Prima di provare le procedure guidate di esempio

Procedure dettagliate che utilizzano policy per gestire l'accesso alle risorse Amazon S3

Questo argomento contiene i seguenti esempi di procedure guidate introduttive per concedere l'accesso alle risorse di Amazon S3. Questi esempi li utilizzano AWS Management Console per creare risorse (bucket, oggetti, utenti) e concedere loro le autorizzazioni. Gli esempi mostrano quindi come verificare le autorizzazioni utilizzando gli strumenti a riga di comando per evitare di scrivere il codice. Forniamo comandi utilizzando sia il AWS Command Line Interface (AWS CLI) che il. AWS Tools for Windows PowerShell

Esempio 1: il proprietario del bucket concede agli utenti le autorizzazioni per il bucket

Per impostazione predefinita, gli IAM utenti che crei nel tuo account non dispongono di autorizzazioni. In questo esercizio agli utenti verrà concessa un'autorizzazione per eseguire le operazioni sui bucket e sugli oggetti.
Esempio 2: il proprietario del bucket concede autorizzazioni per il bucket multiaccount

In questo esercizio un proprietario del bucket, Account A, concede le autorizzazioni multiaccount a un altro Account AWS, Account B, che delega quindi queste autorizzazioni agli utenti nel suo account.
Gestione delle autorizzazioni per l'oggetto quando il proprietario dell'oggetto non corrisponde al proprietario del bucket

Gli scenari di esempio in questo caso riguardano un proprietario del bucket che concede ad altri le autorizzazioni per l'oggetto, sebbene non tutti gli oggetti nel bucket siano di sua proprietà. Di quali autorizzazioni ha bisogno il proprietario del bucket e come può delegare tali autorizzazioni?

L'utente Account AWS che crea un bucket viene chiamato proprietario del bucket. Il proprietario può concedere altre Account AWS autorizzazioni per caricare oggetti e chi crea Account AWS gli oggetti ne è proprietario. Il proprietario del bucket non dispone delle autorizzazioni per gli oggetti creati dagli altri Account AWS. Se il proprietario del bucket scrive una policy relativa al bucket che concede l'accesso agli oggetti, la policy non si applica agli oggetti di proprietà di altri account.

In questo caso, il proprietario dell'oggetto deve prima concedere le autorizzazioni al proprietario del bucket utilizzando un oggetto. ACL Il proprietario del bucket può quindi delegare le autorizzazioni relative all'oggetto ad altri, agli utenti del proprio account o a un altro Account AWS, come illustrato negli esempi seguenti.
- Esempio 3: il proprietario del bucket concede autorizzazioni per gli oggetti che non sono di sua proprietà
  
  In questo esercizio il proprietario del bucket ottiene prima le autorizzazioni dal proprietario dell'oggetto, Il proprietario del bucket quindi delega queste autorizzazioni agli utenti nel suo account.
- Esempio 4: il proprietario del bucket concede l'autorizzazione di più account a oggetti di cui non è proprietario
  
  Dopo aver ricevuto le autorizzazioni dal proprietario dell'oggetto, il proprietario del bucket non può delegare l'autorizzazione ad altri Account AWS perché la delega tra account non è supportata (vedi). Delega delle autorizzazioni Invece, il proprietario del bucket può creare un IAM ruolo con le autorizzazioni per eseguire operazioni specifiche (come get object) e consentire a un altro di assumere quel ruolo. Account AWS Chiunque assuma il ruolo potrà quindi accedere agli oggetti. Questo esempio mostra come il proprietario di un bucket può utilizzare un IAM ruolo per abilitare questa delega tra account.

Prima di provare le procedure guidate di esempio

Questi esempi utilizzano il AWS Management Console per creare risorse e concedere autorizzazioni. Per verificare le autorizzazioni, gli esempi utilizzano gli strumenti della riga di comando e AWS CLI AWS Tools for Windows PowerShell, quindi, non è necessario scrivere alcun codice. Per testare le autorizzazioni, è necessario configurare uno di questi strumenti. Per ulteriori informazioni, consulta Configurazione degli strumenti per le procedure dettagliate.

Inoltre, durante la creazione di risorse, questi esempi non utilizzano le credenziali utente root di un. Account AWS ma viene creato un utente amministratore in questi account per eseguire queste attività.

Informazioni sull'uso di un utente amministratore per creare risorse e concedere autorizzazioni

AWS Identity and Access Management (IAM) consiglia di non utilizzare le credenziali dell'utente root Account AWS per effettuare richieste. Create invece un IAM utente o un ruolo, concedetegli l'accesso completo e quindi utilizzate le sue credenziali per effettuare richieste. Questo utente viene definito utente o ruolo amministratore. Per ulteriori informazioni, consulta Utente root dell'account AWS le sezioni Credenziali e IAM identità Riferimenti generali di AWSe IAM Best Practices nella Guida per l'IAMutente.

In tutte le procedure guidate di esempio riportate in questa sezione vengono utilizzate le credenziali dell'utente amministratore. Se non avete creato un utente amministratore per il vostro Account AWS, negli argomenti viene illustrato come fare.

Per accedere AWS Management Console utilizzando le credenziali utente, è necessario utilizzare l'IAMutente URL Sign-in. La IAMConsole lo fornisce URL per te. Account AWS Gli argomenti mostrano come ottenere ilURL.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Esempi di policy basate su identità

Configurazione degli strumenti