Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Utilizzo di tag con punti di accesso S3 per bucket per uso generico
<a name="access-points-tagging"></a>

Un AWS tag è una coppia chiave-valore che contiene i metadati relativi alle risorse, in questo caso Amazon S3 Access Points. È possibile applicare i tag ai punti di accesso al momento della creazione o gestire i tag dei punti di accesso esistenti. Per informazioni generali sui tag, consulta [Tagging per l’allocazione dei costi o il controllo degli accessi basato su attributi (ABAC)](tagging.md).

**Nota**  
Non sono previsti costi aggiuntivi per l’utilizzo dei tag sui punti di accesso oltre alle tariffe di richiesta API S3 standard. Per ulteriori informazioni, consulta [Prezzi di Amazon S3](https://aws.amazon.com/s3/pricing/).

## Metodi comuni per utilizzare i tag con i punti di accesso
<a name="common-ways-to-use-tags-directory-bucket"></a>

Controllo degli accessi basato su attributi (ABAC) consente di scalare le autorizzazioni di accesso e fornire l’accesso ai punti di accesso in base ai tag. Per ulteriori informazioni su ABAC in Amazon S3, consulta [Utilizzo dei tag per ABAC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#).

### ABAC per Punti di accesso S3
<a name="abac-for-access-points"></a>

Punti di accesso Amazon S3 supporta il controllo degli accessi basato su attributi (ABAC) tramite tag. Utilizza chiavi di condizione basate su tag nelle policy AWS aziendali, IAM e Access Points. Per le aziende, ABAC in Amazon S3 supporta l'autorizzazione su più AWS account. 

Nelle policy IAM, è possibile controllare l’accesso ai punti di accesso in base ai tag dei punti di accesso utilizzando le seguenti [chiavi di condizione globali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys):
+ `aws:ResourceTag/key-name`
**Importante**  
La chiave di condizione `aws:ResourceTag` può essere utilizzata solo per le azioni S3 eseguite tramite l’ARN di un punto di accesso per bucket per uso generico e copre solo i tag del punto di accesso sottostante.
  + Utilizzare questa chiave per confrontare la coppia chiave-valore del tag specificata nella policy con la coppia chiave-valore associata alla risorsa. Ad esempio, puoi richiedere che l'accesso a una risorsa sia consentito solo se la risorsa dispone di una chiave di tag `Dept` collegata al valore `Marketing`. Per ulteriori informazioni, consulta [Controllo dell'accesso alle AWS risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources).
+ `aws:RequestTag/key-name`
  + Utilizzare questa chiave per confrontare la coppia chiave-valore del tag passata nella richiesta con la coppia del tag specificata nella policy. Ad esempio, è possibile controllare che la richiesta includa la chiave del tag `Dept` e che abbia il valore `Accounting`. Per ulteriori informazioni, vedere [Controllo dell'accesso durante AWS le richieste](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests). È possibile utilizzare questa chiave di condizione per limitare quali coppie chiave-valore di tag possono essere passate durante le operazioni API `TagResource` e `CreateAccessPoint`.
+ `aws:TagKeys`
  + Utilizzare questa chiave per confrontare le chiavi dei tag in una richiesta con quelle specificate nella policy. Nell'utilizzo delle policy per controllare gli accessi tramite tag, è consigliabile utilizzare la chiave di condizione `aws:TagKeys` per definire le chiavi di tag ammesse. Per esempi di policy e ulteriori informazioni, consulta [Controllo dell’accesso in base alle chiavi di tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys). È possibile creare un punto di accesso con tag. Per consentire il tagging durante l’operazione API `CreateAccessPoint`, è necessario creare una policy che comprende entrambe le azioni `s3:TagResource` e `s3:CreateAccessPoint`. È quindi possibile utilizzare la chiave di condizione `aws:TagKeys` per implementare nella richiesta `CreateAccessPoint` specifici tag.
+ `s3:AccessPointTag/tag-key`
  + Utilizzare questa chiave di condizione per fornire le autorizzazioni a dati specifici tramite punti di accesso con tag. Quando si utilizza `aws:ResourceTag/tag-key` in una policy IAM, sia il punto di accesso sia il bucket a cui punta il punto di accesso devono avere lo stesso tag perché entrambi vengono presi in considerazione durante l’autorizzazione. Per controllare l’accesso ai dati in modo specifico solo tramite il tag del punto di accesso, è possibile utilizzare la chiave di condizione `s3:AccessPointTag/tag-key`.

### Esempi di policy ABAC per i punti di accesso
<a name="example-access-points-abac-policies"></a>

Di seguito sono riportati esempi di policy ABAC per Punti di accesso Amazon S3.

#### 1.1 - Policy IAM per creare o modificare bucket con tag specifici
<a name="example-access-points-user-policy-request-tag"></a>

In questa policy IAM, gli utenti o i ruoli con questa policy possono creare punti di accesso solo se applicano ai punti di accesso i tag con la chiave di tag `project` e il valore di tag `Trinity` nella richiesta di creazione dei punti di accesso. Possono anche aggiungere o modificare i tag sui punti di accesso esistenti, purché la richiesta `TagResource` includa la coppia chiave-valore `project:Trinity` del tag. 

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "CreateAccessPointWithTags",
      "Effect": "Allow",
      "Action": [
        "s3:CreateAccessPoint",
        "s3:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "Trinity"
          ]
        }
      }
    }
  ]
}
```

#### 1.2 - Policy del punto di accesso per limitare le operazioni sul punto di accesso con tag
<a name="example-access-points-user-policy-resource-tag"></a>

In questa policy del punto di accesso, i principali IAM (utenti e ruoli) possono eseguire operazioni utilizzando l’azione `GetObject` sul punto di accesso solo se il valore del tag `project` del punto di accesso corrisponde al valore del tag `project` del principale.

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowObjectOperations",
      "Effect": "Allow",
      "Principal": {
        "AWS": "111122223333"
      },
      "Action": "s3:GetObject",
      "Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        }
      }
    }
  ]
}
```

#### 1.3 - Policy IAM per modificare i tag sulle risorse esistenti mantenendo la governance dei tag
<a name="example-access-points-user-policy-tag-keys"></a>

In questa policy IAM, i principali IAM (utenti o ruoli) possono modificare i tag su un punto di accesso solo se il valore del tag `project` del punto di accesso corrisponde al valore del tag `project` del principale. Solo i quattro tag `project`, `environment`, `owner` e `cost-center` specificati nelle chiavi di condizione `aws:TagKeys` sono consentiti per questi punti di accesso. Ciò aiuta a rafforzare la governance dei tag, impedisce modifiche non autorizzate dei tag e mantiene lo schema di tagging coerente tra i punti di accesso.

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3:TagResource"
      ],
      "Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "project",
            "environment",
            "owner",
            "cost-center"
          ]
        }
      }
    }
  ]
}
```

#### 1.4 - Uso della chiave di AccessPointTag condizione s3:
<a name="example-access-points-policy-bucket-tag"></a>

In questa policy IAM, l’istruzione di condizione consente l’accesso ai dati del bucket se il punto di accesso ha la chiave di tag `Environment` e il valore di tag `Production`. 

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessToSpecificAccessPoint",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
      "Condition": {
        "StringEquals": {
          "s3:AccessPointTag/Environment": "Production"
        }
      }
    }
  ]
}
```

#### 1.5 - Utilizzo di una policy di delega del bucket
<a name="example-access-points-policy-delegate"></a>

In Amazon S3, puoi delegare l'accesso o il controllo della tua policy sui bucket S3 a un altro AWS account o a un utente o ruolo specifico AWS Identity and Access Management (IAM) nell'altro account. La policy di bucket con delega fornisce all’altro account, utente o ruolo l’autorizzazione al bucket e ai suoi oggetti. Per ulteriori informazioni, consulta [Delega delle autorizzazioni](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-policy-language-overview.html#permission-delegation). 

Se si utilizza una policy di bucket con delega, come la seguente: 

```
{
  "Version": "2012-10-17",		 	 	 
    "Statement": {
      "Principal": {"AWS": "*"},
        "Effect": "Allow",
        "Action": ["s3:*"],
        "Resource":["arn:aws::s3:::amzn-s3-demo-bucket/*", "arn:aws::s3:::amzn-s3-demo-bucket"],
           "Condition": {
             "StringEquals" : {
                "s3:DataAccessPointAccount" : "111122223333"
             }
           }
    }
}
```

Nella seguente policy IAM, l’istruzione condizionale consente l’accesso ai dati del bucket se il punto di accesso ha la chiave di tag `Environment` e il valore di tag `Production`. 

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessToSpecificAccessPoint",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
      "Condition": {
        "StringEquals": {
          "s3:AccessPointTag/Environment": "Production"
        }
      }
    }
  ]
}
```

## Utilizzo dei tag per i punti di accesso per bucket per uso generico
<a name="working-with-tags-access-points"></a>

Puoi aggiungere o gestire tag per i punti di accesso utilizzando la console Amazon S3, l'interfaccia a riga di AWS comando (CLI) AWS SDKs, o utilizzando S3 APIs:, e. [TagResource[UntagResource[ListTagsForResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html)](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html)](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html) Per ulteriori informazioni, consulta:

**Topics**
+ [Metodi comuni per utilizzare i tag con i punti di accesso](#common-ways-to-use-tags-directory-bucket)
+ [Utilizzo dei tag per i punti di accesso per bucket per uso generico](#working-with-tags-access-points)
+ [Creazione di punti di accesso con tag](access-points-create-tag.md)
+ [Aggiunta di tag a un punto di accesso](access-points-tag-add.md)
+ [Visualizzazione dei tag dei punti di accesso](access-points-tag-view.md)
+ [Eliminazione di un tag da un punto di accesso](access-points-tag-delete.md)