In che modo Amazon S3 autorizza una richiesta - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

In che modo Amazon S3 autorizza una richiesta

Quando Amazon S3 riceve una richiesta, ad esempio un'operazione su un bucket o su un oggetto, verifica innanzitutto che il richiedente disponga delle autorizzazioni necessarie. Amazon S3 valuta tutte le policy di accesso, le policy utente e le policy basate sulle risorse pertinenti (bucket policy, bucket access control list (ACL) e objectACL) per decidere se autorizzare la richiesta.

Nota

Se il controllo delle autorizzazioni di Amazon S3 non riesce a trovare autorizzazioni valide, viene restituito un errore Access Denied (403 Forbidden) autorizzazione negata. Per ulteriori informazioni, consulta Risoluzione degli errori di accesso negato (403 proibito) in Amazon S3.

Per determinare se il richiedente è autorizzato a eseguire l'operazione specifica, Amazon S3 esegue le seguenti operazioni, nell'ordine, quando riceve una richiesta:

  1. Converte tutte le politiche di accesso pertinenti (policy utente, bucket policy eACLs) in fase di esecuzione in una serie di politiche da valutare.

  2. Valuta l'insieme di policy risultante nelle fasi successive. In ciascuna fase, Amazon S3 valuta un sottoinsieme di policy in un contesto specifico, in base all'autorità del contesto.

    1. Contesto dell'utente – Nel contesto dell'utente l'account padre a cui l'utente appartiene è l'autorità del contesto.

      Amazon S3 valuta un sottoinsieme di policy di proprietà dell'account padre. Questo sottoinsieme include la policy utente che l'account padre ha associato all'utente. Se il genitore possiede anche la risorsa nella richiesta (bucket o oggetto), Amazon S3 valuta anche le politiche delle risorse corrispondenti (bucket policy, ACL bucket e ACL object) contemporaneamente.

      Per eseguire l'operazione, un utente deve essere autorizzato da un account padre.

      Questa fase si applica solo se la richiesta viene eseguita da un utente in un Account AWS. Se la richiesta viene effettuata utilizzando le credenziali utente root di un Account AWS, Amazon S3 salta questo passaggio.

    2. Contesto del bucket: nel contesto del bucket, Amazon S3 valuta le politiche di proprietà del proprietario Account AWS del bucket.

      Se la richiesta riguarda un'operazione su un bucket, il richiedente deve essere disporre dell'autorizzazione concessa dal proprietario del bucket. Se la richiesta riguarda un oggetto, Amazon S3 valuta tutte le policy appartenenti al proprietario del bucket per verificare che quest'ultimo non abbia negato in modo esplicito l'accesso all'oggetto. Se è stato impostato un rifiuto esplicito, Amazon S3 non autorizza la richiesta.

    3. Contesto dell'oggetto – Se la richiesta riguarda un oggetto, Amazon S3 valuta il sottoinsieme di policy che appartengono al proprietario dell'oggetto.

Di seguito sono riportati alcuni scenari di esempio che illustrano come Amazon S3 autorizza una richiesta.

Esempio — Il richiedente è un preside IAM

Se il richiedente è un IAM principale, Amazon S3 deve determinare se il Account AWS genitore a cui appartiene il principale ha concesso l'autorizzazione principale necessaria per eseguire l'operazione. Inoltre, se la richiesta riguarda un'operazione su un bucket, ad esempio una richiesta per elencare il contenuto del bucket, Amazon S3 deve verificare che il proprietario del bucket abbia concesso al richiedente l'autorizzazione per eseguire l'operazione. Per eseguire un'operazione specifica su una risorsa, un IAM principale necessita dell'autorizzazione sia del genitore Account AWS a cui appartiene Account AWS sia del proprietario della risorsa.

Esempio — Il richiedente è un IAM principale: se la richiesta riguarda un'operazione su un oggetto che il proprietario del bucket non possiede

Se la richiesta riguarda un'operazione su un oggetto che il proprietario del bucket non possiede, oltre ad assicurarsi che il richiedente disponga delle autorizzazioni del proprietario dell'oggetto, Amazon S3 deve anche verificare la policy del bucket per assicurarsi che il proprietario del bucket non abbia impostato una negazione esplicita sull'oggetto. Il proprietario del bucket (che paga la fattura) può negare in modo esplicito l'accesso agli oggetti nel bucket, indipendentemente dall'utente a cui appartiene. Il proprietario del bucket può anche eliminare tutti gli oggetti nel bucket.

Per impostazione predefinita, quando un altro Account AWS carica un oggetto nel tuo bucket S3, quell'account (lo scrittore dell'oggetto) possiede l'oggetto, ha accesso ad esso e può concedere ad altri utenti l'accesso ad esso tramite le liste di controllo degli accessi (ACLs). Puoi utilizzare Object Ownership per modificare questo comportamento predefinito in modo che sia ACLs disabilitato e tu, in qualità di proprietario del bucket, possiedi automaticamente ogni oggetto nel tuo bucket. Di conseguenza, il controllo degli accessi ai dati si basa su policy, come le policy IAM degli utenti, le policy dei bucket S3, le policy degli endpoint del cloud privato virtuale (VPC) e le policy di controllo dei AWS Organizations servizi (). SCPs Per ulteriori informazioni, consulta Controllo della proprietà degli oggetti e disattivazione ACLs del bucket.

Per ulteriori informazioni su come Amazon S3 valuta le policy di accesso per autorizzare o negare le richieste di operazioni su bucket e oggetti, consulta i seguenti argomenti: