View a markdown version of this page

Come funziona S3 Files con IAM - Amazon Simple Storage Service
Policy basate sull’identitàPolicy basate sulle risorseAzioni S3 Files per i clientS3 Files: chiavi di condizione per i clientEsempi di policy del file systemAutorizzazioni POSIXGruppi di sicurezza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona S3 Files con IAM

Questa pagina descrive come funziona AWS Identity and Access Management (IAM) con S3 Files e come puoi utilizzare le policy IAM per controllare l'accesso ai tuoi file system.

S3 Files utilizza IAM per due tipi distinti di controllo degli accessi:

  • Accesso alle API: controlla chi può creare, gestire ed eliminare risorse di S3 Files come file system, destinazioni di montaggio e punti di accesso. Puoi controllare questo accesso utilizzando policy basate sull'identità collegate a utenti, gruppi o ruoli IAM.

  • Accesso client: controlla ciò che i client (le tue risorse di elaborazione montate) possono fare con il file system una volta che si connettono, ad esempio leggere, scrivere o accedere ai file come utente root. Questo accesso viene controllato utilizzando una combinazione di politiche basate sulle risorse, politiche basate sull'identità, punti di accesso e autorizzazioni POSIX.

Utilizzando IAM, è possibile consentire ai client di eseguire operazioni specifiche su un file system, incluso l'accesso di sola lettura, scrittura e root. Un'autorizzazione «consenti» per un'azione o in una policy di identità IAM o in una policy di risorse del file system consente l'accesso a tale azione. L'autorizzazione non deve essere concessa sia in una policy di identità sia in una policy delle risorse.

Le policy del bucket S3 sul bucket S3 collegato regolano anche l'accesso dalla risorsa di elaborazione e dal file system al bucket S3. È inoltre necessario assicurarsi che le policy relative ai bucket del bucket di origine non impediscano l'accesso dalla risorsa di elaborazione o dal file system. Per ulteriori dettagli, consulta le politiche di Bucket per Amazon S3.

Policy basate sull’identità

Le politiche basate sull'identità sono politiche JSON che colleghi a utenti, gruppi o ruoli IAM. Puoi fornire queste autorizzazioni scrivendo policy personalizzate o allegando una policy gestita. AWS Per ulteriori informazioni sulle politiche gestite disponibili sia per l'accesso alle API che per l'accesso ai client, consulta le politiche AWS gestite per Amazon S3 Files.

S3 Files ottimizza anche le prestazioni di lettura consentendo ai client di leggere i dati dei file direttamente dal bucket S3 di origine. Quando monti un file system S3 sulla tua risorsa di calcolo, devi aggiungere una policy in linea al ruolo IAM della tua risorsa di elaborazione che conceda le autorizzazioni per leggere gli oggetti dal bucket S3 specificato. Il mount helper utilizza queste autorizzazioni per leggere i dati S3. Per maggiori dettagli su questa politica, vedi. Ruolo IAM per collegare il file system alle risorse di AWS calcolo

Policy basate sulle risorse

Una policy del file system è una policy basata sulle risorse IAM che puoi allegare direttamente a un file system per controllare l'accesso dei client. È possibile utilizzare le policy del file system per concedere o negare le autorizzazioni ai client per eseguire operazioni come il montaggio, la scrittura e l'accesso root.

Un file system ha una politica del file system vuota (predefinita) o esattamente una politica esplicita. Le politiche del file system S3 hanno un limite di 20.000 caratteri. Per informazioni sulla creazione e la gestione delle politiche del file system, consulta. Creazione di policy del file system

Azioni S3 Files per i client

È possibile specificare le seguenti azioni in una politica del file system per controllare l'accesso dei client:

Azione Description
s3files:ClientMount Fornisce un accesso in sola lettura a un file system.
s3files:ClientWrite Fornisce le autorizzazioni di scrittura su un file system.
s3files:ClientRootAccess Fornisce la possibilità di utilizzare l'utente root quando si accede a un file system.

S3 Files: chiavi di condizione per i client

È possibile utilizzare le seguenti chiavi di condizione nell'Conditionelemento di una policy del file system per perfezionare ulteriormente il controllo degli accessi:

Chiave di condizione Description Operatore
s3files:AccessPointArn ARN del punto di accesso S3 Files a cui si connette il client. Stringa

Esempi di policy del file system

Esempio: concedere accesso in sola lettura

La seguente politica del file system concede solo autorizzazioni ClientMount (di sola lettura) al ruolo IAM. ReadOnly Sostituiscilo 111122223333 con l'ID del tuo account. AWS 

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ReadOnly"
            },
            "Action": [
                "s3files:ClientMount"
            ]
        }
    ]
}

Esempio: concedi l'accesso a un punto di accesso S3 Files

La seguente politica del file system utilizza un elemento condition per concedere a un punto di accesso specifico l'accesso completo al file system durante il montaggio tramite il punto di accesso specificato. Sostituisci l'ARN del punto di accesso e l'ID dell'account con i tuoi valori. Per ulteriori informazioni, consulta Creazione di punti di accesso per un file system S3.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::555555555555:role/S3FilesAccessPointFullAccess"
            },
            "Action": [
                "s3files:Client*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3files:AccessPointArn": "arn:partition:s3files:region:account-id:file-system/fs-1234567890/access-point/fsap-0987654321"
                }
            }
        }
    ]
}

Autorizzazioni POSIX

Dopo il successo dell'autorizzazione IAM, S3 Files applica le autorizzazioni POSIX standard (in stile UNIX) a livello di file e directory. Le autorizzazioni POSIX controllano l'accesso in base all'ID utente (UID), all'ID di gruppo (GID) e ai bit di autorizzazione (lettura, scrittura ed esecuzione) associati a ciascun file e directory. Gli access point possono applicare un'identità utente POSIX specifica per tutte le richieste, semplificando la gestione degli accessi per i set di dati condivisi. Per ulteriori informazioni, consulta Creazione di punti di accesso per un file system S3.

Gruppi di sicurezza

I gruppi di sicurezza agiscono come un firewall a livello di rete che controlla il traffico tra le risorse di elaborazione e le destinazioni di montaggio del file system. Per i dettagli sulla configurazione dei gruppi di sicurezza per iniziare a usare S3 Files, consulta. Gruppi di sicurezza