Impostazione di Object Ownership quando si crea un bucket - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impostazione di Object Ownership quando si crea un bucket

Quando crei un bucket, puoi configurare S3 Object Ownership. Per impostare Object Ownership per un bucket esistente, consultare Impostazione di Object Ownership su un bucket esistente.

S3 Object Ownership è un'impostazione a livello di bucket di Amazon S3 che puoi utilizzare per disabilitare gli elenchi di controllo degli accessi ACLs () e assumere la proprietà di ogni oggetto nel bucket, semplificando la gestione degli accessi per i dati archiviati in Amazon S3. Per impostazione predefinita, S3 Object Ownership è impostato sull'impostazione imposta dal proprietario del bucket e viene disabilitato per i nuovi bucket. ACLs Se ACLs disabilitata, il proprietario del bucket possiede ogni oggetto nel bucket e gestisce l'accesso ai dati esclusivamente utilizzando le politiche di gestione degli accessi. Ti consigliamo di mantenerlo ACLs disabilitato, tranne in circostanze insolite in cui devi controllare l'accesso per ogni oggetto singolarmente.

Object Ownership dispone di tre impostazioni che puoi utilizzare per controllare la proprietà degli oggetti caricati nel tuo bucket e per disabilitarli o ACLs abilitarli:

ACLsdisabilitato

  • Proprietario del bucket applicato (impostazione predefinita): ACLs sono disabilitati e il proprietario del bucket possiede automaticamente e ha il pieno controllo su ogni oggetto nel bucket. ACLsnon influiscono più sulle autorizzazioni per i dati nel bucket S3. Il bucket utilizza le policy per definire il controllo degli accessi.

ACLsabilitato

  • Proprietario del bucket preferito: il proprietario del bucket possiede e ha il pieno controllo sui nuovi oggetti che altri account scrivono nel bucket con il bucket predefinito. bucket-owner-full-control ACL

  • Scrittore di oggetti: The Account AWS chi carica un oggetto possiede l'oggetto, ne ha il pieno controllo e può concedere ad altri utenti l'accesso ad esso tramiteACLs.

Autorizzazioni: per applicare l'impostazione Bucket owner enforced (Applicata da proprietario bucket) oppure Bucket owner preferred (Preferita da proprietario bucket), devi disporre delle seguenti autorizzazioni: s3:CreateBucket e s3:PutBucketOwnershipControls. Non sono necessarie autorizzazioni aggiuntive quando si crea un bucket con l'impostazione Object writer applicata. Per ulteriori informazioni sulle autorizzazioni di Amazon S3, consulta Azioni, risorse e chiavi di condizione per Amazon S3 nel Service Authorization Reference.

Per ulteriori informazioni sulle autorizzazioni alle API operazioni S3 in base ai tipi di risorse S3, consulta. Autorizzazioni richieste per le operazioni di Amazon API S3

Importante

La maggior parte dei casi d'uso moderni in Amazon S3 non richiede più l'uso di e consigliamo di ACLs disabilitarlo ACLs tranne in circostanze insolite in cui è necessario controllare l'accesso per ogni oggetto singolarmente. Con Object Ownership, puoi disabilitare ACLs e fare affidamento su politiche per il controllo degli accessi. Quando si disattivaACLs, è possibile gestire facilmente un bucket con oggetti caricati da diversi AWS conti. In qualità di proprietario del bucket, possiedi tutti gli oggetti nel bucket e puoi gestirne l'accesso utilizzando le policy.

  1. Accedi al AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nella barra di navigazione nella parte superiore della pagina, scegli il nome del file attualmente visualizzato Regione AWS. Quindi, scegli la regione in cui desideri creare un bucket.

    Nota

    Scegli una regione nelle tue vicinanze per ridurre al minimo la latenza e i costi o essere conforme ai requisiti normativi. Gli oggetti archiviati in una regione non la lasciano mai a meno che non vengano trasferiti esplicitamente in un'altra regione. Per un elenco di Amazon S3 Regioni AWS, vedi Servizio AWS punti finali in Riferimenti generali di Amazon Web Services.

  3. Nel pannello di navigazione a sinistra, scegli Buckets (Bucket).

  4. Scegliere Create bucket (Crea bucket).

    Viene visualizzata la pagina Create bucket (Crea bucket).

  5. In Configurazione generale, visualizza Regione AWS dove verrà creato il tuo bucket.

  6. In Tipo di secchio, scegli Utilizzo generale.

  7. In Nome bucket, immettere il nome del bucket.

    Il nome del bucket deve:

    • Essere univoco all'interno di una partizione. Una partizione è un raggruppamento di regioni. AWS attualmente ha tre partizioni: aws (Regioni standard), aws-cn (Regioni cinesi) e (aws-us-govAWS GovCloud (US) Regions).

    • Deve contenere da 3 a 63 caratteri

    • Essere costituito solo da lettere minuscole, numeri, punti (.) e trattini (-). Per una migliore compatibilità, si consiglia di evitare l'utilizzo di punti (.) nei nomi dei bucket, ad eccezione dei bucket utilizzati solo per l'hosting di siti Web statici.

    • Iniziare e finire con una lettera o un numero.

    Una volta creato il bucket, non è possibile modificarne il nome. Il Account AWS chi crea il bucket lo possiede. Per ulteriori informazioni sulla denominazione dei bucket, consulta Regole di denominazione dei bucket.

    Importante

    Evitare di includere informazioni riservate, ad esempio numeri di account, nel nome del bucket. Il nome del bucket è visibile in URLs quel punto agli oggetti nel bucket.

  8. AWS Management Console consente di copiare le impostazioni di un bucket esistente nel nuovo bucket. Se non desideri copiare le impostazioni di un bucket esistente, vai al passaggio successivo.

    Nota

    Questa opzione:

    • Non è disponibile in AWS CLI ed è disponibile solo nella console

    • Non è disponibile per i bucket di directory

    • Non copia la policy del bucket dal bucket esistente al nuovo bucket

    Per copiare le impostazioni di un bucket esistente, in Copia le impostazioni dal bucket esistente, seleziona Scegli il bucket. Si apre la finestra Scegli il bucket. Trova il bucket con le impostazioni che desideri copiare e seleziona Scegli bucket. La finestra Scegli il bucket si chiude e la finestra Crea bucket si riapre.

    In Copia le impostazioni dal bucket esistente, ora vedrai il nome del bucket selezionato. Vedrai anche l'opzione Ripristina i valori predefiniti che puoi usare per rimuovere le impostazioni del bucket copiato. Controlla le impostazioni rimanenti del bucket, nella pagina Crea bucket. Vedrai che ora corrispondono alle impostazioni del bucket che hai selezionato. Puoi passare alla fase finale.

  9. In Object Ownership, per disabilitare o abilitare ACLs e controllare la proprietà degli oggetti caricati nel bucket, scegli una delle seguenti impostazioni:

    ACLsdisabilitato

    • Proprietario del bucket applicato (impostazione predefinita): ACLs sono disabilitati e il proprietario del bucket possiede automaticamente e ha il pieno controllo su ogni oggetto nel bucket. ACLsnon influiscono più sulle autorizzazioni di accesso ai dati nel bucket S3. Il bucket utilizza le policy esclusivamente per definire il controllo degli accessi.

      Per impostazione predefinita, ACLs sono disabilitati. La maggior parte dei casi d'uso moderni in Amazon S3 non richiede più l'uso di. ACLs Ti consigliamo di rimanere ACLs disabilitato, tranne in circostanze insolite in cui devi controllare l'accesso per ogni oggetto singolarmente. Per ulteriori informazioni, consulta Controllo della proprietà degli oggetti e disattivazione del ACLs bucket.

    ACLsabilitato

    • Proprietario del bucket preferito: il proprietario del bucket possiede e ha il pieno controllo sui nuovi oggetti che altri account scrivono nel bucket con il bucket predefinito. bucket-owner-full-control ACL

      Se applichi l'impostazione preferita del proprietario di Bucket, per richiedere che tutti i caricamenti di Amazon S3 includano quelli ACL predefiniti, puoi aggiungere una policy bucket che consenta solo bucket-owner-full-control il caricamento di oggetti che utilizzano questa impostazione. ACL

    • Object writer — The Account AWS chi carica un oggetto possiede l'oggetto, ne ha il pieno controllo e può concedere ad altri utenti l'accesso ad esso tramiteACLs.

    Nota

    L'impostazione predefinita è Proprietario del bucket applicato. Per applicare l'impostazione predefinita e mantenerla ACLs disattivata, è necessaria solo l's3:CreateBucketautorizzazione. Per abilitareACLs, è necessario disporre dell's3:PutBucketOwnershipControlsautorizzazione.

  10. In Impostazioni di blocco dell'accesso pubblico per questo bucket scegli le impostazioni di blocco dell'accesso pubblico che vuoi applicare al bucket.

    Per impostazione predefinita, tutte e quattro le impostazioni Blocco dell'accesso pubblico sono abilitate. È consigliabile mantenere tutte le impostazioni abilitate, a meno che non sia necessario disattivarne una o più di una per il caso d'uso specifico. Per ulteriori informazioni sul blocco dell'accesso pubblico, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

    Nota

    Per abilitare tutte le impostazioni Blocco dell'accesso pubblico, è richiesta solo l'autorizzazione s3:CreateBucket. Per disattivare le impostazioni Blocco dell'accesso pubblico, è necessario disporre dell'autorizzazione s3:PutBucketPublicAccessBlock.

  11. (Facoltativo) In Bucket Versioning (Controllo delle versioni bucket), puoi scegliere se conservare varianti degli oggetti nel bucket. Per ulteriori informazioni sulla funzione Controllo delle versioni, consulta Utilizzo della funzione Controllo delle versioni nei bucket S3.

    Per disabilitare o abilitare il controllo delle versioni nel bucket, scegli Disable (Disabilita) o Enable (Abilita).

  12. (Facoltativo) In Tags (Tag), puoi scegliere di aggiungere tag al bucket. I tag sono coppie chiave-valore utilizzate per classificare lo spazio di archiviazione.

    Per aggiungere un tag al bucket, inserisci un valore in Key (Chiave) e facoltativamente un valore in Value (Valore), quindi scegli Add Tag (Aggiungi tag).

  13. In Default encryption (Crittografia di default), scegliere Edit (Modifica).

  14. Per configurare la crittografia predefinita, in Tipo di crittografia scegli una delle seguenti opzioni:

    • Chiave gestita Amazon S3 (SSE-S3)

    • AWS Key Management Service chiave (-) SSE KMS

      Importante

      Se si utilizza l'KMSopzione SSE - per la configurazione di crittografia predefinita, si è soggetti alla quota di richieste al secondo (RPS) di AWS KMS. Per ulteriori informazioni su AWS KMS quote e come richiedere un aumento delle quote, vedi Quote nel AWS Key Management Service Guida per gli sviluppatori.

    I bucket e i nuovi oggetti sono crittografati con la crittografia lato server con una chiave gestita da Amazon S3 come livello base di configurazione della crittografia. Per ulteriori informazioni sulla crittografia predefinita, consulta Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3.

    Per ulteriori informazioni sull'utilizzo della crittografia lato server di Amazon S3 per crittografare i dati, consulta Utilizzo della crittografia lato server con chiavi gestite Amazon S3 (-S3) SSE.

  15. Se hai scelto AWS Key Management Service tasto (SSE-KMS), procedi come segue:

    1. In AWS KMS chiave, specifica la tua KMS chiave in uno dei seguenti modi:

      • Per scegliere da un elenco di KMS chiavi disponibili, scegli Scegli dal AWS KMS keyse scegli la tua KMSchiave dall'elenco delle chiavi disponibili.

        Entrambi i Chiave gestita da AWS (aws/s3) e le chiavi gestite dai clienti vengono visualizzate in questo elenco. Per ulteriori informazioni sulle chiavi gestite dai clienti, consulta Customer keys e AWS chiavi in AWS Key Management Service Guida per gli sviluppatori.

      • Per inserire la KMS chiaveARN, scegli Invio AWS KMS key ARNe inserisci la KMS chiave ARN nel campo visualizzato.

      • Per creare una nuova chiave gestita dai clienti nel AWS KMS console, scegli Crea una KMS chiave.

        Per ulteriori informazioni sulla creazione di un AWS KMS key, vedi Creazione di chiavi in AWS Key Management Service Guida per gli sviluppatori.

      Importante

      È possibile utilizzare solo KMS le chiavi disponibili nello stesso Regione AWS come il secchio. La console Amazon S3 elenca solo le prime 100 KMS chiavi nella stessa regione del bucket. Per utilizzare una KMS chiave non presente nell'elenco, è necessario immettere la KMS chiave. ARN Se desideri utilizzare una KMS chiave di proprietà di un altro account, devi prima avere il permesso di usare la chiave e poi devi inserire la KMS chiaveARN. Per ulteriori informazioni sulle autorizzazioni per le KMS chiavi su più account, vedi Creazione di KMS chiavi utilizzabili da altri account nel AWS Key Management Service Guida per gli sviluppatori. Per ulteriori informazioni su SSE -KMS, vedereSpecificare la crittografia lato server con AWS KMS (SSE-KMS).

      Quando si utilizza un AWS KMS key per la crittografia lato server in Amazon S3, devi scegliere una chiave di crittografia simmetrica. KMS Amazon S3 supporta solo chiavi di crittografia simmetriche e non KMS chiavi asimmetriche. KMS Per ulteriori informazioni, consulta Identificazione delle chiavi simmetriche e asimmetriche nel KMS AWS Key Management Service Guida per gli sviluppatori.

      Per ulteriori informazioni sulla creazione di un AWS KMS key, vedi Creazione di chiavi in AWS Key Management Service Guida per gli sviluppatori. Per ulteriori informazioni sull'utilizzo AWS KMS con Amazon S3, vedi. Utilizzo della crittografia lato server con AWS KMS tasti (-) SSE KMS

    2. Quando configuri il bucket per utilizzare la crittografia predefinita con SSE -KMS, puoi anche abilitare S3 Bucket Keys. S3 Bucket Keys riduce il costo della crittografia diminuendo il traffico di richieste da Amazon S3 a AWS KMS. Per ulteriori informazioni, vedereRiduzione del costo di SSE - KMS con Amazon S3 Bucket Keys.

      Per utilizzare le chiavi bucket S3, in Chiave bucket seleziona Abilita.

  16. (Facoltativo) Se si desidera abilitare il blocco oggetti S3, effettua le seguenti operazioni:

    1. Scegli Impostazioni avanzate.

      Importante

      L'abilitazione del blocco oggetti consente anche la funzione Controllo delle versioni del bucket. Dopo averlo abilitato, per il blocco di oggetti è necessario configurare le impostazioni predefinite di conservazione e di blocco di carattere legale per proteggere i nuovi oggetti dall'eliminazione o dalla sovrascrittura.

    2. Se desideri abilitare il blocco degli oggetti, scegli Enable (Abilita), leggi l'avviso visualizzato e confermalo.

    Per ulteriori informazioni, consulta Utilizzo del blocco oggetti S3.

    Nota

    Per creare un bucket abilitato per il blocco degli oggetti, devi disporre delle seguenti autorizzazioni: s3:CreateBucket, s3:PutBucketVersioning e s3:PutBucketObjectLockConfiguration.

  17. Seleziona Crea bucket.

Per impostare la proprietà dell'oggetto quando crei un nuovo bucket, usa il create-bucket AWS CLI comando con il --object-ownership parametro.

Questo esempio applica l'impostazione imposta dal proprietario del bucket per un nuovo bucket utilizzando il AWS CLI:

aws s3api create-bucket --bucket  amzn-s3-demo-bucket --region us-east-1 --object-ownership BucketOwnerEnforced
Importante

Se non si imposta Object Ownership quando si crea un bucket utilizzando il AWS CLI, l'impostazione predefinita sarà ObjectWriter (ACLsabilitata).

Questo esempio imposta l'impostazione imposta dal proprietario di Bucket per un nuovo bucket utilizzando il AWS SDK for Java:

    // Build the ObjectOwnership for CreateBucket
    CreateBucketRequest createBucketRequest = CreateBucketRequest.builder()
            .bucket(bucketName)
            .objectOwnership(ObjectOwnership.BucketOwnerEnforced)
            .build()

     // Send the request to Amazon S3 
     s3client.createBucket(createBucketRequest);

Per utilizzare AWS::S3::Bucket AWS CloudFormation risorsa per impostare la proprietà dell'oggetto quando si crea un nuovo bucket, vedi OwnershipControls entro AWS::S3::Bucket nella AWS CloudFormation Guida per l'utente.

Per applicare l'impostazione forzata del proprietario di Bucket per S3 Object Ownership, usa l'CreateBucketAPIoperazione con l'intestazione della x-amz-object-ownership richiesta impostata su. BucketOwnerEnforced Per informazioni ed esempi, vedi CreateBucketnell'Amazon Simple Storage Service API Reference.

Fasi successive: dopo aver eseguito le impostazioni Proprietario del bucket applicato o Proprietario del bucket preferito per Proprietà dell'oggetto, è possibile compiere i seguenti passaggi: