Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazione dell'endpoint APIs regionale con IAM
AWS Identity and Access Management (IAM) è un programma Servizio AWS che aiuta gli amministratori a controllare in modo sicuro l'accesso alle risorse. AWS IAMgli amministratori controllano chi può essere autenticato (effettuato l'accesso) e autorizzato (disporre delle autorizzazioni) a utilizzare le risorse Amazon S3 in S3 Express One Zone. È possibile utilizzare senza costi aggiuntiviIAM.
Per impostazione predefinita, gli utenti non dispongono delle autorizzazioni per i bucket di directory e le operazioni S3 Express One Zone. Per concedere le autorizzazioni di accesso per i bucket di directory, puoi utilizzarli IAM per creare utenti, gruppi o ruoli e assegnare autorizzazioni a tali identità. Per ulteriori informazioni in meritoIAM, consulta le migliori pratiche di sicurezza IAM nella Guida per l'utente. IAM
Per fornire l'accesso, puoi aggiungere autorizzazioni a utenti, gruppi o ruoli tramite i mezzi seguenti:
-
Utenti e gruppi in AWS IAM Identity Center: crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
-
Utenti gestiti IAM tramite un provider di identità: crea un ruolo per la federazione delle identità. Segui le istruzioni riportate in Creazione di un ruolo per un provider di identità di terze parti (federazione) nella Guida per l'IAMutente.
-
IAMruoli e utenti: crea un ruolo che l'utente possa assumere. Segui le istruzioni in Creazione di un ruolo per delegare le autorizzazioni a un IAM utente nella Guida per l'IAMutente.
Per ulteriori informazioni su IAM S3 Express One Zone, consulta i seguenti argomenti.
Argomenti
Principali
Quando si crea una policy basata sulle risorse per concedere l'accesso ai bucket, è necessario utilizzare l'elemento Principal per specificare la persona o l'applicazione che può effettuare una richiesta per un'azione o un'operazione su tale risorsa. Per le policy dei bucket di directory, puoi utilizzare i seguenti principali:
-
Un account AWS
-
Un IAM utente
-
Un IAM ruolo
-
Un utente federato
Per ulteriori informazioni, consulta Principal nella Guida per l'utente di IAM.
Risorse
Amazon Resource Names (ARNs) per i bucket di directory contiene lo spazio dei s3express nomi Regione AWS, l'ID dell' AWS account e il nome del bucket di directory, che include l'ID della zona di disponibilità. Per accedere ed eseguire azioni sul tuo bucket di directory, devi utilizzare il seguente formato: ARN
arn:aws:s3express:region:account-id:bucket/base-bucket-name--zone-id--x-s3
Per ulteriori informazioni suARNs, vedere Amazon Resource Names (ARNs) nella Guida per l'utente di IAM. Per ulteriori informazioni sulle risorse, consulta IAM JSON Policy Elements: Resource nella Guida per l'utente di IAM.
Azioni per i bucket di directory
In una politica basata sull'IAMidentità o una politica basata sulle risorse, definisci quali azioni S3 sono consentite o negate. Le API azioni corrispondono a operazioni specifiche. Quando si utilizzano i bucket di directory, è possibile utilizzare lo spazio dei nomi S3 Express One Zone per concedere le autorizzazioni. Questo spazio dei nomi è s3express.
Quando concedi l's3express:CreateSessionautorizzazione, ciò consente all'CreateSessionAPIoperazione di recuperare i token di sessione quando accede alle operazioni zonali sull'endpoint (o a livello di oggetto). API Questi token di sessione restituiscono le credenziali utilizzate per concedere l'accesso a tutte le altre operazioni degli endpoint Zonal. API Di conseguenza, non è necessario concedere le autorizzazioni di accesso alle operazioni API zonali utilizzando le politiche. IAM Invece, il token di sessione consente l'accesso. Per l'elenco delle API operazioni e delle autorizzazioni degli endpoint zonali, consulta Autenticazione e autorizzazione delle richieste.
Per ulteriori informazioni sulle operazioni degli endpoint zonali e regionali, vedere. API Rete per bucket di directory Per ulteriori informazioni sull'CreateSessionAPIoperazione, vedere CreateSessionnell'Amazon Simple Storage Service API Reference.
Puoi specificare le seguenti azioni nell'Actionelemento di una dichiarazione IAM politica. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando si utilizza un'azione in una politica, in genere si consente o si nega l'accesso all'APIoperazione con lo stesso nome. Tuttavia, in alcuni casi, una singola azione controlla l'accesso a più di un'APIoperazione. L'accesso alle azioni a livello di bucket può essere concesso solo nelle policy IAM basate sull'identità (utente o ruolo) e non nelle policy bucket.
La tabella seguente mostra le azioni e le chiavi di condizione.
| Azione | API | Descrizione | Livello di accesso | Chiavi di condizione |
|---|---|---|---|---|
s3express:CreateBucket
|
CreateBucket |
Concede l'autorizzazione per creare un nuovo bucket. |
Scrittura |
|
s3express:CreateSession |
Operazioni sugli endpoint API zonali |
Concede l'autorizzazione a creare un token di sessione, utilizzato per concedere l'accesso a tutte le API operazioni zonali (a livello di oggetto), ad esempio, e così |
Scrittura |
|
s3express:DeleteBucket |
DeleteBucket |
Concede il permesso di eliminare il bucket denominato in. URI |
Scrittura |
|
s3express:DeleteBucketPolicy |
DeleteBucketPolicy |
Concede l'autorizzazione per eliminare la policy su un bucket specificato. |
Gestione delle autorizzazioni |
|
s3express:GetBucketPolicy |
GetBucketPolicy |
Concede l'autorizzazione per restituire la policy del bucket specificato. |
Lettura |
|
s3express:GetEncryptionConfiguration |
GetBucketEncryption |
Concede l'autorizzazione a restituire la configurazione di crittografia predefinita di un bucket di directory. |
Lettura |
|
s3express:ListAllMyDirectoryBuckets |
ListDirectoryBuckets |
Concede l'autorizzazione per elencare tutti i bucket di directory di proprietà del mittente autenticato della richiesta. |
Elenco |
|
s3express:PutBucketPolicy |
PutBucketPolicy |
Concede l'autorizzazione per aggiungere o sostituire una policy del bucket in un bucket. |
Gestione delle autorizzazioni |
|
s3express:PutBucketPolicy |
PutBucketPolicy |
Concede l'autorizzazione per aggiungere o sostituire una policy del bucket in un bucket. |
Gestione delle autorizzazioni |
|
s3express:PutEncryptionConfiguration |
PutBucketEncryption o DeleteBucketEncryption |
Concede l'autorizzazione a impostare la configurazione di crittografia per un bucket di directory |
Scrittura |
|
Chiavi di condizione per i bucket di directory
Di seguito sono riportate le chiavi di condizione che possono essere utilizzate nell'Conditionelemento di una IAM politica. Puoi utilizzare queste chiavi per perfezionare ulteriormente le condizioni in base alle quali si applica l'istruzione di policy.
| Chiave di condizione | Descrizione | Tipo |
|---|---|---|
s3express:authType |
Filtra l'accesso in base al metodo di autenticazione. Per limitare le richieste in arrivo all'utilizzo di un metodo di autenticazione specifico, puoi utilizzare questa chiave di condizione opzionale. Ad esempio, è possibile utilizzare questa chiave di condizione per consentire l'utilizzo solo dell'HTTP Valori validi: |
Stringa |
s3express:LocationName |
Filtra l'accesso all' Valore di esempio: |
Stringa |
s3express:ResourceAccount |
Filtra l'accesso in base all' Account AWS ID del proprietario della risorsa. Per limitare l'accesso di utenti, ruoli o applicazioni ai bucket di directory di proprietà di un Account AWS ID specifico, puoi utilizzare la chiave di Valore di esempio: |
Stringa |
s3express:SessionMode |
Filtra l'accesso in base all'autorizzazione richiesta dall' Valori validi: |
Stringa |
s3express:signatureAge |
Filtra l'accesso in base all'età in millisecondi della firma della richiesta. Questa condizione funziona solo per i predefiniti. URLs Nella versione 4 di AWS Signature, la chiave di firma è valida per un massimo di sette giorni. Pertanto, anche le firme sono valide per un massimo di sette giorni. Per ulteriori informazioni, consulta Introduzione alle richieste di firma in Amazon Simple Storage Service API Reference. Puoi utilizzare questa condizione per limitare ulteriormente la durata della firma. Valore di esempio: |
Numerico |
s3express:signatureversion |
Identifica la versione di AWS Signature che desideri supportare per le richieste autenticate. Per le richieste autenticate, è supportata la versione 4 di Signature. Valore valido: |
Stringa |
s3express:TlsVersion |
Filtra l'accesso in base alla TLS versione utilizzata dal client. È possibile utilizzare la chiave di Valore di esempio: |
Numerico |
s3express:x-amz-content-sha256 |
Filtra l'accesso in base ai contenuti non firmati nel bucket. Questa chiave di condizione può essere utilizzata per non consentire contenuti non firmati nel bucket. Quando si utilizza Signature Version 4, per le richieste che utilizzano l'intestazione Puoi utilizzare questa chiave di condizione nella policy del bucket per rifiutare qualsiasi caricamento in cui i payload non sono firmati. Per esempio:
Valore valido: |
Stringa |
s3express:x-amz-server-side-encryption |
Filtra l'accesso tramite crittografia lato server Valori validi: |
Stringa |
s3express:x-amz-server-side-encryption-aws-kms-key-id |
Filtra l'accesso in base alla chiave gestita dal AWS KMS cliente per la crittografia lato server Valore di esempio: |
ARN |
