata per archiviare gli oggetti. Per ulteriori informazioni, consulta Gestione del ciclo di vita degli oggetti.

Strumenti di gestione degli accessi

Amazon S3 offre una varietà di funzionalità e strumenti di sicurezza. Di seguito è riportato un elenco completo di queste funzionalità e strumenti. Non sono necessari tutti questi strumenti di gestione degli accessi, ma è necessario utilizzarne uno o più per concedere l'accesso alle risorse Amazon S3. La corretta applicazione di questi strumenti può contribuire a garantire che le risorse siano accessibili solo agli utenti previsti.

Lo strumento di gestione degli accessi più utilizzato è una politica di accesso. Una politica di accesso può essere una politica basata sulle risorse collegata a una AWS risorsa, ad esempio una policy bucket per un bucket. Una politica di accesso può anche essere una politica basata sull'identità associata a un'identità AWS Identity and Access Management (IAM), ad esempio un utente, un gruppo o un ruolo. IAM Scrivi una politica di accesso per concedere Account AWS a IAM utenti, gruppi e ruoli l'autorizzazione a eseguire operazioni su una risorsa. Ad esempio, puoi concedere PUT Object l'autorizzazione a un altro account Account AWS in modo che l'altro account possa caricare oggetti nel tuo bucket.

Una politica di accesso descrive chi ha accesso a quali cose. Quando Amazon S3 riceve una richiesta, deve valutare tutte le politiche di accesso per determinare se autorizzare o rifiutare la richiesta. Per ulteriori informazioni su come Amazon S3 valuta le policy, consulta In che modo Amazon S3 autorizza una richiesta.

Di seguito sono riportati gli strumenti di gestione degli accessi disponibili in Amazon S3.

Una policy sui bucket di Amazon S3 è una policy basata su risorse JSON -formatted AWS Identity and Access Management (IAM) allegata a un particolare bucket. Utilizza le policy relative ai bucket per concedere autorizzazioni ad altre persone Account AWS o IAM identità per il bucket e gli oggetti in esso contenuti. Molti casi d'uso della gestione degli accessi di S3 possono essere soddisfatti utilizzando una policy bucket. Con le bucket policy, puoi personalizzare l'accesso ai bucket per assicurarti che solo le identità che hai approvato possano accedere alle risorse ed eseguire azioni al loro interno. Per ulteriori informazioni, consulta Politiche Bucket per Amazon S3.

Di seguito è riportato un esempio di policy di bucket. La policy del bucket viene espressa utilizzando un file. JSON Questa politica di esempio concede un'autorizzazione di lettura del IAM ruolo a tutti gli oggetti nel bucket. Contiene un'istruzione denominataBucketLevelReadPermissions, che consente l's3:GetObjectazione (autorizzazione di lettura) sugli oggetti in un bucket denominato. amzn-s3-demo-bucket1 Specificando un IAM ruolo comePrincipal, questa politica concede l'accesso a qualsiasi IAM utente con questo ruolo. Per utilizzare questa policy di esempio, sostituisci user input placeholders con le tue informazioni. 

{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid":"BucketLevelReadPermissions",
      "Effect":"Allow",
      "Principal": {
	    "AWS": "arn:aws:iam::123456789101:role/s3-role"
      },
      "Action":["s3:GetObject"],
      "Resource":["arn:aws:s3:::amzn-s3-demo-bucket1/*"]
    }]
  }
Nota

Durante la creazione delle policy, è opportuno evitare l'uso di caratteri jolly (*) nell'elemento Principal perché questo consente a chiunque di accedere alle risorse Amazon S3. Invece, elenca in modo esplicito gli utenti o i gruppi a cui è consentito accedere al bucket o elenca le condizioni che devono essere soddisfatte utilizzando una clausola condizionale nella politica. Inoltre, anziché includere un carattere jolly per le azioni degli utenti o dei gruppi, concedi loro autorizzazioni specifiche quando applicabile.

Una politica basata sull'identità o basata sull'IAMutente è un tipo di politica ().AWS Identity and Access Management IAM Una politica basata sull'identità è una politica JSON formattata allegata a IAM utenti, gruppi o ruoli nel tuo account. AWS Puoi utilizzare politiche basate sull'identità per concedere a un'IAMidentità l'accesso ai tuoi bucket o oggetti. Puoi creare IAM utenti, gruppi e ruoli nel tuo account e allegare loro politiche di accesso. Puoi quindi concedere l'accesso alle AWS risorse, incluse le risorse Amazon S3. Per ulteriori informazioni, consulta Policy basate sull'identità per Amazon S3.

Di seguito è riportato un esempio di policy basata sull'identità. La policy di esempio consente al IAM ruolo associato di eseguire sei diverse azioni Amazon S3 (autorizzazioni) su un bucket e sugli oggetti in esso contenuti. Se colleghi questa policy a un IAM ruolo nel tuo account e assegni il ruolo ad alcuni dei tuoi IAM utenti, gli utenti con questo ruolo saranno in grado di eseguire queste azioni sulle risorse (bucket) specificate nella tua policy. Per utilizzare questa policy di esempio, sostituisci user input placeholders con le tue informazioni.

{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Sid": "AssignARoleActions",
    "Effect": "Allow",
    "Action": [
	  "s3:PutObject",
	  "s3:GetObject",
	  "s3:ListBucket",
	  "s3:DeleteObject",
	  "s3:GetBucketLocation"
    ],
    "Resource": [
	  "arn:aws:s3:::amzn-s3-demo-bucket1/*",
	  "arn:aws:s3:::amzn-s3-demo-bucket1"
    ]
    },
  {
    "Sid": "AssignARoleActions2",
    "Effect": "Allow",
    "Action": "s3:ListAllMyBuckets",
    "Resource": "*"
  }
  ]
}

Usa S3 Access Grants per creare concessioni di accesso ai tuoi dati Amazon S3 per entrambe le identità nelle directory di identità aziendali, ad esempio Active Directorye alle () identità. AWS Identity and Access Management IAM S3 Access Grants ti aiuta a gestire le autorizzazioni relative ai dati su larga scala. Inoltre, S3 Access Grants registra l'identità dell'utente finale e l'applicazione utilizzata per accedere ai dati S3. AWS CloudTrail Ciò fornisce una cronologia di controllo dettagliata fino all'identità dell'utente finale per tutti gli accessi ai dati nei bucket S3. Per ulteriori informazioni, consulta Gestione dell'accesso con S3 Access Grants.

Amazon S3 Access Points semplifica la gestione dell'accesso ai dati su larga scala per le applicazioni che utilizzano set di dati condivisi su S3. Gli access point sono endpoint di rete denominati collegati a un bucket. È possibile utilizzare i punti di accesso per eseguire operazioni sugli oggetti S3 su larga scala, come il caricamento e il recupero di oggetti. Un bucket può avere fino a 10.000 punti di accesso collegati e, per ogni punto di accesso, puoi applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso agli oggetti S3. Gli access point S3 possono essere associati a bucket nello stesso account o in un altro account affidabile. Le policy degli Access Points sono politiche basate sulle risorse che vengono valutate insieme alla policy bucket sottostante. Per ulteriori informazioni, consulta Gestione dell'accesso a set di dati condivisi con punti di accesso.

An ACL è un elenco di sovvenzioni che identificano il beneficiario e l'autorizzazione concessa. ACLsconcedere autorizzazioni di base di lettura o scrittura ad altri. Account AWS ACLsusa uno schema specifico di Amazon S3XML. An ACL è un tipo di AWS Identity and Access Management () IAM policy. Un oggetto ACL viene utilizzato per gestire l'accesso a un oggetto e un bucket ACL viene utilizzato per gestire l'accesso a un bucket. Con le policy del bucket, esiste un'unica politica per l'intero bucket, ma gli oggetti ACLs sono specificati per ogni oggetto. Si consiglia di mantenerla ACLs disattivata, tranne in circostanze insolite in cui è necessario controllare singolarmente l'accesso per ciascun oggetto. Per ulteriori informazioni sull'utilizzoACLs, vedereControllo della proprietà degli oggetti e disattivazione ACLs del bucket.

avvertimento

La maggior parte dei casi d'uso moderni in Amazon S3 non richiede l'uso di. ACLs

Quello che segue è un esempio di ACL bucket. La concessione nella finestra ACL mostra un proprietario del bucket che dispone del permesso di controllo completo. 

<?xml version="1.0" encoding="UTF-8"?>
	<AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
		<Owner>
			<ID>Owner-Canonical-User-ID</ID>
			<DisplayName>owner-display-name</DisplayName>
		</Owner>
	<AccessControlList>
		<Grant>
			<Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Canonical User">
				<ID>Owner-Canonical-User-ID</ID>
				<DisplayName>display-name</DisplayName>
			</Grantee>
			<Permission>FULL_CONTROL</Permission>
		</Grant>
	</AccessControlList>
</AccessControlPolicy>

Per gestire l'accesso ai tuoi oggetti, devi essere il proprietario dell'oggetto. Puoi utilizzare l'impostazione a livello di bucket Object Ownership per controllare la proprietà degli oggetti caricati nel tuo bucket. Inoltre, utilizza Object Ownership per attivarla. ACLs Per impostazione predefinita, Object Ownership è impostata sull'impostazione imposta dal proprietario del Bucket e tutte ACLs sono disattivate. Quando ACLs sono disattivati, il proprietario del bucket possiede tutti gli oggetti nel bucket e gestisce esclusivamente l'accesso ai dati. Per gestire l'accesso, il proprietario del bucket utilizza politiche o un altro strumento di gestione degli accessi, esclusi. ACLs Per ulteriori informazioni, consulta Controllo della proprietà degli oggetti e disattivazione ACLs del bucket.

Object Ownership dispone di tre impostazioni che puoi utilizzare sia per controllare la proprietà degli oggetti caricati nel tuo bucket sia per attivare: ACLs

ACLsdisattivata

  • Il proprietario del bucket è impostato (impostazione predefinita): ACLs sono disattivati e il proprietario del bucket possiede automaticamente e ha il pieno controllo su ogni oggetto nel bucket. ACLsnon influiscono sulle autorizzazioni per i dati nel bucket S3. Il bucket utilizza le policy esclusivamente per definire il controllo degli accessi.

ACLsacceso

  • Preferito proprietario del bucket: il proprietario del bucket possiede e ha il pieno controllo sui nuovi oggetti che altri account scrivono nel bucket con il bucket predefinito. bucket-owner-full-control ACL

  • Autore di oggetti: chi carica un oggetto possiede l'oggetto, ne ha il pieno controllo e può consentire ad altri utenti di accedervi tramite. Account AWS ACLs

Best practice aggiuntive

Prendi in considerazione l'utilizzo delle seguenti impostazioni e strumenti del bucket per proteggere i dati in transito e a riposo, entrambi fondamentali per mantenere l'integrità e l'accessibilità dei tuoi dati:

  • Blocca accesso pubblico: non disattivare l'impostazione predefinita a livello di bucket Blocca accesso pubblico. Per impostazione predefinita, questa impostazione blocca l'accesso pubblico ai dati. Per ulteriori informazioni sul blocco dell'accesso pubblico, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

  • S3 Versioning: per l'integrità dei dati, puoi implementare l'impostazione del bucket S3 Versioning, che crea una versione degli oggetti man mano che apporti aggiornamenti, anziché sovrascriverli. Puoi usare S3 Versioning per conservare, recuperare e ripristinare una versione precedente, se necessario. Per informazioni sulla funzione Controllo delle versioni S3, consulta Conservazione di più versioni di oggetti con S3 Versioning.

  • S3 Object Lock — S3 Object Lock è un'altra impostazione che puoi implementare per raggiungere l'integrità dei dati. Questa funzionalità può implementare un modello write-once-read-many (WORM) per archiviare oggetti in modo immutabile. Per ulteriori informazioni sul blocco oggetti, consulta Bloccare oggetti con Object Lock.

  • Crittografia degli oggetti: Amazon S3 offre diverse opzioni di crittografia degli oggetti che proteggono i dati in transito e a riposo. La crittografia lato server crittografa l'oggetto prima di salvarlo sui dischi dei relativi data center e quindi lo decrittografa quando gli oggetti vengono scaricati. Se autentichi la richiesta e disponi delle autorizzazioni di accesso, non c'è differenza nel modo in cui accedi agli oggetti crittografati o non crittografati. Per ulteriori informazioni, consulta Protezione dei dati con la crittografia lato server. Per impostazione predefinita, S3 crittografa gli oggetti appena caricati. Per ulteriori informazioni, consulta Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3. La crittografia lato client consiste nel crittografare i dati prima di inviarli ad Amazon S3. Per ulteriori informazioni, consulta Protezione dei dati con la crittografia lato client.

  • Metodi di firma: la versione 4 di Signature è il processo di aggiunta di informazioni di autenticazione alle AWS richieste inviate da. HTTP Per motivi di sicurezza, la maggior parte delle richieste AWS deve essere firmata con una chiave di accesso, che consiste in un ID della chiave di accesso e una chiave di accesso segreta. Queste due chiavi in genere vengono definite come le tue credenziali di sicurezza. Per ulteriori informazioni, consulta Processo di firma delle richieste di autenticazione (AWS Signature Version 4) e Signature Version 4.

Azioni

Per un elenco completo delle autorizzazioni e delle chiavi di condizione S3, consulta Azioni, risorse e chiavi di condizione per Amazon S3 nel Service Authorization Reference.

Per ulteriori informazioni sulle autorizzazioni alle API operazioni S3 in base ai tipi di risorse S3, consulta. Autorizzazioni richieste per le operazioni di Amazon API S3

Azioni

Le azioni AWS Identity and Access Management (IAM) per Amazon S3 sono le azioni possibili che possono essere eseguite su un bucket o un oggetto S3. Concedi queste azioni alle identità in modo che possano agire sulle tue risorse S3. Esempi di azioni S3 sono la lettura s3:GetObject di oggetti in un bucket e s3:PutObject la scrittura di oggetti in un bucket.

Chiavi di condizione

Oltre alle azioni, le chiavi di IAM condizione si limitano a concedere l'accesso solo quando viene soddisfatta una condizione. I tasti di condizione sono opzionali.

Nota

In una politica di accesso basata sulle risorse, ad esempio una policy sui bucket, o in una politica basata sull'identità, puoi specificare quanto segue:

  • Un'azione o una serie di azioni nell'elemento della dichiarazione politica. Action

  • Nell'Effectelemento della dichiarazione politica, è possibile specificare di Allow concedere le azioni elencate oppure è possibile specificare di Deny bloccare le azioni elencate. Per mantenere ulteriormente la pratica dei privilegi minimi, Deny le dichiarazioni nell'Effectelemento della politica di accesso devono essere le più ampie possibile e Allow le dichiarazioni devono essere il più ristrette possibile. Denygli effetti associati all's3:*azione sono un altro buon modo per implementare le migliori pratiche di opt-in per le identità incluse nelle dichiarazioni sulle condizioni politiche.

  • Una condizione chiave nell'Conditionelemento di una dichiarazione politica.

Casi d'uso della gestione degli accessi

Amazon S3 offre ai proprietari delle risorse una varietà di strumenti per concedere l'accesso. Lo strumento di gestione degli accessi S3 che utilizzi dipende dalle risorse S3 che desideri condividere, dalle identità a cui concedi l'accesso e dalle azioni che desideri consentire o negare. Potresti voler utilizzare uno o una combinazione di strumenti di gestione degli accessi S3 per gestire l'accesso alle tue risorse S3.

Nella maggior parte dei casi, puoi utilizzare una politica di accesso per gestire le autorizzazioni. Una policy di accesso può essere una policy basata sulle risorse, collegata a una risorsa, ad esempio un bucket, o un'altra risorsa Amazon S3 (). Risorse S3 Una politica di accesso può anche essere una politica basata sull'identità, associata a un utente, gruppo o ruolo AWS Identity and Access Management (IAM) nel tuo account. Potresti scoprire che una policy bucket funziona meglio per il tuo caso d'uso. Per ulteriori informazioni, consulta Politiche Bucket per Amazon S3. In alternativa, con AWS Identity and Access Management (IAM), puoi creare IAM utenti, gruppi e ruoli all'interno del tuo account Account AWS e gestire il loro accesso a bucket e oggetti tramite politiche basate sull'identità. Per ulteriori informazioni, consulta Policy basate sull'identità per Amazon S3.

Per aiutarti a navigare tra queste opzioni di gestione degli accessi, di seguito sono riportati i casi d'uso e i consigli comuni dei clienti di Amazon S3 per ciascuno degli strumenti di gestione degli accessi S3.

Tutti gli strumenti di gestione degli accessi possono soddisfare questo caso d'uso di base. Consigliamo i seguenti strumenti di gestione degli accessi per questo caso d'uso:

  • Policy sui bucket: se desideri concedere l'accesso a un bucket o a un numero limitato di bucket o se le tue autorizzazioni di accesso ai bucket sono simili da un bucket all'altro, utilizza una policy sui bucket. Con le policy dei bucket, gestisci una policy per ogni bucket. Per ulteriori informazioni, consulta Politiche Bucket per Amazon S3.

  • Policy basata sull'identità: se disponi di un numero molto elevato di bucket con autorizzazioni di accesso diverse per ogni bucket e solo pochi ruoli utente da gestire, puoi utilizzare una IAM policy per utenti, gruppi o ruoli. IAMle politiche sono anche una buona opzione se gestisci l'accesso degli utenti ad altre AWS risorse, oltre alle risorse Amazon S3. Per ulteriori informazioni, consulta Esempio 1: il proprietario del bucket concede agli utenti le autorizzazioni per il bucket.

  • S3 Access Grants: puoi utilizzare S3 Access Grants per concedere l'accesso ai tuoi bucket, prefissi o oggetti S3. S3 Access Grants consente di specificare diverse autorizzazioni a livello di oggetto su larga scala, mentre le policy dei bucket sono limitate a 20 KB di dimensione. Per ulteriori informazioni, consulta Nozioni di base su S3 Access Grants.

  • Punti di accesso: è possibile utilizzare gli access point, denominati endpoint di rete collegati a un bucket. Un bucket può avere fino a 10.000 punti di accesso collegati e per ogni punto di accesso puoi applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso ai tuoi oggetti S3. Per ulteriori informazioni, consulta Gestione dell'accesso a set di dati condivisi con punti di accesso.

Per concedere l'autorizzazione a un altro utente Account AWS, è necessario utilizzare una policy sui bucket o uno dei seguenti strumenti di gestione degli accessi consigliati. Non è possibile utilizzare una politica di accesso basata sull'identità per questo caso d'uso. Per ulteriori informazioni sulla concessione dell'accesso a più account, consulta Come posso fornire l'accesso su più account agli oggetti che si trovano nei bucket Amazon S3?

Consigliamo i seguenti strumenti di gestione degli accessi per questo caso d'uso:

  • Bucket policy: con le bucket policy, gestisci una policy per ogni bucket. Per ulteriori informazioni, consulta Politiche Bucket per Amazon S3.

  • S3 Access Grants: puoi utilizzare S3 Access Grants per concedere autorizzazioni su più account ai tuoi bucket, prefissi o oggetti S3. Puoi utilizzare S3 Access Grants per specificare diverse autorizzazioni a livello di oggetto su larga scala, mentre le policy dei bucket hanno una dimensione limitata a 20 KB. Per ulteriori informazioni, consulta Nozioni di base su S3 Access Grants.

  • Punti di accesso: puoi utilizzare i punti di accesso, denominati endpoint di rete collegati a un bucket. Un bucket può avere fino a 10.000 punti di accesso collegati e per ogni punto di accesso puoi applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso ai tuoi oggetti S3. Per ulteriori informazioni, consulta Gestione dell'accesso a set di dati condivisi con punti di accesso.

In una policy bucket, ad esempio, puoi concedere l'accesso agli oggetti all'interno di un bucket che condividono un nome chiave specifico, un prefisso o un tag specifico. È possibile concedere l'autorizzazione di lettura agli oggetti che iniziano con il prefisso del nome chiave. logs/ Tuttavia, se le autorizzazioni di accesso variano in base all'oggetto, la concessione delle autorizzazioni a singoli oggetti utilizzando una policy bucket potrebbe non essere pratica, soprattutto perché le policy dei bucket hanno una dimensione limitata a 20 KB.

Consigliamo i seguenti strumenti di gestione degli accessi per questo caso d'uso:

  • S3 Access Grants: puoi utilizzare S3 Access Grants per gestire le autorizzazioni a livello di oggetto o di prefisso. A differenza delle bucket policy, puoi usare S3 Access Grants per specificare autorizzazioni diverse a livello di oggetto su larga scala. Le policy di bucket sono limitate a una dimensione di 20 KB. Per ulteriori informazioni, consulta Nozioni di base su S3 Access Grants.

  • Punti di accesso: puoi utilizzare i punti di accesso per gestire le autorizzazioni a livello di oggetto o prefisso. Gli access point sono denominati endpoint di rete collegati a un bucket. Un bucket può avere fino a 10.000 punti di accesso collegati e per ogni punto di accesso puoi applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso agli oggetti S3. Per ulteriori informazioni, consulta Gestione dell'accesso a set di dati condivisi con punti di accesso.

  • ACLs— Non è consigliabile utilizzare gli Access Control Lists (ACLs), soprattutto perché ACLs sono limitati a 100 concessioni per oggetto. Tuttavia, se scegli di attivarla, nelle impostazioni del BucketACLs, imposta Object Ownership su Bucket owner (preferito e abilitato). ACLs Con questa impostazione, i nuovi oggetti scritti con il codice predefinito ACL sono automaticamente bucket-owner-full-control di proprietà del proprietario del bucket anziché dello scrittore dell'oggetto. È quindi possibile utilizzare objectACLs, che è una politica di accesso XML formattata, per concedere ad altri utenti l'accesso all'oggetto. Per ulteriori informazioni, consulta Panoramica della lista di controllo degli accessi (ACL).

Consigliamo i seguenti strumenti di gestione degli accessi per questo caso d'uso:

  • Bucket policy: con le bucket policy, gestisci una policy per ogni bucket. Per ulteriori informazioni, consulta Politiche Bucket per Amazon S3.

  • Punti di accesso: i punti di accesso sono denominati endpoint di rete collegati a un bucket. Un bucket può avere fino a 10.000 punti di accesso collegati e per ogni punto di accesso puoi applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso ai tuoi oggetti S3. Per ulteriori informazioni, consulta Gestione dell'accesso a set di dati condivisi con punti di accesso.

Consigliamo il seguente strumento di gestione degli accessi per questo caso d'uso:

  • Punti di accesso: i punti di accesso sono denominati endpoint di rete collegati a un bucket. Un bucket può avere fino a 10.000 punti di accesso collegati e per ogni punto di accesso puoi applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso ai tuoi oggetti S3. Ogni access point applica una policy di access point personalizzata che funziona in combinazione con la policy di bucket collegata al bucket sottostante. Per ulteriori informazioni, consulta Gestione dell'accesso a set di dati condivisi con punti di accesso.

Gli endpoint Virtual Private Cloud (VPC) per Amazon S3 sono entità logiche all'interno di VPC un che consentono la connettività solo a S3. Consigliamo i seguenti strumenti di gestione degli accessi per questo caso d'uso:

  • Bucket in un'VPCimpostazione: puoi utilizzare una policy relativa ai bucket per controllare chi è autorizzato ad accedere ai tuoi bucket e a quali VPC endpoint possono accedere. Per ulteriori informazioni, consulta Controllo dell'accesso dagli VPC endpoint con policy bucket.

  • Punti di accesso: se scegli di configurare i punti di accesso, puoi utilizzare una policy sui punti di accesso. Puoi configurare qualsiasi punto di accesso per accettare richieste solo da un cloud privato virtuale (VPC) per limitare l'accesso ai dati di Amazon S3 a una rete privata. È inoltre possibile configurare le impostazioni di blocco dell'accesso pubblico personalizzate per ciascun access point. Per ulteriori informazioni, consulta Gestione dell'accesso a set di dati condivisi con punti di accesso.

Con S3, puoi ospitare un sito Web statico e consentire a chiunque di visualizzarne il contenuto, che è ospitato da un bucket S3.

Consigliamo i seguenti strumenti di gestione degli accessi per questo caso d'uso:

  • Amazon CloudFront: questa soluzione consente di ospitare un sito Web statico Amazon S3 al pubblico, continuando allo stesso tempo a bloccare tutti gli accessi pubblici ai contenuti di un bucket. Se desideri mantenere abilitate tutte e quattro le impostazioni di S3 Block Public Access e ospitare un sito Web statico S3, puoi utilizzare Amazon CloudFront Origin Access Control ()OAC. Amazon CloudFront offre le funzionalità necessarie per configurare un sito Web statico sicuro. Inoltre, i siti Web statici di Amazon S3 che non utilizzano questa soluzione possono supportare HTTP solo gli endpoint. CloudFront utilizza lo storage durevole di Amazon S3 fornendo al contempo header di sicurezza aggiuntivi, come. HTTPS HTTPSaggiunge sicurezza crittografando una HTTP richiesta normale e proteggendola dagli attacchi informatici più comuni.

    Per ulteriori informazioni, consulta la sezione Guida introduttiva a un sito Web statico sicuro nella Amazon CloudFront Developer Guide.

  • Rendere il tuo bucket Amazon S3 accessibile al pubblico: puoi configurare un bucket da utilizzare come sito Web statico accessibile pubblicamente.

    avvertimento

    Non consigliamo questo metodo. Ti consigliamo invece di utilizzare siti Web statici di Amazon S3 come parte di Amazon. CloudFront Per ulteriori informazioni, consulta l'opzione precedente o la Guida introduttiva a un sito Web statico sicuro.

    Per creare un sito Web statico Amazon S3, senza Amazon CloudFront, devi innanzitutto disattivare tutte le impostazioni Block Public Access. Durante la scrittura della policy del bucket per il sito Web statico, assicurati di consentire solo operazioni s3:GetObject, non autorizzazioni ListObject o PutObject. Questo aiuta a garantire che gli utenti non possano visualizzare tutti gli oggetti nel bucket o aggiungere i propri contenuti. Per ulteriori informazioni, consulta Impostazione delle autorizzazioni per l'accesso al sito Web.

Quando si crea un nuovo bucket Amazon S3, l'impostazione Block Public Access è abilitata per impostazione predefinita. Per ulteriori informazioni sul blocco dell'accesso pubblico, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

Non è consigliabile consentire l'accesso pubblico al tuo bucket. Tuttavia, se è necessario farlo per un caso d'uso particolare, consigliamo il seguente strumento di gestione degli accessi per questo caso d'uso:

  • Disattiva l'impostazione Block Public Access: il proprietario di un bucket può consentire richieste non autenticate al bucket. Ad esempio, le richieste PUTObject non autenticate sono consentite quando un bucket ha una politica di bucket pubblica o quando un bucket garantisce l'accesso pubblico. ACL Tutte le richieste non autenticate vengono effettuate da altri utenti arbitrari AWS , o anche da utenti anonimi non autenticati. Questo utente è rappresentato dall'ID utente ACLs canonico specifico. 65a011a29cdf8ec533ec3d1ccaae921c Se un oggetto viene caricato su un WRITE oFULL_CONTROL, ciò concede specificamente l'accesso al gruppo Tutti gli utenti o all'utente anonimo. Per ulteriori informazioni sulle politiche pubbliche dei bucket e sulle liste di controllo degli accessi pubblici (ACLs), consulta. Significato di "pubblico"

Sia le politiche dei bucket che le politiche basate sull'identità hanno un limite di dimensione di 20 KB. Se i requisiti di autorizzazione di accesso sono complessi, potresti superare questo limite di dimensione.

Abbiamo consigliato i seguenti strumenti di gestione degli accessi per questo caso d'uso:

  • Punti di accesso: utilizza i punti di accesso se questo è adatto al tuo caso d'uso. Per quanto riguarda i punti di accesso, ogni bucket ha più endpoint di rete denominati, ciascuno con una propria politica di punto di accesso che funziona con la policy del bucket sottostante. Tuttavia, gli access point possono agire solo sugli oggetti, non sui bucket, e non supportano la replica tra regioni. Per ulteriori informazioni, consulta Gestione dell'accesso a set di dati condivisi con punti di accesso.

  • S3 Access Grants: utilizza S3 Access Grants, che supporta un numero molto elevato di concessioni che danno accesso a bucket, prefissi o oggetti. Per ulteriori informazioni, consulta Nozioni di base su S3 Access Grants.

Invece di gestire utenti, gruppi e ruoli tramite AWS Identity and Access Management (IAM), è possibile aggiungere la directory aziendale a. AWS IAM Identity Center Per ulteriori informazioni, consulta Cos'è IAM Identity Center? .

Dopo aver aggiunto la rubrica aziendale AWS IAM Identity Center, ti consigliamo di utilizzare il seguente strumento di gestione degli accessi per concedere alle identità della directory aziendale l'accesso alle tue risorse S3:

  • S3 Access Grants: utilizza S3 Access Grants, che supporta la concessione dell'accesso a utenti o ruoli nella directory aziendale. Per ulteriori informazioni, consulta Nozioni di base su S3 Access Grants.

Abbiamo consigliato il seguente strumento di gestione degli accessi per questo caso d'uso:

  • Bucket ACL: l'unico caso d'uso consigliato per bucket ACLs è concedere autorizzazioni ad alcuni Servizi AWS, come l'account Amazon. CloudFront awslogsdelivery Quando crei o aggiorni una distribuzione e attivi la CloudFront registrazione, CloudFront aggiorna il bucket ACL per concedere all'awslogsdeliveryaccount le FULL_CONTROL autorizzazioni per scrivere log nel bucket. Per ulteriori informazioni, consulta la sezione Autorizzazioni necessarie per configurare la registrazione standard e accedere ai file di registro nella Amazon CloudFront Developer Guide. Se il bucket che memorizza i log utilizza l'impostazione imposta dal proprietario del bucket per disattivare S3 Object OwnershipACLs, CloudFront non è possibile scrivere log nel bucket. Per ulteriori informazioni, consulta Controllo della proprietà degli oggetti e disattivazione ACLs del bucket.

Puoi concedere ad altri account l'accesso per caricare oggetti nel tuo bucket utilizzando una policy sui bucket, un punto di accesso o S3 Access Grants. Se hai concesso l'accesso multiaccount al tuo bucket, puoi assicurarti che tutti gli oggetti caricati nel tuo bucket rimangano sotto il tuo pieno controllo.

Abbiamo consigliato il seguente strumento di gestione degli accessi per questo caso d'uso:

  • Proprietà dell'oggetto: mantiene l'impostazione a livello di bucket Object Ownership sull'impostazione predefinita del proprietario del bucket.

Risoluzione dei problemi di gestione dell'accesso

Le seguenti risorse possono aiutarti a risolvere eventuali problemi relativi alla gestione degli accessi S3:

Risoluzione dei problemi relativi agli errori di accesso negato (403 Accesso negato)

Se riscontri problemi di negazione dell'accesso, controlla le impostazioni a livello di account e a livello di bucket. Inoltre, controlla la funzionalità di gestione degli accessi che stai utilizzando per concedere l'accesso per assicurarti che la politica, l'impostazione o la configurazione siano corrette. Per ulteriori informazioni sulle cause più comuni degli errori di accesso negato (403 Accesso negato) in Amazon S3, consulta Risolvi i problemi relativi all'accesso negato (403 Forbidden) errori in Amazon S3.

IAMAccess Analyzer per S3

Se non desideri rendere le tue risorse disponibili al pubblico o se desideri limitare l'accesso pubblico alle tue risorse, puoi utilizzare IAM Access Analyzer per S3. Sulla console Amazon S3, usa IAM Access Analyzer for S3 per esaminare tutti i bucket che dispongono di elenchi di controllo degli accessi ai bucket (ACLs), policy dei bucket o policy dei punti di accesso che garantiscono l'accesso pubblico o condiviso. IAMAccess Analyzer for S3 ti avvisa dei bucket configurati per consentire l'accesso a chiunque su Internet o altro, anche all'esterno dell'organizzazione. Account AWS Account AWS Per ogni bucket pubblico o condiviso, vengono visualizzati risultati che riportano l'origine e il livello di accesso pubblico o condiviso.

In IAM Access Analyzer for S3, puoi bloccare tutti gli accessi pubblici a un bucket con una sola azione. Ti consigliamo di bloccare tutti gli accessi pubblici ai tuoi bucket, a meno che tu non richieda l'accesso pubblico per supportare un caso d'uso specifico. Prima di bloccare tutti gli accessi pubblici, assicurati che le tue applicazioni continuino a funzionare correttamente anche senza accesso pubblico. Per ulteriori informazioni, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

Puoi anche rivedere le impostazioni di autorizzazione a livello di bucket per configurare livelli di accesso dettagliati. Per casi d'uso specifici e verificati che richiedono l'accesso pubblico o condiviso, puoi confermare e registrare l'intenzione del bucket di rimanere pubblico o condiviso archiviando i risultati per il bucket. Puoi consultare e modificare le configurazioni relative al bucket in qualsiasi momento. Puoi anche scaricare i risultati come CSV rapporto a scopo di controllo.

IAMAccess Analyzer per S3 è disponibile senza costi aggiuntivi sulla console Amazon S3. IAMAccess Analyzer for S3 è basato su () Access Analyzer. AWS Identity and Access Management IAM IAM Per utilizzare IAM Access Analyzer for S3 sulla console Amazon S3, devi visitare IAM la Console e creare un analizzatore a livello di account IAM in Access Analyzer per ogni singola regione.

Per ulteriori informazioni su IAM Access Analyzer per S3, consulta. Analisi dell'accesso ai bucket utilizzando IAM Access Analyzer per S3

Registrazione di log e monitoraggio

Il monitoraggio è una parte importante per mantenere l'affidabilità, la disponibilità e le prestazioni delle soluzioni Amazon S3 in modo da poter eseguire più facilmente il debug di un errore di accesso. La registrazione può fornire informazioni sugli errori ricevuti dagli utenti e su quando e quali richieste vengono effettuate. AWS fornisce diversi strumenti per il monitoraggio delle risorse Amazon S3, come i seguenti:

  • AWS CloudTrail

  • Log di accesso Amazon S3

  • AWS Trusted Advisor

  • Amazon CloudWatch

Per ulteriori informazioni, consulta Registrazione e monitoraggio in Amazon S3.