Controllo degli accessi in Amazon S3 - Amazon Simple Storage Service
Risorse S3IdentitàStrumenti di gestione degli accessiOperazioniCasi d'uso della gestione degli accessiRisoluzione dei problemi di gestione degli accessi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo degli accessi in Amazon S3

In AWS, una risorsa è un'entità con cui puoi lavorare. In Amazon Simple Storage Service (S3), i bucket e gli oggetti sono le risorse originali di Amazon S3. Ogni cliente S3 ha probabilmente dei bucket con degli oggetti al loro interno. Con l'aggiunta di nuove funzionalità a S3, sono state aggiunte anche risorse supplementari, ma non tutti i clienti utilizzano queste risorse specifiche. Per ulteriori informazioni sulle risorse Amazon S3, consulta Risorse S3.

Per impostazione predefinita, tutte le risorse Amazon S3 sono private. Inoltre, per impostazione predefinita, l'utente root di Account AWS che ha creato la risorsa (proprietario della risorsa) e gli utenti IAM all'interno di quell'account con le autorizzazioni necessarie possono accedere a una risorsa che hanno creato. Il proprietario della risorsa decide chi può accedere alla risorsa e le azioni che gli altri possono eseguire sulla risorsa. S3 dispone di vari strumenti di gestione degli accessi che possono essere utilizzati per concedere ad altri l'accesso alle risorse S3.

Le sezioni seguenti forniscono una panoramica delle risorse S3, degli strumenti di gestione degli accessi S3 disponibili e dei migliori casi d'uso per ciascuno strumento di gestione degli accessi. Gli elenchi di queste sezioni vogliono essere completi e includere tutte le risorse S3, gli strumenti di gestione degli accessi e i casi d'uso più comuni di gestione degli accessi. Allo stesso tempo, queste sezioni sono concepite come directory che conducono l'utente ai dettagli tecnici desiderati. Se hai già una buona conoscenza di alcuni dei seguenti argomenti, puoi passare alla sezione che fa al caso tuo.

Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta Autorizzazioni necessarie per le operazioni API di Amazon S3.

Argomenti

Risorse S3

Le risorse originali di Amazon S3 sono i bucket e gli oggetti che contengono. Con l'aggiunta di nuove funzionalità a S3, vengono aggiunte anche nuove risorse. Di seguito è riportato un elenco completo delle risorse S3 e delle rispettive caratteristiche.

Tipo di risorsa Funzione Amazon S3 Descrizione

bucket

Caratteristiche principali

Un bucket è un container per oggetti o file. Per memorizzare un oggetto in S3, creare un bucket e quindi caricare uno o più oggetti nel bucket. Per ulteriori informazioni, consulta Creazione, configurazione e utilizzo di bucket Amazon S3.

object

Un oggetto può essere un file e tutti i metadati che lo descrivono. Quando un oggetto è nel bucket, è possibile aprirlo, scaricarlo e spostarlo. Per ulteriori informazioni, consulta Utilizzo degli oggetti in Amazon S3.

accesspoint

Punti di accesso

I punti di accesso sono endpoint di rete denominati, collegati a bucket che possono essere utilizzati per eseguire operazioni su oggetti Amazon S3, come GetObject e PutObject. Ogni punto di accesso ha autorizzazioni distinte, controlli di rete e una policy personalizzata che funziona insieme alla policy di bucket collegata al bucket sottostante. È possibile configurare qualsiasi punto di accesso in modo che accetti richieste solo da un cloud privato virtuale (VPC) o configurare impostazioni di blocco dell'accesso pubblico personalizzate per ciascun punto di accesso. Per ulteriori informazioni, consulta Gestione dell'accesso a set di dati condivisi con punti di accesso.

objectlambdaaccesspoint

Un punto di accesso Lambda per oggetti è un punto di accesso per un bucket che è anche associato a una funzione Lambda. Con un punto di accesso Lambda per oggetti, è possibile aggiungere il proprio codice alle richieste di Amazon S3 GET, LIST e HEAD per modificare ed elaborare i dati quando vengono restituiti a un'applicazione. Per ulteriori informazioni, consulta Creazione di punti di accesso Object Lambda.

multiregionaccesspoint

I punti di accesso multiregionali forniscono un endpoint globale che le applicazioni possono utilizzare per soddisfare le richieste dai bucket Amazon S3 situati in più Regioni AWS . È possibile utilizzare punti di accesso multiregionali per creare applicazioni multiregionali con la stessa architettura utilizzata in una singola Regione ed eseguirle ovunque nel mondo. Invece di inviare richieste sulla rete Internet pubblica congestionata, le richieste di applicazioni effettuate a un endpoint globale Multi-Region Access Point vengono instradate automaticamente attraverso la rete AWS globale fino al bucket Amazon S3 più vicino. Per ulteriori informazioni, consulta Gestione del traffico multi-regione con punti di accesso multi-regione.

job

Operazioni in batch S3

Un processo è una risorsa della funzionalità Operazioni in batch S3. È possibile utilizzare Operazioni in batch S3 per eseguire operazioni in batch su larga scala su elenchi di oggetti Amazon S3 specificati dall'utente. Amazon S3 tiene traccia dell'avanzamento del processo dell'operazione batch, invia notifiche e memorizza un report dettagliato sul completamento di tutte le azioni, offrendo un'esperienza completamente gestita, verificabile e serverless. Per ulteriori informazioni, consulta Esecuzione di operazioni sugli oggetti in blocco con le operazioni in batch.

storagelensconfiguration

S3 Storage Lens

Una configurazione di S3 Storage Lens raccoglie le metriche di storage dell'intera organizzazione e i dati degli utenti tra gli account. S3 Storage Lens offre agli amministratori un'unica visione dell'utilizzo e dell'attività di object storage su centinaia o addirittura migliaia di account di un'organizzazione, con dettagli per generare approfondimenti a più livelli di aggregazione. Per ulteriori informazioni, consulta Valutazione dell'attività e dell'utilizzo dello storage con Amazon S3 Storage Lens.

storagelensgroup

Un gruppo S3 Storage Lens aggrega le metriche utilizzando filtri personalizzati basati sui metadati degli oggetti. I gruppi S3 Storage Lens consentono di analizzare le caratteristiche dei dati, come la distribuzione degli oggetti in base all'età, i tipi di file più comuni e altro ancora. Per ulteriori informazioni, consulta Operazioni con i gruppi S3 Storage Lens per filtrare e aggregare le metriche.

accessgrantsinstance

S3 Access Grants

Un'istanza di S3 Access Grants è un container per i grant S3 creati dall'utente. Con S3 Access Grants, è possibile creare grant ai dati Amazon S3 per le identità IAM all'interno del proprio account, per le identità IAM di altri account (multi-account) e per le identità di directory aggiunte a AWS IAM Identity Center dalla directory aziendale. Per ulteriori informazioni su S3 Access Grants, consulta Gestione dell'accesso con S3 Access Grants.

accessgrantslocation

Una posizione Access Grants è un bucket, un prefisso all'interno di un bucket o un oggetto registrato nell'istanza S3 Access Grants. È necessario registrare le posizioni all'interno dell'istanza S3 Access Grants prima di poter creare una concessione per quella posizione. Quindi, con S3 Access Grants, puoi concedere l'accesso al bucket, al prefisso o all'oggetto per le identità IAM all'interno del tuo account, le identità IAM in altri account (tra più account) e le identità di directory aggiunte dalla tua directory aziendale. AWS IAM Identity Center Per ulteriori informazioni su S3 Access Grants, consulta Gestione dell'accesso con S3 Access Grants

accessgrant

Una concessione di accesso è una concessione individuale ai dati di Amazon S3. Con S3 Access Grants, puoi creare sovvenzioni ai tuoi dati Amazon S3 per identità IAM all'interno del tuo account, identità IAM in altri account (più account) e identità di directory aggiunte dalla tua directory aziendale. AWS IAM Identity Center Per ulteriori informazioni su S3 Access Grants, consulta Gestione dell'accesso con S3 Access Grants
Bucket

Esistono due tipi di bucket Amazon S3: bucket per uso generico e bucket di directory.

Categorizzazione delle risorse S3

Amazon S3 offre funzioni per categorizzare e organizzare le risorse S3. La categorizzazione delle risorse non è utile solo per organizzarle, ma è anche possibile impostare regole di gestione degli accessi basate sulle categorie delle risorse. In particolare, i prefissi e i tag sono due funzioni di organizzazione dello storage che possono essere utilizzate quando si impostano le autorizzazioni per la gestione degli accessi.

Nota

Le seguenti informazioni si riferiscono ai bucket per uso generico. I bucket di directory non supportano i tag e hanno limitazioni sui prefissi. Per ulteriori informazioni, consulta Autorizzazione delle operazioni API dell'endpoint regionale con IAM.

  • Prefissi - Un prefisso in Amazon S3 è una stringa di caratteri all'inizio del nome della chiave di un oggetto, utilizzata per organizzare gli oggetti memorizzati nei bucket S3. Si può usare un carattere delimitatore, come una barra in avanti (/), per indicare la fine del prefisso all'interno del nome della chiave dell'oggetto. Ad esempio, si possono avere nomi di chiavi di oggetti che iniziano con il prefisso engineering/ oppure nomi di chiavi di oggetti che iniziano con il prefisso marketing/campaigns/. L'uso di un delimitatore alla fine del prefisso, come ad esempio un carattere di barra in avanti / emula le convenzioni di denominazione delle cartelle e dei file. Tuttavia, in S3, il prefisso fa parte del nome della chiave dell'oggetto. Nei bucket S3 per uso generico, non esiste una vera e propria gerarchia di cartelle.

    Amazon S3 supporta l'organizzazione e il raggruppamento degli oggetti utilizzando i loro prefissi. È anche possibile gestire l'accesso agli oggetti in base ai loro prefissi. Ad esempio, è possibile limitare l'accesso solo agli oggetti con nomi che iniziano con un prefisso specifico.

    Per ulteriori informazioni, consulta Organizzazione degli oggetti utilizzando i prefissi. La console S3 utilizza il concetto di cartelle che, nei bucket per uso generico, sono essenzialmente prefissi che vengono anteposti al nome della chiave dell'oggetto. Per ulteriori informazioni, consulta Organizzazione degli oggetti nella console di Amazon S3 utilizzando le cartelle.

  • Tag - Ogni tag è una coppia chiave-valore che si assegna alle risorse. Ad esempio, è possibile etichettare alcune risorse con il tag topicCategory=engineering. L'etichettatura può essere utilizzata per contribuire all'allocazione dei costi, alla categorizzazione e all'organizzazione e al controllo degli accessi. L'etichettatura dei bucket viene utilizzata solo per l'allocazione dei costi. È possibile etichettare gli oggetti dei tag, S3 Storage Lens, i processi e S3 Access Grants ai fini dell'organizzazione o del controllo degli accessi. In S3 Access Grants, è possibile utilizzare i tag per l'allocazione dei costi. Come esempio di controllo dell'accesso alle risorse tramite i loro tag, è possibile condividere solo gli oggetti che hanno un tag specifico o una combinazione di tag.

    Per ulteriori informazioni, consultare Controllo dell'accesso alle risorse AWS mediante i tag nella Guida per l'utente di IAM.

Identità

In Amazon S3, il proprietario della risorsa è l'identità che ha creato la risorsa, come un bucket o un oggetto. Per impostazione predefinita, solo l'utente root dell'account che ha creato la risorsa e le identità IAM all'interno dell'account che dispongono delle autorizzazioni richieste possono accedere alla risorsa S3. I proprietari delle risorse possono concedere ad altre identità l'accesso alle loro risorse S3.

Le identità che non possiedono una risorsa possono richiedere l'accesso a tale risorsa. Le richieste a una risorsa sono autenticate o non autenticate. Le richieste autenticate devono includere un valore di firma che autentichi il mittente della richiesta, mentre le richieste non autenticate non richiedono una firma. Si consiglia di concedere l'accesso solo agli utenti autenticati. Per ulteriori informazioni sull'autenticazione delle richieste, consulta Esecuzione di richieste nella documentazione di riferimento delle API di Amazon S3.

Importante

Ti consigliamo di non utilizzare le credenziali dell'utente root per effettuare richieste autenticate Account AWS . Crea invece un ruolo IAM, concedendo a esso l'accesso completo. Gli utenti con questo ruolo vengono definiti utenti amministratori. È possibile utilizzare le credenziali assegnate al ruolo di amministratore, anziché le credenziali dell'utente Account AWS root, per interagire AWS ed eseguire attività, come creare un bucket, creare utenti e concedere autorizzazioni. Per ulteriori informazioni, consulta Credenziali dell'utente root e credenziali dell'utente IAM Account AWS nella Guida all'utente IAM Riferimenti generali di AWS e consulta le Best practice di sicurezza in IAM nella Guida dell'utente IAM.

Le identità che accedono ai dati in Amazon S3 possono essere una delle seguenti:

Account AWS owner

Account AWS Quello che ha creato la risorsa. Ad esempio, l'account che ha creato il bucket. Questo account è il proprietario della risorsa. Per ulteriori informazioni, consulta Account utente root AWS.

Identità IAM nello stesso account del proprietario Account AWS

Quando configura gli account per i nuovi membri del team che richiedono l'accesso a S3, il Account AWS proprietario può utilizzare AWS Identity and Access Management (IAM) per creare utenti, gruppi e ruoli. Il Account AWS proprietario può quindi condividere le risorse con queste identità IAM. Il proprietario dell'account può anche specificare le autorizzazioni da assegnare alle identità IAM, che consentono o negano le azioni che possono essere eseguite sulle risorse condivise.

Le identità IAM offrono maggiori funzionalità, tra cui la possibilità di richiedere agli utenti di inserire le credenziali di accesso prima di accedere alle risorse condivise. Utilizzando le identità IAM, è possibile implementare una forma di autenticazione a più fattori (MFA) per supportare una solida base di identità. Una best practice IAM consiste nel creare ruoli per la gestione degli accessi, invece di concedere autorizzazioni a ogni singolo utente. Si assegnano i singoli utenti al ruolo appropriato. Per ulteriori informazioni, consulta Best practice per la sicurezza in IAM.

Altri proprietari di AWS account e relative identità IAM (accesso tra account diversi)

Il Account AWS proprietario può inoltre consentire ad altri proprietari di AWS account, o identità IAM che appartengono a un altro AWS account, l'accesso alle risorse.

Nota

Delega dei permessi - Se un Account AWS possiede una risorsa, può concedere tali permessi a un altro Account AWS. Tale account può quindi delegare tali autorizzazioni, o un sottoinsieme di esse, agli utenti dello stesso account. Si parla di delega del permesso. Ma un account che riceve permessi da un altro account non può delegare tali permessi "multi-account" a un altro Account AWS.

Utenti anonimi (accesso pubblico)

Il Account AWS proprietario può rendere pubbliche le risorse. Rendendo pubblica una risorsa, la si condivide tecnicamente con utente anonimo. I bucket creati da aprile 2023 bloccano tutti gli accessi pubblici per impostazione predefinita, a meno che non si modifichi questa impostazione. Si consiglia di impostare i bucket per bloccare l'accesso pubblico e di concedere l'accesso solo agli utenti autenticati. Per ulteriori informazioni sul blocco dell'accesso pubblico, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

Servizi AWS

Il proprietario della risorsa può concedere a un altro AWS servizio l'accesso a una risorsa Amazon S3. Ad esempio, puoi concedere al AWS CloudTrail servizio l's3:PutObjectautorizzazione a scrivere file di registro nel tuo bucket. Per ulteriori informazioni, vedere Fornire l'accesso a un AWS servizio.

Identità di directory aziendali

Il proprietario della risorsa può concedere agli utenti o ai ruoli della directory aziendale l'accesso a una risorsa S3 utilizzando S3 Access Grants. Per ulteriori informazioni sull'aggiunta della directory aziendale a AWS IAM Identity Center, consulta Cos'è IAM Identity Center? .

Proprietari di bucket o risorse

La Account AWS persona che usi per creare bucket e caricare oggetti possiede tali risorse. Un proprietario del bucket può concedere a un altro Account AWS (o agli utenti di un altro account) autorizzazioni multiaccount per caricare gli oggetti.

Quando il proprietario di un bucket consente a un altro account di caricare oggetti in un bucket, il proprietario del bucket, per impostazione predefinita, è proprietario di tutti gli oggetti caricati nel suo bucket. Tuttavia, se le impostazioni del bucket preferite del proprietario del bucket e del proprietario del bucket sono disattivate, chi carica gli oggetti possiede quegli oggetti e il proprietario del bucket non dispone delle autorizzazioni sugli oggetti di proprietà di un altro account, con le seguenti eccezioni: Account AWS

  • È il proprietario del bucket a pagare la fattura. Il proprietario del bucket può rifiutare l'accesso agli oggetti nel bucket o eliminarli, indipendentemente dall'utente a cui appartengono.

  • Il proprietario del bucket può archiviare qualsiasi oggetto o ripristinare gli oggetti archiviati, indipendentemente da chi ne sia il proprietario. Archiviazione si riferisce alla classe di storage utilizzata per memorizzare gli oggetti. Per ulteriori informazioni, consulta Gestione del ciclo di vita degli oggetti.

Strumenti di gestione degli accessi

Amazon S3 offre una varietà di funzionalità e strumenti di sicurezza. Di seguito è riportato un elenco completo di queste funzioni e strumenti. Non è necessario disporre di tutti questi strumenti di gestione degli accessi, ma è necessario utilizzarne uno o più per concedere l'accesso alle risorse Amazon S3. L'applicazione corretta di questi strumenti può aiutare a garantire che le risorse siano accessibili solo agli utenti previsti.

Lo strumento di gestione degli accessi più comunemente utilizzato è una policy di accesso. Una politica di accesso può essere una politica basata sulle risorse associata a una risorsa, ad esempio una policy bucket per un AWS bucket. Un policy di accesso può anche essere una policy basata sull'identità, collegata a un'identità AWS Identity and Access Management (IAM), come un utente, un gruppo o un ruolo IAM. Scrivi una policy di accesso per concedere a utenti, gruppi Account AWS e ruoli IAM l'autorizzazione a eseguire operazioni su una risorsa. Ad esempio, puoi concedere PUT Object l'autorizzazione a un altro account Account AWS in modo che l'altro account possa caricare oggetti nel tuo bucket.

Una policy di accesso descrive chi ha accesso a quali cose. Quando Amazon S3 riceve una richiesta, deve valutare tutte le policy di accesso per determinare se autorizzare o negare la richiesta. Per ulteriori informazioni su come Amazon S3 valuta le policy, consulta In che modo Amazon S3 autorizza una richiesta.

Di seguito sono elencati gli strumenti di gestione degli accessi disponibili in Amazon S3.

Una policy del bucket Amazon S3 è una policy basata sulle risorse AWS Identity and Access Management (IAM) in formato JSON, collegata a un particolare bucket. Utilizza le policy del bucket per concedere autorizzazioni ad altre identità Account AWS o a identità IAM per il bucket e gli oggetti in esso contenuti. Molti casi d'uso della gestione degli accessi S3 possono essere soddisfatti utilizzando una policy di bucket. Con le policy di bucket, è possibile personalizzare l'accesso ai bucket per assicurarsi che solo le identità approvate possano accedere alle risorse ed eseguire azioni al loro interno. Per ulteriori informazioni, consulta Policy dei bucket per Amazon S3.

Di seguito è riportato un esempio di policy di bucket. La policy dei bucket è espressa da un file JSON. Questo esempio di policy concede a un ruolo IAM l'autorizzazione di lettura per tutti gli oggetti del bucket. Contiene un'istruzione denominata BucketLevelReadPermissions, che consente l'azione s3:GetObject (permesso di lettura) sugli oggetti di un bucket denominato amzn-s3-demo-bucket1. Specificando un ruolo IAM come Principal, questa policy consente l'accesso a qualsiasi utente IAM con questo ruolo. Per utilizzare questa policy di esempio, sostituisci user input placeholders con le tue informazioni. 

{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid":"BucketLevelReadPermissions",
      "Effect":"Allow",
      "Principal": {
	    "AWS": "arn:aws:iam::123456789101:role/s3-role"
      },
      "Action":["s3:GetObject"],
      "Resource":["arn:aws:s3:::amzn-s3-demo-bucket1/*"]
    }]
  }
Nota

Durante la creazione delle policy, è opportuno evitare l'uso di caratteri jolly (*) nell'elemento Principal perché questo consente a chiunque di accedere alle risorse Amazon S3. Invece, elencare esplicitamente gli utenti o i gruppi che possono accedere al bucket o elencare le condizioni che devono essere soddisfatte utilizzando una clausola di condizione nella policy. Inoltre, piuttosto che includere un carattere jolly per le azioni dei tuoi utenti o gruppi, concedete loro autorizzazioni specifiche, quando è il caso.

Una policy utente basata sull'identità o IAM è un tipo di policy AWS Identity and Access Management (IAM). Una policy basata sull'identità è una policy in formato JSON collegata a utenti, gruppi o ruoli IAM nell'account AWS . È possibile utilizzare le policy basate sull'identità per concedere a un'identità IAM l'accesso ai bucket o agli oggetti. È possibile creare utenti, gruppi e ruoli IAM nel proprio account e associare ad essi le policy di accesso. È quindi possibile concedere l'accesso alle risorse di AWS , comprese quelle di Amazon S3. Per ulteriori informazioni, consulta Policy basate sull'identità per Amazon S3.

Di seguito è riportato un esempio di policy basata sull'identità. La policy di esempio consente al ruolo IAM associato di eseguire sei diverse azioni (autorizzazioni) di Amazon S3 su un bucket e sugli oggetti in esso contenuti. Se si collega questa policy a un ruolo IAM dell'account e si assegna il ruolo ad alcuni utenti IAM, gli utenti con questo ruolo potranno eseguire queste azioni sulle risorse (bucket) specificate nella policy. Per utilizzare questa policy di esempio, sostituisci user input placeholders con le tue informazioni.

{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Sid": "AssignARoleActions",
    "Effect": "Allow",
    "Action": [
	  "s3:PutObject",
	  "s3:GetObject",
	  "s3:ListBucket",
	  "s3:DeleteObject",
	  "s3:GetBucketLocation"
    ],
    "Resource": [
	  "arn:aws:s3:::amzn-s3-demo-bucket1/*",
	  "arn:aws:s3:::amzn-s3-demo-bucket1"
    ]
    },
  {
    "Sid": "AssignARoleActions2",
    "Effect": "Allow",
    "Action": "s3:ListAllMyBuckets",
    "Resource": "*"
  }
  ]
}

Usa S3 Access Grants per creare concessioni di accesso ai tuoi dati Amazon S3 per entrambe le identità nelle directory di identità aziendali, ad esempio Active Directorye alle identità (IAM). AWS Identity and Access Management S3 Access Grants aiuta a gestire le autorizzazioni dei dati su scala. Inoltre, S3 Access Grants registra l'identità dell'utente finale e l'applicazione utilizzata per accedere ai dati S3 in AWS CloudTrail. Questo fornisce una cronologia di audit dettagliata fino all'identità dell'utente finale per tutti gli accessi ai dati nei bucket S3. Per ulteriori informazioni, consulta Gestione dell'accesso con S3 Access Grants.

Punti di accesso Amazon S3 semplifica la gestione dell'accesso ai dati su scala per le applicazioni che utilizzano set di dati condivisi su S3. I punti di accesso sono endpoint di rete denominati e collegati a un bucket. È possibile utilizzare i punti di accesso per eseguire operazioni sugli oggetti S3 in scala, come il caricamento e il recupero di oggetti. A un bucket possono essere collegati fino a 10.000 punti di accesso e per ogni punto di accesso è possibile applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso agli oggetti S3. I punti di accesso S3 possono essere associati a bucket dello stesso account o di un altro account attendibile. Le policy dei punti di accesso sono policy basate sulle risorse che vengono valutate insieme alla policy di bucket sottostante. Per ulteriori informazioni, consulta Gestione dell'accesso a set di dati condivisi con punti di accesso.

Un ACL è un elenco di sovvenzioni che identificano il beneficiario e l'autorizzazione concessa. ACLs concede autorizzazioni di base di lettura o scrittura ad altri. Account AWS ACLs usa uno schema XML specifico di Amazon S3. Una ACL è un tipo di policy AWS Identity and Access Management (IAM). Una ACL per oggetti viene utilizzata per gestire l'accesso a un oggetto e una ACL per bucket viene utilizzata per gestire l'accesso a un bucket. Con le policy bucket, esiste un'unica policy per l'intero bucket, ma gli oggetti ACLs sono specificati per ogni oggetto. Si consiglia di mantenerla ACLs disattivata, tranne in circostanze insolite in cui è necessario controllare singolarmente l'accesso per ciascun oggetto. Per ulteriori informazioni sull'utilizzo ACLs, vedereControllo della proprietà degli oggetti e disattivazione ACLs del bucket.

avvertimento

La maggior parte dei casi d'uso moderni in Amazon S3 non richiede l'uso di. ACLs

Di seguito è riportato un esempio di ACL del bucket. La concessione nell'ACL mostra il proprietario di un bucket che ha il permesso di controllo completo. 

<?xml version="1.0" encoding="UTF-8"?>
	<AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
		<Owner>
			<ID>Owner-Canonical-User-ID</ID>
			<DisplayName>owner-display-name</DisplayName>
		</Owner>
	<AccessControlList>
		<Grant>
			<Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Canonical User">
				<ID>Owner-Canonical-User-ID</ID>
				<DisplayName>display-name</DisplayName>
			</Grantee>
			<Permission>FULL_CONTROL</Permission>
		</Grant>
	</AccessControlList>
</AccessControlPolicy>

Per gestire l'accesso ai propri oggetti, è necessario essere il proprietario dell'oggetto. È possibile utilizzare l'impostazione Proprietà oggetto a livello di bucket per controllare la proprietà degli oggetti caricati nel bucket. Inoltre, usa Object Ownership per attivarlo. ACLs Per impostazione predefinita, Object Ownership è impostata sull'impostazione imposta dal proprietario del Bucket e tutte ACLs sono disattivate. Quando ACLs sono disattivate, il proprietario del bucket possiede tutti gli oggetti nel bucket e gestisce esclusivamente l'accesso ai dati. Per gestire l'accesso, il proprietario del bucket utilizza politiche o un altro strumento di gestione degli accessi, esclusi. ACLs Per ulteriori informazioni, consulta Controllo della proprietà degli oggetti e disattivazione ACLs del bucket.

Object Ownership dispone di tre impostazioni che puoi utilizzare sia per controllare la proprietà degli oggetti caricati nel tuo bucket sia per attivare: ACLs

ACLs disattivata

  • Il proprietario del bucket è impostato (impostazione predefinita): ACLs sono disattivati e il proprietario del bucket possiede automaticamente e ha il pieno controllo su ogni oggetto nel bucket. ACLs non influiscono sulle autorizzazioni per i dati nel bucket S3. Il bucket utilizza esclusivamente le policy per definire il controllo degli accessi.

ACLs acceso

  • Proprietario del bucket preferito - Il proprietario del bucket possiede e ha il pieno controllo sui nuovi oggetti che altri account scrivono sul bucket con l'ACL bucket-owner-full-control predefinita.

  • Autore di oggetti: chi carica un oggetto possiede l'oggetto, ne ha il pieno controllo e può concedere ad altri utenti l'accesso ad esso tramite ACLs. Account AWS

Best practice aggiuntive

Considera l'utilizzo delle seguenti impostazioni e strumenti per i bucket per proteggere i dati in transito e a riposo, entrambi fondamentali per mantenere l'integrità e l'accessibilità dei tuoi dati:

  • Blocca accesso pubblico - Non disattivare l'impostazione predefinita a livello di bucket Blocca accesso pubblico. Questa impostazione blocca per impostazione predefinita l'accesso pubblico ai tuoi dati. Per ulteriori informazioni sul blocco dell'accesso pubblico, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

  • Controllo delle versioni S3 - Per garantire l'integrità dei dati, è possibile implementare l'impostazione di controllo delle versioni S3 per il bucket, che esegue il controllo della versione degli oggetti quando si effettuano gli aggiornamenti, invece di sovrascriverli. È possibile utilizzare il controllo delle versioni S3 per conservare, recuperare e ripristinare una versione precedente, se necessario. Per informazioni sulla funzione Controllo delle versioni S3, consulta Conservazione di più versioni degli oggetti con Controllo delle versioni S3.

  • S3 Object Lock - S3 Object Lock è un'altra impostazione che si può implementare per ottenere l'integrità dei dati. Questa funzionalità può implementare un modello write-once-read-many (WORM) per archiviare oggetti in modo immutabile. Per ulteriori informazioni sul blocco oggetti, consulta Blocco di oggetti con Object Lock.

  • Crittografia degli oggetti - Amazon S3 offre diverse opzioni di crittografia degli oggetti che proteggono i dati in transito e a riposo. La crittografia lato server cripta l'oggetto prima di salvarlo sui dischi dei suoi data center e lo decripta quando l'utente scarica gli oggetti. Se si autentica la richiesta e si dispone delle autorizzazioni di accesso, non c'è alcuna differenza nel modo in cui si accede agli oggetti crittografati o non crittografati. Per ulteriori informazioni, consulta Protezione dei dati con la crittografia lato server. S3 cripta gli oggetti appena caricati per impostazione predefinita. Per ulteriori informazioni, consulta Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3. La crittografia lato client consiste nel crittografare i dati prima di inviarli ad Amazon S3. Per ulteriori informazioni, consulta Protezione dei dati con la crittografia lato client.

  • Metodi di firma: la versione 4 di Signature è il processo di aggiunta di informazioni di autenticazione alle AWS richieste inviate tramite HTTP. Per motivi di sicurezza, la maggior parte delle richieste AWS deve essere firmata con una chiave di accesso, che consiste in un ID della chiave di accesso e una chiave di accesso segreta. Queste due chiavi in genere vengono definite come le tue credenziali di sicurezza. Per ulteriori informazioni, consulta Processo di firma delle richieste di autenticazione (AWS Signature Version 4) e Signature Version 4.

Operazioni

Per un elenco completo delle autorizzazioni S3 e delle chiavi di condizione, consulta Azioni, risorse e chiavi di condizione per Amazon S3 in Riferimento alle autorizzazioni di servizio.

Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta Autorizzazioni necessarie per le operazioni API di Amazon S3.

Operazioni

Le azioni AWS Identity and Access Management (IAM) per Amazon S3 sono le possibili azioni che possono essere eseguite su un bucket o un oggetto S3. Si concedono queste azioni alle identità in modo che possano agire sulle risorse S3. Esempi di azioni S3 sono s3:GetObject per leggere oggetti in un bucket e s3:PutObject per scrivere oggetti in un bucket.

Chiavi di condizione

Oltre alle azioni, le chiavi di condizione IAM si limitano a concedere l'accesso solo quando è soddisfatta una condizione. Le chiavi di condizione sono opzionali.

Nota

In una policy di accesso basata sulle risorse, come una policy di bucket, o in una policy basata sull'identità, è possibile specificare quanto segue:

  • Un'azione o una serie di azioni nell'elemento Action dell'istruzione della policy.

  • Nell'elemento Effect della istruzione di policy, è possibile specificare Allow per concedere le azioni elencate oppure Deny per bloccare le azioni elencate. Per mantenere ulteriormente la pratica dei privilegi minimi, le istruzioni Deny nell'elemento Effect della policy di accesso devono essere le più ampie possibile e le istruzioni Allow devono essere le più limitate possibile. Gli effetti Deny abbinati all'azione s3:* sono un altro buon modo per implementare le best practice di opt-in per le identità incluse nelle istruzioni sulla condizione delle policy.

  • Una chiave di condizione nell'elemento Condition di un'istruzione di policy.

Casi d'uso della gestione degli accessi

Amazon S3 mette a disposizione dei proprietari delle risorse una serie di strumenti per concedere l'accesso. Lo strumento di gestione degli accessi S3 che si utilizza dipende dalle risorse S3 che si desidera condividere, dalle identità a cui si concede l'accesso e dalle azioni che si desidera consentire o negare. È possibile utilizzare uno o una combinazione di strumenti di gestione degli accessi S3 per gestire l'accesso alle risorse S3.

Nella maggior parte dei casi, è possibile utilizzare una policy di accesso per gestire le autorizzazioni. Una policy di accesso può essere una policy basata sulle risorse, collegata a una risorsa, come un bucket o un'altra risorsa Amazon S3 (Risorse S3). Una policy di accesso può anche essere una policy basata sull'identità, collegata a un utente, gruppo o ruolo AWS Identity and Access Management (IAM) nel tuo account. È possibile che una policy di bucket sia più adatta al tuo caso d'uso. Per ulteriori informazioni, consulta Policy dei bucket per Amazon S3. In alternativa, con AWS Identity and Access Management (IAM), puoi creare utenti, gruppi e ruoli IAM all'interno del tuo account Account AWS e gestirne l'accesso a bucket e oggetti tramite policy basate sull'identità. Per ulteriori informazioni, consulta Policy basate sull'identità per Amazon S3.

Per aiutarti a orientarvi tra queste opzioni di gestione degli accessi, di seguito sono riportati i casi d'uso comuni dei clienti di Amazon S3 e le raccomandazioni per ciascuno degli strumenti di gestione degli accessi S3.

Tutti gli strumenti di gestione degli accessi possono soddisfare questo caso d'uso di base. Per questo caso d'uso si consigliano i seguenti strumenti di gestione degli accessi:

  • Policy di bucket - Se si desidera concedere l'accesso a un solo bucket o a un numero ridotto di bucket, oppure se le autorizzazioni di accesso al bucket sono simili da un bucket all'altro, utilizza una policy di bucket. Con le policy di bucket, si gestisce una policy per ogni bucket. Per ulteriori informazioni, consulta Policy dei bucket per Amazon S3.

  • Policy basate sull'identità - Se si dispone di un numero molto elevato di bucket con autorizzazioni di accesso diverse per ciascun bucket e solo pochi ruoli utente da gestire, è possibile utilizzare una policy IAM per utenti, gruppi o ruoli. Le policy IAM sono anche una buona opzione se gestisci l'accesso degli utenti ad altre AWS risorse, oltre alle risorse Amazon S3. Per ulteriori informazioni, consulta Esempio 1: il proprietario del bucket concede agli utenti le autorizzazioni per il bucket.

  • S3 Access Grants - È possibile utilizzare S3 Access Grants per concedere l'accesso ai bucket, ai prefissi o agli oggetti S3. S3 Access Grants consente di specificare autorizzazioni variabili a livello di oggetto su scala, mentre le policy dei bucket sono limitate a 20 KB di dimensione. Per ulteriori informazioni, consulta Nozioni di base su S3 Access Grants.

  • Punti di accesso - È possibile utilizzare i punti di accesso, che sono endpoint di rete denominati e collegati a un bucket. A un bucket possono essere collegati fino a 10.000 punti di accesso e per ogni punto di accesso è possibile applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso agli oggetti S3. Per ulteriori informazioni, consulta Gestione dell'accesso a set di dati condivisi con punti di accesso.

Per concedere l'autorizzazione a un altro utente Account AWS, è necessario utilizzare una policy sui bucket o uno dei seguenti strumenti di gestione degli accessi consigliati. Non è possibile utilizzare un policy di accesso basata sull'identità per questo caso d'uso. Per ulteriori informazioni sulla concessione dell'accesso multi-account, consulta Come si fornisce l'accesso a più account agli oggetti contenuti nei bucket Amazon S3?

Per questo caso d'uso si consigliano i seguenti strumenti di gestione degli accessi:

  • Policy di bucket - Con le policy di bucket, si gestisce una policy per ogni bucket. Per ulteriori informazioni, consulta Policy dei bucket per Amazon S3.

  • S3 Access Grants - Si possono usare gli S3 Access Grants per concedere autorizzazioni multi-account ai bucket, ai prefissi o agli oggetti S3. È possibile utilizzare S3 Access Grants per specificare autorizzazioni variabili a livello di oggetto su scala; mentre le policy dei bucket sono limitate a 20 KB di dimensione. Per ulteriori informazioni, consulta Nozioni di base su S3 Access Grants.

  • Punti di accesso - È possibile utilizzare i punti di accesso, che sono endpoint di rete denominati e collegati a un bucket. A un bucket possono essere collegati fino a 10.000 punti di accesso e per ogni punto di accesso è possibile applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso agli oggetti S3. Per ulteriori informazioni, consulta Gestione dell'accesso a set di dati condivisi con punti di accesso.

In una policy di bucket, ad esempio, è possibile concedere l'accesso agli oggetti di un bucket che condividono un prefisso specifico del nome della chiave o che hanno un tag specifico. È possibile concedere l'autorizzazione di lettura agli oggetti che iniziano con il prefisso del nome della chiave logs/. Tuttavia, se le autorizzazioni di accesso variano in base all'oggetto, concedere le autorizzazioni ai singoli oggetti utilizzando una policy di bucket potrebbe non essere pratico, soprattutto perché le policy di bucket hanno dimensioni limitate a 20 KB.

Per questo caso d'uso si consigliano i seguenti strumenti di gestione degli accessi:

  • S3 Access Grants - È possibile utilizzare S3 Access Grants per gestire le autorizzazioni a livello di oggetto o di prefisso. A differenza delle policy di bucket, è possibile utilizzare le policy di accesso S3 per specificare autorizzazioni variabili a livello di oggetto su scala. Le policy di bucket sono limitate a dimensioni di 20 KB. Per ulteriori informazioni, consulta Nozioni di base su S3 Access Grants.

  • Punti di accesso - È possibile utilizzare i punti di accesso per gestire le autorizzazioni a livello di oggetto o di prefisso. I punti di accesso sono endpoint di rete denominati e collegati a un bucket. A un bucket possono essere collegati fino a 10.000 punti di accesso e per ogni punto di accesso è possibile applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso agli oggetti S3. Per ulteriori informazioni, consulta Gestione dell'accesso a set di dati condivisi con punti di accesso.

  • ACLs— Non è consigliabile utilizzare le liste di controllo degli accessi (ACLs), soprattutto perché sono limitate a 100 concessioni per oggetto. ACLs Tuttavia, se scegli di attivarla, nelle impostazioni del Bucket ACLs, imposta Object Ownership su Bucket owner (preferito e abilitato). ACLs Con questa impostazione, nuovi oggetti scritti con l'ACL predefinita bucket-owner-full-control saranno automaticamente di proprietà del proprietario del bucket anziché dell'object writer. Puoi quindi utilizzare object ACLs, che è una politica di accesso in formato XML, per concedere ad altri utenti l'accesso all'oggetto. Per ulteriori informazioni, consulta Panoramica delle liste di controllo accessi (ACL).

Per questo caso d'uso si consigliano i seguenti strumenti di gestione degli accessi:

  • Policy di bucket - Con le policy di bucket, si gestisce una policy per ogni bucket. Per ulteriori informazioni, consulta Policy dei bucket per Amazon S3.

  • Punti di accesso - I punti di accesso sono endpoint di rete denominati e collegati a un bucket. A un bucket possono essere collegati fino a 10.000 punti di accesso e per ogni punto di accesso è possibile applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso agli oggetti S3. Per ulteriori informazioni, consulta Gestione dell'accesso a set di dati condivisi con punti di accesso.

Per questo caso d'uso si consiglia il seguente strumento di gestione degli accessi:

  • Punti di accesso - I punti di accesso sono endpoint di rete denominati e collegati a un bucket. A un bucket possono essere collegati fino a 10.000 punti di accesso e per ogni punto di accesso è possibile applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso agli oggetti S3. Ogni punto di accesso applica una policy personalizzata che funziona insieme alla policy di bucket collegata al bucket sottostante. Per ulteriori informazioni, consulta Gestione dell'accesso a set di dati condivisi con punti di accesso.

Gli endpoint del cloud privato virtuale (VPC) per Amazon S3 sono entità logiche all'interno di un VPC che consentono la connettività solo a S3. Per questo caso d'uso si consigliano i seguenti strumenti di gestione degli accessi:

  • Bucket in un'impostazione VPC - È possibile utilizzare una policy di bucket per controllare chi può accedere ai bucket e a quali endpoint VPC può accedere. Per ulteriori informazioni, consulta Controllo dell'accesso dagli endpoint VPC con policy di bucket.

  • Punto di accesso - Se si sceglie di impostare dei punti di accesso, è possibile utilizzare una policy dedicata. È possibile configurare qualsiasi punto di accesso in modo che accetti richieste solo da un cloud privato virtuale (VPC) per limitare l'accesso ai dati Amazon S3 a una rete privata. È inoltre possibile configurare impostazioni personalizzate di blocco dell'accesso pubblico per ciascun punto di accesso. Per ulteriori informazioni, consulta Gestione dell'accesso a set di dati condivisi con punti di accesso.

Con S3 è possibile ospitare un sito web statico e consentire a chiunque di visualizzarne il contenuto, ospitato da un bucket S3.

Per questo caso d'uso si consigliano i seguenti strumenti di gestione degli accessi:

  • Amazon CloudFront: questa soluzione consente di ospitare un sito Web statico Amazon S3 al pubblico, continuando allo stesso tempo a bloccare tutti gli accessi pubblici ai contenuti di un bucket. Se desideri mantenere abilitate tutte e quattro le impostazioni di S3 Block Public Access e ospitare un sito Web statico S3, puoi utilizzare Amazon CloudFront Origin Access Control (OAC). Amazon CloudFront offre le funzionalità necessarie per configurare un sito Web statico sicuro. Inoltre, i siti Web statici di Amazon S3 che non utilizzano questa soluzione possono supportare solo endpoint HTTP. CloudFront utilizza lo storage durevole di Amazon S3 fornendo al contempo intestazioni di sicurezza aggiuntive, come HTTPS. HTTPS aggiunge sicurezza crittografando una normale richiesta HTTP e proteggendo contro o più comuni attacchi informatici.

    Per ulteriori informazioni, consulta la sezione Guida introduttiva a un sito Web statico sicuro nella Amazon CloudFront Developer Guide.

  • Rendere il proprio bucket Amazon S3 pubblicamente accessibile - È possibile configurare un bucket per utilizzarlo come sito web statico ad accesso pubblico.

    avvertimento

    Non raccomandiamo questo metodo. Ti consigliamo invece di utilizzare siti Web statici di Amazon S3 come parte di Amazon. CloudFront Per ulteriori informazioni, consulta l'opzione precedente o consulta Come iniziare un sito web statico sicuro.

    Per creare un sito Web statico Amazon S3, senza Amazon CloudFront, devi innanzitutto disattivare tutte le impostazioni di Block Public Access. Durante la scrittura della policy del bucket per il sito Web statico, assicurati di consentire solo operazioni s3:GetObject, non autorizzazioni ListObject o PutObject. In questo modo si evita che gli utenti possano visualizzare tutti gli oggetti del bucket o aggiungere i propri contenuti. Per ulteriori informazioni, consulta Impostazione delle autorizzazioni per l'accesso al sito Web.

Quando si crea un nuovo bucket Amazon S3, l'impostazione Blocca accesso pubblico è attivata per impostazione predefinita. Per ulteriori informazioni sul blocco dell'accesso pubblico, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

Si sconsiglia di consentire l'accesso pubblico al proprio bucket. Tuttavia, se è necessario farlo per un caso d'uso particolare, si consiglia il seguente strumento di gestione degli accessi per questo caso d'uso:

  • Disabilita l'impostazione Blocca accesso pubblico - Il proprietario di un bucket può consentire richieste non autenticate al bucket. Ad esempio, le richieste PUT Object non autenticate sono consentite quando un bucket ha una policy di bucket pubblica o quando un'ACL del bucket consente l'accesso pubblico. Tutte le richieste non autenticate vengono effettuate da altri AWS utenti arbitrari, o anche da utenti anonimi non autenticati. Questo utente è rappresentato dall'ID utente ACLs canonico specifico. 65a011a29cdf8ec533ec3d1ccaae921c Se un oggetto viene caricato su WRITE o FULL_CONTROL, l'accesso viene concesso specificamente al gruppo Tutti gli utenti o all'utente anonimo. Per ulteriori informazioni sulle politiche dei bucket pubblici e sugli elenchi di controllo degli accessi pubblici (ACLs), vedere. Significato di "pubblico"

Sia le policy di bucket che quelle basate sull'identità hanno un limite di 20 KB. Se i requisiti di autorizzazione all'accesso sono complessi, si potrebbe superare questo limite di dimensione.

Per questo caso d'uso si consigliano i seguenti strumenti di gestione degli accessi:

  • Punto di accesso - Utilizza i punti di accesso se questi funzionano con il tuo caso d'uso. Con i punti di accesso, ogni bucket ha più endpoint di rete denominati, ciascuno con la propria policy di punto di accesso che funziona con la policy di bucket sottostante. Tuttavia, i punti di accesso possono agire solo sugli oggetti, non sui bucket, e non supportano la replica tra Regioni. Per ulteriori informazioni, consulta Gestione dell'accesso a set di dati condivisi con punti di accesso.

  • S3 Access Grants - Utilizza S3 Access Grants, che supporta un numero molto elevato di grant che danno accesso a bucket, prefissi o oggetti. Per ulteriori informazioni, consulta Nozioni di base su S3 Access Grants.

Invece di gestire utenti, gruppi e ruoli tramite AWS Identity and Access Management (IAM), puoi aggiungere la tua directory aziendale a. AWS IAM Identity Center Per ulteriori informazioni, consulta What is IAM Identity Center?.

Dopo aver aggiunto la directory aziendale AWS IAM Identity Center, ti consigliamo di utilizzare il seguente strumento di gestione degli accessi per concedere alle identità della directory aziendale l'accesso alle tue risorse S3:

  • S3 Access Grants - Utilizza S3 Access Grants, che supporta la concessione dell'accesso a utenti o ruoli nella directory aziendale. Per ulteriori informazioni, consulta Nozioni di base su S3 Access Grants.

Per questo caso d'uso abbiamo consigliato il seguente strumento di gestione degli accessi:

  • Bucket ACL: l'unico caso d'uso consigliato per bucket ACLs è concedere autorizzazioni ad alcuni Servizi AWS, come l'account Amazon. CloudFront awslogsdelivery Quando crei o aggiorni una distribuzione e attivi la CloudFront registrazione, CloudFront aggiorna l'ACL del bucket per concedere all'awslogsdeliveryaccount le FULL_CONTROL autorizzazioni per scrivere i log nel bucket. Per ulteriori informazioni, consulta la sezione Autorizzazioni necessarie per configurare la registrazione standard e accedere ai file di registro nella Amazon CloudFront Developer Guide. Se il bucket che memorizza i log utilizza l'impostazione imposta dal proprietario del bucket per disattivare S3 Object Ownership ACLs, CloudFront non è possibile scrivere log nel bucket. Per ulteriori informazioni, consulta Controllo della proprietà degli oggetti e disattivazione ACLs del bucket.

È possibile concedere ad altri account l'accesso al caricamento di oggetti nel bucket utilizzando una policy di bucket, un punto di accesso o S3 Access Grants. Se si è concesso l'accesso multi-account al proprio bucket, è possibile assicurarsi che tutti gli oggetti caricati nel bucket rimangano sotto il proprio controllo.

Per questo caso d'uso abbiamo consigliato il seguente strumento di gestione degli accessi:

  • Proprietà dell'oggetto - Mantieni l'impostazione a livello di bucket Proprietà dell'oggetto all'impostazione predefinita Proprietario del bucket.

Risoluzione dei problemi di gestione degli accessi

Le seguenti risorse possono aiutare a risolvere eventuali problemi con la gestione degli accessi S3:

Risoluzione dei problemi relativi agli errori di accesso negato (403 Accesso negato)

Se si verificano problemi di rifiuto di accesso, controllare le impostazioni a livello di account e di bucket. Inoltre, verificare la funzionalità di gestione degli accessi utilizzata per concedere l'accesso per assicurarsi che la policy, l'impostazione o la configurazione siano corretti. Per ulteriori informazioni sulle cause più comuni degli errori di accesso negato (403 Accesso negato) in Amazon S3, consulta Risolvi i problemi relativi all'accesso negato (403 Forbidden) errori in Amazon S3.

IAM Access Analyzer per S3

Se non vuoi rendere pubbliche le tue risorse o se vuoi limitare l'accesso pubblico alle tue risorse, puoi usare IAM Access Analyzer for S3. Sulla console Amazon S3, usa IAM Access Analyzer per S3 per esaminare tutti i bucket che dispongono di elenchi di controllo degli accessi ai bucket (ACLs), policy dei bucket o policy dei punti di accesso che garantiscono l'accesso pubblico o condiviso. IAM Access Analyzer for S3 ti avvisa dei bucket configurati per consentire l'accesso a chiunque su Internet o altro, anche all'esterno della tua organizzazione. Account AWS Account AWS Per ogni bucket pubblico o condiviso, vengono visualizzati risultati che riportano l'origine e il livello di accesso pubblico o condiviso.

In IAM Access Analyzer per S3, è possibile bloccare tutti gli accessi pubblici a un bucket con una singola azione. Si consiglia di bloccare l'accesso pubblico ai propri bucket, a meno che non sia necessario per supportare un caso d'uso specifico. Prima di bloccare tutti gli accessi pubblici, accertati che le tue applicazioni continuino a funzionare correttamente anche senza accesso pubblico. Per ulteriori informazioni, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

È inoltre possibile rivedere le impostazioni dei permessi a livello di bucket per configurare livelli di accesso dettagliati. Per casi d'uso specifici e verificati che richiedono l'accesso pubblico o condiviso, puoi confermare e registrare l'intenzione del bucket di rimanere pubblico o condiviso archiviando i risultati per il bucket. Puoi consultare e modificare le configurazioni relative al bucket in qualsiasi momento. È inoltre possibile scaricare i risultati in un report CSV per scopi di verifica.

IAM Access Analyzer per S3 è disponibile senza costi aggiuntivi nella console di Amazon S3. IAM Access Analyzer per S3 è basato su AWS Identity and Access Management (IAM) IAM Access Analyzer. Per utilizzare IAM Access Analyzer for S3 sulla console Amazon S3, è necessario visitare la Console IAM e creare un analizzatore a livello di account in IAM Access Analyzer per ogni singola Regione.

Per ulteriori informazioni su IAM Access Analyzer per S3, consultare Revisione dell'accesso al bucket tramite IAM Access Analyzer per S3.

Registrazione di log e monitoraggio

Il monitoraggio è una parte importante del mantenimento dell'affidabilità, della disponibilità e delle prestazioni delle soluzioni Amazon S3 in modo da poter eseguire più facilmente il debug di un errore di accesso. La registrazione può fornire informazioni sugli errori ricevuti dagli utenti e su quando e quali richieste vengono effettuate. AWS fornisce diversi strumenti per il monitoraggio delle risorse Amazon S3, come i seguenti:

  • AWS CloudTrail

  • Log di accesso ad Amazon S3

  • AWS Trusted Advisor

  • Amazon CloudWatch

Per ulteriori informazioni, consulta Registrazione e monitoraggio in Amazon S3.