Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Configurazione delle politiche IAM per l'utilizzo dei punti di accesso per i bucket di directory

PDF
RSS
Modalità Focus
Configurazione delle politiche IAM per l'utilizzo dei punti di accesso per i bucket di directory - Amazon Simple Storage Service
Punti di accesso per esempi di policy relative a directory bucketsChiavi di condizioneDelegazione del controllo di accesso agli access pointConcessione delle autorizzazioni per i punti di accesso multi-account

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gli access point supportano policy relative alle risorse AWS Identity and Access Management (IAM) che consentono di controllare l'uso del punto di accesso in base alla risorsa, all'utente o ad altre condizioni. Affinché un'applicazione o un utente possa accedere agli oggetti tramite un punto di accesso, sia il punto di accesso che la policy bucket sottostante devono consentire la richiesta.

Importante

L'aggiunta di un punto di accesso a un bucket di directory non modifica il comportamento del bucket quando vi si accede direttamente tramite il nome del bucket. Tutte le operazioni esistenti inerenti il bucket continueranno a funzionare come prima. Le restrizioni incluse in una policy o nell'ambito del punto di accesso si applicano solo alle richieste effettuate tramite tale punto di accesso.

Quando utilizzi le policy relative alle risorse IAM, assicurati di risolvere gli avvisi di sicurezza, gli errori, gli avvisi generali e i suggerimenti relativi alla sicurezza AWS Identity and Access Management Access Analyzer prima di salvare la policy. IAM Access Analyzer esegue controlli sulle policy per convalidare le policy rispetto alla grammatica delle policy IAM e alle best practice. Questi controlli generano risultati e forniscono suggerimenti per aiutarti a creare policy funzionali e conformi alle best practice per la sicurezza.

Per ulteriori informazioni sulla convalida delle policy tramite IAM Access Analyzer, consulta Convalida delle policy di IAM Access Analyzer nella Guida per l'utente di IAM. Per visualizzare un elenco delle avvertenze, degli errori e dei suggerimenti restituiti da IAM Access Analyzer, consulta il Riferimento al controllo delle policy di IAM Access Analyzer.

Punti di accesso per esempi di policy relative a directory buckets

Gli esempi seguenti mostrano come creare policy sui punti di accesso per controllare le richieste effettuate tramite un punto di accesso per i bucket di directory.

Nota

Le autorizzazioni concesse in una policy del punto di accesso sono valide solo se anche il bucket sottostante consente lo stesso accesso. Puoi farlo in due modi:

  1. (Consigliato) Delega il controllo degli accessi dal bucket al punto di accesso come descritto in Delegazione del controllo di accesso agli access point.

  2. Aggiungere le stesse autorizzazioni contenute nella policy del punto di accesso alla policy del bucket sottostante.

Esempio 1 — Politica di controllo del servizio per limitare i punti di accesso alle origini della rete VPC

La seguente politica di controllo del servizio richiede che tutti i nuovi punti di accesso vengano creati con un'origine di rete di cloud privato virtuale (VPC). Con questa politica in vigore, gli utenti dell'organizzazione non possono creare alcun punto di accesso accessibile da Internet.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Deny",
        "Action": "s3express:CreateAccessPoint",
        "Resource": "*",
        "Condition": {
            "StringNotEquals": {
                "s3express:AccessPointNetworkOrigin": "VPC"
            }
        }
    }
  ]
}
Esempio 2 — Policy Bucket per limitare le operazioni S3 tramite punti di accesso alle origini della rete VPC

La seguente policy sui bucket limita l'accesso a tutte le operazioni sugli oggetti S3 per il bucket amzn-s3-demo-bucket da un punto di accesso con un'origine di rete VPC.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Principal": "*",
        "Action": "s3express:CreateSession",
        "Effect": "Deny",
         "Resource": "arn:aws:s3express:us-west-2:123456789012:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3",
        "Condition": {
            "StringNotEquals": {
                "s3express:AccessPointNetworkOrigin": "VPC"
            }
        }
    }
]

Chiavi di condizione

I punti di accesso per i bucket di directory dispongono di chiavi di condizione che puoi utilizzare nelle policy IAM per controllare l'accesso alle tue risorse. Le seguenti chiavi di condizione rappresentano solo una parte di una policy IAM. Per esempi completi di policy, consulta Esempi di policy per punti di accesso per bucket generici, Delegazione del controllo di accesso agli access point e Concessione delle autorizzazioni per i punti di accesso multi-account.

s3express:DataAccessPointArn

AWS Le operazioni SDK richiedono l'utilizzo dell'ARN per le richieste di oggetti. Questo esempio mostra una stringa che è possibile utilizzare per la corrispondenza dell'ARN di un punto di accesso. L'esempio seguente corrisponde a tutti i punti di accesso per Account AWS 111122223333 in Region: us-west-2

"Condition" : {
    "StringLike": {
        "s3express:DataAccessPointArn": "arn:aws:s3express:us-west-2:111122223333:accesspoint/*"
    }
}
s3express:DataAccessPointAccount

Questo esempio mostra un operatore stringa che è possibile utilizzare per la corrispondenza dell'ID account del proprietario di un punto di accesso. L'esempio seguente restituisce tutti i punti di accesso di proprietà dell' Account AWS 111122223333.

"Condition" : {
    "StringEquals": {
        "s3express:DataAccessPointAccount": "111122223333"
    }
}
s3express:AccessPointNetworkOrigin

Questo esempio mostra un operatore stringa che è possibile utilizzare per la corrispondenza dell'origine di rete, Internet o VPC. L'esempio seguente esegue la corrispondenza solo degli access point con un'origine VPC.

"Condition" : {
    "StringEquals": {
        "s3express:AccessPointNetworkOrigin": "VPC"
    }
}
s3express:Permissions

È possibile utilizzare s3express:Permissions le policy dei bucket e le policy dei punti di accesso. le policy dei punti di accesso non sono supportate. SessionMode Questi valori sono S3 Nomi di autorizzazione GP utilizzati nelle politiche IAM. Vengono mappati alle operazioni dell'API. I valori validi sono:

  • PutObject

  • GetObject

  • DeleteObject

  • ListBucket

  • GetObjectAttributes

  • AbortMultipartUpload

  • ListBucketMultipartUploads

  • ListMultipartUploadParts

Per le policy bucket che utilizzanoSesssionMode, i valori di s3express:Permissions mappano le azioni di sola lettura e lettura-scrittura come segue:

  • Operazioni ReadOnly

    • GetObject

    • ListBucket

    • GetObjectAttributes

    • ListBucketMultipartUploads

    • ListMultipartUploadParts

  • Operazioni ReadWrite

    • PutObject

    • GetObject

    • DeleteObject

    • ListBucket

    • GetObjectAttributes

    • AbortMultipartUpload

    • ListBucketMultipartUploads

    • ListMultipartUploadParts

Nota

Quando si utilizzano chiavi di condizione multivalore, si consiglia di utilizzarle con le istruzioni e con le istruzioniForAllValues. Allow ForAnyValue Deny Per ulteriori informazioni, consulta Chiavi di contesto multivalore nella Guida per l'utente IAM.

Per ulteriori informazioni sull'uso delle chiavi di condizione con Amazon S3, consulta Azioni, risorse e chiavi di condizione per Amazon S3 in Riferimento alle autorizzazioni di servizio.

Per ulteriori informazioni sulle autorizzazioni richieste per le operazioni dell'API S3 in base ai tipi di risorse S3, consulta. Autorizzazioni necessarie per le operazioni API di Amazon S3

Delegazione del controllo di accesso agli access point

È possibile delegare il controllo degli accessi per un bucket agli access point del bucket. La policy di bucket di esempio seguente consente l'accesso completo a tutti i punti di accesso dell'account del proprietario del bucket. Dopo aver applicato la policy, tutti gli accessi a questo bucket sono controllati dalle policy allegate ai relativi punti di accesso. Si consiglia di configurare i bucket in questo modo per tutti i casi d'uso che non richiedono l'accesso diretto al bucket.

Esempio policy bucket che delega il controllo degli accessi ai punti di accesso
{
    "Version": "2012-10-17",
    "Statement" : [
    {
        "Effect": "Allow",
        "Principal" : { "AWS": "*" },
        "Action" : "*",
        "Resource" : [ "Bucket ARN",
        "Condition": {
            "StringEquals" : { "s3express:DataAccessPointAccount" : "Bucket owner's account ID" }
        }
    }]
}

Concessione delle autorizzazioni per i punti di accesso multi-account

Per creare un punto di accesso a un bucket di proprietà di un altro account, devi prima creare il punto di accesso specificando il nome del bucket e l'ID del proprietario dell'account. Il proprietario del bucket deve quindi aggiornare la policy di bucket per autorizzare le richieste dal punto di accesso. La creazione di un punto di accesso è simile alla creazione di un DNS CNAME in quanto il punto di accesso non fornisce l'accesso al contenuto del bucket. Tutti gli accessi ai bucket sono controllati dalla policy di bucket. La policy di bucket di esempio consente di eseguire richieste GET e LIST sul bucket da un punto di accesso di proprietà di un Account AWS attendibile.

Sostituire Bucket ARN con l'ARN del secchio.

Esempio della politica del bucket che delega le autorizzazioni a un altro Account AWS

{
    "Version": "2012-10-17",
    "Statement" : [
    {
        "Effect": "Allow",
        "Principal" : { "AWS": "*" },
        "Action" : "s3express:CreateSession",
        "Resource" : [ "Bucket ARN" ],
        "Condition": {
            "StringEquals" : { 
                "s3express:DataAccessPointAccount": "Access point owner's account ID" 
            },
            "ForAllValues:StringEquals": {
                "s3express:Permissions": [
                    "GetObject",
                    "ListBucket"
                ]
            }
        }
    }]
}

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.