Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controllo degli accessi in Amazon S3
In AWS, una risorsa è un'entità con cui puoi lavorare. In Amazon Simple Storage Service (S3), i *bucket* e gli *oggetti* sono le risorse originali di Amazon S3. Ogni cliente S3 ha probabilmente dei bucket con degli oggetti al loro interno. Con l'aggiunta di nuove funzionalità a S3, sono state aggiunte anche risorse supplementari, ma non tutti i clienti utilizzano queste risorse specifiche. Per ulteriori informazioni sulle risorse Amazon S3, consulta [Risorse S3](#access-management-resources).
Per impostazione predefinita, tutte le risorse Amazon S3 sono private. Inoltre, per impostazione predefinita, l'utente root di Account AWS che ha creato la risorsa (proprietario della risorsa) e gli utenti IAM all'interno di quell'account con le autorizzazioni necessarie possono accedere a una risorsa che hanno creato. Il proprietario della risorsa decide chi può accedere alla risorsa e le azioni che gli altri possono eseguire sulla risorsa. S3 dispone di vari strumenti di gestione degli accessi che possono essere utilizzati per concedere ad altri l'accesso alle risorse S3.
Le sezioni seguenti forniscono una panoramica delle risorse S3, degli strumenti di gestione degli accessi S3 disponibili e dei migliori casi d'uso per ciascuno strumento di gestione degli accessi. Gli elenchi di queste sezioni vogliono essere completi e includere tutte le risorse S3, gli strumenti di gestione degli accessi e i casi d'uso più comuni di gestione degli accessi. Allo stesso tempo, queste sezioni sono concepite come directory che conducono l'utente ai dettagli tecnici desiderati. Se hai già una buona conoscenza di alcuni dei seguenti argomenti, puoi passare alla sezione che fa al caso tuo.
Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta [Autorizzazioni necessarie per le operazioni API di Amazon S3](using-with-s3-policy-actions.md).
**Argomenti**
+ [Risorse S3](#access-management-resources)
+ [Identità](#access-management-owners)
+ [Strumenti di gestione degli accessi](#access-management-tools)
+ [Azioni](#access-management-actions)
+ [Casi d'uso della gestione degli accessi](#access-management-usecases)
+ [Risoluzione dei problemi di gestione degli accessi](#access-management-troubleshooting)
## Risorse S3
Le risorse originali di Amazon S3 sono i bucket e gli oggetti che contengono. Con l'aggiunta di nuove funzionalità a S3, vengono aggiunte anche nuove risorse. Di seguito è riportato un elenco completo delle risorse S3 e delle rispettive caratteristiche.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/access-management.html)
**Bucket**
Esistono due tipi di bucket Amazon S3: *bucket per uso generico* e *bucket di directory*.
+ I **bucket per uso generico** sono il tipo di bucket S3 originale e sono consigliati per la maggior parte dei casi d'uso e dei modelli di accesso. I bucket per uso generico consentono inoltre di archiviare oggetti in tutte le classi di storage, ad eccezione di S3 Express One Zone. Per ulteriori informazioni sulle classi di storage S3, consulta [Comprensione e gestione delle classi di storage Amazon S3](storage-class-intro.md).
+ I **bucket di directory** utilizzano la classe di storage S3 Express One Zone, consigliata se l'applicazione è sensibile alle prestazioni e beneficia di latenze a una cifra al millisecondo `PUT` e `GET`. Per ulteriori informazioni, consultare [Operazioni con i bucket di directory](directory-buckets-overview.md), [S3 Express One Zone](directory-bucket-high-performance.md#s3-express-one-zone) e [Autorizzazione delle operazioni API dell'endpoint regionale con IAM](s3-express-security-iam.md).
**Categorizzazione delle risorse S3**
Amazon S3 offre funzioni per categorizzare e organizzare le risorse S3. La categorizzazione delle risorse non è utile solo per organizzarle, ma è anche possibile impostare regole di gestione degli accessi basate sulle categorie delle risorse. In particolare, i prefissi e i tag sono due funzioni di organizzazione dello storage che possono essere utilizzate quando si impostano le autorizzazioni per la gestione degli accessi.
**Nota**
Le seguenti informazioni si riferiscono ai bucket per uso generico. I bucket di directory non supportano i tag e hanno limitazioni sui prefissi. Per ulteriori informazioni, consulta [Autorizzazione delle operazioni API dell'endpoint regionale con IAM](s3-express-security-iam.md).
+ **Prefissi** - Un prefisso in Amazon S3 è una stringa di caratteri all'inizio del nome della chiave di un oggetto, utilizzata per organizzare gli oggetti memorizzati nei bucket S3. Si può usare un carattere delimitatore, come una barra in avanti (`/`), per indicare la fine del prefisso all'interno del nome della chiave dell'oggetto. Ad esempio, si possono avere nomi di chiavi di oggetti che iniziano con il prefisso `engineering/` oppure nomi di chiavi di oggetti che iniziano con il prefisso `marketing/campaigns/`. L'uso di un delimitatore alla fine del prefisso, come ad esempio un carattere di barra in avanti `/` emula le convenzioni di denominazione delle cartelle e dei file. Tuttavia, in S3, il prefisso fa parte del nome della chiave dell'oggetto. Nei bucket S3 per uso generico, non esiste una vera e propria gerarchia di cartelle.
Amazon S3 supporta l'organizzazione e il raggruppamento degli oggetti utilizzando i loro prefissi. È anche possibile gestire l'accesso agli oggetti in base ai loro prefissi. Ad esempio, è possibile limitare l'accesso solo agli oggetti con nomi che iniziano con un prefisso specifico.
Per ulteriori informazioni, consulta [Organizzazione degli oggetti utilizzando i prefissi](using-prefixes.md). La console S3 utilizza il concetto di *cartelle* che, nei bucket per uso generico, sono essenzialmente prefissi che vengono anteposti al nome della chiave dell'oggetto. Per ulteriori informazioni, consulta [Organizzazione degli oggetti nella console di Amazon S3 utilizzando le cartelle](using-folders.md).
+ **Tag** - Ogni tag è una coppia chiave-valore che si assegna alle risorse. Ad esempio, è possibile etichettare alcune risorse con il tag `topicCategory=engineering`. L'etichettatura può essere utilizzata per contribuire all'allocazione dei costi, alla categorizzazione e all'organizzazione e al controllo degli accessi. L'etichettatura dei bucket viene utilizzata solo per l'allocazione dei costi. È possibile etichettare gli oggetti dei tag, S3 Storage Lens, i processi e S3 Access Grants ai fini dell'organizzazione o del controllo degli accessi. In S3 Access Grants, è possibile utilizzare i tag per l'allocazione dei costi. Come esempio di controllo dell'accesso alle risorse tramite i loro tag, è possibile condividere solo gli oggetti che hanno un tag specifico o una combinazione di tag.
Per ulteriori informazioni, consultare [Controllo dell'accesso alle risorse AWS mediante i tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) nella *Guida per l'utente di IAM*.
## Identità
In Amazon S3, il proprietario della risorsa è l'identità che ha creato la risorsa, come un bucket o un oggetto. Per impostazione predefinita, solo l'utente root dell'account che ha creato la risorsa e le identità IAM all'interno dell'account che dispongono delle autorizzazioni richieste possono accedere alla risorsa S3. I proprietari delle risorse possono concedere ad altre identità l'accesso alle loro risorse S3.
Le identità che non possiedono una risorsa possono richiedere l'accesso a tale risorsa. Le richieste a una risorsa sono autenticate o non autenticate. Le richieste autenticate devono includere un valore di firma che autentichi il mittente della richiesta, mentre le richieste non autenticate non richiedono una firma. Si consiglia di concedere l'accesso solo agli utenti autenticati. Per ulteriori informazioni sull'autenticazione delle richieste, consulta [Esecuzione di richieste](https://docs.aws.amazon.com/AmazonS3/latest/API/MakingRequests.html) nella *documentazione di riferimento delle API di Amazon S3*.
**Importante**
Ti consigliamo di non utilizzare le credenziali dell'utente root per effettuare richieste autenticate Account AWS . Crea invece un ruolo IAM, concedendo a esso l'accesso completo. Gli utenti con questo ruolo vengono definiti *utenti amministratori*. È possibile utilizzare le credenziali assegnate al ruolo di amministratore, anziché le credenziali dell'utente Account AWS root, per interagire AWS ed eseguire attività, come creare un bucket, creare utenti e concedere autorizzazioni. Per ulteriori informazioni, consulta [Credenziali dell'utente root e credenziali dell'utente IAM Account AWS](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html) nella Guida all'utente IAM *Riferimenti generali di AWS* e consulta le [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida dell'utente IAM*.
Le identità che accedono ai dati in Amazon S3 possono essere una delle seguenti:
**Account AWS owner**
Account AWS Quello che ha creato la risorsa. Ad esempio, l'account che ha creato il bucket. Questo account è il proprietario della risorsa. Per ulteriori informazioni, consulta [Account utente root AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html).
**Identità IAM nello stesso account del proprietario Account AWS**
[Quando configura gli account per i nuovi membri del team che richiedono l'accesso a S3, il Account AWS proprietario può utilizzare AWS Identity and Access Management (IAM) per creare [utenti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html), [gruppi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) e ruoli.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) Il Account AWS proprietario può quindi condividere le risorse con queste identità IAM. Il proprietario dell'account può anche specificare le autorizzazioni da assegnare alle identità IAM, che consentono o negano le azioni che possono essere eseguite sulle risorse condivise.
Le identità IAM offrono maggiori funzionalità, tra cui la possibilità di richiedere agli utenti di inserire le credenziali di accesso prima di accedere alle risorse condivise. Utilizzando le identità IAM, è possibile implementare una forma di autenticazione a più fattori (MFA) per supportare una solida base di identità. Una best practice IAM consiste nel creare ruoli per la gestione degli accessi, invece di concedere autorizzazioni a ogni singolo utente. Si assegnano i singoli utenti al ruolo appropriato. Per ulteriori informazioni, consulta [Best practice per la sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).
**Altri proprietari di AWS account e relative identità IAM (accesso tra account diversi)**
Il Account AWS proprietario può inoltre consentire ad altri proprietari di AWS account, o identità IAM che appartengono a un altro AWS account, l'accesso alle risorse.
**Nota**
**Delega dei permessi** - Se un Account AWS possiede una risorsa, può concedere tali permessi a un altro Account AWS. Tale account può quindi delegare tali autorizzazioni, o un sottoinsieme di esse, agli utenti dello stesso account. Si parla di delega del permesso. Ma un account che riceve permessi da un altro account non può delegare tali permessi "multi-account" a un altro Account AWS.
**Utenti anonimi (accesso pubblico)**
Il Account AWS proprietario può rendere pubbliche le risorse. Rendendo pubblica una risorsa, la si condivide tecnicamente con *utente anonimo*. I bucket creati da aprile 2023 bloccano tutti gli accessi pubblici per impostazione predefinita, a meno che non si modifichi questa impostazione. Si consiglia di impostare i bucket per bloccare l'accesso pubblico e di concedere l'accesso solo agli utenti autenticati. Per ulteriori informazioni sul blocco dell'accesso pubblico, consulta [Blocco dell'accesso pubblico allo storage Amazon S3](access-control-block-public-access.md).
**Servizi AWS**
Il proprietario della risorsa può concedere a un altro AWS servizio l'accesso a una risorsa Amazon S3. Ad esempio, puoi concedere al AWS CloudTrail servizio l'`s3:PutObject`autorizzazione a scrivere file di registro nel tuo bucket. Per ulteriori informazioni, vedere [Fornire l'accesso a un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_services.html).
**Identità di directory aziendali**
Il proprietario della risorsa può concedere agli utenti o ai ruoli della directory aziendale l'accesso a una risorsa S3 utilizzando [S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html). Per ulteriori informazioni sull'aggiunta della directory aziendale a AWS IAM Identity Center, consulta [Cos'è IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) .
### Proprietari di bucket o risorse
La Account AWS persona che usi per creare bucket e caricare oggetti possiede tali risorse. Un proprietario del bucket può concedere a un altro Account AWS (o agli utenti di un altro account) autorizzazioni multiaccount per caricare gli oggetti.
Quando il proprietario di un bucket consente a un altro account di caricare oggetti in un bucket, il proprietario del bucket, per impostazione predefinita, è proprietario di tutti gli oggetti caricati nel suo bucket. Tuttavia, se le impostazioni del *bucket preferite del proprietario del* *bucket e del proprietario del* bucket sono disattivate, chi carica gli oggetti possiede quegli oggetti e il proprietario del bucket non dispone delle autorizzazioni sugli oggetti di proprietà di un altro account, con le seguenti eccezioni: Account AWS
+ È il proprietario del bucket a pagare la fattura. Il proprietario del bucket può rifiutare l'accesso agli oggetti nel bucket o eliminarli, indipendentemente dall'utente a cui appartengono.
+ Il proprietario del bucket può archiviare qualsiasi oggetto o ripristinare gli oggetti archiviati, indipendentemente da chi ne sia il proprietario. Archiviazione si riferisce alla classe di storage utilizzata per memorizzare gli oggetti. Per ulteriori informazioni, consulta [Gestione del ciclo di vita degli oggetti](object-lifecycle-mgmt.md).
## Strumenti di gestione degli accessi
Amazon S3 offre una varietà di funzionalità e strumenti di sicurezza. Di seguito è riportato un elenco completo di queste funzioni e strumenti. Non è necessario disporre di tutti questi strumenti di gestione degli accessi, ma è necessario utilizzarne uno o più per concedere l'accesso alle risorse Amazon S3. L'applicazione corretta di questi strumenti può aiutare a garantire che le risorse siano accessibili solo agli utenti previsti.
Lo strumento di gestione degli accessi più comunemente utilizzato è una *policy di accesso*. Una politica di accesso può essere una politica *basata sulle risorse associata a una risorsa, ad esempio una policy* bucket per un AWS bucket. Un policy di accesso può anche essere una *policy basata sull'identità*, collegata a un'identità AWS Identity and Access Management (IAM), come un utente, un gruppo o un ruolo IAM. Scrivi una policy di accesso per concedere a utenti, gruppi Account AWS e ruoli IAM l'autorizzazione a eseguire operazioni su una risorsa. Ad esempio, puoi concedere `PUT Object` l'autorizzazione a un altro account Account AWS in modo che l'altro account possa caricare oggetti nel tuo bucket.
Una policy di accesso descrive chi ha accesso a quali cose. Quando Amazon S3 riceve una richiesta, deve valutare tutte le policy di accesso per determinare se autorizzare o negare la richiesta. Per ulteriori informazioni su come Amazon S3 valuta le policy, consulta [In che modo Amazon S3 autorizza una richiesta](how-s3-evaluates-access-control.md).
Di seguito sono elencati gli strumenti di gestione degli accessi disponibili in Amazon S3.
### Policy del bucket
Una policy del bucket Amazon S3 è una [policy basata sulle risorse AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) in formato JSON, collegata a un particolare bucket. Utilizza le policy del bucket per concedere autorizzazioni ad altre identità Account AWS o a identità IAM per il bucket e gli oggetti in esso contenuti. Molti casi d'uso della gestione degli accessi S3 possono essere soddisfatti utilizzando una policy di bucket. Con le policy di bucket, è possibile personalizzare l'accesso ai bucket per assicurarsi che solo le identità approvate possano accedere alle risorse ed eseguire azioni al loro interno. Per ulteriori informazioni, consulta [Policy dei bucket per Amazon S3](bucket-policies.md).
Di seguito è riportato un esempio di policy di bucket. La policy dei bucket è espressa da un file JSON. Questo esempio di policy concede a un ruolo IAM l'autorizzazione di lettura per tutti gli oggetti del bucket. Contiene un'istruzione denominata `BucketLevelReadPermissions`, che consente l'azione `s3:GetObject` (permesso di lettura) sugli oggetti di un bucket denominato `amzn-s3-demo-bucket1`. Specificando un ruolo IAM come `Principal`, questa policy consente l'accesso a qualsiasi utente IAM con questo ruolo. Per utilizzare questa policy di esempio, sostituisci `user input placeholders` con le tue informazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid":"BucketLevelReadPermissions",
"Effect":"Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789101:role/s3-role"
},
"Action":["s3:GetObject"],
"Resource":["arn:aws:s3:::amzn-s3-demo-bucket/*"]
}]
}
```
------
**Nota**
Durante la creazione delle policy, è opportuno evitare l'uso di caratteri jolly (`*`) nell'elemento `Principal` perché questo consente a chiunque di accedere alle risorse Amazon S3. Invece, elencare esplicitamente gli utenti o i gruppi che possono accedere al bucket o elencare le condizioni che devono essere soddisfatte utilizzando una clausola di condizione nella policy. Inoltre, piuttosto che includere un carattere jolly per le azioni dei tuoi utenti o gruppi, concedete loro autorizzazioni specifiche, quando è il caso.
### Policy basata su identità
Una policy utente basata sull'identità o IAM è un tipo di [policy AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html). Una policy basata sull'identità è una policy in formato JSON collegata a utenti, gruppi o ruoli IAM nell'account AWS . È possibile utilizzare le policy basate sull'identità per concedere a un'identità IAM l'accesso ai bucket o agli oggetti. È possibile creare utenti, gruppi e ruoli IAM nel proprio account e associare ad essi le policy di accesso. È quindi possibile concedere l'accesso alle risorse di AWS , comprese quelle di Amazon S3. Per ulteriori informazioni, consulta [Policy basate sull'identità per Amazon S3](security_iam_id-based-policy-examples.md).
Di seguito è riportato un esempio di policy basata sull'identità. La policy di esempio consente al ruolo IAM associato di eseguire sei diverse azioni (autorizzazioni) di Amazon S3 su un bucket e sugli oggetti in esso contenuti. Se si collega questa policy a un ruolo IAM dell'account e si assegna il ruolo ad alcuni utenti IAM, gli utenti con questo ruolo potranno eseguire queste azioni sulle risorse (bucket) specificate nella policy. Per utilizzare questa policy di esempio, sostituisci `user input placeholders` con le tue informazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AssignARoleActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AssignARoleActions2",
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "*"
}
]
}
```
------
### Sovvenzioni di accesso S3
Utilizza S3 Access Grants per creare i permessi di accesso ai dati di Amazon S3 sia per le identità nelle directory di identità aziendali, come Active Directory, sia per le identità AWS Identity and Access Management (IAM). S3 Access Grants aiuta a gestire le autorizzazioni dei dati su scala. Inoltre, S3 Access Grants registra l'identità dell'utente finale e l'applicazione utilizzata per accedere ai dati S3 in AWS CloudTrail. Questo fornisce una cronologia di audit dettagliata fino all'identità dell'utente finale per tutti gli accessi ai dati nei bucket S3. Per ulteriori informazioni, consulta [Gestione dell'accesso con S3 Access Grants](access-grants.md).
### Punti di accesso
Punti di accesso Amazon S3 semplifica la gestione dell'accesso ai dati su scala per le applicazioni che utilizzano set di dati condivisi su S3. I punti di accesso sono endpoint di rete denominati e collegati a un bucket. È possibile utilizzare i punti di accesso per eseguire operazioni sugli oggetti S3 in scala, come il caricamento e il recupero di oggetti. A un bucket possono essere collegati fino a 10.000 punti di accesso e per ogni punto di accesso è possibile applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso agli oggetti S3. I punti di accesso S3 possono essere associati a bucket dello stesso account o di un altro account attendibile. Le policy dei punti di accesso sono policy basate sulle risorse che vengono valutate insieme alla policy di bucket sottostante. Per ulteriori informazioni, consulta [Gestione dell'accesso a set di dati condivisi con punti di accesso](access-points.md).
### Lista di controllo degli accessi (ACL)
Un ACL è un elenco di sovvenzioni che identificano il beneficiario e l'autorizzazione concessa. ACLs concede autorizzazioni di base di lettura o scrittura ad altri. Account AWS ACLs usa uno schema XML specifico di Amazon S3. Una ACL è un tipo di [policy AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html). Una ACL per oggetti viene utilizzata per gestire l'accesso a un oggetto e una ACL per bucket viene utilizzata per gestire l'accesso a un bucket. Con le policy bucket, esiste un'unica policy per l'intero bucket, ma gli oggetti ACLs sono specificati per ogni oggetto. Si consiglia di mantenerla ACLs disattivata, tranne nei casi in cui è necessario controllare singolarmente l'accesso per ciascun oggetto. Per ulteriori informazioni sull'utilizzo ACLs, vedere[Controllo della proprietà degli oggetti e disattivazione ACLs del bucket](about-object-ownership.md).
**avvertimento**
La maggior parte dei casi d'uso moderni in Amazon S3 non richiede l'uso di. ACLs
Di seguito è riportato un esempio di ACL del bucket. La concessione nell'ACL mostra il proprietario di un bucket che ha il permesso di controllo completo.
```
Owner-Canonical-User-ID
Owner-Canonical-User-ID
FULL_CONTROL
```
### Proprietà dell'oggetto
Per gestire l'accesso ai propri oggetti, è necessario essere il proprietario dell'oggetto. È possibile utilizzare l'impostazione Proprietà oggetto a livello di bucket per controllare la proprietà degli oggetti caricati nel bucket. Inoltre, usa Object Ownership per attivarlo. ACLs Per impostazione predefinita, Object Ownership è impostata sull'*impostazione imposta dal proprietario del Bucket* e tutte ACLs sono disattivate. Quando ACLs sono disattivati, il proprietario del bucket possiede tutti gli oggetti nel bucket e gestisce esclusivamente l'accesso ai dati. Per gestire l'accesso, il proprietario del bucket utilizza politiche o un altro strumento di gestione degli accessi, esclusi. ACLs Per ulteriori informazioni, consulta [Controllo della proprietà degli oggetti e disattivazione ACLs del bucket](about-object-ownership.md).
Object Ownership dispone di tre impostazioni che puoi utilizzare sia per controllare la proprietà degli oggetti caricati nel tuo bucket sia per attivare: ACLs
**ACLs disattivata**
+ **Il proprietario del bucket è impostato (impostazione predefinita)**: ACLs sono disattivati e il proprietario del bucket possiede automaticamente e ha il pieno controllo su ogni oggetto nel bucket. ACLs non influiscono sulle autorizzazioni per i dati nel bucket S3. Il bucket utilizza esclusivamente le policy per definire il controllo degli accessi.
**ACLs acceso**
+ **Proprietario del bucket preferito** - Il proprietario del bucket possiede e ha il pieno controllo sui nuovi oggetti che altri account scrivono sul bucket con l'ACL `bucket-owner-full-control` predefinita.
+ **Autore di oggetti**: chi carica un oggetto possiede l'oggetto, ne ha il pieno controllo e può concedere ad altri utenti l'accesso ad esso tramite ACLs. Account AWS
**Best practice aggiuntive**
Considera l'utilizzo delle seguenti impostazioni e strumenti per i bucket per proteggere i dati in transito e a riposo, entrambi fondamentali per mantenere l'integrità e l'accessibilità dei tuoi dati:
+ **Blocca accesso pubblico** - Non disattivare l'impostazione predefinita a livello di bucket *Blocca accesso pubblico*. Questa impostazione blocca per impostazione predefinita l'accesso pubblico ai tuoi dati. Per ulteriori informazioni sul blocco dell'accesso pubblico, consulta [Blocco dell'accesso pubblico allo storage Amazon S3](access-control-block-public-access.md).
+ **Controllo delle versioni S3** - Per garantire l'integrità dei dati, è possibile implementare l'impostazione di controllo delle versioni S3 per il bucket, che esegue il controllo della versione degli oggetti quando si effettuano gli aggiornamenti, invece di sovrascriverli. È possibile utilizzare il controllo delle versioni S3 per conservare, recuperare e ripristinare una versione precedente, se necessario. Per informazioni sulla funzione Controllo delle versioni S3, consulta [Conservazione di più versioni degli oggetti con Controllo delle versioni S3](Versioning.md).
+ **S3 Object Lock** - S3 Object Lock è un'altra impostazione che si può implementare per ottenere l'integrità dei dati. Questa funzionalità può implementare un modello write-once-read-many (WORM) per archiviare oggetti in modo immutabile. Per ulteriori informazioni sul blocco oggetti, consulta [Blocco di oggetti con Object Lock](object-lock.md).
+ **Crittografia degli oggetti** - Amazon S3 offre diverse opzioni di crittografia degli oggetti che proteggono i dati in transito e a riposo. La *crittografia lato server* cripta l'oggetto prima di salvarlo sui dischi dei suoi data center e lo decripta quando l'utente scarica gli oggetti. Se si autentica la richiesta e si dispone delle autorizzazioni di accesso, non c'è alcuna differenza nel modo in cui si accede agli oggetti crittografati o non crittografati. Per ulteriori informazioni, consulta [Protezione dei dati con la crittografia lato server](serv-side-encryption.md). S3 cripta gli oggetti appena caricati per impostazione predefinita. Per ulteriori informazioni, consulta [Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3](bucket-encryption.md). La *crittografia lato client* consiste nel crittografare i dati prima di inviarli ad Amazon S3. Per ulteriori informazioni, consulta [Protezione dei dati con la crittografia lato client](UsingClientSideEncryption.md).
+ **Metodi di firma**: la versione 4 di Signature è il processo di aggiunta di informazioni di autenticazione alle AWS richieste inviate tramite HTTP. Per motivi di sicurezza, la maggior parte delle richieste AWS deve essere firmata con una chiave di accesso, che consiste in un ID della chiave di accesso e una chiave di accesso segreta. Queste due chiavi in genere vengono definite come le tue credenziali di sicurezza. Per ulteriori informazioni, consulta Processo di [firma [delle richieste di autenticazione (AWS Signature Version 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) e Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html).
## Azioni
Per un elenco completo delle autorizzazioni S3 e delle chiavi di condizione, consulta [Azioni, risorse e chiavi di condizione per Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) in *Riferimento alle autorizzazioni di servizio*.
Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta [Autorizzazioni necessarie per le operazioni API di Amazon S3](using-with-s3-policy-actions.md).
**Azioni**
Le azioni AWS Identity and Access Management (IAM) per Amazon S3 sono le possibili azioni che possono essere eseguite su un bucket o un oggetto S3. Si concedono queste azioni alle identità in modo che possano agire sulle risorse S3. Esempi di azioni S3 sono `s3:GetObject` per leggere oggetti in un bucket e `s3:PutObject` per scrivere oggetti in un bucket.
**Chiavi di condizione**
Oltre alle azioni, le chiavi di condizione IAM si limitano a concedere l'accesso solo quando è soddisfatta una condizione. Le chiavi di condizione sono opzionali.
**Nota**
In una policy di accesso basata sulle risorse, come una policy di bucket, o in una policy basata sull'identità, è possibile specificare quanto segue:
Un'azione o una serie di azioni nell'elemento `Action` dell'istruzione della policy.
Nell'elemento `Effect` della istruzione di policy, è possibile specificare `Allow` per concedere le azioni elencate oppure `Deny` per bloccare le azioni elencate. Per mantenere ulteriormente la pratica dei privilegi minimi, le istruzioni `Deny` nell'elemento `Effect` della policy di accesso devono essere le più ampie possibile e le istruzioni `Allow` devono essere le più limitate possibile. Gli effetti `Deny` abbinati all'azione `s3:*` sono un altro buon modo per implementare le best practice di opt-in per le identità incluse nelle istruzioni sulla condizione delle policy.
Una chiave di condizione nell'elemento `Condition` di un'istruzione di policy.
## Casi d'uso della gestione degli accessi
Amazon S3 mette a disposizione dei proprietari delle risorse una serie di strumenti per concedere l'accesso. Lo strumento di gestione degli accessi S3 che si utilizza dipende dalle risorse S3 che si desidera condividere, dalle identità a cui si concede l'accesso e dalle azioni che si desidera consentire o negare. È possibile utilizzare uno o una combinazione di strumenti di gestione degli accessi S3 per gestire l'accesso alle risorse S3.
Nella maggior parte dei casi, è possibile utilizzare una policy di accesso per gestire le autorizzazioni. Una policy di accesso può essere una policy basata sulle risorse, collegata a una risorsa, come un bucket o un'altra risorsa Amazon S3 ([Risorse S3](#access-management-resources)). Una policy di accesso può anche essere una policy basata sull'identità, collegata a un utente, gruppo o ruolo AWS Identity and Access Management (IAM) nel tuo account. È possibile che una policy di bucket sia più adatta al tuo caso d'uso. Per ulteriori informazioni, consulta [Policy dei bucket per Amazon S3](bucket-policies.md). In alternativa, con AWS Identity and Access Management (IAM), puoi creare utenti, gruppi e ruoli IAM all'interno del tuo account Account AWS e gestirne l'accesso a bucket e oggetti tramite policy basate sull'identità. Per ulteriori informazioni, consulta [Policy basate sull'identità per Amazon S3](security_iam_id-based-policy-examples.md).
Per aiutarti a orientarvi tra queste opzioni di gestione degli accessi, di seguito sono riportati i casi d'uso comuni dei clienti di Amazon S3 e le raccomandazioni per ciascuno degli strumenti di gestione degli accessi S3.
### Il Account AWS proprietario desidera condividere i bucket solo con utenti all'interno dello stesso account
Tutti gli strumenti di gestione degli accessi possono soddisfare questo caso d'uso di base. Per questo caso d'uso si consigliano i seguenti strumenti di gestione degli accessi:
+ **Policy di bucket** - Se si desidera concedere l'accesso a un solo bucket o a un numero ridotto di bucket, oppure se le autorizzazioni di accesso al bucket sono simili da un bucket all'altro, utilizza una policy di bucket. Con le policy di bucket, si gestisce una policy per ogni bucket. Per ulteriori informazioni, consulta [Policy dei bucket per Amazon S3](bucket-policies.md).
+ **Policy basate sull'identità** - Se si dispone di un numero molto elevato di bucket con autorizzazioni di accesso diverse per ciascun bucket e solo pochi ruoli utente da gestire, è possibile utilizzare una policy IAM per utenti, gruppi o ruoli. Le policy IAM sono anche una buona opzione se gestisci l'accesso degli utenti ad altre AWS risorse, oltre alle risorse Amazon S3. Per ulteriori informazioni, consulta [Esempio 1: il proprietario del bucket concede agli utenti le autorizzazioni per il bucket](example-walkthroughs-managing-access-example1.md).
+ **S3 Access Grants** - È possibile utilizzare S3 Access Grants per concedere l'accesso ai bucket, ai prefissi o agli oggetti S3. S3 Access Grants consente di specificare autorizzazioni variabili a livello di oggetto su scala, mentre le policy dei bucket sono limitate a 20 KB di dimensione. Per ulteriori informazioni, consulta [Nozioni di base su S3 Access Grants](access-grants-get-started.md).
+ **Punti di accesso** - È possibile utilizzare i punti di accesso, che sono endpoint di rete denominati e collegati a un bucket. A un bucket possono essere collegati fino a 10.000 punti di accesso e per ogni punto di accesso è possibile applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso agli oggetti S3. Per ulteriori informazioni, consulta [Gestione dell'accesso a set di dati condivisi con punti di accesso](access-points.md).
### Il Account AWS proprietario desidera condividere bucket o oggetti con utenti di un altro AWS account (cross-account)
Per concedere l'autorizzazione a un altro utente Account AWS, è necessario utilizzare una policy sui bucket o uno dei seguenti strumenti di gestione degli accessi consigliati. Non è possibile utilizzare un policy di accesso basata sull'identità per questo caso d'uso. Per ulteriori informazioni sulla concessione dell'accesso multi-account, consulta [Come si fornisce l'accesso a più account agli oggetti contenuti nei bucket Amazon S3?](https://repost.aws/knowledge-center/cross-account-access-s3)
Per questo caso d'uso si consigliano i seguenti strumenti di gestione degli accessi:
+ **Policy di bucket** - Con le policy di bucket, si gestisce una policy per ogni bucket. Per ulteriori informazioni, consulta [Policy dei bucket per Amazon S3](bucket-policies.md).
+ **S3 Access Grants** - Si possono usare gli S3 Access Grants per concedere autorizzazioni multi-account ai bucket, ai prefissi o agli oggetti S3. È possibile utilizzare S3 Access Grants per specificare autorizzazioni variabili a livello di oggetto su scala; mentre le policy dei bucket sono limitate a 20 KB di dimensione. Per ulteriori informazioni, consulta [Nozioni di base su S3 Access Grants](access-grants-get-started.md).
+ **Punti di accesso** - È possibile utilizzare i punti di accesso, che sono endpoint di rete denominati e collegati a un bucket. A un bucket possono essere collegati fino a 10.000 punti di accesso e per ogni punto di accesso è possibile applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso agli oggetti S3. Per ulteriori informazioni, consulta [Gestione dell'accesso a set di dati condivisi con punti di accesso](access-points.md).
### Il Account AWS proprietario o il proprietario del bucket deve concedere le autorizzazioni a livello di oggetto o di prefisso e queste autorizzazioni variano da oggetto a oggetto o da prefisso a prefisso
In una policy di bucket, ad esempio, è possibile concedere l'accesso agli oggetti di un bucket che condividono un [prefisso specifico del nome della chiave](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html#keyprefix) o che hanno un tag specifico. È possibile concedere l'autorizzazione di lettura agli oggetti che iniziano con il prefisso del nome della chiave `logs/`. Tuttavia, se le autorizzazioni di accesso variano in base all'oggetto, concedere le autorizzazioni ai singoli oggetti utilizzando una policy di bucket potrebbe non essere pratico, soprattutto perché le policy di bucket hanno dimensioni limitate a 20 KB.
Per questo caso d'uso si consigliano i seguenti strumenti di gestione degli accessi:
+ **S3 Access Grants** - È possibile utilizzare S3 Access Grants per gestire le autorizzazioni a livello di oggetto o di prefisso. A differenza delle policy di bucket, è possibile utilizzare le policy di accesso S3 per specificare autorizzazioni variabili a livello di oggetto su scala. Le policy di bucket sono limitate a dimensioni di 20 KB. Per ulteriori informazioni, consulta [Nozioni di base su S3 Access Grants](access-grants-get-started.md).
+ **Punti di accesso** - È possibile utilizzare i punti di accesso per gestire le autorizzazioni a livello di oggetto o di prefisso. I punti di accesso sono endpoint di rete denominati e collegati a un bucket. A un bucket possono essere collegati fino a 10.000 punti di accesso e per ogni punto di accesso è possibile applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso agli oggetti S3. Per ulteriori informazioni, consulta [Gestione dell'accesso a set di dati condivisi con punti di accesso](access-points.md).
+ **ACLs**— Non è consigliabile utilizzare le liste di controllo degli accessi (ACLs), soprattutto perché sono limitate a 100 concessioni per oggetto. ACLs *Tuttavia, se scegli di attivarla, nelle impostazioni del Bucket ACLs, imposta *Object Ownership* su *Bucket owner (preferito* e abilitato). ACLs* Con questa impostazione, nuovi oggetti scritti con l'ACL predefinita `bucket-owner-full-control` saranno automaticamente di proprietà del proprietario del bucket anziché dell'object writer. Puoi quindi utilizzare object ACLs, che è una politica di accesso in formato XML, per concedere ad altri utenti l'accesso all'oggetto. Per ulteriori informazioni, consulta [Panoramica delle liste di controllo accessi (ACL)](acl-overview.md).
### Il Account AWS proprietario o il proprietario del bucket desidera limitare l'accesso al bucket solo a un account specifico IDs
Per questo caso d'uso si consigliano i seguenti strumenti di gestione degli accessi:
+ **Policy di bucket** - Con le policy di bucket, si gestisce una policy per ogni bucket. Per ulteriori informazioni, consulta [Policy dei bucket per Amazon S3](bucket-policies.md).
+ **Punti di accesso** - I punti di accesso sono endpoint di rete denominati e collegati a un bucket. A un bucket possono essere collegati fino a 10.000 punti di accesso e per ogni punto di accesso è possibile applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso agli oggetti S3. Per ulteriori informazioni, consulta [Gestione dell'accesso a set di dati condivisi con punti di accesso](access-points.md).
### Il Account AWS proprietario o il proprietario del bucket desidera endpoint distinti per ogni utente o applicazione che accede ai propri dati
Per questo caso d'uso si consiglia il seguente strumento di gestione degli accessi:
+ **Punti di accesso** - I punti di accesso sono endpoint di rete denominati e collegati a un bucket. A un bucket possono essere collegati fino a 10.000 punti di accesso e per ogni punto di accesso è possibile applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso agli oggetti S3. Ogni punto di accesso applica una policy personalizzata che funziona insieme alla policy di bucket collegata al bucket sottostante. Per ulteriori informazioni, consulta [Gestione dell'accesso a set di dati condivisi con punti di accesso](access-points.md).
### Il Account AWS proprietario o il proprietario del bucket deve gestire l'accesso dagli endpoint Virtual Private Cloud (VPC) per S3
Gli endpoint del cloud privato virtuale (VPC) per Amazon S3 sono entità logiche all'interno di un VPC che consentono la connettività solo a S3. Per questo caso d'uso si consigliano i seguenti strumenti di gestione degli accessi:
+ **Bucket in un'impostazione VPC** - È possibile utilizzare una policy di bucket per controllare chi può accedere ai bucket e a quali endpoint VPC può accedere. Per ulteriori informazioni, consulta [Controllo dell'accesso dagli endpoint VPC con policy di bucket](example-bucket-policies-vpc-endpoint.md).
+ **Punto di accesso** - Se si sceglie di impostare dei punti di accesso, è possibile utilizzare una policy dedicata. È possibile configurare qualsiasi punto di accesso in modo che accetti richieste solo da un cloud privato virtuale (VPC) per limitare l'accesso ai dati Amazon S3 a una rete privata. È inoltre possibile configurare impostazioni personalizzate di blocco dell'accesso pubblico per ciascun punto di accesso. Per ulteriori informazioni, consulta [Gestione dell'accesso a set di dati condivisi con punti di accesso](access-points.md).
### Il Account AWS proprietario o il proprietario del bucket deve rendere disponibile al pubblico un sito Web statico
Con S3 è possibile ospitare un sito web statico e consentire a chiunque di visualizzarne il contenuto, ospitato da un bucket S3.
Per questo caso d'uso si consigliano i seguenti strumenti di gestione degli accessi:
+ **Amazon CloudFront**: questa soluzione consente di ospitare un sito Web statico Amazon S3 al pubblico, continuando allo stesso tempo a bloccare tutti gli accessi pubblici ai contenuti di un bucket. Se desideri mantenere abilitate tutte e quattro le impostazioni di S3 Block Public Access e ospitare un sito Web statico S3, puoi utilizzare Amazon CloudFront Origin Access Control (OAC). Amazon CloudFront offre le funzionalità necessarie per configurare un sito Web statico sicuro. Inoltre, i siti Web statici di Amazon S3 che non utilizzano questa soluzione possono supportare solo endpoint HTTP. CloudFront utilizza lo storage durevole di Amazon S3 fornendo al contempo intestazioni di sicurezza aggiuntive, come HTTPS. HTTPS aggiunge sicurezza crittografando una normale richiesta HTTP e proteggendo contro o più comuni attacchi informatici.
Per ulteriori informazioni, consulta la sezione [Guida introduttiva a un sito Web statico sicuro](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/getting-started-secure-static-website-cloudformation-template.html) nella *Amazon CloudFront Developer Guide*.
+ **Rendere il proprio bucket Amazon S3 pubblicamente accessibile** - È possibile configurare un bucket per utilizzarlo come sito web statico ad accesso pubblico.
**avvertimento**
Non raccomandiamo questo metodo. Ti consigliamo invece di utilizzare siti Web statici di Amazon S3 come parte di Amazon. CloudFront Per ulteriori informazioni, consulta l'opzione precedente o consulta [Come iniziare un sito web statico sicuro](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/getting-started-secure-static-website-cloudformation-template.html).
Per creare un sito Web statico Amazon S3, senza Amazon CloudFront, devi innanzitutto disattivare tutte le impostazioni di Block Public Access. Durante la scrittura della policy del bucket per il sito Web statico, assicurati di consentire solo operazioni `s3:GetObject`, non autorizzazioni `ListObject` o `PutObject`. In questo modo si evita che gli utenti possano visualizzare tutti gli oggetti del bucket o aggiungere i propri contenuti. Per ulteriori informazioni, consulta [Impostazione delle autorizzazioni per l'accesso al sito Web](WebsiteAccessPermissionsReqd.md).
### Il Account AWS proprietario o il proprietario del bucket desidera rendere il contenuto di un bucket disponibile al pubblico
Quando si crea un nuovo bucket Amazon S3, l'impostazione *Blocca accesso pubblico* è attivata per impostazione predefinita. Per ulteriori informazioni sul blocco dell'accesso pubblico, consulta [Blocco dell'accesso pubblico allo storage Amazon S3](access-control-block-public-access.md).
Si sconsiglia di consentire l'accesso pubblico al proprio bucket. Tuttavia, se è necessario farlo per un caso d'uso particolare, si consiglia il seguente strumento di gestione degli accessi per questo caso d'uso:
+ **Disabilita l'impostazione Blocca accesso pubblico** - Il proprietario di un bucket può consentire richieste non autenticate al bucket. Ad esempio, le richieste [PUT Object](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPUT.html) non autenticate sono consentite quando un bucket ha una policy di bucket pubblica o quando un'ACL del bucket consente l'accesso pubblico. Tutte le richieste non autenticate vengono effettuate da altri AWS utenti arbitrari, o anche da utenti anonimi non autenticati. Questo utente è rappresentato dall'ID utente ACLs canonico specifico. `65a011a29cdf8ec533ec3d1ccaae921c` Se un oggetto viene caricato su `WRITE` o `FULL_CONTROL`, l'accesso viene concesso specificamente al gruppo Tutti gli utenti o all'utente anonimo. Per ulteriori informazioni sulle politiche dei bucket pubblici e sugli elenchi di controllo degli accessi pubblici (ACLs), vedere. [Significato di "pubblico"](access-control-block-public-access.md#access-control-block-public-access-policy-status)
### Il Account AWS proprietario o il proprietario del bucket ha superato i limiti di dimensione della politica di accesso
Sia le policy di bucket che quelle basate sull'identità hanno un limite di 20 KB. Se i requisiti di autorizzazione all'accesso sono complessi, si potrebbe superare questo limite di dimensione.
Per questo caso d'uso si consigliano i seguenti strumenti di gestione degli accessi:
+ **Punto di accesso** - Utilizza i punti di accesso se questi funzionano con il tuo caso d'uso. Con i punti di accesso, ogni bucket ha più endpoint di rete denominati, ciascuno con la propria policy di punto di accesso che funziona con la policy di bucket sottostante. Tuttavia, i punti di accesso possono agire solo sugli oggetti, non sui bucket, e non supportano la replica tra Regioni. Per ulteriori informazioni, consulta [Gestione dell'accesso a set di dati condivisi con punti di accesso](access-points.md).
+ **S3 Access Grants** - Utilizza S3 Access Grants, che supporta un numero molto elevato di grant che danno accesso a bucket, prefissi o oggetti. Per ulteriori informazioni, consulta [Nozioni di base su S3 Access Grants](access-grants-get-started.md).
### Il ruolo di Account AWS proprietario o amministratore desidera concedere l'accesso a bucket, prefisso o oggetto direttamente agli utenti o ai gruppi in una directory aziendale
Invece di gestire utenti, gruppi e ruoli tramite AWS Identity and Access Management (IAM), puoi aggiungere la tua directory aziendale a. AWS IAM Identity Center Per ulteriori informazioni, consulta [What is IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html).
Dopo aver aggiunto la directory aziendale AWS IAM Identity Center, ti consigliamo di utilizzare il seguente strumento di gestione degli accessi per concedere alle identità della directory aziendale l'accesso alle tue risorse S3:
+ **S3 Access Grants** - Utilizza S3 Access Grants, che supporta la concessione dell'accesso a utenti o ruoli nella directory aziendale. Per ulteriori informazioni, consulta [Nozioni di base su S3 Access Grants](access-grants-get-started.md).
### Il Account AWS proprietario o il proprietario del bucket desidera consentire al AWS CloudFront servizio di accedere ai CloudFront log di scrittura su un bucket S3
Per questo caso d'uso abbiamo consigliato il seguente strumento di gestione degli accessi:
+ **Bucket ACL**: l'unico caso d'uso consigliato per bucket ACLs è concedere autorizzazioni ad alcuni Servizi AWS, come l'account Amazon. CloudFront `awslogsdelivery` Quando crei o aggiorni una distribuzione e attivi la CloudFront registrazione, CloudFront aggiorna l'ACL del bucket per concedere all'`awslogsdelivery`account le `FULL_CONTROL` autorizzazioni per scrivere i log nel bucket. Per ulteriori informazioni, consulta la sezione [Autorizzazioni necessarie per configurare la registrazione standard e accedere ai file di registro](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html#AccessLogsBucketAndFileOwnership) nella *Amazon CloudFront Developer Guide*. Se il bucket che memorizza i log utilizza l'impostazione *imposta dal proprietario del bucket* per disattivare S3 Object Ownership ACLs, CloudFront non è possibile scrivere log nel bucket. Per ulteriori informazioni, consulta [Controllo della proprietà degli oggetti e disattivazione ACLs del bucket](about-object-ownership.md).
### L'utente, in qualità di proprietario del bucket, vuole mantenere il pieno controllo degli oggetti aggiunti al bucket da altri utenti
È possibile concedere ad altri account l'accesso al caricamento di oggetti nel bucket utilizzando una policy di bucket, un punto di accesso o S3 Access Grants. Se si è concesso l'accesso multi-account al proprio bucket, è possibile assicurarsi che tutti gli oggetti caricati nel bucket rimangano sotto il proprio controllo.
Per questo caso d'uso abbiamo consigliato il seguente strumento di gestione degli accessi:
+ **Proprietà dell'oggetto** - Mantieni l'impostazione a livello di bucket *Proprietà dell'oggetto* all'impostazione predefinita *Proprietario del bucket*.
## Risoluzione dei problemi di gestione degli accessi
Le seguenti risorse possono aiutare a risolvere eventuali problemi con la gestione degli accessi S3:
**Risoluzione dei problemi relativi agli errori di accesso negato (403 Accesso negato)**
Se si verificano problemi di rifiuto di accesso, controllare le impostazioni a livello di account e di bucket. Inoltre, verificare la funzionalità di gestione degli accessi utilizzata per concedere l'accesso per assicurarsi che la policy, l'impostazione o la configurazione siano corretti. Per ulteriori informazioni sulle cause più comuni degli errori di accesso negato (403 Accesso negato) in Amazon S3, consulta [Risoluzione dei problemi relativi agli errori di accesso negato (403 Forbidden) in Amazon S3](troubleshoot-403-errors.md).
**IAM Access Analyzer per S3**
Se non vuoi rendere pubbliche le tue risorse o se vuoi limitare l'accesso pubblico alle tue risorse, puoi usare IAM Access Analyzer for S3. Sulla console Amazon S3, usa IAM Access Analyzer per S3 per esaminare tutti i bucket che dispongono di elenchi di controllo degli accessi ai bucket (ACLs), policy dei bucket o policy dei punti di accesso che garantiscono l'accesso pubblico o condiviso. IAM Access Analyzer for S3 ti avvisa dei bucket configurati per consentire l'accesso a chiunque su Internet o altro, anche all'esterno della tua organizzazione. Account AWS Account AWS Per ogni bucket pubblico o condiviso, vengono visualizzati risultati che riportano l'origine e il livello di accesso pubblico o condiviso.
In IAM Access Analyzer per S3, è possibile bloccare tutti gli accessi pubblici a un bucket con una singola azione. Si consiglia di bloccare l'accesso pubblico ai propri bucket, a meno che non sia necessario per supportare un caso d'uso specifico. Prima di bloccare tutti gli accessi pubblici, accertati che le tue applicazioni continuino a funzionare correttamente anche senza accesso pubblico. Per ulteriori informazioni, consulta [Blocco dell'accesso pubblico allo storage Amazon S3](access-control-block-public-access.md).
È inoltre possibile rivedere le impostazioni dei permessi a livello di bucket per configurare livelli di accesso dettagliati. Per casi d'uso specifici e verificati che richiedono l'accesso pubblico o condiviso, puoi confermare e registrare l'intenzione del bucket di rimanere pubblico o condiviso archiviando i risultati per il bucket. Puoi consultare e modificare le configurazioni relative al bucket in qualsiasi momento. È inoltre possibile scaricare i risultati in un report CSV per scopi di verifica.
IAM Access Analyzer per S3 è disponibile senza costi aggiuntivi nella console di Amazon S3. IAM Access Analyzer per S3 è basato su AWS Identity and Access Management (IAM) IAM Access Analyzer. Per utilizzare IAM Access Analyzer for S3 sulla console Amazon S3, è necessario visitare la [Console IAM](https://console.aws.amazon.com/iam/) e creare un analizzatore a livello di account in IAM Access Analyzer per ogni singola Regione.
Per ulteriori informazioni su IAM Access Analyzer per S3, consultare [Revisione dell'accesso al bucket tramite IAM Access Analyzer per S3](access-analyzer.md).
**Registrazione di log e monitoraggio**
Il monitoraggio è una parte importante del mantenimento dell'affidabilità, della disponibilità e delle prestazioni delle soluzioni Amazon S3 in modo da poter eseguire più facilmente il debug di un errore di accesso. La registrazione può fornire informazioni sugli errori ricevuti dagli utenti e su quando e quali richieste vengono effettuate. AWS fornisce diversi strumenti per il monitoraggio delle risorse Amazon S3, come i seguenti:
+ AWS CloudTrail
+ Log di accesso Amazon S3
+ AWS Trusted Advisor
+ Amazon CloudWatch
Per ulteriori informazioni, consulta [Registrazione e monitoraggio in Amazon S3](monitoring-overview.md).