Esempi di operazioni relative agli oggetti Esempi di operazioni relative ai bucket

Esempi di policy Bucket che utilizzano chiavi condizionali

È possibile utilizzare in linguaggio delle policy di accesso per specificare le condizioni quando si concedono le autorizzazioni. È possibile utilizzare l'elemento Condition facoltativo o il blocco Condition per specificare le condizioni per l'applicazione di una policy.

Per le policy che utilizzano le chiavi di condizioni di Amazon S3 per operazioni su oggetti e bucket, consulta gli esempi seguenti. Per ulteriori informazioni su queste chiavi di condizione, consulta Chiavi relative alle condizioni delle politiche per Amazon S3. Per un elenco completo di azioni, chiavi di condizione e risorse di Amazon S3 che puoi specificare nelle politiche, consulta Azioni, risorse e chiavi di condizione per Amazon S3 nel Service Authorization Reference.

Esempi – Chiavi di condizione di Amazon S3 per le operazioni sugli oggetti

In questa sezione vengono forniti esempi che illustrano come utilizzare le chiavi di condizione specifiche di Amazon S3 per le operazioni sugli oggetti. Per un elenco completo di azioni, chiavi di condizione e risorse di Amazon S3 che puoi specificare nelle politiche, consulta Azioni, risorse e chiavi di condizione per Amazon S3 nel Service Authorization Reference.

Molte delle policy di esempio mostrano come è possibile utilizzare le chiavi di condizione con le operazioni PUT Object. Le operazioni PUT Object permettono intestazioni specifiche della lista di controllo degli accessi (ACL) che è possibile utilizzare per concedere autorizzazioni basate sulle liste ACL. Utilizzando queste chiavi, il proprietario del bucket può impostare una condizione per richiedere determinate autorizzazioni di accesso specifiche quando l'utente carica un oggetto. Puoi anche concedere autorizzazioni basate su ACL con l'operazione. PutObjectAcl Per ulteriori informazioni, consulta il riferimento PutObjectAclall'API Amazon S3 Amazon Simple Storage Service. Per ulteriori informazioni sulle ACL, consulta Panoramica delle liste di controllo accessi (ACL).

Argomenti

Esempio 1: Concessione di s3: PutObject autorizzazione che richiede l'autorizzazione agli oggetti archiviati utilizzando la crittografia lato server
Esempio 2: Concessione a s3: PutObject autorizzazione a copiare oggetti con una restrizione sulla fonte di copia
Esempio 3: Concessione dell'accesso a una versione specifica di un oggetto
Esempio 4: concessione di autorizzazioni basate sui tag degli oggetti
Esempio 5: limitazione dell'accesso in base all' Account AWS ID del proprietario del bucket
Esempio 6: Richiesta di una versione TLS minima

Esempio 1: Concessione di s3: PutObject autorizzazione che richiede l'autorizzazione agli oggetti archiviati utilizzando la crittografia lato server

Si supponga che l'Account A possieda un bucket. L'amministratore dell'account vuole concedere a Jane, un'utente dell'Account A, l'autorizzazione per il caricamento di oggetti con la condizione che Jane richieda sempre la crittografia lato server in modo che Amazon S3 salvi gli oggetti crittografati. L'amministratore dell'Account A può procedere utilizzando la chiave di condizione s3:x-amz-server-side-encryption come mostrato. La coppia chiave-valore nel blocco Condition specifica la chiave s3:x-amz-server-side-encryption.


"Condition": {
     "StringNotEquals": {
         "s3:x-amz-server-side-encryption": "AES256"
     }}

Quando si verifica l'autorizzazione utilizzando il AWS CLI, è necessario aggiungere il parametro richiesto utilizzando il parametro. --server-side-encryption


aws s3api put-object --bucket example1bucket --key HappyFace.jpg --body c:\HappyFace.jpg --server-side-encryption "AES256" --profile AccountBadmin

Esempio 2: Concessione a s3: PutObject autorizzazione a copiare oggetti con una restrizione sulla fonte di copia

Nella richiesta PUT Object, quando specifichi un oggetto di origine, viene eseguita un'operazione di copia (consulta PUT Object - Copy). Di conseguenza è possibile che il proprietario del bucket assegni all'utente l'autorizzazione a copiare gli oggetti con qualche limitazione sull'origine, ad esempio:

Consentire la copia di oggetti solo dal bucket sourcebucket.
Consentire la copia di oggetti dal bucket di origine e solo di quegli oggetti il cui prefisso del nome della chiave inizia con public/ f (ad esempio, sourcebucket/public/*).
Consentire la copia di un solo oggetto specifico dal bucket di origine (ad esempio, sourcebucket/example.jpg).

La policy del bucket seguente concede all'utente (Dave) l'autorizzazione s3:PutObject che gli consente di copiare solo gli oggetti con la condizione che la richiesta includa l'intestazione s3:x-amz-copy-source e il valore di intestazione specifichi il prefisso del nome della chiave /awsexamplebucket1/public/*.


{
    "Version": "2012-10-17",
    "Statement": [
       {
            "Sid": "cross-account permission to user in your own account",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/Dave"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::awsexamplebucket1/*"
        },
        {
            "Sid": "Deny your user permission to upload object if copy source is not /bucket/folder",
            "Effect": "Deny",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/Dave"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::awsexamplebucket1/*",
            "Condition": {
                "StringNotLike": {
                    "s3:x-amz-copy-source": "awsexamplebucket1/public/*"
                }
            }
        }
    ]
}

Prova la politica con AWS CLI

È possibile verificare l'autorizzazione utilizzando il AWS CLI copy-object comando. È possibile specificare l'origine aggiungendo il parametro --copy-source; il prefisso del nome della chiave deve corrispondere al prefisso consentito nella policy. È necessario fornire le credenziali all'utente Dave utilizzando il parametro --profile. Per ulteriori informazioni sulla configurazione di AWS CLI, vedereSviluppo con Amazon S3 tramite la AWS CLI.


aws s3api copy-object --bucket awsexamplebucket1 --key HappyFace.jpg 
--copy-source examplebucket/public/PublicHappyFace1.jpg --profile AccountADave

Concessione dell'autorizzazione a copiare solo un oggetto specifico

La policy di cui sopra utilizza la condizione StringNotLike. Per assegnare l'autorizzazione a copiare solo un determinato oggetto, è necessario modificare la condizione da StringNotLike a StringNotEquals e quindi specificare l'esatta chiave dell'oggetto, come illustrato.


"Condition": {
       "StringNotEquals": {
           "s3:x-amz-copy-source": "awsexamplebucket1/public/PublicHappyFace1.jpg"
       }
}

Esempio 3: Concessione dell'accesso a una versione specifica di un oggetto

Si supponga che l'Account A possieda un bucket abilitato per le versioni. Il bucket ha diverse versioni dell'oggetto HappyFace.jpg. L'amministratore dell'account ora vuole assegnare al suo utente Dave l'autorizzazione a ottenere unicamente una versione specifica dell'oggetto. L'amministratore dell'account può procedere assegnando a Dave l'autorizzazione s3:GetObjectVersion in base a condizioni, come mostrato di seguito. La coppia chiave-valore nel blocco Condition specifica la chiave di condizione s3:VersionId. In questo caso, Dave deve conoscere l'esatto ID di versione dell'oggetto per poterlo recuperare.

Per ulteriori informazioni, consulta il riferimento GetObjectall'API di Amazon Simple Storage Service.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/Dave"
            },
            "Action": "s3:GetObjectVersion",
            "Resource": "arn:aws:s3:::examplebucketversionenabled/HappyFace.jpg"
        },
        {
            "Sid": "statement2",
            "Effect": "Deny",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/Dave"
            },
            "Action": "s3:GetObjectVersion",
            "Resource": "arn:aws:s3:::examplebucketversionenabled/HappyFace.jpg",
            "Condition": {
                "StringNotEquals": {
                    "s3:VersionId": "AaaHbAQitwiL_h47_44lRO2DDfLlBO5e"
                }
            }
        }
    ]
}

Testa la policy con il AWS CLI

È possibile testare le autorizzazioni utilizzando il AWS CLI get-object comando con il --version-id parametro che identifica la versione specifica dell'oggetto. Il comando recupera l'oggetto e lo salva nel file OutputFile.jpg.


aws s3api get-object --bucket examplebucketversionenabled --key HappyFace.jpg OutputFile.jpg --version-id AaaHbAQitwiL_h47_44lRO2DDfLlBO5e --profile AccountADave

Esempio 4: concessione di autorizzazioni basate sui tag degli oggetti

Per esempi su come utilizzare le chiavi di condizione per il tagging di oggetti con le operazioni di Amazon S3, consulta Tagging e policy di controllo degli accessi.

Esempio 5: limitazione dell'accesso in base all' Account AWS ID del proprietario del bucket

Puoi utilizzare la chiave di condizione aws:ResourceAccount o s3:ResourceAccount per scrivere policy IAM o di endpoint del cloud privato virtuale (VPC) che limitano l'accesso di utenti, ruoli o applicazioni ai bucket Amazon S3 di proprietà di un determinato ID dell' Account AWS . Ciò è utile se desideri impedire ai client all'interno del tuo VPC di accedere a bucket di cui non sei proprietario.

Tuttavia, tieni presente che alcuni AWS servizi si basano sull'accesso a bucket AWS gestiti. Pertanto, l'utilizzo della chiave di condizione aws:ResourceAccount o s3:ResourceAccount nella policy IAM potrebbe anche influire sull'accesso a tali risorse.

Per ulteriori informazioni ed esempi, consulta le seguenti risorse:

Limitazione dell'accesso ai bucket in un Account AWS specificato nella Guida di AWS PrivateLink
Limitazione dell'accesso ai bucket utilizzati da Amazon ECRnella Guida di Amazon ECR
Fornisci l'accesso richiesto a Systems Manager per i bucket Amazon S3 AWS gestiti nella guida AWS Systems Manager
Limitazione dell'accesso ai bucket Amazon S3 di proprietà di specifici Account AWS nel Blog di archiviazione AWS

Esempio 6: Richiesta di una versione TLS minima

Puoi utilizzare s3: TlsVersion condition key per scrivere policy IAM, Virtual Private Cloud Endpoint (VPCE) o bucket che limitano l'accesso di utenti o applicazioni ai bucket Amazon S3 in base alla versione TLS utilizzata dal client. È possibile utilizzare questa chiave di condizione per scrivere policy che richiedono una versione TLS minima.

Questo esempio di bucket policy nega le PutObject richieste dei client con una versione TLS inferiore alla 1.2, ad esempio 1.1 o 1.0.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET1",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*"
            ],
            "Condition": {
                "NumericLessThan": {
                    "s3:TlsVersion": 1.2
                }
            }
        }
    ]
}

Questo esempio di bucket policy consente PutObject le richieste da parte di client con una versione TLS superiore alla 1.1, ad esempio 1.2, 1.3 o successiva.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET1",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*"
            ],
            "Condition": {
                "NumericGreaterThan": {
                    "s3:TlsVersion": 1.1
                }
            }
        }
    ]
}

Esempi – Chiavi di condizione di Amazon S3 per le operazioni sui bucket

In questa sezione vengono fornite policy di esempio che illustrano come utilizzare le chiavi di condizione specifiche di Amazon S3 per le operazioni sui bucket.

Argomenti

Esempio 1: Concessione di s3: GetObject autorizzazione con una condizione su un indirizzo IP
Esempio 2: recupero di un elenco di oggetti in un bucket con un prefisso specifico
Esempio 3: impostazione del numero massimo di chiavi

Esempio 1: Concessione di s3: GetObject autorizzazione con una condizione su un indirizzo IP

È possibile concedere agli utenti autenticati il permesso di utilizzare l's3:GetObjectazione se la richiesta proviene da un intervallo specifico di indirizzi IP (192.0.2.*), a meno che l'indirizzo IP non sia 192.0.2.188. Nel blocco di condizioni, IpAddress e NotIpAddress sono condizioni e per ogni condizione viene fornita una coppia chiave-valore per la valutazione. Entrambe le coppie chiave-valore in questo esempio utilizzano la chiave ‐wide. aws:SourceIp AWS

Nota

I valori chiave IPAddress e NotIpAddress specificati nella condizione utilizzano la notazione CIDR come descritto in RFC 4632. Per ulteriori informazioni, consulta http://www.rfc-editor.org/rfc/rfc4632.txt.


{
    "Version": "2012-10-17",
    "Id": "S3PolicyId1",
    "Statement": [
        {
            "Sid": "statement1",
            "Effect": "Allow",
            "Principal": "*",
            "Action":"s3:GetObject",
            "Resource": "arn:aws:s3:::awsexamplebucket1/*",
            "Condition" : {
                "IpAddress" : {
                    "aws:SourceIp": "192.0.2.0/24" 
                },
                "NotIpAddress" : {
                    "aws:SourceIp": "192.0.2.188/32" 
                } 
            } 
        } 
    ]
}

Puoi anche utilizzare altre chiavi di condizione AWS a livello di ‐wide nelle policy di Amazon S3. Ad esempio, è possibile specificare le chiavi di condizione aws:SourceVpce e aws:SourceVpc nelle policy di bucket per gli endpoint VPC. Per esempi specifici consulta Controllo dell'accesso dagli endpoint VPC con policy di bucket.

Nota

Per alcune chiavi di condizione AWS globali, sono supportati solo determinati tipi di risorse. Pertanto, verificare se Amazon S3 supporta la chiave di condizione globale e il tipo di risorsa che si desidera utilizzare o se sarà invece necessario utilizzare una chiave di condizione specifica per Amazon S3. Per un elenco completo dei tipi di risorse e delle chiavi di condizione supportati per Amazon S3, consulta Azioni, risorse e chiavi di condizione per Amazon S3 nel Service Authorization Reference.

Esempio 2: recupero di un elenco di oggetti in un bucket con un prefisso specifico

Puoi utilizzare la chiave s3:prefix condition per limitare la risposta dell'API GET Bucket (ListObjects) ai nomi di chiave con un prefisso specifico. Se si è il proprietario del bucket, è possibile limitare un utente a elencare il contenuto di un prefisso specifico nel bucket. Questa chiave di condizione risulta utile se gli oggetti nel bucket sono organizzati per prefissi del nomi delle chiavi. La console di Amazon S3 utilizza i prefissi dei nomi delle chiavi per mostrare un concetto di cartella. Solo la console supporta il concetto di cartelle, mentre l'API Amazon S3 supporta solo bucket e oggetti. Per ulteriori informazioni sull'utilizzo di prefissi e delimitatori per filtrare le autorizzazioni di accesso, consulta Procedura guidata: controllo dell'accesso a un bucket con policy utente.

Ad esempio, se vi sono due oggetti con nomi delle chiavi public/object1.jpg e public/object2.jpg, la console mostra gli oggetti nella cartella public. Nell'API Amazon S3 questi sono oggetti con prefissi, non oggetti nelle cartelle. Se tuttavia nell'API Amazon S3 organizzi le chiavi degli oggetti utilizzando tali prefissi, puoi concedere l'autorizzazione s3:ListBucket con la condizione s3:prefix che permette all'utente di ottenere un elenco dei nomi delle chiavi con un tali prefissi specifici.

In questo esempio, il proprietario del bucket e l'account padre a cui appartiene l'utente corrispondono. Quindi, il proprietario del bucket può utilizzare una policy di bucket o una policy utente. Per ulteriori informazioni su altre chiavi condizionali che puoi utilizzare con l'API GET Bucket (ListObjects), consulta. ListObjects

Policy utente

La policy utente seguente concede l'autorizzazione s3:ListBucket (consulta GET Bucket (List Objects)) con una condizione che richiede all'utente di specificare prefix nella richiesta con il valore projects.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"statement1",
         "Effect":"Allow",
         "Action": "s3:ListBucket",
         "Resource":"arn:aws:s3:::awsexamplebucket1",
         "Condition" : {
             "StringEquals" : {
                 "s3:prefix": "projects" 
             }
          } 
       },
      {
         "Sid":"statement2",
         "Effect":"Deny",
         "Action": "s3:ListBucket",
         "Resource": "arn:aws:s3:::awsexamplebucket1",
         "Condition" : {
             "StringNotEquals" : {
                 "s3:prefix": "projects" 
             }
          } 
       }         
    ]
}

La condizione limita l'utente a elencare solo le chiavi degli oggetti con il prefisso projects. Il rifiuto esplicito aggiunto rifiuta all'utente la richiesta di elencazione delle chiavi con qualsiasi altro prefisso, indipendentemente da quale altra autorizzazione possa avere l'utente. Ad esempio, è possibile che l'utente ottenga l'autorizzazione a elencare le chiavi degli oggetti senza alcuna limitazione in base agli aggiornamenti alla precedente policy utente oppure tramite una policy di bucket. Poiché il rifiuto esplicito è sempre prevalente, la richiesta dell'utente di elencare chiavi diverse dal prefisso projects viene rifiutata.

Policy del bucket

Se si aggiunge l'elemento Principal alla policy utente precedente, identificando l'utente, si ottiene una policy di bucket come illustrato.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"statement1",
         "Effect":"Allow",
         "Principal": {
            "AWS": "arn:aws:iam::123456789012:user/bucket-owner"
         },  
         "Action":  "s3:ListBucket",
         "Resource": "arn:aws:s3:::awsexamplebucket1",
         "Condition" : {
             "StringEquals" : {
                 "s3:prefix": "projects" 
             }
          } 
       },
      {
         "Sid":"statement2",
         "Effect":"Deny",
         "Principal": {
            "AWS": "arn:aws:iam::123456789012:user/bucket-owner"
         },  
         "Action": "s3:ListBucket",
         "Resource": "arn:aws:s3:::awsexamplebucket1",
         "Condition" : {
             "StringNotEquals" : {
                 "s3:prefix": "projects"  
             }
          } 
       }         
    ]
}

Prova la politica con AWS CLI

È possibile testare la politica utilizzando il seguente list-object AWS CLI comando. Nel comando, vengono fornite le credenziali utente utilizzando il parametro --profile. Per ulteriori informazioni sulla configurazione e l'utilizzo di AWS CLI, vedereSviluppo con Amazon S3 tramite la AWS CLI.


aws s3api list-objects --bucket awsexamplebucket1 --prefix examplefolder --profile AccountADave

Se il bucket è abilitato per le versioni, al fine di elencare gli oggetti nel bucket invece dell'autorizzazione s3:ListBucket è necessario assegnare l'autorizzazione s3:ListBucketVersions nella policy precedente. Questa autorizzazione supporta la chiave di condizione s3:prefix.

Esempio 3: impostazione del numero massimo di chiavi

È possibile utilizzare la chiave s3:max-keys condition per impostare il numero massimo di chiavi che il richiedente può restituire in un GET Bucket (ListObjects) o ListObjectVersionsin una richiesta. Per impostazione predefinita, l'API restituisce fino a 1.000 chiavi. Per un elenco di operatori di condizione numerici che è possibile utilizzare con s3:max-keys e i relativi esempi, consulta Operatori di condizione numerici nella Guida per l'utente di IAM.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Esempi di policy di bucket

Policy basate su identità