Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Policy e autorizzazioni in Amazon S3

PDF
RSS
Modalità Focus
Policy e autorizzazioni in Amazon S3 - Amazon Simple Storage Service
Delega delle autorizzazioniProprietà di un oggetto e bucket

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Questa pagina fornisce una panoramica delle policy relative a bucket e utenti in Amazon S3 e descrive gli elementi di base di AWS Identity and Access Management una policy (IAM). Ogni elemento elencato è collegato a ulteriori dettagli ed esempi su come usare l'elemento.

Per un elenco completo di azioni, risorse e condizioni di Amazon S3, consulta Azioni, risorse e chiavi di condizione per Amazon S3 in Riferimento alle autorizzazioni di servizio.

Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta Autorizzazioni necessarie per le operazioni API di Amazon S3.

In termini basilari, una policy contiene i seguenti elementi:

  • Resource - Il bucket Amazon S3, l'oggetto, il punto di accesso o il processo a cui si applica la policy. Usa il nome della risorsa Amazon (ARN) del bucket, dell'oggetto, del punto di accesso o del processo per identificare la risorsa.

    Un esempio di operazioni a livello di bucket:

    "Resource": "arn:aws:s3:::bucket_name"

    Esempi di operazioni a livello di oggetto:

    • "Resource": "arn:aws:s3:::bucket_name/*" per tutti gli oggetti del bucket.

    • "Resource": "arn:aws:s3:::bucket_name/prefix/*" per gli oggetti sotto un certo prefisso nel bucket.

    Per ulteriori informazioni, consulta Risorse di policy per Amazon S3.

  • Actions - Per ogni risorsa, Amazon S3 supporta una serie di operazioni. Vengono identificate le operazioni delle risorse che verranno consentite (o rifiutate) utilizzando le parole chiave dell'operazione.

    Ad esempio, l's3:ListBucketautorizzazione consente all'utente di utilizzare Amazon S3 ListObjectsV2operazione. (il permesso s3:ListBucket è un caso in cui il nome dell'azione non corrisponde direttamente al nome dell'operazione). Per ulteriori informazioni sull'uso di operazioni con Simple Storage Service (Amazon S3), consulta Azioni di policy per Amazon S3. Per un elenco completo delle azioni di Amazon S3, consulta Azioni in Riferimento API di Amazon Simple Storage Service.

  • Effect - Quale sarà l'effetto quando l'utente richiederà l'azione specifica: può essere Allow o Deny.

    USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. È anche possibile negare esplicitamente l'accesso a una risorsa. È possibile eseguire questa operazione per accertarsi che un utente non sia in grado di accedere a una risorsa, anche se l'accesso viene concesso da un'altra policy. Per ulteriori informazioni, consulta Elementi delle policy JSON IAM: Effect nella Guida per l'utente di IAM.

  • Principal - L'account o l'utente a cui è consentito l'accesso alle azioni e alle risorse nell'istruzione. In una policy di bucket l'entità principale è l'utente, l'account, il servizio o un'altra entità destinataria di questa autorizzazione. Per ulteriori informazioni, consulta Principali per le policy dei bucket.

  • Condition - Condizioni per l'entrata in vigore di una policy. Puoi utilizzare chiavi AWS‐wide e chiavi specifiche di Amazon S3 per specificare le condizioni in una policy di accesso di Amazon S3. Per ulteriori informazioni, consulta Esempi di policy per i bucket che utilizzano le chiavi di condizione.

Il seguente esempio di policy del bucket mostra gli elementi Effect, Principal, Action e Resource. Questa policy consente a Akua, un utente dell'account 123456789012, s3:GetObject, s3:GetBucketLocation e s3:ListBucket di ottenere le autorizzazioni per Amazon S3 sul bucket amzn-s3-demo-bucket1.

{
    "Version": "2012-10-17",
    "Id": "ExamplePolicy01",
    "Statement": [
        {
            "Sid": "ExampleStatement01",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/Akua"
            },
            "Action": [
                "s3:GetObject",
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket1"
            ]
        }
    ]
}

Per informazioni complete sul linguaggio delle policy, consulta Policy e autorizzazioni in IAM e Riferimento alle policy IAM JSON nella Guida all'utente IAM.

Delega delle autorizzazioni

Se un utente Account AWS possiede una risorsa, può concedere tali autorizzazioni a un'altra persona. Account AWS Tale account a sua volta può delegare le autorizzazioni, o una parte di esse, agli utenti al suo interno. Si parla di delega del permesso. Un account che riceve permessi da un altro account non può delegare autorizzazioni multi-account a un altro Account AWS.

Proprietà di bucket e oggetti di Amazon S3

I bucket e gli oggetti sono risorse di Amazon S3. Per impostazione predefinita, solo il proprietario della risorsa è in grado di accedervi. Il proprietario della risorsa si riferisce a Account AWS chi crea la risorsa. Per esempio:

  • La Account AWS persona che usi per creare bucket e caricare oggetti possiede tali risorse.

  • Se carichi un oggetto utilizzando le credenziali dell'utente o del ruolo AWS Identity and Access Management (IAM), Account AWS l'oggetto appartiene all'utente o al ruolo.

  • Un proprietario del bucket può concedere a un altro Account AWS (o agli utenti di un altro account) autorizzazioni multiaccount per caricare gli oggetti. In questo caso, gli oggetti appartengono all' Account AWS che li carica. Il proprietario del bucket non dispone di autorizzazioni sugli oggetti di cui sono proprietari altri account, con le seguenti eccezioni:

    • È il proprietario del bucket a pagare la fattura. Il proprietario del bucket può rifiutare l'accesso agli oggetti nel bucket o eliminarli, indipendentemente dall'utente a cui appartengono.

    • Il proprietario del bucket può archiviare gli oggetti nel bucket o ripristinarli, indipendentemente dall'utente a cui appartengono. L'archiviazione fa riferimento alla classe di storage utilizzata per archiviare gli oggetti. Per ulteriori informazioni, consulta Gestione del ciclo di vita degli oggetti.

Proprietà e autenticazione delle richieste

Tutte le richieste a un bucket possono essere autenticate o non autenticate. Le richieste autenticate devono includere un valore di firma che autentichi il mittente della richiesta, mentre non è necessario per le richieste non autenticate. Per ulteriori informazioni sull'autenticazione delle richieste, consulta Esecuzione di richieste nella documentazione di riferimento delle API di Amazon S3.

Un proprietario di bucket può consentire richieste non autenticate. Ad esempio, non autenticato PutObjectle richieste sono consentite quando un bucket ha una policy pubblica per i bucket o quando un bucket ACL concede o FULL_CONTROL accede specificamente al gruppo WRITE o all'All Usersutente anonimo. Per ulteriori informazioni sulle politiche dei bucket pubblici e sulle liste di controllo degli accessi pubblici (), vedere. ACLs Significato di "pubblico"

Tutte le richieste non autenticate sono fatte dall'utente anonimo. Questo utente è rappresentato ACLs dallo specifico ID utente canonico. 65a011a29cdf8ec533ec3d1ccaae921c Se un oggetto viene caricato in un bucket tramite una richiesta non autenticata, la proprietà dell'oggetto è dell'utente anonimo. L'ACL predefinita dell'oggetto garantisce FULL_CONTROL all'utente anonimo in quanto proprietario dell'oggetto. Perciò, Amazon S3 consente alle richieste non autenticate di recuperare l'oggetto o di modificarne l'ACL.

Per evitare che gli oggetti vengano modificati dall'utente anonimo, si consiglia di non implementare policy relative ai bucket che consentano scritture pubbliche anonime sul bucket o ACLs che consentano all'utente anonimo l'accesso in scrittura al bucket. Puoi applicare questo comportamento consigliato utilizzando il blocco dell'accesso pubblico di Amazon S3.

Per ulteriori informazioni sul blocco dell'accesso pubblico, consulta Blocco dell'accesso pubblico allo storage Amazon S3. Per ulteriori informazioni su ACLs, consulta Panoramica delle liste di controllo accessi (ACL).

Importante

Ti consigliamo di non utilizzare le credenziali dell'utente Account AWS root per effettuare richieste autenticate. Crea invece un ruolo IAM, concedendo a esso l'accesso completo. Gli utenti con questo ruolo vengono definiti utenti amministratori. È possibile utilizzare le credenziali assegnate al ruolo di amministratore, anziché le credenziali dell'utente Account AWS root, per interagire AWS ed eseguire attività, come creare un bucket, creare utenti e concedere autorizzazioni. Per ulteriori informazioni, consulta AWS Credenziali di sicurezza e Pratiche ottimali di sicurezza in IAM nella Guida all'utente IAM.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.