Disabilitazione ACLs per tutti i nuovi bucket e applicazione della proprietà degli oggetti - Amazon Simple Storage Service
Disattivazione ACLs per tutti i nuovi bucket (il proprietario del bucket è stato imposto)Richiede la versione bucket-owner-full-control preimpostata ACL per le operazioni di Amazon PUT S3 (preferibilmente il proprietario del bucket)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Disabilitazione ACLs per tutti i nuovi bucket e applicazione della proprietà degli oggetti

Ti consigliamo di disabilitarlo ACLs sui bucket Amazon S3. È possibile farlo applicando l'impostazione Proprietario del bucket applicato per S3 Proprietà dell'oggetto. Quando applichi questa impostazione, ACLs sono disabilitati e possiedi automaticamente e hai il pieno controllo su tutti gli oggetti nel tuo bucket. Per richiedere che tutti i nuovi bucket vengano creati con criteri ACLs disabilitati, utilizzate i criteri AWS Identity and Access Management (IAM) o i criteri di controllo del AWS Organizations servizio (SCPs), come descritto nella sezione successiva.

Per imporre la proprietà degli oggetti ai nuovi oggetti senza disabilitarliACLs, puoi applicare l'impostazione preferita del proprietario del Bucket. Quando applichi questa impostazione, ti consigliamo vivamente di aggiornare la tua policy sul bucket in modo da richiedere il valore predefinito ACL per tutte le PUT richieste bucket-owner-full-control al tuo bucket. Assicurati di aggiornare i tuoi clienti anche in modo che inviino le richieste bucket-owner-full-control in scatola ACL al tuo bucket da altri account.

Disattivazione ACLs per tutti i nuovi bucket (il proprietario del bucket è stato imposto)

La seguente IAM politica di esempio nega l's3:CreateBucketautorizzazione per un IAM utente o un ruolo specifico a meno che l'impostazione imposta del proprietario del Bucket non venga applicata per Object Ownership. La coppia chiave-valore nel blocco di Condition specifica s3:x-amz-object-ownership come chiave e l'impostazione BucketOwnerEnforced come valore corrispondente. In altre parole, l'IAMutente può creare bucket solo se imposta l'impostazione forzata del proprietario del Bucket per Object Ownership e la disattiva. ACLs Puoi anche utilizzare questa politica come limite SCP per la tua organizzazione. AWS 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RequireBucketOwnerFullControl",
            "Action": "s3:CreateBucket",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-object-ownership": "BucketOwnerEnforced"
                }
            }
        }
    ]
}

Richiede la versione bucket-owner-full-control preimpostata ACL per le operazioni di Amazon PUT S3 (preferibilmente il proprietario del bucket)

Con l'impostazione preferita del proprietario del bucket per Object Ownership, tu, in qualità di proprietario del bucket, possiedi e hai il pieno controllo sui nuovi oggetti che altri account scrivono nel tuo bucket con quelli predefiniti. bucket-owner-full-control ACL Tuttavia, se altri account scrivono oggetti nel tuo bucket senza quelli bucket-owner-full-control predefinitiACL, l'object writer mantiene il pieno controllo dell'accesso. In qualità di proprietario del bucket, puoi implementare una policy sul bucket che consenta le scritture solo se specifichi il valore predefinito. bucket-owner-full-control ACL

Nota

Se hai ACLs disabilitato l'impostazione imposta del proprietario del bucket, tu, in qualità di proprietario del bucket, possiedi automaticamente e hai il pieno controllo su tutti gli oggetti nel tuo bucket. Non è necessario utilizzare questa sezione per aggiornare la policy del bucket per applicare la proprietà degli oggetti per il proprietario del bucket.

La seguente politica del bucket specifica tale account 111122223333 può caricare oggetti su amzn-s3-demo-bucket solo quando l'oggetto ACL è impostato subucket-owner-full-control. Assicurati di sostituire 111122223333 con il tuo account e amzn-s3-demo-bucket con il nome del tuo secchio.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Only allow writes to my bucket with bucket owner full control",
         "Effect": "Allow",
         "Principal": {
            "AWS": [
               "arn:aws:iam::111122223333:user/ExampleUser"
            ]
         },
         "Action": [
            "s3:PutObject"
         ],
         "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
         "Condition": {
            "StringEquals": {
               "s3:x-amz-acl": "bucket-owner-full-control"
            }
         }
      }
   ]
}

Di seguito è riportato un esempio di operazione di copia che include il bucket-owner-full-control contenuto in scatola ACL utilizzando AWS Command Line Interface ()AWS CLI.

aws s3 cp file.txt s3://amzn-s3-demo-bucket --acl bucket-owner-full-control

Dopo l'applicazione della policy bucket, se il client non include il file bucket-owner-full-control cannedACL, l'operazione fallisce e l'uploader riceve il seguente errore:

Si è verificato un errore (AccessDenied) durante la chiamata dell' PutObject operazione: Accesso negato.

Nota

Se i client hanno bisogno di accedere agli oggetti dopo il caricamento, sarà necessario concedere autorizzazioni aggiuntive per l'account di caricamento. Per informazioni sulla concessione agli account dell'accesso alle risorse, consulta la sezione Procedure dettagliate che utilizzano policy per gestire l'accesso alle risorse Amazon S3.