Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Identity and Access Management per Amazon S3
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (può accedere) e *autorizzato* (dispone di autorizzazioni) a utilizzare le risorse Amazon S3. IAM è un software Servizio AWS che puoi utilizzare senza costi aggiuntivi.

Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta [Autorizzazioni necessarie per le operazioni API di Amazon S3](using-with-s3-policy-actions.md).

**Nota**  
Per ulteriori informazioni sull'uso della classe di storage Amazon S3 Express One Zone con i bucket di directory, consulta [S3 Express One Zone](directory-bucket-high-performance.md#s3-express-one-zone) e [Operazioni con i bucket di directory](directory-buckets-overview.md).

**Topics**
+ [

## Destinatari
](#security_iam_audience)
+ [

## Autenticazione con identità
](#security_iam_authentication)
+ [

## Gestione dell’accesso tramite policy
](#security_iam_access-manage)
+ [

# Come funziona Amazon S3 con IAM
](security_iam_service-with-iam.md)
+ [

# In che modo Amazon S3 autorizza una richiesta
](how-s3-evaluates-access-control.md)
+ [

# Autorizzazioni necessarie per le operazioni API di Amazon S3
](using-with-s3-policy-actions.md)
+ [

# Policy e autorizzazioni in Amazon S3
](access-policy-language-overview.md)
+ [

# Policy dei bucket per Amazon S3
](bucket-policies.md)
+ [

# Policy basate sull'identità per Amazon S3
](security_iam_id-based-policy-examples.md)
+ [

# Passaggi che utilizzano le policy per gestire l'accesso alle risorse Amazon S3
](example-walkthroughs-managing-access.md)
+ [

# Utilizzo dei ruoli collegati ai servizi per Amazon S3 Storage Lens
](using-service-linked-roles.md)
+ [

# Risoluzione dei problemi di identità e accesso ad Amazon S3
](security_iam_troubleshoot.md)
+ [

# AWS politiche gestite per Amazon S3
](security-iam-awsmanpol.md)

## Destinatari
<a name="security_iam_audience"></a>

Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi di identità e accesso ad Amazon S3](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona Amazon S3 con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Policy basate sull'identità per Amazon S3](security_iam_id-based-policy-examples.md))

## Autenticazione con identità
<a name="security_iam_authentication"></a>

L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS

Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.

Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.

### Account AWS utente root
<a name="security_iam_authentication-rootuser"></a>

 Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*. 

### Identità federata
<a name="security_iam_authentication-federated"></a>

Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.

Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.

Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.

### Utenti e gruppi IAM
<a name="security_iam_authentication-iamuser"></a>

Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*

Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.

### Ruoli IAM
<a name="security_iam_authentication-iamrole"></a>

Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.

I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.

## Gestione dell’accesso tramite policy
<a name="security_iam_access-manage"></a>

Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.

Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.

Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.

### Policy basate sull’identità
<a name="security_iam_access-manage-id-based-policies"></a>

Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.

Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.

### Policy basate sulle risorse
<a name="security_iam_access-manage-resource-based-policies"></a>

Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).

Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.

### Altri tipi di policy
<a name="security_iam_access-manage-other-policies"></a>

AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.

### Più tipi di policy
<a name="security_iam_access-manage-multiple-policies"></a>

Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.

# Come funziona Amazon S3 con IAM
<a name="security_iam_service-with-iam"></a>

Prima di utilizzare IAM per gestire l'accesso ad Amazon S3, è necessario conoscere le funzioni IAM disponibili per l'utilizzo di Amazon S3.






**Funzioni IAM utilizzabili con Amazon S3**  

| Funzionalità IAM | Supporto Amazon S3 | 
| --- | --- | 
|  [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies)  |   Sì  | 
|  [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies)  |   Sì  | 
|  [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions)  |   Sì  | 
|  [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources)  |   Sì  | 
|  [Chiavi di condizione della policy (specifica del servizio)](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Sì   | 
|  [ACLs](#security_iam_service-with-iam-acls)  |   Sì  | 
|  [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags)  |   Parziale  | 
|  [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds)  |   Sì  | 
|  [Inoltro delle sessioni di accesso (FAS)](#security_iam_service-with-iam-principal-permissions)  |   Sì  | 
|  [Ruoli di servizio](#security_iam_service-with-iam-roles-service)  |   Sì  | 
|  [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked)  |   Parziale  | 

Per avere una visione di alto livello di come Amazon S3 e AWS altri servizi funzionano con la maggior parte delle funzionalità IAM, [AWS consulta i servizi che funzionano con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM nella IAM User *Guide*.

Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta [Autorizzazioni necessarie per le operazioni API di Amazon S3](using-with-s3-policy-actions.md).

## Policy basate sull'identità per Amazon S3
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Supporta le policy basate sull’identità:** sì

Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.

Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.

### Esempi di policy basate sull'identità per Amazon S3
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>

Per visualizzare esempi di policy basate sull'identità di Amazon S3, consulta [Policy basate sull'identità per Amazon S3](security_iam_id-based-policy-examples.md).

## Policy basate sulle risorse in Amazon S3
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Supporta le policy basate sulle risorse**: sì

Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS

Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.

Il servizio Amazon S3 supporta le *policy di bucket*, le *policy di punto di accesso* e le *concessioni di accesso*:
+ Le policy di bucket sono policy basate sulle risorse e collegate a un bucket Amazon S3. Una policy di bucket definisce quali sono i principali che possono eseguire azioni sul bucket.
+ Le policy dei punti di accesso sono policy basate sulle risorse che vengono valutate insieme alla policy di bucket sottostante.
+ I permessi di accesso sono un modello semplificato per definire le autorizzazioni di accesso ai dati in Amazon S3 per prefisso, bucket o oggetto. Per informazioni su S3 Access Grants, consulta [Gestione dell'accesso con S3 Access Grants](access-grants.md).

### Principali per le policy dei bucket
<a name="s3-bucket-user-policy-specifying-principal-intro"></a>

L'elemento `Principal` specifica l'utente, l'account, il servizio o un'altra entità a cui è consentito o negato l'accesso a una risorsa. Di seguito vengono illustrati alcuni esempi di specifica del `Principal`. Per ulteriori informazioni, consulta [Principali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) nella *Guida per l'utente di IAM*.

#### Concedi le autorizzazioni a un Account AWS
<a name="s3-aws-account-permissions"></a>

Per concedere le autorizzazioni a un utente Account AWS, identifica l'account utilizzando il seguente formato.

```
"AWS":"account-ARN"
```

Di seguito vengono mostrati gli esempi.

```
"Principal":{"AWS":"arn:aws:iam::AccountIDWithoutHyphens:root"}
```

```
"Principal":{"AWS":["arn:aws:iam::AccountID1WithoutHyphens:root","arn:aws:iam::AccountID2WithoutHyphens:root"]}
```

**Nota**  
Gli esempi precedenti forniscono le autorizzazioni all’utente root, che delega le autorizzazioni a livello di account. Tuttavia, le policy IAM sono ancora necessarie per i ruoli e gli utenti specifici dell’account.

#### Concessione delle autorizzazioni a un utente IAM
<a name="s3-aws-user-permissions"></a>

Per concedere l'autorizzazione a un utente IAM nel tuo account, devi fornire una coppia nome-valore `"AWS":"user-ARN"`.

```
"Principal":{"AWS":"arn:aws:iam::account-number-without-hyphens:user/username"}
```

Per esempi dettagliati che forniscono step-by-step istruzioni, vedere [Esempio 1: il proprietario del bucket concede agli utenti le autorizzazioni per il bucket](example-walkthroughs-managing-access-example1.md) e[Esempio 3: il proprietario del bucket concede autorizzazioni per gli oggetti che non sono di sua proprietà](example-walkthroughs-managing-access-example3.md).

**Nota**  
Se un'identità IAM viene eliminata dopo aver aggiornato la policy del bucket, la policy del bucket mostrerà un identificatore univoco nell'elemento principale anziché un ARN. Questi codici univoci non IDs vengono mai riutilizzati, quindi puoi rimuovere in sicurezza i principali con identificatori univoci da tutte le tue dichiarazioni politiche. Per ulteriori informazioni sugli identificatori unici, consulta [Identificatori IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-unique-ids) nella *Guida per l'utente di IAM*.

#### Concessione di autorizzazioni anonime
<a name="s3-anonymous-permissions"></a>

**avvertimento**  
Si deve prestare attenzione a concedere l'accesso anonimo al proprio bucket Amazon S3. Quando si concede l'accesso anonimo, si consente a qualsiasi persona al mondo di accedere al bucket. È consigliabile non concedere mai alcun tipo di accesso anonimo in scrittura al bucket S3.

Per assegnare l'autorizzazione a tutti, vale a dire l'accesso anonimo, è necessario impostare i caratteri jolly (`"*"`) come valore `Principal`. Ad esempio, se si configura un bucket come un sito Web, si vuole che tutti gli oggetti presenti nel bucket siano pubblicamente accessibili.

```
"Principal":"*"
```

```
"Principal":{"AWS":"*"}
```

L'utilizzo `"Principal": "*"` con `Allow` effetto in una policy basata sulle risorse consente a chiunque, anche se non ha effettuato l'accesso, di accedere alla AWS tua risorsa. 

L'utilizzo di `"Principal" : { "AWS" : "*" }` con un effetto `Allow` in una policy basata sulle risorse consente a qualsiasi utente root, utente IAM, sessione del ruolo assunto o utente federato in qualsiasi account nella stessa partizione di accedere alla tua risorsa.

Per gli utenti anonimi, questi due metodi sono equivalenti. Per ulteriori informazioni, consulta [Tutti i principali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-anonymous) nella *Guida per l'utente di IAM*.

Non è possibile utilizzare un carattere jolly per associare parte di un nome di un principale o di un ARN.

**Importante**  
Nelle politiche di controllo degli AWS accessi, i Principal «\$1» e \$1» «:AWS«\$1"\$1 si comportano in modo identico.

#### Limitazione delle autorizzazioni per le risorse
<a name="s3-restrict-permissions"></a>

Puoi anche utilizzare la policy delle risorse per limitare l'accesso a risorse che altrimenti sarebbero disponibili per i principali IAM. Usa un'istruzione `Deny` per impedire l'accesso.

L'esempio seguente blocca l'accesso se non viene utilizzato un protocollo di trasporto sicuro:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyBucketAccessIfSTPNotUsed",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      }
    }
  ]
}
```

------

Utilizzare il `"Principal": "*"` in modo che questa restrizione si applichi a tutti è una best practice, anziché tentare di negare l'accesso solo a account o principali specifici utilizzando questo metodo. 

#### Richiedi l'accesso tramite CloudFront URLs
<a name="require-cloudfront-urls"></a>

Puoi richiedere che gli utenti accedano ai tuoi contenuti Amazon S3 solo utilizzando CloudFront URLs invece di Amazon S3. URLs A tale scopo, crea un controllo di accesso all' CloudFront origine (OAC). Quindi, modifica le autorizzazioni sui dati S3. Nella tua policy bucket, puoi impostarla come Principal CloudFront come segue:

```
"Principal":{"Service":"cloudfront.amazonaws.com"}
```

Utilizza un `Condition` elemento della policy per consentire l'accesso CloudFront al bucket solo quando la richiesta è per conto della CloudFront distribuzione che contiene l'origine S3.

```
        "Condition": {
           "StringEquals": {
              "AWS:SourceArn": "arn:aws:cloudfront::111122223333:distribution/CloudFront-distribution-ID"
           }
        }
```

Per ulteriori informazioni su come richiedere l'accesso a S3 tramite CloudFront URLs, consulta [Limitazione dell'accesso a un'origine Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) nella *Amazon CloudFront Developer Guide*. Per ulteriori informazioni sui vantaggi in termini di sicurezza e privacy derivanti dall'utilizzo di Amazon CloudFront, consulta [Configurazione dell'accesso sicuro e limitazione dell'accesso ai contenuti](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecurityAndPrivateContent.html). 

### Esempi di policy basate sulle risorse per Amazon S3
<a name="security_iam_service-with-iam-resource-based-policies-examples"></a>
+ Per visualizzare esempi di policy per i bucket Amazon S3, consulta [Policy dei bucket per Amazon S3](bucket-policies.md).
+ Per visualizzare esempi di policy per i punti di accesso, consulta [Configurazione delle policy IAM per l'utilizzo degli access point](access-points-policies.md).

## Azioni di policy per Amazon S3
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Supporta le operazioni di policy:** si

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L’elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l’accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni di eseguire l’operazione associata.

Di seguito sono illustrati diversi tipi di relazione di mappatura tra le operazioni API S3 e le azioni di policy richieste.
+ One-to-one mappatura con lo stesso nome. Ad esempio, per utilizzare l'operazione API `PutBucketPolicy`, è necessaria l'azione di policy `s3:PutBucketPolicy`.
+ One-to-one mappatura con nomi diversi. Ad esempio, per utilizzare l'operazione API `ListObjectsV2`, è necessaria l'azione di policy `s3:ListBucket`.
+ One-to-many mappatura. Ad esempio, per utilizzare l'operazione API `HeadObject`, è necessaria l'operazione `s3:GetObject`. Inoltre, quando si utilizza S3 Object Lock e si desidera ottenere lo stato di conservazione legale di un oggetto o le impostazioni di conservazione, prima di poter utilizzare l'operazione API `HeadObject` sono necessarie anche le azioni di policy `s3:GetObjectLegalHold` o `s3:GetObjectRetention` corrispondenti.
+ Many-to-one mappatura. Ad esempio, per utilizzare le operazioni API `ListObjectsV2` o `HeadBucket`, è necessaria l'azione di policy `s3:ListBucket`.



Per visualizzare un elenco di azioni Amazon S3 da utilizzare nelle policy, consulta [Azioni definite da Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-actions-as-permissions) in *Riferimento alle autorizzazioni di servizio*. Per un elenco completo delle operazioni API di Amazon S3, consulta [Azioni API di Amazon S3](https://docs.aws.amazon.com//AmazonS3/latest/API/API_Operations.html) in *Riferimento API di Amazon Simple Storage Service*.

Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta [Autorizzazioni necessarie per le operazioni API di Amazon S3](using-with-s3-policy-actions.md).

Le azioni di policy in Amazon S3 utilizzano il seguente prefisso prima dell'azione:

```
s3
```

Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.

```
"Action": [
      "s3:action1",
      "s3:action2"
         ]
```





### Operazioni relative ai bucket
<a name="using-with-s3-actions-related-to-buckets"></a>

Le operazioni sui bucket sono operazioni API S3 che operano sul tipo di risorsa bucket. For example: `CreateBucket`, `ListObjectsV2` e `PutBucketPolicy`. Le azioni di policy S3 per le operazioni sui bucket richiedono che l'elemento `Resource` nelle policy sui bucket o nelle policy basate sull'identità IAM sia l'identificatore nome della risorsa Amazon (ARN) del tipo di bucket S3 nel seguente formato di esempio. 

```
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
```

La seguente policy di bucket concede all'utente `Akua` con l'account `12345678901` l'autorizzazione `s3:ListBucket` per eseguire l'operazione [https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutObject.html) e di elencare gli oggetti in un bucket S3.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow Akua to list objects in the bucket",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/Akua"
            },
            "Action": [
            "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
        }
    ]
}
```

------
<a name="bucket-operations-ap"></a>
**Operazioni su bucket nelle policy per i punti di accesso di bucket per uso generico**  
Le autorizzazioni fornite in un punto di accesso per una policy di bucket per uso generico sono efficaci solo se il bucket sottostante consente le stesse autorizzazioni. Quando si utilizzano i punti di accesso S3, è necessario delegare il controllo dell'accesso dal bucket al punto di accesso o aggiungere le stesse autorizzazioni nelle policy dei punti di accesso alle policy del bucket sottostante. Per ulteriori informazioni, consulta [Configurazione delle policy IAM per l'utilizzo degli access point](access-points-policies.md). Nelle policy dei punti di accesso, le azioni delle policy S3 per le operazioni sui bucket richiedono l'utilizzo dell'ARN del punto di accesso per l'elemento `Resource` nel seguente formato. 

```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point"
```

La seguente policy del punto di accesso concede all'utente `Akua` con l'account `12345678901` il permesso `s3:ListBucket` di eseguire l'operazione API [https://docs.aws.amazon.com//AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_ListObjectsV2.html) attraverso il punto di accesso S3 denominato `example-access-point`. Questo permesso consente a `Akua` di elencare gli oggetti nel bucket associato a `example-access-point`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAkuaToListObjectsInBucketThroughAccessPoint",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/Akua"
            },
            "Action": [
            "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:us-west-2:111122223333:accesspoint/example-access-point"
        }
    ]
}
```

------

**Nota**  
Non tutte le operazioni di bucket sono supportate dai punti di accesso di bucket per uso generico. Per ulteriori informazioni, consulta [Compatibilità dei punti di accesso con le operazioni S3](access-points-service-api-support.md#access-points-operations-support).
<a name="bucket-operations-ap-directory-buckets"></a>
**Operazioni su bucket nelle policy per i punti di accesso di bucket di directory**  
Le autorizzazioni fornite in un punto di accesso per una policy di bucket di directory sono efficaci solo se il bucket sottostante consente le stesse autorizzazioni. Quando si utilizzano i punti di accesso S3, è necessario delegare il controllo dell'accesso dal bucket al punto di accesso o aggiungere le stesse autorizzazioni nelle policy dei punti di accesso alle policy del bucket sottostante. Per ulteriori informazioni, consulta [Configurazione delle policy IAM per l’utilizzo dei punti di accesso per i bucket di directory](access-points-directory-buckets-policies.md). Nelle policy dei punti di accesso, le azioni delle policy S3 per le operazioni sui bucket richiedono l'utilizzo dell'ARN del punto di accesso per l'elemento `Resource` nel seguente formato. 

```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3"
```

La seguente policy di punto di accesso fornisce all’utente `Akua` con l’account `12345678901` l’autorizzazione `s3:ListBucket` per eseguire l’operazione API [https://docs.aws.amazon.com//AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_ListObjectsV2.html) attraverso il punto di accesso denominato `example-access-point--usw2-az1--xa-s3`. Questo permesso consente a `Akua` di elencare gli oggetti nel bucket associato a `example-access-point--usw2-az1--xa-s3`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAkuaToListObjectsInTheBucketThroughAccessPoint",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/Akua"
            },
            "Action": [
            "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3express:us-east-1:111122223333:accesspoint/example-access-point-usw2-az1-xa-s3"
        }
    ]
}
```

------

**Nota**  
Non tutte le operazioni di bucket sono supportate dai punti di accesso di bucket di directory. Per ulteriori informazioni, consulta [Operazioni sugli oggetti per i punti di accesso di bucket di directory](access-points-directory-buckets-service-api-support.md).

### Operazioni con gli oggetti
<a name="using-with-s3-actions-related-to-objects"></a>

Le operazioni sugli oggetti sono operazioni API S3 che agiscono sul tipo di risorsa oggetto. For example: `GetObject`, `PutObject` e `DeleteObject`. Le azioni delle policy S3 per le operazioni sugli oggetti richiedono che l'elemento `Resource` nelle policy sia l'ARN dell'oggetto S3 nei seguenti formati di esempio. 

```
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
```

```
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/*"
```

**Nota**  
L'ARN dell'oggetto deve contenere una barra in avanti dopo il nome del bucket, come visto negli esempi precedenti.

La seguente policy del bucket concede all'utente `Akua` con l'account `12345678901` l'autorizzazione `s3:PutObject`. Questa autorizzazione consente a `Akua` di utilizzare l'operazione [https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutObject.html) per caricare oggetti nel bucket S3 denominato `amzn-s3-demo-bucket`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow Akua to upload objects",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/Akua"
            },
            "Action": [
            "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}
```

------
<a name="object-operations-ap"></a>
**Operazioni sugli oggetti nelle policy dei punti di accesso**  
Quando si utilizzano i punti di accesso S3 per controllare l'accesso alle operazioni sugli oggetti, è possibile utilizzare le policy dei punti di accesso. Quando si utilizzano le policy dei punti di accesso, le azioni delle policy S3 per le operazioni sugli oggetti richiedono l'utilizzo dell'ARN del punto di accesso per l'elemento `Resource` nel seguente formato: `arn:aws:s3:region:account-id:accesspoint/access-point-name/object/resource`. Per le operazioni sugli oggetti che utilizzano punti di accesso, è necessario includere il valore `/object/` dopo l'intero ARN del punto di accesso nell'elemento `Resource`. Ecco alcuni esempi.

```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point/object/*"
```

```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point/object/prefix/*"
```

La seguente policy del punto di accesso concede all'utente `Akua` con l'account `12345678901` l'autorizzazione `s3:GetObject`. Questa autorizzazione consente a `Akua` di eseguire l'operazione [https://docs.aws.amazon.com//AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_GetObject.html) attraverso il punto di accesso denominato `example-access-point` su tutti gli oggetti del bucket associato al punto di accesso. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow Akua to get objects through access point",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:user/Akua"
            },
            "Action": [
            "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-access-point/object/*"
        }
    ]
}
```

------

**Nota**  
Non tutte le operazioni sugli oggetti sono supportate dai punti di accesso. Per ulteriori informazioni, consulta [Compatibilità dei punti di accesso con le operazioni S3](access-points-service-api-support.md#access-points-operations-support).
<a name="object-operations-ap-directory-buckets"></a>
**Operazioni su oggetti nelle policy per i punti di accesso di bucket di directory**  
Quando si utilizzano i punti di accesso di bucket di directory per controllare l’accesso alle operazioni degli oggetti, è possibile utilizzare le policy di punti di accesso. Quando si utilizzano le policy dei punti di accesso, le azioni delle policy S3 per le operazioni sugli oggetti richiedono l'utilizzo dell'ARN del punto di accesso per l'elemento `Resource` nel seguente formato: `arn:aws:s3:region:account-id:accesspoint/access-point-name/object/resource`. Per le operazioni sugli oggetti che utilizzano punti di accesso, è necessario includere il valore `/object/` dopo l'intero ARN del punto di accesso nell'elemento `Resource`. Ecco alcuni esempi.

```
"Resource": "arn:aws:s3express:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3/object/*"
```

```
"Resource": "arn:aws:s3express:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3/object/prefix/*"
```

La seguente policy del punto di accesso concede all'utente `Akua` con l'account `12345678901` l'autorizzazione `s3:GetObject`. Questa autorizzazione consente a `Akua` di eseguire l'operazione [https://docs.aws.amazon.com//AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_GetObject.html) attraverso il punto di accesso denominato `example-access-point--usw2-az1--xa-s3` su tutti gli oggetti del bucket associato al punto di accesso. 

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "Allow Akua to get objects through access point",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::12345678901:user/Akua"
            },
            "Action": "s3express:CreateSession","s3:GetObject"
            "Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3/object/*"
        }
    ]
}
```

**Nota**  
Non tutte le operazioni di oggetti sono supportate dai punti di accesso di bucket di directory. Per ulteriori informazioni, consulta [Operazioni sugli oggetti per i punti di accesso di bucket di directory](access-points-directory-buckets-service-api-support.md).

### Operazioni sui punti di accesso di bucket per uso generico
<a name="using-with-s3-actions-related-to-accesspoint"></a>

Le operazioni sui punti di accesso sono operazioni API S3 che operano sul tipo di risorsa `accesspoint`. For example: `CreateAccessPoint`, `DeleteAccessPoint` e `GetAccessPointPolicy`. Le azioni delle policy S3 per le operazioni sui punti di accesso possono essere utilizzate solo nelle policy IAM basate sull'identità, non nelle policy di bucket o punti di accesso. Le operazioni sui punti di accesso richiedono che l'elemento `Resource` sia l'ARN del punto di accesso nel seguente formato di esempio. 

```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point"
```

La seguente policy IAM basata sull'identità concede all'indirizzo `s3:GetAccessPointPolicy` il permesso di eseguire l'operazione [https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetAccessPointPolicy.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetAccessPointPolicy.html) sul punto di accesso S3 denominato `example-access-point`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "GrantPermissionToRetrieveTheAccessPointPolicyOfAccessPointExampleAccessPoint",
            "Effect": "Allow",
            "Action": [
            "s3:GetAccessPointPolicy"
            ],
            "Resource": "arn:aws:s3:*:123456789012:accesspoint/example-access-point"
        }
    ]
}
```

------

Quando si usano i punti di accesso, per controllare l'accesso alle operazioni sui bucket, consulta [Operazioni su bucket nelle policy per i punti di accesso di bucket per uso generico](#bucket-operations-ap); per controllare l'accesso alle operazioni sugli oggetti, consulta [Operazioni sugli oggetti nelle policy dei punti di accesso](#object-operations-ap). Per ulteriori informazioni su come configurare le policy dei punti di accesso, consulta [Configurazione delle policy IAM per l'utilizzo degli access point](access-points-policies.md).

### Operazioni sui punti di accesso di bucket di directory
<a name="using-with-s3-actions-related-to-accesspoint-directory-buckets"></a>

Le operazioni sui punti di accesso di bucket di directory sono operazioni API S3 che operano sul tipo di risorsa `accesspoint`. For example: `CreateAccessPoint`, `DeleteAccessPoint` e `GetAccessPointPolicy`. Le azioni delle policy S3 per le operazioni sui punti di accesso possono essere utilizzate solo nelle policy IAM basate sull'identità, non nelle policy di bucket o punti di accesso. Le operazioni sui punti di accesso di bucket di directory richiedono che l’elemento `Resource` sia l’ARN del punto di accesso nel seguente formato di esempio. 

```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3"
```

La seguente policy IAM basata su identità fornisce l’autorizzazione `s3express:GetAccessPointPolicy` per eseguire l’operazione API [https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetAccessPointPolicy.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetAccessPointPolicy.html) sul punto di accesso denominato `example-access-point--usw2-az1--xa-s3`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "GrantPermissionToRetrieveTheAccessPointPolicyOfAccessPointExampleAccessPointUsw2Az1XaS3",
            "Effect": "Allow",
            "Action": [
            "s3express:CreateSession","s3express:GetAccessPointPolicy"
            ],
            "Resource": "arn:aws:s3:*:111122223333:accesspoint/example-access-point"
        }
    ]
}
```

------

La seguente policy IAM basata su identità fornisce l’autorizzazione `s3express:CreateAccessPoint` per creare un punto di accesso di bucket di directory.

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "Grant CreateAccessPoint.",
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "s3express:CreateAccessPoint""Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

La seguente policy IAM basata su identità fornisce l’autorizzazione `s3express:PutAccessPointScope` per creare un ambito del punto di accesso di bucket di directory.

```
{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Sid": "Grant PutAccessPointScope",
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "s3express:CreateAccessPoint",
            "S3Express:PutAccessPointScope""Effect": "Allow",
            "Resource": "*",
        }
    ]
}
```

Quando si utilizzano i punti di accesso di bucket di directory per controllare l’accesso alle operazioni sui bucket, consulta [Operazioni su bucket nelle policy per i punti di accesso di bucket di directory](#bucket-operations-ap-directory-buckets) e per controllare l’accesso alle operazioni sugli oggetti, consulta [Operazioni su oggetti nelle policy per i punti di accesso di bucket di directory](#object-operations-ap-directory-buckets). Per ulteriori informazioni su come configurare le policy di punti di accesso di bucket di directory, consulta [Configurazione delle policy IAM per l’utilizzo dei punti di accesso per i bucket di directory](access-points-directory-buckets-policies.md).

### Operazioni sui punti di accesso Lambda per oggetti
<a name="using-with-s3-actions-related-to-olap"></a>

Con Lambda per oggetti Amazon S3, è possibile aggiungere il proprio codice alle richieste di Amazon S3 `GET`, `LIST` e `HEAD` per modificare ed elaborare i dati mentre vengono restituiti a un'applicazione. È possibile effettuare richieste attraverso un punto di accesso Lambda per oggetti, che funziona come le richieste attraverso altri punti di accesso. Per ulteriori informazioni, consulta [Trasformazione di oggetti con S3 Object Lambda](transforming-objects.md).

Per ulteriori informazioni su come configurare le policy per le operazioni sui punti di accesso Lambda per oggetti, consulta [Configurazione delle policy IAM per i punti di accesso Lambda per oggetti](olap-policies.md).

### Operazioni con punti di accesso multiregionali
<a name="using-with-s3-actions-related-to-mrap"></a>

Un punto di accesso multiregionale fornisce un endpoint globale che le applicazioni possono utilizzare per soddisfare le richieste dai bucket S3 situati in più Regione AWS. È possibile utilizzare un punto di accesso multiregionale per creare applicazioni multiregionali con la stessa architettura utilizzata in una singola Regione ed eseguirle in qualsiasi parte del mondo. Per ulteriori informazioni, consulta [Gestione del traffico multi-regione con punti di accesso multi-regione](MultiRegionAccessPoints.md).

Per ulteriori informazioni su come configurare le policy per le operazioni dei punti di accesso multiregionali, consulta [Esempi di policy dei punti di accesso multi-regione](MultiRegionAccessPointPermissions.md#MultiRegionAccessPointPolicyExamples).

### Operazioni di processo in batch
<a name="using-with-s3-actions-related-to-batchops"></a>

(Operazioni in batch) Le operazioni di processo sono operazioni API S3 che operano sul tipo di risorsa di processo, Ad esempio `DescribeJob` e `CreateJob`. Le azioni delle policy S3 per le operazioni di processo possono essere utilizzate solo nelle policy basate sull'identità IAM, non nelle policy dei bucket. Inoltre, le operazioni di processo richiedono che l'elemento `Resource` nelle policy basate sull'identità IAM sia l'ARN di `job` nel seguente formato di esempio. 

```
"Resource": "arn:aws:s3:*:123456789012:job/*"
```

La seguente policy basata sull'identità IAM concede l'`s3:DescribeJob`autorizzazione a eseguire l'operazione [DescribeJob](https://docs.aws.amazon.com//AmazonS3/latest/API/API_DescribeJob.html)API sul job S3 Batch Operations denominato. `example-job`

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowDescribingBatchOperationJob",
            "Effect": "Allow",
            "Action": [
            "s3:DescribeJob"
            ],
            "Resource": "arn:aws:s3:*:111122223333:job/example-job"
        }
    ]
}
```

------

### Operazioni di configurazione dell'Storage Lens S3
<a name="using-with-s3-actions-related-to-lens"></a>

Per ulteriori informazioni su come configurare le operazioni di configurazione di S3 Storage Lens, consulta [Impostazione delle autorizzazioni di Amazon S3 Storage Lens](storage_lens_iam_permissions.md).

### Operazioni sugli account
<a name="using-with-s3-actions-related-to-accounts"></a>

Le operazioni sugli account sono operazioni API S3 che operano a livello di account, ad esempio `GetPublicAccessBlock` (per account). L'account non è un tipo di risorsa definito da Amazon S3. Le azioni delle policy S3 per le operazioni sugli account possono essere utilizzate solo nelle policy basate sull'identità IAM, non nelle policy dei bucket. Inoltre, le operazioni sugli account richiedono che l'elemento `Resource` nelle policy IAM basate sull'identità sia `"*"`. 

La seguente policy IAM basata sull'identità concede all'indirizzo `s3:GetAccountPublicAccessBlock` l'autorizzazione a eseguire l'operazione API a livello di account e a recuperare le impostazioni del blocco di accesso pubblico a livello di account [https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetPublicAccessBlock.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetPublicAccessBlock.html) e recuperare le impostazioni del blocco di accesso pubblico a livello di account.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"AllowRetrievingTheAccountLevelPublicAccessBlockSettings",
         "Effect":"Allow",
         "Action":[
            "s3:GetAccountPublicAccessBlock" 
         ],
         "Resource":[
            "*"
         ]
       }
    ]
}
```

------

### Esempi di policy per Amazon S3
<a name="security_iam_service-with-policies-examples-actions"></a>
+ Per visualizzare esempi di policy basate sull'identità di Amazon S3, consulta [Policy basate sull'identità per Amazon S3](security_iam_id-based-policy-examples.md).
+ Per visualizzare esempi di policy basate sulle risorse di Amazon S3, consulta [Policy dei bucket per Amazon S3](bucket-policies.md) e [Configurazione delle policy IAM per l'utilizzo degli access point](access-points-policies.md).

## Risorse di policy per Amazon S3
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Supporta le risorse relative alle policy:** sì

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.

```
"Resource": "*"
```

Alcune azioni API di Amazon S3 supportano più risorse. Ad esempio, `s3:GetObject` accede a `example-resource-1` e `example-resource-2`, quindi un principale deve avere i permessi per accedere a entrambe le risorse. Per specificare più risorse in una singola istruzione, separale ARNs con virgole, come illustrato nell'esempio seguente. 

```
"Resource": [
      "example-resource-1",
      "example-resource-2"
```

Le risorse in Amazon S3 sono bucket, oggetti, punti di accesso o processi. In una policy, utilizzare il nome della risorsa Amazon (ARN) del bucket, dell'oggetto, del punto di accesso o del processo per identificare la risorsa.

*Per visualizzare un elenco completo dei tipi di risorse Amazon S3 e relativi ARNs, consulta [Resources defined by Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-resources-for-iam-policies) nel Service Authorization Reference.* Per sapere con quali azioni è possibile specificare l'ARN di ogni risorsa, consulta [Azioni definite da Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-actions-as-permissions).

Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta [Autorizzazioni necessarie per le operazioni API di Amazon S3](using-with-s3-policy-actions.md).

### Caratteri jolly nella risorsa ARNs
<a name="s3-arn-wildcards"></a>

È possibile utilizzare caratteri jolly come parte dell'ARN della risorsa. È possibile utilizzare i caratteri jolly (`*` e `?`) all'interno di qualsiasi segmento ARN (le parti separate dai due punti). Un asterisco (`*`) rappresenta qualsiasi combinazione di zero o più caratteri, mentre un punto interrogativo (`?`) rappresenta qualsiasi singolo carattere. È possibile utilizzare più caratteri `*` o `?` in ogni segmento. Tuttavia, un carattere jolly non può essere esteso a più segmenti. 
+ Il seguente ARN utilizza il carattere jolly `*` nella parte `relative-ID` dell'ARN per identificare tutti gli oggetti nel bucket `amzn-s3-demo-bucket`.

  ```
  1. arn:aws:s3:::amzn-s3-demo-bucket/*
  ```
+ Il seguente ARN utilizza `*` per indicare tutti i bucket e gli oggetti S3.

  ```
  arn:aws:s3:::*
  ```
+ Il seguente ARN utilizza entrambi i caratteri jolly, `*` e `?`, nella parte `relative-ID`. Questo ARN identifica tutti gli oggetti in bucket come *`amzn-s3-demo-example1bucket`*, `amzn-s3-demo-example2bucket`, `amzn-s3-demo-example3bucket`, e così via.

  ```
  1. arn:aws:s3:::amzn-s3-demo-example?bucket/*
  ```

### Variabili politiche per la risorsa ARNs
<a name="s3-policy-variables"></a>

È possibile utilizzare variabili di policy in Amazon S3 ARNs. Al momento della valutazione della policy, queste variabili predefinite vengono sostituite dai valori corrispondenti. Supponiamo di organizzare il bucket come una raccolta di cartelle, con una cartella per ogni utente. Il nome della cartella è lo stesso del nome utente. Per assegnare agli utenti le autorizzazioni per le rispettive cartelle, è possibile specificare la variabile di policy nell'ARN della risorsa:

```
arn:aws:s3:::bucket_name/developers/${aws:username}/
```

In fase di esecuzione, quando la policy viene valutata, la variabile `${aws:username}` nell'ARN della risorsa viene sostituita con il nome utente della persona che sta effettuando la richiesta. 





### Esempi di policy per Amazon S3
<a name="security_iam_service-with-policies-examples-resources"></a>
+ Per visualizzare esempi di policy basate sull'identità di Amazon S3, consulta [Policy basate sull'identità per Amazon S3](security_iam_id-based-policy-examples.md).
+ Per visualizzare esempi di policy basate sulle risorse di Amazon S3, consulta [Policy dei bucket per Amazon S3](bucket-policies.md) e [Configurazione delle policy IAM per l'utilizzo degli access point](access-points-policies.md).

## Chiavi di condizione per Amazon S3
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.

Ciascuna chiave di condizione di Amazon S3 corrisponde all'intestazione della richiesta con lo stesso nome consentito dall'API su cui può essere impostata la condizione. Le chiavi di condizione specifiche di Amazon S3 determinano il comportamento delle intestazioni di richiesta con lo stesso nome. Ad esempio, la chiave di condizione `s3:VersionId` usata per concedere l'autorizzazione condizionale per l'autorizzazione `s3:GetObjectVersion` definisce il comportamento del parametro di query `versionId` impostato in una richiesta GET Object.

Per un elenco delle chiavi di condizione di Amazon S3, consulta [Chiavi di condizione per Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys) in *Riferimento alle autorizzazioni di servizio*. Per sapere con quali azioni e risorse è possibile utilizzare una chiave di condizione, consulta [Azioni definite da Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-actions-as-permissions).

### Esempio: limitazione del caricamento di oggetti a oggetti con una classe di storage specifica
<a name="example-storage-class-condition-key"></a>

Si supponga che il conto A, rappresentato dall'ID dell'account `123456789012`, possieda un bucket. L’amministratore dell’account A vuole limitare *`Dave`*, un utente dell’account A, in modo che *`Dave`* possa caricare oggetti nel bucket solo se l’oggetto è archiviato nella classe di archiviazione `STANDARD_IA`. Per limitare il caricamento di oggetti con una classe di storage specifica, l'amministratore dell'Account A può utilizzare la chiave di condizione `s3:x-amz-storage-class`, come illustrato nella policy di bucket di esempio seguente. 

------
#### [ JSON ]

****  

```
{
                 "Version":"2012-10-17",		 	 	 
                 "Statement": [
                   {
                     "Sid": "statement1",
                     "Effect": "Allow",
                     "Principal": {
                       "AWS": "arn:aws:iam::123456789012:user/Dave"
                     },
                     "Action": "s3:PutObject",
                     "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                     "Condition": {
                       "StringEquals": {
                         "s3:x-amz-storage-class": [
                           "STANDARD_IA"
                         ]
                       }
                     }
                   }
                 ]
            }
```

------

Nell'esempio, il blocco `Condition` specifica la condizione `StringEquals` che viene applicata alla coppia chiave-valore `"s3:x-amz-acl":["public-read"]`. Esiste un insieme predefinito di chiavi che possono essere utilizzate nell'espressione di una condizione. L'esempio utilizza la chiave di condizione `s3:x-amz-acl`. Questa condizione richiede che l'utente includa l'intestazione `x-amz-acl` con il valore `public-read` in ogni richiesta `PutObject`.

### Esempi di policy per Amazon S3
<a name="security_iam_service-with-policies-examples-conditions"></a>
+ Per visualizzare esempi di policy basate sull'identità di Amazon S3, consulta [Policy basate sull'identità per Amazon S3](security_iam_id-based-policy-examples.md).
+ Per visualizzare esempi di policy basate sulle risorse di Amazon S3, consulta [Policy dei bucket per Amazon S3](bucket-policies.md) e [Configurazione delle policy IAM per l'utilizzo degli access point](access-points-policies.md).

## ACLs in Amazon S3
<a name="security_iam_service-with-iam-acls"></a>

**Supporti ACLs: Sì**

In Amazon S3, gli elenchi di controllo degli accessi (ACLs) controllano quali Account AWS sono i permessi per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato di documento relativo alle policy JSON.

**Importante**  
La maggior parte dei casi d'uso moderni in Amazon S3 non richiede più l'uso di. ACLs 

Per informazioni sull'utilizzo per ACLs controllare l'accesso in Amazon S3, consulta. [Gestire l'accesso con ACLs](acls.md)

## ABAC con Amazon S3
<a name="security_iam_service-with-iam-tags"></a>

**Supporta ABAC (tag nelle policy):** parzialmente

Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.

Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.

Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.

Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.

Per informazioni sulle risorse che supportano ABAC in Amazon S3, consulta [Utilizzo dei tag per il controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-abac).

Per visualizzare esempi di policy basate sull'identità per limitare l'accesso ai processi di Operazioni in batch S3 in base ai tag, consulta [Controllo delle autorizzazioni per le operazioni in batch utilizzando i tag di processo](batch-ops-job-tags-examples.md).

### ABAC e tag degli oggetti
<a name="s3-object-tags"></a>

Nelle policy ABAC, gli oggetti utilizzano i tag `s3:` invece dei tag `aws:`. Per controllare l'accesso agli oggetti in base ai tag degli oggetti, si forniscono informazioni sui tag nell'[elemento Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando i seguenti tag:
+ `s3:ExistingObjectTag/tag-key`
+ `s3:RequestObjectTagKeys`
+ `s3:RequestObjectTag/tag-key`

Per informazioni sull'uso dei tag degli oggetti per controllare l'accesso, comprese le policy di autorizzazione di esempio, consulta [Tagging e policy di controllo degli accessi](tagging-and-policies.md).

## Utilizzo di credenziali temporanee con Amazon S3
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Supporta le credenziali temporanee:** sì

Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.

## Sessioni di accesso in avanti per Amazon S3
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Supporta l’inoltro delle sessioni di accesso (FAS):** sì

 Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale che chiama e, in combinazione con la richiesta Servizio AWS, Servizio AWS per effettuare richieste ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 
+ FAS viene utilizzato da Amazon S3 per effettuare chiamate AWS KMS per decrittografare un oggetto quando SSE-KMS è stato utilizzato per crittografarlo. Per ulteriori informazioni, consulta [Utilizzo della crittografia lato server con chiavi (SSE-KMS) AWS KMS](UsingKMSEncryption.md). 
+ Anche S3 Access Grants utilizza il FAS. Dopo aver creato una concessione di accesso ai dati S3 per una particolare identità, il beneficiario della concessione richiede una credenziale temporanea a S3 Access Grants. S3 Access Grants ottiene una credenziale temporanea per il richiedente e la fornisce al richiedente. AWS STS Per ulteriori informazioni, consulta [Richiedi l'accesso ai dati di Amazon S3 tramite S3 Access Grants](access-grants-credentials.md).

## Ruoli di servizio per Amazon S3
<a name="security_iam_service-with-iam-roles-service"></a>

**Supporta i ruoli di servizio:** sì

 Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta la sezione [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*. 

**avvertimento**  
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità di Amazon S3. Modifica i ruoli di servizio solo quando Amazon S3 fornisce indicazioni in tal senso.

## Ruoli collegati al servizio per Amazon S3
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Supporta i ruoli legati ai servizi:** Parziale

 Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle. 

Amazon S3 supporta i ruoli collegati ai servizi per Amazon S3 Storage Lens. Per informazioni dettagliate sulla creazione o sulla gestione dei ruoli legati al servizio Amazon S3, consulta [Utilizzo dei ruoli collegati ai servizi per Amazon S3 Storage Lens](using-service-linked-roles.md).

**Servizio Amazon S3 come principale**


| Nome del servizio nella policy | Funzione S3 | Ulteriori informazioni | 
| --- | --- | --- | 
|  `s3.amazonaws.com`  |  Replica di Amazon S3  |  [Panoramica della configurazione della replica in tempo reale](replication-how-setup.md)  | 
|  `s3.amazonaws.com`  |  Notifiche di eventi S3  |  [Notifiche di eventi Amazon S3](EventNotifications.md)  | 
|  `s3.amazonaws.com`  |  Inventario S3  |  [Catalogazione e analisi dei dati con Inventario S3](storage-inventory.md)  | 
|  `access-grants.s3.amazonaws.com`  |  Sovvenzioni di accesso S3  |  [Registrazione di una posizione](access-grants-location-register.md)  | 
|  `batchoperations.s3.amazonaws.com`  |  Operazioni in batch S3  |  [Concessione di autorizzazioni per le operazioni in batch](batch-ops-iam-role-policies.md)  | 
|  `logging.s3.amazonaws.com`  |  S3 Server Access Logging  |  [Abilitazione della registrazione degli accessi al server Amazon S3](enable-server-access-logging.md)  | 
|  `storage-lens.s3.amazonaws.com`  |  S3 Storage Lens  |  [Visualizzazione dei parametri di Amazon S3 Storage Lens utilizzando una esportazione di dati](storage_lens_view_metrics_export.md)  | 

# In che modo Amazon S3 autorizza una richiesta
<a name="how-s3-evaluates-access-control"></a>

Quando Amazon S3 riceve una richiesta, ad esempio un'operazione su un bucket o su un oggetto, verifica innanzitutto che il richiedente disponga delle autorizzazioni necessarie. Amazon S3 valuta tutte le policy di accesso pertinenti, le policy utente e le policy basate sulle risorse (policy del bucket, lista di controllo degli accessi (ACL) del bucket e lista ACL dell'oggetto) per decidere se autorizzare la richiesta. 

**Nota**  
Se il controllo delle autorizzazioni di Amazon S3 non trova autorizzazioni valide, viene restituito un errore di autorizzazione negata Accesso negato (403 Non consentito). Per ulteriori informazioni, consulta [Risoluzione dei problemi relativi agli errori di accesso negato (403 Accesso negato) in Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/troubleshoot-403-errors.html).

Per determinare se il richiedente ha il permesso di eseguire un'operazione specifica, Amazon S3 esegue le seguenti operazioni, in ordine, quando riceve una richiesta:

1. Converte tutte le politiche di accesso pertinenti (policy utente, bucket policy e ACLs) in fase di esecuzione in una serie di politiche per la valutazione.

1. Valuta l'insieme di policy risultante nelle fasi successive. In ciascuna fase, Amazon S3 valuta un sottoinsieme di policy in un contesto specifico, in base all'autorità del contesto. 

   1. **Contesto dell'utente** – Nel contesto dell'utente l'account padre a cui l'utente appartiene è l'autorità del contesto.

      Amazon S3 valuta un sottoinsieme di policy di proprietà dell'account padre. Questo sottoinsieme include la policy utente che l'account padre ha associato all'utente. Se il padre possiede anche la risorsa nella richiesta (bucket o oggetto), Amazon S3 valuta anche le policy delle risorse corrispondenti (policy del bucket, ACL del bucket e ACL dell'oggetto) allo stesso tempo. 

      Per eseguire l'operazione, un utente deve essere autorizzato da un account padre.

      Questa fase si applica solo se la richiesta viene eseguita da un utente in un Account AWS. Se la richiesta viene effettuata utilizzando le credenziali utente root di un Account AWS, Amazon S3 salta questo passaggio.

   1. **Contesto del bucket**: nel contesto del bucket, Amazon S3 valuta le politiche di proprietà del proprietario Account AWS del bucket. 

      Se la richiesta riguarda un'operazione su un bucket, il richiedente deve essere disporre dell'autorizzazione concessa dal proprietario del bucket. Se la richiesta riguarda un oggetto, Amazon S3 valuta tutte le policy appartenenti al proprietario del bucket per verificare che quest'ultimo non abbia negato in modo esplicito l'accesso all'oggetto. Se è stato impostato un rifiuto esplicito, Amazon S3 non autorizza la richiesta. 

   1. **Contesto dell'oggetto** – Se la richiesta riguarda un oggetto, Amazon S3 valuta il sottoinsieme di policy che appartengono al proprietario dell'oggetto. 

Di seguito sono riportati alcuni scenari di esempio che illustrano come Amazon S3 autorizza una richiesta.

**Example - Il richiedente è un principale IAM**  
Se il richiedente è un principale IAM, Amazon S3 deve determinare se il Account AWS genitore a cui appartiene il principale ha concesso l'autorizzazione principale necessaria per eseguire l'operazione. Inoltre, se la richiesta riguarda un'operazione su un bucket, ad esempio una richiesta per elencare il contenuto del bucket, Amazon S3 deve verificare che il proprietario del bucket abbia concesso al richiedente l'autorizzazione per eseguire l'operazione. Per eseguire un'operazione specifica su una risorsa, un principale IAM necessita dell'autorizzazione sia del genitore Account AWS a cui appartiene Account AWS sia del proprietario della risorsa.

 

**Example - Il richiedente è un principale IAM - Se la richiesta è per un'operazione su un oggetto che non è di proprietà del proprietario del bucket**  
Se la richiesta è per un'operazione su un oggetto che non è di proprietà del proprietario del bucket, oltre ad assicurarsi che il richiedente abbia i permessi del proprietario dell'oggetto, Amazon S3 deve anche controllare la policy del bucket per assicurarsi che il proprietario del bucket non abbia impostato un rifiuto esplicito sull'oggetto. Il proprietario del bucket (che paga la fattura) può negare in modo esplicito l'accesso agli oggetti nel bucket, indipendentemente dall'utente a cui appartiene. Il proprietario del bucket può anche eliminare tutti gli oggetti nel bucket.  
Per impostazione predefinita, quando un altro Account AWS carica un oggetto nel tuo bucket generico S3, quell'account (lo scrittore dell'oggetto) possiede l'oggetto, ha accesso ad esso e può concedere ad altri utenti l'accesso ad esso tramite le liste di controllo degli accessi (). ACLs Puoi utilizzare Object Ownership per modificare questo comportamento predefinito in modo che sia ACLs disabilitato e tu, in qualità di proprietario del bucket, possiedi automaticamente ogni oggetto nel tuo bucket generico. Di conseguenza, il controllo degli accessi ai dati si basa su policy come le policy degli utenti IAM, le policy dei bucket S3, le policy degli endpoint del cloud privato virtuale (VPC) e le policy di controllo dei AWS Organizations servizi (). SCPs Per ulteriori informazioni, consulta [Controllo della proprietà degli oggetti e disattivazione ACLs del bucket](about-object-ownership.md).

Per ulteriori informazioni su come Amazon S3 valuta le policy di accesso per autorizzare o negare le richieste di operazioni su bucket e oggetti, consulta i seguenti argomenti:

**Topics**
+ [

# In che modo Amazon S3 autorizza una richiesta per un'operazione su un bucket
](access-control-auth-workflow-bucket-operation.md)
+ [

# In che modo Amazon S3 autorizza una richiesta per un'operazione su un oggetto
](access-control-auth-workflow-object-operation.md)

# In che modo Amazon S3 autorizza una richiesta per un'operazione su un bucket
<a name="access-control-auth-workflow-bucket-operation"></a>

Quando Amazon S3 riceve una richiesta per un'operazione su un bucket, Amazon S3 converte tutte le autorizzazioni pertinenti in una serie di policy da valutare in fase di esecuzione. Le autorizzazioni pertinenti includono le autorizzazioni basate sulle risorse (ad esempio, le policy di bucket e le ACL dei bucket) e le policy utente se la richiesta proviene da un principale IAM. Amazon S3 valuta quindi l'insieme di policy risultanti in una serie di passaggi in base a un contesto specifico, quello dell'utente o quello del bucket: 

1. **Contesto utente**: se il richiedente è un principale IAM, il principale deve avere l'autorizzazione del genitore Account AWS a cui appartiene. In questa fase, Amazon S3 valuta un sottoinsieme di policy appartenenti all'account padre (denominato anche autorità del contesto). Questo sottoinsieme include la policy utente che l'account padre ha associato al principale. Se l'account padre è anche proprietario della risorsa nella richiesta (in questo caso, il bucket), Amazon S3 valuta, allo stesso tempo, anche le policy della risorsa (la policy del bucket e l'ACL del bucket) corrispondenti. Ogni volta che viene eseguita una richiesta per un'operazione su un bucket, i log degli accessi del server registrano l'ID canonico del richiedente. Per ulteriori informazioni, consulta [Registrazione delle richieste con registrazione dell'accesso al server](ServerLogs.md).

1. **Contesto del bucket** – Il richiedente deve disporre delle autorizzazioni concesse dal proprietario del bucket per eseguire un'operazione specifica sul bucket. In questa fase, Amazon S3 valuta un sottoinsieme di policy di proprietà del proprietario del Account AWS bucket. 

   Il proprietario del bucket può concedere l'autorizzazione utilizzando una policy del bucket o l'ACL del bucket. Se l'account Account AWS che possiede il bucket è anche l'account padre di un principale IAM, può configurare le autorizzazioni del bucket in una policy utente. 

 Di seguito è illustrato il grafico della valutazione basata sul contesto per un'operazione su un bucket. 

![\[Illustrazione che mostra la valutazione basata sul contesto per l'operazione del bucket.\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/images/AccessControlAuthorizationFlowBucketResource.png)


Negli esempi seguenti viene illustrata la logica di valutazione. 

## Esempio 1: operazione su un bucket richiesta dal proprietario del bucket
<a name="example1-policy-eval-logic"></a>

 In questo esempio, il proprietario del bucket invia una richiesta per un'operazione sul bucket utilizzando le credenziali dell'utente root dell' Account AWS. 

![\[Illustrazione che mostra un'operazione sul bucket richiesta dal proprietario del bucket.\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/images/example10-policy-eval-logic.png)


 Amazon S3 esegue la valutazione del contesto come indicato di seguito:

1.  Poiché la richiesta viene eseguita utilizzando le credenziali dell'utente root di un Account AWS, il contesto dell'utente non viene valutato.

1.  Nel contesto del bucket, Amazon S3 esamina la policy del bucket per determinare se il richiedente dispone dell'autorizzazione per eseguire l'operazione. Amazon S3 autorizza la richiesta. 

## Esempio 2: operazione del bucket richiesta da un utente Account AWS che non è il proprietario del bucket
<a name="example2-policy-eval-logic"></a>

In questo esempio, viene eseguita una richiesta utilizzando le credenziali dell'utente root dell' Account AWS 1111-1111-1111 per un'operazione sul bucket che appartiene all' Account AWS 2222-2222-2222. Nessun utente IAM è coinvolto in questa richiesta.

![\[Illustrazione che mostra un'operazione sul bucket richiesta da un Account AWS che non è il proprietario del bucket.\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/images/example20-policy-eval-logic.png)


In questo esempio, Amazon S3 valuta il contesto come segue:

1. Poiché la richiesta viene effettuata utilizzando le credenziali dell'utente root di an Account AWS, il contesto utente non viene valutato.

1. Nel contesto del bucket, Amazon S3 esamina la policy del bucket. Se il proprietario del bucket (Account AWS 2222-2222-2222) non ha autorizzato Account AWS 1111-1111-1111 a eseguire l'operazione richiesta, Amazon S3 nega la richiesta. Altrimenti, Amazon S3 accetta la richiesta ed esegue l'operazione.

## Esempio 3: operazione bucket richiesta da un principale IAM il cui genitore è anche il proprietario del bucket Account AWS
<a name="example3-policy-eval-logic"></a>

 Nell'esempio, la richiesta viene inviata da Jill, un utente IAM nell' Account AWS 1111-1111-1111, che è anche il proprietario del bucket. 

![\[Illustrazione che mostra un'operazione sul bucket richiesta da un principale IAM e dal proprietario del bucket.\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/images/example30-policy-eval-logic.png)


 Amazon S3 esegue la seguente valutazione del contesto:

1.  Poiché la richiesta proviene da un responsabile IAM, nel contesto dell'utente, Amazon S3 valuta tutte le policy che appartengono al principale per determinare se Jill è autorizzata Account AWS a eseguire l'operazione. 

    In questo esempio, il genitore Account AWS 1111-1111-1111, a cui appartiene il principale, è anche il proprietario del bucket. Di conseguenza, oltre alla policy dell'utente, Amazon S3 valuta anche la policy del bucket e la ACL del bucket nello stesso contesto, poiché appartengono allo stesso account.

1. Poiché Amazon S3 ha valutato la policy del bucket e l'ACL del bucket come parte del contesto dell'utente, non valuta il contesto del bucket.

## Esempio 4: operazione del bucket richiesta da un principale IAM il cui genitore non è il proprietario del bucket Account AWS
<a name="example4-policy-eval-logic"></a>

In questo esempio, la richiesta viene inviata da Jill, un utente IAM il cui genitore Account AWS è 1111-1111-1111, ma il bucket è di proprietà di un altro utente, 2222-2222-2222. Account AWS

![\[Illustrazione che mostra un'operazione sul bucket richiesta da un principale IAM che non è il proprietario del bucket.\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/images/example40-policy-eval-logic.png)


Jill avrà bisogno delle autorizzazioni sia del genitore che del proprietario del bucket. Account AWS Amazon S3 valuta il contesto come indicato di seguito:

1. Poiché la richiesta proviene da un principale IAM, Amazon S3 valuta il contesto dell'utente esaminando le policy create dall'account per verificare che Jill disponga delle autorizzazioni necessarie. Se Jill ha l'autorizzazione, Amazon S3 passa a valutare il contesto del bucket. Se Jill non ha l'autorizzazione, nega la richiesta.

1.  Nel contesto del bucket, Amazon S3 verifica che il proprietario del bucket 2222-2222-2222 abbia concesso a Jill (o al suo genitore) l'autorizzazione a eseguire l'operazione richiesta. Account AWS Se dispone di tale autorizzazione, Amazon S3 concede la richiesta ed esegue l'operazione. In caso contrario, Amazon S3 rifiuta la richiesta. 

# In che modo Amazon S3 autorizza una richiesta per un'operazione su un oggetto
<a name="access-control-auth-workflow-object-operation"></a>

Quando riceve una richiesta per un'operazione su un oggetto, Amazon S3 converte tutte le autorizzazioni rilevanti, ovvero le autorizzazioni basate sulle risorse (lista di controllo accessi (ACL) dell'oggetto, policy del bucket e ACL del bucket) e le policy utente IAM, in un set di policy da valutare in fase di esecuzione. Valuta quindi l'insieme di policy risultante in una serie di fasi. In ogni fase, valuta un sottoinsieme di policy in tre contesti specifici: contesto dell'utente, contesto del bucket e contesto dell'oggetto:

1. **Contesto utente**: se il richiedente è un preside IAM, deve avere l'autorizzazione del genitore a cui appartiene. Account AWS In questa fase, Amazon S3 valuta un sottoinsieme di policy appartenenti all'account padre (denominato anche autorità del contesto). Questo sottoinsieme include la policy utente che l'account padre ha associato al principale. Se il padre possiede anche la risorsa nella richiesta (bucket o oggetto), Amazon S3 valuta le policy delle risorse corrispondenti (policy del bucket, ACL del bucket e ACL dell'oggetto) allo stesso tempo. 
**Nota**  
Se il genitore Account AWS possiede la risorsa (bucket o oggetto), può concedere le autorizzazioni relative alla risorsa al suo responsabile IAM utilizzando la politica utente o la politica delle risorse. 

1. **Contesto del bucket**: in questo contesto Amazon S3 valuta le policy che appartengono all' Account AWS proprietario del bucket.

   Se il Account AWS proprietario dell'oggetto nella richiesta non è lo stesso del proprietario del bucket, Amazon S3 verifica le politiche se il proprietario del bucket ha negato esplicitamente l'accesso all'oggetto. Se è stato impostato un rifiuto esplicito sull'oggetto, Amazon S3 non autorizza la richiesta. 

1. **Contesto dell'oggetto** – Il richiedente deve disporre delle autorizzazioni concesse dal proprietario dell'oggetto per eseguire un'operazione specifica sull'oggetto. In questa fase, Amazon S3 valuta l'ACL dell'oggetto. 
**Nota**  
Se il proprietario del bucket corrisponde a quello dell'oggetto, l'accesso all'oggetto può essere concesso nella policy del bucket, che viene valutata nel contesto del bucket. Se i proprietari sono differenti, il proprietario dell'oggetto devono utilizzare un'ACL dell'oggetto per concedere le autorizzazioni. Se il Account AWS proprietario dell'oggetto è anche l'account principale a cui appartiene il principale IAM, può configurare le autorizzazioni dell'oggetto in una politica utente, che viene valutata nel contesto dell'utente. Per ulteriori informazioni su come utilizzare queste policy di accesso alternative, consulta la sezione [Passaggi che utilizzano le policy per gestire l'accesso alle risorse Amazon S3](example-walkthroughs-managing-access.md).  
Se in qualità di proprietario del bucket desideri possedere tutti gli oggetti nel tuo bucket e utilizzare politiche del bucket o politiche basate sulla IAMto gestione dell'accesso a questi oggetti, puoi applicare l'impostazione applicata dal proprietario del bucket per Object Ownership. Con questa impostazione, in quanto proprietario del bucket possiedi automaticamente e hai il pieno controllo su ogni oggetto nel bucket. Il bucket e l'oggetto non ACLs possono essere modificati e non sono più considerati accessibili. Per ulteriori informazioni, consulta [Controllo della proprietà degli oggetti e disattivazione ACLs del bucket](about-object-ownership.md).

 Di seguito è riportata un'illustrazione della valutazione basata sul contesto per un'operazione su un oggetto.

![\[Illustrazione che mostra la valutazione basata sul contesto per un'operazione su un oggetto.\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/images/AccessControlAuthorizationFlowObjectResource.png)


## Esempio di richiesta di operazione su un oggetto
<a name="access-control-auth-workflow-object-operation-example1"></a>

In questo esempio, l'utente IAM Jill, il cui genitore Account AWS è 1111-1111-1111, invia una richiesta di operazione sull'oggetto (ad esempio,`GetObject`) per un oggetto di proprietà di Account AWS 3333-3333-3333 in un bucket di proprietà di 2222-2222-2222. Account AWS 

![\[Illustrazione che mostra una richiesta di operazione su un oggetto.\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/images/example50-policy-eval-logic.png)


Jill avrà bisogno dell'autorizzazione del genitore, del proprietario del bucket e del proprietario dell'oggetto. Account AWS Amazon S3 valuta il contesto come indicato di seguito:

1. Poiché la richiesta proviene da un principale IAM, Amazon S3 valuta il contesto dell'utente per verificare che il genitore Account AWS 1111-1111-1111 abbia concesso a Jill il permesso di eseguire l'operazione richiesta. Se Jill dispone di tale autorizzazione, Amazon S3 valuta il contesto del bucket. In caso contrario, Amazon S3 rifiuta la richiesta.

1. Nel contesto del bucket, il proprietario del bucket, 2222-2222-2222, è l'autorità del contesto. Account AWS Amazon S3 valuta la policy del bucket per determinare se il proprietario del bucket ha negato in modo esplicito l'accesso all'oggetto. 

1. Nel contesto dell'oggetto, l'autorità del contesto è l' Account AWS 3333-3333-3333, ovvero il proprietario dell'oggetto. Amazon S3 valuta l'ACL dell'oggetto per determinare se Jill dispone dell'autorizzazione per accedere all'oggetto. In caso affermativo, Amazon S3 autorizza la richiesta. 

# Autorizzazioni necessarie per le operazioni API di Amazon S3
<a name="using-with-s3-policy-actions"></a>

**Nota**  
Questa pagina riguarda le azioni delle policy di Amazon S3 per i bucket per uso generico. Per saperne di più sulle azioni delle policy di Amazon S3 per i bucket di directory, consulta [Azioni per i bucket della directory](s3-express-security-iam.md#s3-express-security-iam-actions).

Per eseguire un'operazione API S3, è necessario disporre delle giuste autorizzazioni. Questa pagina mappa le operazioni API S3 alle autorizzazioni richieste. Per concedere le autorizzazioni per l'esecuzione di un'operazione API S3, è necessario comporre una policy valida (come una policy S3 bucket o una policy IAM basata sull'identità) e specificare le azioni corrispondenti nell'elemento `Action` della policy. Queste azioni sono chiamate azioni policy. Non tutte le operazioni API S3 sono rappresentate da un singolo permesso (una singola azione di policy) e alcuni permessi (alcune azioni di policy) sono necessari per molte operazioni API diverse. 

Quando si compongono le policy, è necessario specificare l'elemento `Resource` in base al tipo di risorsa corretta richiesta dalle azioni della policy Amazon S3 corrispondente. Questa pagina classifica le autorizzazioni alle operazioni API S3 in base ai tipi di risorse. Per ulteriori informazioni sui tipi di risorse, consulta [Tipi di risorse definiti da Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-resources-for-iam-policies) in *Riferimento alle autorizzazioni di servizio*. Per un elenco completo delle azioni, delle risorse e delle chiavi di condizione per le policy di Amazon S3, consulta [Azioni, risorse e chiavi di condizione per Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) in *Riferimento alle autorizzazioni di servizio*. Per un elenco completo delle operazioni API di Amazon S3, consulta [Azioni API di Amazon S3](https://docs.aws.amazon.com//AmazonS3/latest/API/API_Operations.html) in *Riferimento API di Amazon Simple Storage Service*.

Per ulteriori informazioni su come correggere gli errori HTTP `403 Forbidden` in S3, consulta [Risoluzione dei problemi relativi agli errori di accesso negato (403 Forbidden) in Amazon S3](troubleshoot-403-errors.md). Per ulteriori informazioni sulle funzionalità IAM da utilizzare con S3, consulta [Come funziona Amazon S3 con IAM](security_iam_service-with-iam.md). Per ulteriori informazioni sulle best practice di sicurezza S3, consulta [Best practice di sicurezza per Amazon S3](security-best-practices.md). 

**Topics**
+ [

## Operazioni e autorizzazioni del bucket
](#using-with-s3-policy-actions-related-to-buckets)
+ [

## Operazioni e autorizzazioni degli oggetti
](#using-with-s3-policy-actions-related-to-objects)
+ [

## Operazioni sui punti di accesso di bucket per uso generico e autorizzazioni
](#using-with-s3-policy-actions-related-to-accesspoint)
+ [

## Operazioni e autorizzazioni del punto di accesso Lambda per oggetti
](#using-with-s3-policy-actions-related-to-olap)
+ [

## Operazioni e autorizzazioni dei punti di accesso multiregionali
](#using-with-s3-policy-actions-related-to-mrap)
+ [

## Operazioni e autorizzazioni per i processi batch
](#using-with-s3-policy-actions-related-to-batchops)
+ [

## Operazioni e autorizzazioni di configurazione di S3 Storage Lens
](#using-with-s3-policy-actions-related-to-lens)
+ [

## Operazioni e autorizzazioni dei gruppi S3 Storage Lens
](#using-with-s3-policy-actions-related-to-lens-groups)
+ [

## Operazioni sull’istanza S3 Access Grants e autorizzazioni
](#using-with-s3-policy-actions-related-to-s3ag-instances)
+ [

## Operazioni sulla posizione S3 Access Grants e autorizzazioni
](#using-with-s3-policy-actions-related-to-s3ag-locations)
+ [

## Operazioni sulla concessione S3 Access Grants e autorizzazioni
](#using-with-s3-policy-actions-related-to-s3ag-grants)
+ [

## Operazioni e autorizzazioni dell'account
](#using-with-s3-policy-actions-related-to-accounts)

## Operazioni e autorizzazioni del bucket
<a name="using-with-s3-policy-actions-related-to-buckets"></a>

Le operazioni sui bucket sono operazioni API S3 che operano sul tipo di risorsa bucket. È necessario specificare le azioni delle policy S3 per le operazioni sui bucket nelle policy sui bucket o nelle policy IAM basate sull'identità.

Nelle policy, l'elemento `Resource` deve essere il nome della risorsa Amazon (ARN) del bucket. Per ulteriori informazioni sul formato dell'elemento `Resource` e su esempi di policy, consulta [Operazioni relative ai bucket](security_iam_service-with-iam.md#using-with-s3-actions-related-to-buckets).

**Nota**  
Per concedere le autorizzazioni alle operazioni di bucket nelle policy dei punti di accesso, tieni presente quanto segue:  
Le autorizzazioni concesse per le operazioni sui bucket in una policy del punto di accesso sono efficaci solo se il bucket sottostante consente le stesse autorizzazioni. Quando si utilizza un punto di accesso, è necessario delegare il controllo dell'accesso dal bucket al punto di accesso o aggiungere le stesse autorizzazioni nella policy del punto di accesso alla policy del bucket sottostante.
Nelle policy dei punti di accesso che concedono autorizzazioni alle operazioni di bucket, l'elemento `Resource` deve essere l'ARN `accesspoint`. Per ulteriori informazioni sul formato dell'elemento `Resource` e su esempi di policy, consulta [Operazioni su bucket nelle policy per i punti di accesso di bucket per uso generico](security_iam_service-with-iam.md#bucket-operations-ap). Per ulteriori informazioni sulle policy dei punti di accesso, consulta [Configurazione delle policy IAM per l'utilizzo degli access point](access-points-policies.md). 
Non tutte le operazioni di bucket sono supportate dai punti di accesso. Per ulteriori informazioni, consulta [Compatibilità dei punti di accesso con le operazioni S3](access-points-service-api-support.md#access-points-operations-support).

Di seguito è riportata la mappatura delle operazioni sui bucket e delle azioni di policy richieste. 


| operazioni API | Azioni di policy | Descrizione delle azioni delle policy | 
| --- | --- | --- | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html)  |  (Obbligatorio) `s3:CreateBucket`  |  Richiesto per creare un nuovo bucket s3.  | 
|    |  (Obbligo condizionale) `s3:PutBucketAcl`  |  Necessario se si desidera utilizzare una lista di controllo degli accessi (ACL) per specificare le autorizzazioni su un bucket quando si effettua una richiesta `CreateBucket`.  | 
|    |  (Obbligo condizionale) `s3:PutBucketObjectLockConfiguration`, `s3:PutBucketVersioning`  |  Richiesto se si desidera attivare Object Lock quando si crea un bucket.  | 
|    |  (Obbligo condizionale) `s3:PutBucketOwnershipControls`  |  Richiesto se si desidera specificare la proprietà dell'oggetto S3 quando si crea un bucket.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataConfiguration.html) (operazione API V2, il nome dell’azione della policy IAM è uguale per le operazioni API V1 e V2).  |  (Obbligatorio)`s3:CreateBucketMetadataTableConfiguration`,,,,, `s3tables:CreateTableBucket` `s3tables:CreateNamespace` `s3tables:CreateTable` `s3tables:GetTable` `s3tables:PutTablePolicy` `s3tables:PutTableEncryption` `kms:DescribeKey`  |  Richiesto per creare la configurazione di una tabella di metadati su un bucket per uso generico.  Per creare il bucket di tabelle AWS gestito e le tabelle di metadati specificate nella configurazione della tabella di metadati, è necessario disporre delle autorizzazioni specificate. `s3tables` Per crittografare le tabelle dei metadati utilizzando la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS), sono necessarie autorizzazioni aggiuntive nella policy della chiave KMS. Per ulteriori informazioni, consulta [Impostazione delle autorizzazioni per la configurazione delle tabelle di metadati](metadata-tables-permissions.md). Se desideri integrare anche il tuo bucket di tabelle AWS gestite con i servizi di AWS analisi in modo da poter interrogare la tabella di metadati, hai bisogno di autorizzazioni aggiuntive. Per ulteriori informazioni, consulta [Integrazione delle tabelle Amazon S3 con i servizi di analisi di AWS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-tables-integrating-aws.html).  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataTableConfiguration.html) (operazione API V1)  |  (Obbligatorio) `s3:CreateBucketMetadataTableConfiguration`, `s3tables:CreateNamespace`, `s3tables:CreateTable`, `s3tables:GetTable`, `s3tables:PutTablePolicy`  |  Richiesto per creare la configurazione di una tabella di metadati su un bucket per uso generico.  Per creare la tabella dei metadati nel bucket della tabella specificato nella configurazione della tabella dei metadati, è necessario disporre dei permessi specificati in `s3tables`. Per crittografare le tabelle dei metadati utilizzando la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS), sono necessarie ulteriori autorizzazioni. Per ulteriori informazioni, consulta [Impostazione delle autorizzazioni per la configurazione delle tabelle di metadati](metadata-tables-permissions.md). Se desideri integrare anche il tuo table bucket con i servizi di AWS analisi in modo da poter interrogare la tabella dei metadati, hai bisogno di autorizzazioni aggiuntive. Per ulteriori informazioni, consulta [Integrazione delle tabelle Amazon S3 AWS con](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-tables-integrating-aws.html) i servizi di analisi.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html)  |  (Obbligatorio) `s3:DeleteBucket`  |  Richiesto per eliminare un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketAnalyticsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketAnalyticsConfiguration.html)  |  (Obbligatorio) `s3:PutAnalyticsConfiguration`  |  Richiesto per eliminare una configurazione analitica S3 da un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketCors.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketCors.html)  |  (Obbligatorio) `s3:PutBucketCORS`  |  Richiesto per eliminare la configurazione della condivisione delle risorse in origine incrociata (CORS) per un bucket.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html)  |  (Obbligatorio) `s3:PutEncryptionConfiguration`  |  Richiesto per reimpostare la configurazione di crittografia predefinita per un bucket S3 come crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3).  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketIntelligentTieringConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketIntelligentTieringConfiguration.html)  |  (Obbligatorio) `s3:PutIntelligentTieringConfiguration`  |  Necessario per eliminare la configurazione S3 Intelligent-Tiering esistente da un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketInventoryConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketInventoryConfiguration.html)  |  (Obbligatorio) `s3:PutInventoryConfiguration`  |  Richiesto per eliminare una configurazione dell'inventario S3 da un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketLifecycle.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketLifecycle.html)  |  (Obbligatorio) `s3:PutLifecycleConfiguration`  |  Richiesto per eliminare la configurazione del ciclo di vita S3 per un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html) (operazione API V2, il nome dell’azione della policy IAM è uguale per le operazioni API V1 e V2).  |  (Obbligatorio) `s3:DeleteBucketMetadataTableConfiguration`  |  Richiesto per eliminare la configurazione di una tabella di metadati da un bucket per uso generico.   | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html) (operazione API V1)  |  (Obbligatorio) `s3:DeleteBucketMetadataTableConfiguration`  |  Richiesto per eliminare la configurazione di una tabella di metadati da un bucket per uso generico.   | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetricsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetricsConfiguration.html)  |  (Obbligatorio) `s3:PutMetricsConfiguration`  |  Necessario per eliminare una configurazione dei parametri per i parametri di CloudWatch richiesta Amazon da un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketOwnershipControls.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketOwnershipControls.html)   |  (Obbligatorio) `s3:PutBucketOwnershipControls`  |  Richiesto per rimuovere l'impostazione della proprietà dell'oggetto per un bucket S3. Dopo la rimozione, l'impostazione Proprietà oggetto diventa `Object writer`.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)  |  (Obbligatorio) `s3:DeleteBucketPolicy`  |  Richiesto per eliminare la policy di un bucket S3.   | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketReplication.html)  |  (Obbligatorio) `s3:PutReplicationConfiguration`  |  Richiesto per eliminare la configurazione di replica di un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketTagging.html)  |  (Obbligatorio) `s3:PutBucketTagging`  |  Richiesto per eliminare i tag da un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketWebsite.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketWebsite.html)  |  (Obbligatorio) `s3:DeleteBucketWebsite`  |  Richiesto per rimuovere la configurazione del sito web per un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html) (a livello di bucket)  |  (Obbligatorio) `s3:PutBucketPublicAccessBlock`  |  Richiesto per rimuovere la configurazione di accesso pubblico a blocchi per un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAccelerateConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAccelerateConfiguration.html)  |  (Obbligatorio) `s3:GetAccelerateConfiguration`  |  Necessario per utilizzare la sotto-risorsa accelerate per restituire lo stato di Amazon S3 Transfer Acceleration di un bucket, che è Enabled o Suspended.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html)  |  (Obbligatorio) `s3:GetBucketAcl`  |  Richiesto per restituire la lista di controllo degli accessi (ACL) di un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAnalyticsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAnalyticsConfiguration.html)  |  (Obbligatorio) `s3:GetAnalyticsConfiguration`  |  Richiesto per restituire una configurazione di analisi identificata dall'ID della configurazione di analisi da un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html)  |  (Obbligatorio) `s3:GetBucketCORS`  |  Richiesto per restituire la configurazione della condivisione delle risorse in provenienza incrociata (CORS) per un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html)  |  (Obbligatorio) `s3:GetEncryptionConfiguration`  |  Richiesto per ripristinare la configurazione di crittografia predefinita per un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketIntelligentTieringConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketIntelligentTieringConfiguration.html)  |  (Obbligatorio) `s3:GetIntelligentTieringConfiguration`  |  Richiesto per ottenere la configurazione S3 Intelligent-Tiering di un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketInventoryConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketInventoryConfiguration.html)  |  (Obbligatorio) `s3:GetInventoryConfiguration`  |  Richiesto per restituire una configurazione d'inventario identificata dall'ID della configurazione d'inventario dal bucket.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLifecycle.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLifecycle.html)  |  (Obbligatorio) `s3:GetLifecycleConfiguration`  |  Richiesto per restituire la configurazione S3 Lifecycle del bucket.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html)  |  (Obbligatorio) `s3:GetBucketLocation`  |  Obbligatorio per restituire il file in Regione AWS cui risiede un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLogging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLogging.html)  |  (Obbligatorio) `s3:GetBucketLogging`  |  Richiesto per restituire lo stato di registrazione di un bucket S3 e le autorizzazioni che gli utenti hanno per visualizzare e modificare tale stato.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html) (operazione API V2, il nome dell’azione della policy IAM è uguale per le operazioni API V1 e V2).  |  (Obbligatorio) `s3:GetBucketMetadataTableConfiguration`  |  Richiesto per recuperare la configurazione di una tabella di metadati per un bucket per uso generico.   | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html) (operazione API V1)  |  (Obbligatorio) `s3:GetBucketMetadataTableConfiguration`  |  Richiesto per recuperare la configurazione di una tabella di metadati per un bucket per uso generico.   | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetricsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetricsConfiguration.html)  |  (Obbligatorio) `s3:GetMetricsConfiguration`  |  Richiesto per ottenere una configurazione di metriche specificata dall'ID della configurazione di metriche dal bucket.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html)  |  (Obbligatorio) `s3:GetBucketNotification`  |  Richiesto per restituire la configurazione di notifica di un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketOwnershipControls.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketOwnershipControls.html)  |  (Obbligatorio) `s3:GetBucketOwnershipControls`  |  Richiesto per recuperare l'impostazione della proprietà dell'oggetto per un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)  |  (Obbligatorio) `s3:GetBucketPolicy`  |  Richiesto per restituire la policy di un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicyStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicyStatus.html)  |  (Obbligatorio) `s3:GetBucketPolicyStatus`  |  Richiesto per recuperare lo stato delle policy per un bucket S3, che indica se il bucket è pubblico.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html)  |  (Obbligatorio) `s3:GetReplicationConfiguration`  |  Richiesto per restituire la configurazione di replica di un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketRequestPayment.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketRequestPayment.html)  |  (Obbligatorio) `s3:GetBucketRequestPayment`  |  Richiesto per restituire la configurazione del pagamento della richiesta per un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketVersioning.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketVersioning.html)  |  (Obbligatorio) `s3:GetBucketVersioning`  |  Richiesto per restituire lo stato di controllo delle versioni di un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketTagging.html)  |  (Obbligatorio) `s3:GetBucketTagging`  |  Richiesto per restituire il set di tag associato a un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketWebsite.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketWebsite.html)  |  (Obbligatorio) `s3:GetBucketWebsite`  |  Richiesto per restituire la configurazione del sito web per un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLockConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLockConfiguration.html)  |  (Obbligatorio) `s3:GetBucketObjectLockConfiguration`  |  Richiesto per ottenere la configurazione di Object Lock per un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html) (a livello di bucket)  |  (Obbligatorio) `s3:GetBucketPublicAccessBlock`  |  Richiesto per recuperare la configurazione di accesso pubblico ai blocchi per un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html)  |  (Obbligatorio) `s3:ListBucket`  |  Richiesto per determinare se un bucket esiste e se si ha il permesso di accedervi.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketAnalyticsConfigurations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketAnalyticsConfigurations.html)  |  (Obbligatorio) `s3:GetAnalyticsConfiguration`  |  Richiesto per elencare le configurazioni di analisi per un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketIntelligentTieringConfigurations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketIntelligentTieringConfigurations.html)  |  (Obbligatorio) `s3:GetIntelligentTieringConfiguration`  |  Richiesto per elencare le configurazioni S3 Intelligent-Tiering di un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketInventoryConfigurations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketInventoryConfigurations.html)  |  (Obbligatorio) `s3:GetInventoryConfiguration`  |  Richiesto per restituire un elenco di configurazioni di inventario per un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketMetricsConfigurations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketMetricsConfigurations.html)  |  (Obbligatorio) `s3:GetMetricsConfiguration`  |  Richiesto per elencare le configurazioni delle metriche per un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjects.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjects.html)  |  (Obbligatorio) `s3:ListBucket`  |  Richiesto per elencare alcuni o tutti (fino a 1.000) gli oggetti di un bucket S3.  | 
|    |  (Obbligo condizionale) `s3:GetObjectAcl`  |  Richiesto se si desidera visualizzare le informazioni sul proprietario dell'oggetto.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)  |  (Obbligatorio) `s3:ListBucket`  |  Richiesto per elencare alcuni o tutti (fino a 1.000) gli oggetti di un bucket S3.  | 
|    |  (Obbligo condizionale) `s3:GetObjectAcl`  |  Richiesto se si desidera visualizzare le informazioni sul proprietario dell'oggetto.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectVersions.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectVersions.html)  |  (Obbligatorio) `s3:ListBucketVersions`  |  Necessario per ottenere metadati su tutte le versioni degli oggetti in un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAccelerateConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAccelerateConfiguration.html)  |  (Obbligatorio) `s3:PutAccelerateConfiguration`  |  Richiesto per impostare la configurazione di accelerazione di un bucket esistente.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAcl.html)  |  (Obbligatorio) `s3:PutBucketAcl`  |  Necessario per utilizzare gli elenchi di controllo degli accessi (ACLs) per impostare le autorizzazioni su un bucket esistente.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAnalyticsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAnalyticsConfiguration.html)  |  (Obbligatorio) `s3:PutAnalyticsConfiguration`  |  Richiesto per impostare una configurazione analitica per un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketCors.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketCors.html)  |  (Obbligatorio) `s3:PutBucketCORS`  |  Richiesto per impostare la configurazione della condivisione delle risorse in provenienza incrociata (CORS) per un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html)  |  (Obbligatorio) `s3:PutEncryptionConfiguration`  |  Richiesto per configurare la crittografia predefinita per un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketIntelligentTieringConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketIntelligentTieringConfiguration.html)  |  (Obbligatorio) `s3:PutIntelligentTieringConfiguration`  |  Richiesto per inserire la configurazione S3 Intelligent-Tiering in un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketInventoryConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketInventoryConfiguration.html)  |  (Obbligatorio) `s3:PutInventoryConfiguration`  |  Richiesto per aggiungere una configurazione di inventario a un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLifecycle.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLifecycle.html)  |  (Obbligatorio) `s3:PutLifecycleConfiguration`  |  Richiesto per creare una nuova configurazione del ciclo di vita S3 o per sostituire una configurazione del ciclo di vita esistente per un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLogging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLogging.html)  |  (Obbligatorio) `s3:PutBucketLogging`  |  Necessario per impostare i parametri di registrazione per un bucket S3 e specificare le autorizzazioni per chi può visualizzare e modificare i parametri di registrazione.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketMetricsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketMetricsConfiguration.html)  |  (Obbligatorio) `s3:PutMetricsConfiguration`  |  Necessario per impostare o aggiornare una configurazione dei parametri per i parametri di CloudWatch richiesta Amazon di un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketNotificationConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketNotificationConfiguration.html)  |  (Obbligatorio) `s3:PutBucketNotification`  |  Necessario per abilitare le notifiche di eventi specifici per un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketOwnershipControls.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketOwnershipControls.html)  |  (Obbligatorio) `s3:PutBucketOwnershipControls`  |  Richiesto per creare o modificare l'impostazione della proprietà dell'oggetto per un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)  |  (Obbligatorio) `s3:PutBucketPolicy`  |  Richiesto per applicare una policy del bucket S3 a un bucket.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html)  |  (Obbligatorio) `s3:PutReplicationConfiguration`  |  Necessario per creare una nuova configurazione di replica o sostituirne una esistente per un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketRequestPayment.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketRequestPayment.html)  |  (Obbligatorio) `s3:PutBucketRequestPayment`  |  Richiesto per impostare la configurazione del pagamento della richiesta per un bucket.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketTagging.html)  |  (Obbligatorio) `s3:PutBucketTagging`  |  Richiesto per aggiungere una serie di tag a un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketVersioning.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketVersioning.html)  |  (Obbligatorio) `s3:PutBucketVersioning`  |  Richiesto per impostare lo stato di controllo delle versioni di un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketWebsite.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketWebsite.html)  |  (Obbligatorio) `s3:PutBucketWebsite`  |  Richiesto per configurare un bucket come sito web e impostare la configurazione del sito web.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLockConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLockConfiguration.html)  |  (Obbligatorio) `s3:PutBucketObjectLockConfiguration`  |  Richiesto per mettere la configurazione di Object Lock su un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html) (a livello di bucket)  |  (Obbligatorio) `s3:PutBucketPublicAccessBlock`  |  Richiesto per creare o modificare la configurazione di accesso pubblico a blocchi per un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataInventoryTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataInventoryTableConfiguration.html)  |  (Obbligatorio)`s3:UpdateBucketMetadataInventoryTableConfiguration`,,,`s3tables:CreateTableBucket`,,`s3tables:CreateNamespace`, `s3tables:CreateTable` `s3tables:GetTable` `s3tables:PutTablePolicy` `s3tables:PutTableEncryption` `kms:DescribeKey`  |  Richiesto per abilitare o disabilitare una tabella di inventario per una configurazione della tabella dei metadati su un bucket per uso generico. Per crittografare la tabella di inventario utilizzando la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS), sono necessarie ulteriori autorizzazioni nella policy della chiave KMS. Per ulteriori informazioni, consulta [Impostazione delle autorizzazioni per la configurazione delle tabelle di metadati](metadata-tables-permissions.md).  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataJournalTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataJournalTableConfiguration.html)  |  (Obbligatorio) `s3:UpdateBucketMetadataJournalTableConfiguration`  |  Richiesto per abilitare o disabilitare la scadenza dei record della tabella del diario per una configurazione della tabella dei metadati su un bucket per uso generico.  | 

## Operazioni e autorizzazioni degli oggetti
<a name="using-with-s3-policy-actions-related-to-objects"></a>

Le operazioni sugli oggetti sono operazioni API S3 che operano sul tipo di risorsa oggetto. È necessario specificare le azioni delle policy S3 per le operazioni sugli oggetti nelle policy basate sulle risorse (come le policy sui bucket, sui punti di accesso, sui punti di accesso multiregionali e sugli endpoint VPC) o nelle policy IAM basate sull'identità.

Nelle policy, l'elemento `Resource` deve essere l'ARN dell'oggetto. Per ulteriori informazioni sul formato dell'elemento `Resource` e su esempi di policy, consulta [Operazioni con gli oggetti](security_iam_service-with-iam.md#using-with-s3-actions-related-to-objects). 

**Nota**  
AWS KMS le azioni politiche (`kms:GenerateDataKey`e`kms:Decrypt`) sono applicabili solo per il tipo di AWS KMS risorsa e devono essere specificate nelle politiche basate sull'identità IAM e nelle politiche basate sulle AWS KMS risorse (politiche chiave).AWS KMS Non è possibile specificare azioni AWS KMS politiche nelle policy basate sulle risorse di S3, come le policy dei bucket S3.
Quando si utilizzano i punti di accesso per controllare l'accesso alle operazioni degli oggetti, è possibile utilizzare le policy dei punti di accesso. Per concedere le autorizzazioni alle operazioni sugli oggetti nelle policy dei punti di accesso, tieni presente quanto segue:  
Nelle politiche dei punti di accesso che concedono le autorizzazioni alle operazioni sugli oggetti, l'`Resource`elemento deve essere lo stesso ARNs per gli oggetti a cui si accede tramite un punto di accesso. Per ulteriori informazioni sul formato dell'elemento `Resource` e su esempi di policy, consulta [Operazioni sugli oggetti nelle policy dei punti di accesso](security_iam_service-with-iam.md#object-operations-ap).
Non tutte le operazioni sugli oggetti sono supportate dai punti di accesso. Per ulteriori informazioni, consulta [Compatibilità dei punti di accesso con le operazioni S3](access-points-service-api-support.md#access-points-operations-support).
Non tutte le operazioni sugli oggetti sono supportate dai punti di accesso multiregionali. Per ulteriori informazioni, consulta [Compatibilità dei punti di accesso multi-regione con le operazioni S3](MrapOperations.md#mrap-operations-support).

Di seguito è riportata la mappatura delle operazioni degli oggetti e delle azioni di policy richieste. 


| operazioni API | Azioni di policy | Descrizione delle azioni delle policy | 
| --- | --- | --- | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html)  |  (Obbligatorio) `s3:AbortMultipartUpload`  |  Richiesto per interrompere un caricamento multiparte.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)  |  (Obbligatorio) `s3:PutObject`  |  Richiesto per completare un caricamento multiparte.  | 
|    |  (Obbligo condizionale) `kms:Decrypt`  |  Obbligatorio se si desidera completare un caricamento in più parti per un oggetto crittografato con chiave gestita AWS KMS dal cliente.   | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)  |  Per l'oggetto di origine:  |  Per l'oggetto di origine:  | 
|    |  (Obbligatorio) `s3:GetObject` o `s3:GetObjectVersion`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|    |  (Obbligo condizionale) `kms:Decrypt`  |  Obbligatorio se si desidera copiare un oggetto crittografato con chiave gestita dal AWS KMS cliente dal bucket di origine.   | 
|    |  Per l'oggetto di destinazione:  |  Per l'oggetto di destinazione:  | 
|    |  (Obbligatorio) `s3:PutObject`  |  Richiesto per inserire l'oggetto copiato nel bucket di destinazione.  | 
|    |  (Obbligo condizionale) `s3:PutObjectAcl`  |  Necessario se si desidera inserire l'oggetto copiato con la lista di controllo degli accessi (ACL) dell'oggetto nel bucket di destinazione quando si effettua una richiesta `CopyObject`.  | 
|    |  (Obbligo condizionale) `s3:PutObjectTagging`  |  Richiesto se si vuole mettere l'oggetto copiato con il tagging dell'oggetto nel bucket di destinazione quando si fa una richiesta a `CopyObject`.  | 
|    |  (Obbligo condizionale) `kms:GenerateDataKey`  |  Obbligatorio se si desidera crittografare l'oggetto copiato con una chiave gestita AWS KMS dal cliente e inserirlo nel bucket di destinazione.   | 
|    |  (Obbligo condizionale) `s3:PutObjectRetention`  |  Richiesto se si desidera impostare una configurazione di conservazione Object Lock per il nuovo oggetto.  | 
|    |  (Obbligo condizionale) `s3:PutObjectLegalHold`  |  Richiesto se si desidera inserire un blocco legale Object Lock del nuovo oggetto.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)  |  (Obbligatorio) `s3:PutObject`  |  Richiesto per creare un caricamento multiparte.  | 
|    |  (Obbligo condizionale) `s3:PutObjectAcl`  |  Richiesto se si desidera impostare le autorizzazioni della lista di controllo degli accessi (ACL) per l'oggetto caricato.  | 
|    |  (Obbligo condizionale) `s3:PutObjectTagging`  |  Richiesto se si desidera aggiungere uno o più tag all'oggetto caricato.  | 
|    |  (Obbligo condizionale) `kms:GenerateDataKey`  |  Obbligatorio se si desidera utilizzare una chiave gestita AWS KMS dal cliente per crittografare un oggetto quando si avvia un caricamento in più parti.   | 
|    |  (Obbligo condizionale) `s3:PutObjectRetention`  |  Richiesto se si desidera impostare una configurazione di conservazione Object Lock per l'oggetto caricato.  | 
|    |  (Obbligo condizionale) `s3:PutObjectLegalHold`  |  Richiesto se si desidera applicare un blocco legale Object Lock all'oggetto caricato.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)  |  (Obbligatorio) `s3:DeleteObject` o `s3:DeleteObjectVersion`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|    |  (Obbligo condizionale) `s3:BypassGovernanceRetention`  |  Necessario se si desidera eliminare un oggetto protetto dalla modalità di governance per la conservazione Object Lock.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html)  |  (Obbligatorio) `s3:DeleteObject` o `s3:DeleteObjectVersion`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|    |  (Obbligo condizionale) `s3:BypassGovernanceRetention`  |  Necessario se si desidera eliminare gli oggetti protetti dalla modalità di governance per la conservazione Object Lock.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjectTagging.html)  |  (Obbligatorio) `s3:DeleteObjectTagging` o `s3:DeleteObjectVersionTagging`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)  |  (Obbligatorio) `s3:GetObject` o `s3:GetObjectVersion`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|    |  (Obbligo condizionale) `kms:Decrypt`  |  Obbligatorio se si desidera ottenere e decrittografare un oggetto crittografato con chiave gestita AWS KMS dal cliente.   | 
|    |  (Obbligo condizionale) `s3:GetObjectTagging`  |  Richiesto se si vuole ottenere il set di tag di un oggetto quando si fa una richiesta a `GetObject`.  | 
|    |  (Obbligo condizionale) `s3:GetObjectLegalHold`  |  Richiesto se si vuole ottenere lo stato attuale di blocco legale Object Lock di un oggetto.  | 
|    |  (Obbligo condizionale) `s3:GetObjectRetention`  |  Richiesto se si desidera recuperare le impostazioni di conservazione Object Lock per un oggetto.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html)  |  (Obbligatorio) `s3:GetObjectAcl` o `s3:GetObjectVersionAcl`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html)  |  (Obbligatorio) `s3:GetObject` o `s3:GetObjectVersion`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|    |  (Obbligo condizionale) `kms:Decrypt`  |  Obbligatorio se si desidera recuperare gli attributi relativi a un oggetto crittografato con chiave gestita AWS KMS dal cliente.   | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLegalHold.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLegalHold.html)  |  (Obbligatorio) `s3:GetObjectLegalHold`  |  Richiesto per ottenere lo stato attuale di blocco legale Object Lock di un oggetto.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectRetention.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectRetention.html)  |  (Obbligatorio) `s3:GetObjectRetention`  |  Richiesto per recuperare le impostazioni di conservazione Object Lock per un oggetto.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTagging.html)  |  (Obbligatorio) `s3:GetObjectTagging` o `s3:GetObjectVersionTagging`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTorrent.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTorrent.html)  |  (Obbligatorio) `s3:GetObject`  |  Richiesto per restituire i file torrent di un oggetto.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)  |  (Obbligatorio) `s3:GetObject`  |  Richiesto per recuperare i metadati da un oggetto senza restituire l'oggetto stesso.  | 
|    |  (Obbligo condizionale) `s3:GetObjectLegalHold`  |  Richiesto se si vuole ottenere lo stato attuale di blocco legale Object Lock di un oggetto.  | 
|    |  (Obbligo condizionale) `s3:GetObjectRetention`  |  Richiesto se si desidera recuperare le impostazioni di conservazione Object Lock per un oggetto.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html)  |  (Obbligatorio) `s3:ListBucketMultipartUploads`  |  Richiesto per elencare i caricamenti multiparte in corso in un bucket.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html)  |  (Obbligatorio) `s3:ListMultipartUploadParts`  |  Richiesto per elencare le parti che sono state caricate per uno specifico caricamento multiparte.  | 
|    |  (Obbligo condizionale) `kms:Decrypt`  |  Obbligatorio se desideri elencare parti di un caricamento multiparte con chiave crittografata gestita dal AWS KMS cliente.   | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)  |  (Obbligatorio) `s3:PutObject`  |  Richiesto per inserire un oggetto.  | 
|    |  (Obbligo condizionale) `s3:PutObjectAcl`  |  Richiesto se si desidera inserire la lista di controllo degli accessi (ACL) dell'oggetto quando si effettua una richiesta `PutObject`.  | 
|    |  (Obbligo condizionale) `s3:PutObjectTagging`  |  Richiesto se si vuole inserire l'etichetta dell'oggetto quando si fa una richiesta a `PutObject`.  | 
|    |  (Obbligo condizionale) `kms:GenerateDataKey`  |  Obbligatorio se si desidera crittografare un oggetto con una chiave gestita AWS KMS dal cliente.   | 
|    |  (Obbligo condizionale) `s3:PutObjectRetention`  |  Richiesto se si desidera impostare una configurazione di conservazione Object Lock per un oggetto.  | 
|    |  (Obbligo condizionale) `s3:PutObjectLegalHold`  |  Richiesto se si desidera applicare una configurazione di Blocco legale Object Lock a un oggetto specificato.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html)  |  (Obbligatorio) `s3:PutObjectAcl` o `s3:PutObjectVersionAcl`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html)  |  (Obbligatorio) `s3:PutObjectLegalHold`  |  Richiesto per applicare una configurazione di Blocco legale Object Lock a un oggetto.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html)  |  (Obbligatorio) `s3:PutObjectRetention`  |  Richiesto per applicare una configurazione di conservazione Object Lock per un oggetto.  | 
|    |  (Obbligo condizionale) `s3:BypassGovernanceRetention`  |  Necessario se si desidera bypassare la modalità di governance di una configurazione di conservazione Object Lock.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html)  |  (Obbligatorio) `s3:PutObjectTagging` o `s3:PutObjectVersionTagging`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_RestoreObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RestoreObject.html)  |  (Obbligatorio) `s3:RestoreObject`  |  Richiesto per ripristinare una copia di un oggetto archiviato.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_SelectObjectContent.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_SelectObjectContent.html)  |  (Obbligatorio) `s3:GetObject`  |  Richiesto per filtrare il contenuto di un oggetto S3 in base a una semplice istruzione SQL (Structured Query Language).  | 
|    |  (Obbligo condizionale) `kms:Decrypt`  |  Obbligatorio se desideri filtrare il contenuto di un oggetto S3 crittografato con una chiave gestita AWS KMS dal cliente.  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateObjectEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateObjectEncryption.html) | (Obbligatorio) `s3:UpdateObjectEncryption``s3:PutObject`,`kms:Encrypt`,,`kms:Decrypt`, `kms:GenerateDataKey` `kms:ReEncrypt*`  | Obbligatorio se desideri modificare gli oggetti crittografati tra crittografia lato server con crittografia gestita Amazon S3 (SSE-S3) e crittografia lato server con () chiavi di crittografia AWS Key Management Service (SSE-KMS).AWS KMS Puoi anche utilizzare l'`UpdateObjectEncryption`operazione per applicare S3 Bucket Keys per ridurre i costi delle AWS KMS richieste o modificare la chiave KMS gestita dal cliente utilizzata per crittografare i dati in modo da rispettare gli standard personalizzati di rotazione delle chiavi. | 
|    | (Obbligo condizionale) `organizations:DescribeAccount` | Se utilizzi l'operazione AWS Organizations, per utilizzare l'`UpdateObjectEncryption`operazione con chiavi KMS gestite dal cliente provenienti da altri membri dell'organizzazione, devi disporre dell'autorizzazione. Account AWS `organizations:DescribeAccount`   È inoltre necessario richiedere la possibilità di utilizzare gli account AWS KMS keys di proprietà di altri membri all'interno dell'organizzazione contattando. Supporto AWS   | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)  |  (Obbligatorio) `s3:PutObject`  |  Richiesto per caricare una parte in un caricamento multiparte.  | 
|    |  (Obbligo condizionale) `kms:GenerateDataKey`  |  Obbligatorio se desideri inserire una parte di caricamento e crittografarla con una chiave gestita AWS KMS dal cliente.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)  |  Per l'oggetto di origine:  |  Per l'oggetto di origine:  | 
|    |  (Obbligatorio) `s3:GetObject` o `s3:GetObjectVersion`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|    |  (Obbligo condizionale) `kms:Decrypt`  |  Obbligatorio se si desidera copiare un oggetto crittografato con chiave gestita dal AWS KMS cliente dal bucket di origine.   | 
|    |  Per la parte di destinazione:  |  Per la parte di destinazione:  | 
|    |  (Obbligatorio) `s3:PutObject`  |  Richiesto per caricare una parte di caricamento multiparte nel bucket di destinazione.  | 
|    |  (Obbligo condizionale) `kms:GenerateDataKey`  |  Obbligatorio se si desidera crittografare una parte con una chiave gestita AWS KMS dal cliente quando si carica la parte nel bucket di destinazione.   | 

## Operazioni sui punti di accesso di bucket per uso generico e autorizzazioni
<a name="using-with-s3-policy-actions-related-to-accesspoint"></a>

Le operazioni sui punti di accesso sono operazioni API S3 che operano sul tipo di risorsa `accesspoint`. È necessario specificare le azioni delle policy S3 per le operazioni dei punti di accesso nelle policy IAM basate sull'identità, non nelle policy dei bucket o dei punti di accesso.

Nelle policy, l'elemento `Resource` deve essere l'ARN `accesspoint`. Per ulteriori informazioni sul formato dell'elemento `Resource` e su esempi di policy, consulta [Operazioni sui punti di accesso di bucket per uso generico](security_iam_service-with-iam.md#using-with-s3-actions-related-to-accesspoint).

**Nota**  
Se desideri utilizzare i punti di accesso per controllare l'accesso alle operazioni sui bucket o sugli oggetti, tieni presente quanto segue:  
Per l'utilizzo dei punti di accesso per controllare l'accesso alle operazioni del bucket, consulta [Operazioni su bucket nelle policy per i punti di accesso di bucket per uso generico](security_iam_service-with-iam.md#bucket-operations-ap).
Per l'utilizzo dei punti di accesso per controllare l'accesso alle operazioni sugli oggetti, consulta [Operazioni sugli oggetti nelle policy dei punti di accesso](security_iam_service-with-iam.md#object-operations-ap).
Per ulteriori informazioni su come configurare le policy dei punti di accesso, consulta [Configurazione delle policy IAM per l'utilizzo degli access point](access-points-policies.md).

Di seguito è riportata la mappatura delle operazioni dei punti di accesso e delle azioni di policy richieste. 


| operazioni API | Azioni di policy | Descrizione delle azioni delle policy | 
| --- | --- | --- | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html)  |  (Obbligatorio) `s3:CreateAccessPoint`  |  Richiesto per creare un punto di accesso associato a un bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html)  |  (Obbligatorio) `s3:DeleteAccessPoint`  |  Richiesto per eliminare un punto di accesso.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicy.html)  |  (Obbligatorio) `s3:DeleteAccessPointPolicy`  |  Richiesto per eliminare una policy del punto di accesso.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html)  |  (Obbligatorio) `s3:GetAccessPointPolicy`  |  Richiesto per recuperare una policy del punto di accesso.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicyStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicyStatus.html)  |  (Obbligatorio) `s3:GetAccessPointPolicyStatus`  |  Richiesto per recuperare le informazioni sul fatto che il punto di accesso specificato abbia attualmente una policy che consente l'accesso pubblico.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessPointPolicy.html)  |  (Obbligatorio) `s3:PutAccessPointPolicy`  |  Richiesto per inserire una policy del punto di accesso.  | 

## Operazioni e autorizzazioni del punto di accesso Lambda per oggetti
<a name="using-with-s3-policy-actions-related-to-olap"></a>

Le operazioni sui punti di accesso Lambda per oggetti sono operazioni API S3 che operano sul tipo di risorsa `objectlambdaaccesspoint`. Per ulteriori informazioni su come configurare le policy per le operazioni sui punti di accesso Lambda per oggetti, consulta [Configurazione delle policy IAM per i punti di accesso Lambda per oggetti](olap-policies.md).

Di seguito è riportata la mappatura delle operazioni sui punti di accesso Lambda per oggetti e delle azioni di policy richieste. 


| operazioni API | Azioni di policy | Descrizione delle azioni delle policy | 
| --- | --- | --- | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPointForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPointForObjectLambda.html)  |  (Obbligatorio) `s3:CreateAccessPointForObjectLambda`  |  Richiesto per creare un punto di accesso Lambda per oggetti.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointForObjectLambda.html)  |  (Obbligatorio) `s3:DeleteAccessPointForObjectLambda`  |  Richiesto per eliminare un punto di accesso Lambda per oggetti specificato.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicyForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicyForObjectLambda.html)  |  (Obbligatorio) `s3:DeleteAccessPointPolicyForObjectLambda`  |  Richiesto per eliminare la policy di un punto di accesso Lambda per oggetti specificato.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointConfigurationForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointConfigurationForObjectLambda.html)  |  (Obbligatorio) `s3:GetAccessPointConfigurationForObjectLambda`  |  Richiesto per recuperare la configurazione del punto di accesso Lambda per oggetti.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointForObjectLambda.html)  |  (Obbligatorio) `s3:GetAccessPointForObjectLambda`  |  Richiesto per recuperare le informazioni sul punto di accesso Lambda per oggetti.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointPolicyForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointPolicyForObjectLambda.html)  |  (Obbligatorio) `s3:GetAccessPointPolicyForObjectLambda`  |  Richiesto per restituire la policy del punto di accesso associata al punto di accesso Lambda per oggetti specificato.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointPolicyStatusForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointPolicyStatusForObjectLambda.html)  |  (Obbligatorio) `s3:GetAccessPointPolicyStatusForObjectLambda`  |  Richiesto per restituire lo stato della policy per una specifica policy del punto di accesso Lambda per oggetti.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutAccessPointConfigurationForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutAccessPointConfigurationForObjectLambda.html)  |  (Obbligatorio) `s3:PutAccessPointConfigurationForObjectLambda`  |  Richiesto per impostare la configurazione del punto di accesso Lambda per oggetti.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutAccessPointPolicyForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutAccessPointPolicyForObjectLambda.html)  |  (Obbligatorio) `s3:PutAccessPointPolicyForObjectLambda`  |  Richiesto per associare una policy di accesso a un punto di accesso Lambda per oggetti specificato.  | 

## Operazioni e autorizzazioni dei punti di accesso multiregionali
<a name="using-with-s3-policy-actions-related-to-mrap"></a>

Le operazioni sui punto di accesso multiregione sono operazioni API S3 che operano sul tipo di risorsa `multiregionaccesspoint`. Per ulteriori informazioni su come configurare le policy per le operazioni dei punti di accesso multiregionali, consulta [Esempi di policy dei punti di accesso multi-regione](MultiRegionAccessPointPermissions.md#MultiRegionAccessPointPolicyExamples).

Di seguito è riportata la mappatura delle operazioni dei punti di accesso multiregionali e delle azioni di policy richieste. 


| operazioni API | Azioni di policy | Descrizione delle azioni delle policy | 
| --- | --- | --- | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateMultiRegionAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateMultiRegionAccessPoint.html)  |  (Obbligatorio) `s3:CreateMultiRegionAccessPoint`  |  Necessario per creare un punto di accesso multiregionale e associarlo ai bucket S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteMultiRegionAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteMultiRegionAccessPoint.html)  |  (Obbligatorio) `s3:DeleteMultiRegionAccessPoint`  |  Richiesto per eliminare un punto di accesso multiregionale.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DescribeMultiRegionAccessPointOperation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DescribeMultiRegionAccessPointOperation.html)  |  (Obbligatorio) `s3:DescribeMultiRegionAccessPointOperation`  |  Richiesto per recuperare lo stato di una richiesta asincrona di gestione di un punto di accesso multiregionale.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPoint.html)  |  (Obbligatorio) `s3:GetMultiRegionAccessPoint`  |  Richiesto per restituire le informazioni di configurazione del punto di accesso multiregionale specificato.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicy.html)  |  (Obbligatorio) `s3:GetMultiRegionAccessPointPolicy`  |  Richiesto per restituire la policy di controllo degli accessi del punto di accesso multiregionale specificato.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicyStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicyStatus.html)  |  (Obbligatorio) `s3:GetMultiRegionAccessPointPolicyStatus`  |  Richiesto per restituire lo stato della policy per uno specifico punto di accesso multiregionale, per sapere se il punto di accesso multiregionale specificato ha una policy di controllo dell'accesso che consente l'accesso pubblico.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointRoutes.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointRoutes.html)  |  (Obbligatorio) `s3:GetMultiRegionAccessPointRoutes`  |  Richiesto per restituire la configurazione di routing di un punto di accesso multiregionale.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html)  |  (Obbligatorio) `s3:PutMultiRegionAccessPointPolicy`  |  Richiesto per aggiornare la policy di controllo degli accessi del punto di accesso multiregionale specificato.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_SubmitMultiRegionAccessPointRoutes.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_SubmitMultiRegionAccessPointRoutes.html)  |  (Obbligatorio) `s3:SubmitMultiRegionAccessPointRoutes`  |  Richiesto per inviare una configurazione di percorso aggiornata per un punto di accesso multiregionale.  | 

## Operazioni e autorizzazioni per i processi batch
<a name="using-with-s3-policy-actions-related-to-batchops"></a>

(Operazioni in batch) Le operazioni di processo sono operazioni API S3 che operano sul tipo di risorsa `job`. È necessario specificare le azioni delle policy S3 per le operazioni di processo nelle policy IAM basate sull'identità, non nelle policy dei bucket.

Nelle policy, l'elemento `Resource` deve essere l'ARN `job`. Per ulteriori informazioni sul formato dell'elemento `Resource` e su esempi di policy, consulta [Operazioni di processo in batch](security_iam_service-with-iam.md#using-with-s3-actions-related-to-batchops).

Di seguito è riportata la mappatura delle operazioni dei processi batch e delle azioni di policy richieste. 


| operazioni API | Azioni di policy | Descrizione delle azioni delle policy | 
| --- | --- | --- | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteJobTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteJobTagging.html)  |  (Obbligatorio) `s3:DeleteJobTagging`  |  Richiesto per rimuovere i tag da un processo di Operazioni in batch S3 esistente.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DescribeJob.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DescribeJob.html)  |  (Obbligatorio) `s3:DescribeJob`  |  Richiesto per recuperare i parametri di configurazione e lo stato di un processo di Operazioni in batch.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetJobTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetJobTagging.html)  |  (Obbligatorio) `s3:GetJobTagging`  |  Richiesto per restituire il set di tag di un processo di Operazioni in batch S3 esistente.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutJobTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutJobTagging.html)  |  (Obbligatorio) `s3:PutJobTagging`  |  Richiesto per inserire o sostituire i tag in un processo di Operazioni in batch S3 esistente.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateJobPriority.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateJobPriority.html)  |  (Obbligatorio) `s3:UpdateJobPriority`  |  Richiesto per aggiornare la priorità di un processo esistente.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateJobStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateJobStatus.html)  |  (Obbligatorio) `s3:UpdateJobStatus`  |  Richiesto per aggiornare lo stato del processo specificato.  | 

## Operazioni e autorizzazioni di configurazione di S3 Storage Lens
<a name="using-with-s3-policy-actions-related-to-lens"></a>

Le operazioni di configurazione di S3 Storage Lens sono operazioni API S3 che operano sul tipo di risorsa `storagelensconfiguration`. Per ulteriori informazioni su come configurare le operazioni di configurazione di S3 Storage Lens, consulta [Impostazione delle autorizzazioni di Amazon S3 Storage Lens](storage_lens_iam_permissions.md).

Di seguito è riportata la mappatura delle operazioni di configurazione di S3 Storage Lens e delle azioni delle policy richieste. 


| operazioni API | Azioni di policy | Descrizione delle azioni delle policy | 
| --- | --- | --- | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensConfiguration.html)  |  (Obbligatorio) `s3:DeleteStorageLensConfiguration`  |  Richiesto per eliminare la configurazione di Storage Lens S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensConfigurationTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensConfigurationTagging.html)  |  (Obbligatorio) `s3:DeleteStorageLensConfigurationTagging`  |  Necessario per eliminare i tag di configurazione di S3 Storage Lens.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensConfiguration.html)  |  (Obbligatorio) `s3:GetStorageLensConfiguration`  |  Richiesto per ottenere la configurazione di S3 Storage Lens.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensConfigurationTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensConfigurationTagging.html)  |  (Obbligatorio) `s3:GetStorageLensConfigurationTagging`  |  Richiesto per ottenere i tag della configurazione di S3 Storage Lens.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutStorageLensConfigurationTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutStorageLensConfigurationTagging.html)  |  (Obbligatorio) `s3:PutStorageLensConfigurationTagging`  |  Richiesto per inserire o sostituire i tag in una configurazione S3 Storage Lens esistente.  | 

## Operazioni e autorizzazioni dei gruppi S3 Storage Lens
<a name="using-with-s3-policy-actions-related-to-lens-groups"></a>

Le operazioni dei gruppi S3 Storage Lens sono operazioni API S3 che operano sul tipo di risorsa `storagelensgroup`. Per ulteriori informazioni su come configurare le autorizzazioni dei gruppi S3 Storage Lens, consulta [Autorizzazioni gruppi Storage Lens](storage-lens-groups.md#storage-lens-group-permissions).

Di seguito è riportata la mappatura delle operazioni dei gruppi S3 Storage Lens e delle azioni delle policy richieste. 


| operazioni API | Azioni di policy | Descrizione delle azioni delle policy | 
| --- | --- | --- | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensGroup.html)  |  (Obbligatorio) `s3:DeleteStorageLensGroup`  |  Richiesto per eliminare un gruppo S3 Storage Lens esistente.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensGroup.html)  |  (Obbligatorio) `s3:GetStorageLensGroup`  |  Richiesto per recuperare i dettagli di configurazione del gruppo S3 Storage Lens.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateStorageLensGroup.html)  |  (Obbligatorio) `s3:UpdateStorageLensGroup`  |  Richiesto per aggiornare il gruppo S3 Storage Lens esistente.  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html) | (Obbligatorio) `s3:CreateStorageLensGroup` | Richiesto per creare un gruppo Storage Lens. | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html) | (Obbligatorio) `s3:CreateStorageLensGroup`, `s3:TagResource` | Richiesto per creare un nuovo gruppo Storage Lens con tag. | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensGroups.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensGroups.html) | (Obbligatorio) `s3:ListStorageLensGroups` | Richiesto per elencare tutti i gruppi Storage Lens nella Regione di origine. | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html) | (Obbligatorio) `s3:ListTagsForResource` | Richiesto per elencare i tag aggiunti al gruppo Storage Lens. | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html) | (Obbligatorio) `s3:TagResource` | Richiesto per aggiungere o aggiornare un tag di gruppo Storage Lens per un gruppo Storage Lens esistente. | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html) | (Obbligatorio) `s3:UntagResource` | Richiesto per eliminare un tag da un gruppo Storage Lens. | 

## Operazioni sull’istanza S3 Access Grants e autorizzazioni
<a name="using-with-s3-policy-actions-related-to-s3ag-instances"></a>

Le operazioni sull’istanza S3 Access Grants sono operazioni API S3 che operano sul tipo di risorsa `accessgrantsinstance`. Un’istanza S3 Access Grants è un container logico per le concessioni di accesso. Per ulteriori informazioni su come utilizzare le istanze S3 Access Grants, consulta [Operazioni con le istanze S3 Access Grants](access-grants-instance.md).

Di seguito è riportata la mappatura delle operazioni di configurazione dell’istanza S3 Access Grants e delle azioni delle policy richieste. 


| operazioni API | Azioni di policy | Descrizione delle azioni delle policy | 
| --- | --- | --- | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_AssociateAccessGrantsIdentityCenter.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_AssociateAccessGrantsIdentityCenter.html)  |  (Obbligatorio) `s3:AssociateAccessGrantsIdentityCenter`  |  Necessario per associare un' AWS IAM Identity Center istanza alla tua istanza S3 Access Grants, in modo da consentirti di creare concessioni di accesso per utenti e gruppi nella tua directory di identità aziendale. È necessario disporre delle seguenti autorizzazioni:  `sso:CreateApplication`, `sso:PutApplicationGrant` e `sso:PutApplicationAuthenticationMethod`.  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrantsInstance.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrantsInstance.html)  |  (Obbligatorio) `s3:CreateAccessGrantsInstance`  |  Richiesto per creare un’istanza S3 Access Grants (risorsa `accessgrantsinstance`) che funge da container per le concessioni di accesso individuali.  Per associare un' AWS IAM Identity Center istanza alla tua istanza S3 Access Grants, devi anche disporre delle autorizzazioni`sso:DescribeInstance`,, `sso:CreateApplication` e. `sso:PutApplicationGrant` `sso:PutApplicationAuthenticationMethod`  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsInstance.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsInstance.html)  |  (Obbligatorio) `s3:DeleteAccessGrantsInstance`  |  Necessario per eliminare un'istanza (`accessgrantsinstance`risorsa) di S3 Access Grants da un account. Regione AWS   | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsInstanceResourcePolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsInstanceResourcePolicy.html)  |  (Obbligatorio) `s3:DeleteAccessGrantsInstanceResourcePolicy`  |  Richiesto per eliminare una policy delle risorse per l’istanza S3 Access Grants.   | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DissociateAccessGrantsIdentityCenter.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DissociateAccessGrantsIdentityCenter.html)  |  (Obbligatorio) `s3:DissociateAccessGrantsIdentityCenter`  |  Necessario per dissociare un' AWS IAM Identity Center istanza dalla tua istanza S3 Access Grants. È necessario disporre delle seguenti autorizzazioni: `sso:DeleteApplication`  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstance.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstance.html)  |  (Obbligatorio) `s3:GetAccessGrantsInstance`  |  Necessario per recuperare l'istanza S3 Access Grants per un account. Regione AWS   | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstanceForPrefix.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstanceForPrefix.html)  |  (Obbligatorio) `s3:GetAccessGrantsInstanceForPrefix`  |  Richiesto per recuperare l’istanza S3 Access Grants che contiene un particolare prefisso.  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstanceResourcePolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstanceResourcePolicy.html)  |  (Obbligatorio) `s3:GetAccessGrantsInstanceResourcePolicy`  |  Necessario per restituire la politica delle risorse dell'istanza S3 Access Grants.  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrantsInstances.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrantsInstances.html)  |  (Obbligatorio) `s3:ListAccessGrantsInstances`  |  Richiesto per restituire un elenco delle istanze S3 Access Grants nell’account in uso.  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessGrantsInstanceResourcePolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessGrantsInstanceResourcePolicy.html)  |  (Obbligatorio) `s3:PutAccessGrantsInstanceResourcePolicy`  |  Richiesto per aggiungere o aggiornare la policy delle risorse dell’istanza S3 Access Grants.  | 

## Operazioni sulla posizione S3 Access Grants e autorizzazioni
<a name="using-with-s3-policy-actions-related-to-s3ag-locations"></a>

Le operazioni sulla posizione S3 Access Grants sono operazioni API S3 che operano sul tipo di risorsa `accessgrantslocation`. Per ulteriori informazioni su come utilizzare le posizioni S3 Access Grants, consulta [Operazioni con le posizioni S3 Access Grants](access-grants-location.md).

Di seguito è riportata la mappatura delle operazioni sulla posizione S3 Access Grants e delle azioni delle policy richieste. 


| operazioni API | Azioni di policy | Descrizione delle azioni delle policy | 
| --- | --- | --- | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrantsLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrantsLocation.html)  |  (Obbligatorio) `s3:CreateAccessGrantsLocation`  |  Richiesto per registrare una posizione nell’istanza S3 Access Grants (creare una risorsa `accessgrantslocation`). È inoltre necessario disporre della seguente autorizzazione per il ruolo IAM specificato:  `iam:PassRole`  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsLocation.html)  |  (Obbligatorio) `s3:DeleteAccessGrantsLocation`  |  Richiesto per rimuovere una posizione registrata dall’istanza S3 Access Grants.   | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsLocation.html)  |  (Obbligatorio) `s3:GetAccessGrantsLocation`  |  Richiesto per recuperare i dettagli di una posizione particolare registrata nell’istanza S3 Access Grants.  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrantsLocations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrantsLocations.html)  |  (Obbligatorio) `s3:ListAccessGrantsLocations`  |  Richiesto per restituire un elenco delle posizioni registrate nell’istanza S3 Access Grants.  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateAccessGrantsLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateAccessGrantsLocation.html)  |  (Obbligatorio) `s3:UpdateAccessGrantsLocation`  |  Richiesto per aggiornare il ruolo IAM di una posizione registrata con l’istanza S3 Access Grants.  | 

## Operazioni sulla concessione S3 Access Grants e autorizzazioni
<a name="using-with-s3-policy-actions-related-to-s3ag-grants"></a>

Le operazioni sulla concessione S3 Access Grants sono operazioni API S3 che operano sul tipo di risorsa `accessgrant`. Per ulteriori informazioni su come utilizzare le concessioni individuali utilizzando S3 Access Grants, consulta [Operazioni con le concessioni in S3 Access Grants](access-grants-grant.md).

Di seguito è riportata la mappatura delle operazioni di configurazione delle concessioni S3 Access Grants e delle azioni di policy richieste. 


| operazioni API | Azioni di policy | Descrizione delle azioni delle policy | 
| --- | --- | --- | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrant.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrant.html)  |  (Obbligatorio) `s3:CreateAccessGrant`  |  Richiesto per creare un’a concessione individuale (risorsa `accessgrant`) per un utente o un gruppo nell’istanza S3 Access Grants. È necessario disporre delle seguenti autorizzazioni: Per qualsiasi identità della directory: `sso:DescribeInstance` e `sso:DescribeApplication` Per gli utenti della directory: `identitystore:DescribeUser`  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrant.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrant.html)  |  (Obbligatorio) `s3:DeleteAccessGrant`  |  Richiesto per eliminare una concessione di accesso individuale (risorsa `accessgrant`) dall’istanza S3 Access Grants.   | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrant.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrant.html)  |  (Obbligatorio) `s3:GetAccessGrant`  |  Richiesto per ottenere i dettagli su una concessione di accesso individuale nell’istanza S3 Access Grants.   | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrants.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrants.html)  |  (Obbligatorio) `s3:ListAccessGrants`  |  Richiesto per restituire un elenco di concessioni di accesso individuali nell’istanza S3 Access Grants.   | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListCallerAccessGrants.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListCallerAccessGrants.html)  |  (Obbligatorio) `s3:ListCallerAccessGrants`  |  Richiesto per elencare le concessioni di accesso che consentono al chiamante di accedere ai dati Amazon S3 tramite S3 Access Grants.   | 

## Operazioni e autorizzazioni dell'account
<a name="using-with-s3-policy-actions-related-to-accounts"></a>

Le operazioni sugli account sono operazioni API S3 che operano a livello di account, L'account non è un tipo di risorsa definito da Amazon S3. È necessario specificare le azioni delle policy S3 per le operazioni degli account nelle policy IAM basate sull'identità, non nelle policy dei bucket.

Nelle policy, l'elemento `Resource` deve essere `"*"`. Per ulteriori informazioni sulle policy di esempio, consulta [Operazioni sugli account](security_iam_service-with-iam.md#using-with-s3-actions-related-to-accounts).

Di seguito è riportata la mappatura delle operazioni dell'account e delle azioni di policy richieste. 


| operazioni API | Azioni di policy | Descrizione delle azioni delle policy | 
| --- | --- | --- | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateJob.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateJob.html)  |  (Obbligatorio) `s3:CreateJob`  |  Richiesto per creare un nuovo processo di Operazioni in batch S3.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html)  |  (Obbligatorio) `s3:CreateStorageLensGroup`  |  Necessario per creare un nuovo gruppo S3 Storage Lens e associarlo all' Account AWS ID specificato.  | 
|    |  (Obbligo condizionale) `s3:TagResource`  |  Obbligatorio se desideri creare un gruppo S3 Storage Lens con tag di AWS risorse.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeletePublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeletePublicAccessBlock.html) (a livello di account)  |  (Obbligatorio) `s3:PutAccountPublicAccessBlock`  |  Richiesto per rimuovere la configurazione di blocco dell'accesso pubblico da Account AWS.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html)  |  (Obbligatorio) `s3:GetAccessPoint`  |  Richiesto per recuperare le informazioni di configurazione del punto di accesso specificato.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html) (a livello di account)  |  (Obbligatorio) `s3:GetAccountPublicAccessBlock`  |  Richiesto per recuperare la configurazione del blocco di accesso pubblico per Account AWS.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPoints.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPoints.html)  |  (Obbligatorio) `s3:ListAccessPoints`  |  Richiesto per elencare i punti di accesso di un bucket S3 di proprietà di un Account AWS.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPointsForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPointsForObjectLambda.html)  |  (Obbligatorio) `s3:ListAccessPointsForObjectLambda`  |  Richiesto per elencare i punti di accesso Lambda per oggetti.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)  |  (Obbligatorio) `s3:ListAllMyBuckets`  |  Richiesto per restituire un elenco di tutti i bucket di proprietà del mittente autenticato della richiesta.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListJobs.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListJobs.html)  |  (Obbligatorio) `s3:ListJobs`  |  Si richiede di elencare i processi attuali e quelli terminati di recente.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListMultiRegionAccessPoints.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListMultiRegionAccessPoints.html)  |  (Obbligatorio) `s3:ListMultiRegionAccessPoints`  |  Richiesto per restituire un elenco dei punti di accesso multiregionali attualmente associati a Account AWS.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensConfigurations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensConfigurations.html)  |  (Obbligatorio) `s3:ListStorageLensConfigurations`  |  Necessario per ottenere un elenco delle configurazioni di S3 Storage Lens per un. Account AWS  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensGroups.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensGroups.html)  |  (Obbligatorio) `s3:ListStorageLensGroups`  |  Richiesto per elencare tutti i gruppi S3 Storage Lens nella home specificata Regione AWS.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html) (a livello di account)  |  (Obbligatorio) `s3:PutAccountPublicAccessBlock`  |  Richiesto per creare o modificare la configurazione del blocco di accesso pubblico per Account AWS.  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutStorageLensConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutStorageLensConfiguration.html)  |  (Obbligatorio) `s3:PutStorageLensConfiguration`  |  Richiesto per mettere una configurazione di S3 Storage Lens.  | 

# Policy e autorizzazioni in Amazon S3
<a name="access-policy-language-overview"></a>

Questa pagina fornisce una panoramica delle policy relative a bucket e utenti in Amazon S3 e descrive gli elementi di base di AWS Identity and Access Management una policy (IAM). Ogni elemento elencato è collegato a ulteriori dettagli ed esempi su come usare l'elemento. 

Per un elenco completo di azioni, risorse e condizioni di Amazon S3, consulta [Azioni, risorse e chiavi di condizione per Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) in *Riferimento alle autorizzazioni di servizio*.

Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta [Autorizzazioni necessarie per le operazioni API di Amazon S3](using-with-s3-policy-actions.md).

In termini basilari, una policy contiene i seguenti elementi:
+ [Resource](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-resources) - Il bucket Amazon S3, l'oggetto, il punto di accesso o il processo a cui si applica la policy. Usa il nome della risorsa Amazon (ARN) del bucket, dell'oggetto, del punto di accesso o del processo per identificare la risorsa. 

  Un esempio di operazioni a livello di bucket:

  `"Resource": "arn:aws:s3:::bucket_name"`

  Esempi di operazioni a livello di oggetto: 
  + `"Resource": "arn:aws:s3:::bucket_name/*"` per tutti gli oggetti del bucket.
  + `"Resource": "arn:aws:s3:::bucket_name/prefix/*"` per gli oggetti sotto un certo prefisso nel bucket.

  Per ulteriori informazioni, consulta [Risorse di policy per Amazon S3](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-resources).
+ [Actions](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions) - Per ogni risorsa, Amazon S3 supporta una serie di operazioni. Vengono identificate le operazioni delle risorse che verranno consentite (o rifiutate) utilizzando le parole chiave dell'operazione. 

  Ad esempio, l'autorizzazione `s3:ListBucket` consente all'utente di utilizzare l'operazione Amazon S3 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) di Amazon (il permesso `s3:ListBucket` è un caso in cui il nome dell'azione non corrisponde direttamente al nome dell'operazione). Per ulteriori informazioni sull'uso di operazioni con Simple Storage Service (Amazon S3), consulta [Azioni di policy per Amazon S3](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions). Per un elenco completo delle azioni di Amazon S3, consulta [Azioni](https://docs.aws.amazon.com/AmazonS3/latest/API/API_Operations.html) in *Riferimento API di Amazon Simple Storage Service*.
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) - Quale sarà l'effetto quando l'utente richiederà l'azione specifica: può essere `Allow` o `Deny`. 

  USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. È anche possibile negare esplicitamente l'accesso a una risorsa. È possibile eseguire questa operazione per accertarsi che un utente non sia in grado di accedere a una risorsa, anche se l'accesso viene concesso da un'altra policy. Per ulteriori informazioni, consulta [Elementi delle policy JSON IAM: Effect](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) nella *Guida per l'utente di IAM*.
+ [Principal](security_iam_service-with-iam.md#s3-bucket-user-policy-specifying-principal-intro) - L'account o l'utente a cui è consentito l'accesso alle azioni e alle risorse nell'istruzione. In una policy di bucket l'entità principale è l'utente, l'account, il servizio o un'altra entità destinataria di questa autorizzazione. Per ulteriori informazioni, consulta [Principali per le policy dei bucket](security_iam_service-with-iam.md#s3-bucket-user-policy-specifying-principal-intro).
+ [Condition](amazon-s3-policy-keys.md) - Condizioni per l'entrata in vigore di una policy. Puoi utilizzare chiavi AWS‐wide e chiavi specifiche di Amazon S3 per specificare le condizioni in una policy di accesso di Amazon S3. Per ulteriori informazioni, consulta [Esempi di policy per i bucket che utilizzano le chiavi di condizione](amazon-s3-policy-keys.md).

Il seguente esempio di policy del bucket mostra gli elementi `Effect`, `Principal`, `Action` e `Resource`. Questa policy consente a `Akua`, un utente dell'account `123456789012`, `s3:GetObject`, `s3:GetBucketLocation` e `s3:ListBucket` di ottenere le autorizzazioni per Amazon S3 sul bucket `amzn-s3-demo-bucket1`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "ExamplePolicy01",
    "Statement": [
        {
            "Sid": "ExampleStatement01",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/Akua"
            },
            "Action": [
                "s3:GetObject",
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket1"
            ]
        }
    ]
}
```

------

Per informazioni complete sul linguaggio delle policy, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) e [Riferimento alle policy IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida all'utente IAM*.

## Delega delle autorizzazioni
<a name="permission-delegation"></a>

Se un utente Account AWS possiede una risorsa, può concedere tali autorizzazioni a un'altra persona. Account AWS Tale account a sua volta può delegare le autorizzazioni, o una parte di esse, agli utenti al suo interno. Si parla di* delega del permesso*. Un account che riceve permessi da un altro account non può delegare autorizzazioni multi-account a un altro Account AWS. 

## Proprietà di bucket e oggetti di Amazon S3
<a name="about-resource-owner"></a>

I bucket e gli oggetti sono risorse di Amazon S3. Per impostazione predefinita, solo il proprietario della risorsa è in grado di accedervi. Il proprietario della risorsa si riferisce a Account AWS chi crea la risorsa. Esempio: 
+ La Account AWS persona che usi per creare bucket e caricare oggetti possiede tali risorse. 
+  Se carichi un oggetto utilizzando le credenziali dell'utente o del ruolo AWS Identity and Access Management (IAM), l'oggetto è il Account AWS proprietario dell'oggetto a cui appartiene l'utente o il ruolo. 
+ Un proprietario del bucket può concedere a un altro Account AWS (o agli utenti di un altro account) autorizzazioni multiaccount per caricare gli oggetti. In questo caso, gli oggetti appartengono all' Account AWS che li carica. Il proprietario del bucket non dispone di autorizzazioni sugli oggetti di cui sono proprietari altri account, con le seguenti eccezioni:
  + È il proprietario del bucket a pagare la fattura. Il proprietario del bucket può rifiutare l'accesso agli oggetti nel bucket o eliminarli, indipendentemente dall'utente a cui appartengono. 
  + Il proprietario del bucket può archiviare gli oggetti nel bucket o ripristinarli, indipendentemente dall'utente a cui appartengono. L'archiviazione fa riferimento alla classe di storage utilizzata per archiviare gli oggetti. Per ulteriori informazioni, consulta [Gestione del ciclo di vita degli oggetti](object-lifecycle-mgmt.md).

### Proprietà e autenticazione delle richieste
<a name="about-resource-owner-requests"></a>

Tutte le richieste a un bucket possono essere autenticate o non autenticate. Le richieste autenticate devono includere un valore di firma che autentichi il mittente della richiesta, mentre non è necessario per le richieste non autenticate. Per ulteriori informazioni sull'autenticazione delle richieste, consulta [Esecuzione di richieste](https://docs.aws.amazon.com/AmazonS3/latest/API/MakingRequests.html) nella *documentazione di riferimento delle API di Amazon S3*.

Un proprietario di bucket può consentire richieste non autenticate. Ad esempio, le richieste non autenticate [https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPUT.html](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPUT.html) sono consentite quando un bucket ha una policy di bucket pubblica o quando una ACL del bucket concede l'accesso a `WRITE` o `FULL_CONTROL` al gruppo `All Users` o all'utente anonimo. Per ulteriori informazioni sulle politiche pubbliche dei bucket e sulle liste di controllo degli accessi pubblici (ACLs), consulta. [Significato di "pubblico"](access-control-block-public-access.md#access-control-block-public-access-policy-status)

Tutte le richieste non autenticate sono fatte dall'utente anonimo. Questo utente è rappresentato ACLs dallo specifico ID utente canonico. `65a011a29cdf8ec533ec3d1ccaae921c` Se un oggetto viene caricato in un bucket tramite una richiesta non autenticata, la proprietà dell'oggetto è dell'utente anonimo. L'ACL predefinita dell'oggetto garantisce `FULL_CONTROL` all'utente anonimo in quanto proprietario dell'oggetto. Perciò, Amazon S3 consente alle richieste non autenticate di recuperare l'oggetto o di modificarne l'ACL. 

Per evitare che gli oggetti vengano modificati dall'utente anonimo, si consiglia di non implementare policy relative ai bucket che consentano scritture pubbliche anonime sul bucket o ACLs che consentano all'utente anonimo l'accesso in scrittura al bucket. Puoi applicare questo comportamento consigliato utilizzando il blocco dell'accesso pubblico di Amazon S3. 

Per ulteriori informazioni sul blocco dell'accesso pubblico, consulta [Blocco dell'accesso pubblico allo storage Amazon S3](access-control-block-public-access.md). Per ulteriori informazioni su ACLs, consultare [Panoramica delle liste di controllo accessi (ACL)](acl-overview.md).

**Importante**  
Ti consigliamo di non utilizzare le credenziali dell'utente Account AWS root per effettuare richieste autenticate. Crea invece un ruolo IAM, concedendo a esso l'accesso completo. Gli utenti con questo ruolo vengono definiti *utenti amministratori*. È possibile utilizzare le credenziali assegnate al ruolo di amministratore, anziché le credenziali dell'utente Account AWS root, per interagire AWS ed eseguire attività, come creare un bucket, creare utenti e concedere autorizzazioni. Per ulteriori informazioni, consulta [AWS Credenziali di sicurezza](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html) e [Pratiche ottimali di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida all'utente IAM*.







# Policy dei bucket per Amazon S3
<a name="bucket-policies"></a>

Una policy di bucket è una policy basata su risorse che puoi utilizzare per concedere autorizzazioni di accesso al bucket Amazon S3 e agli oggetti che contiene. Solo il proprietario del bucket può associare una policy a un bucket. Le autorizzazioni allegate a un bucket si applicano a tutti gli oggetti del bucket di proprietà del proprietario del bucket. Queste autorizzazioni non si applicano agli oggetti di proprietà di altri. Account AWS

S3 Object Ownership è un'impostazione a livello di bucket Amazon S3 che puoi usare per controllare la proprietà degli oggetti caricati nel tuo bucket e per disabilitare o abilitare le liste di controllo degli accessi (). ACLs Per impostazione predefinita, Object Ownership è impostata sull'impostazione imposta dal proprietario di Bucket e tutti sono disabilitati. ACLs Il proprietario del bucket dispone di tutti gli oggetti nel bucket e gestisce l'accesso ai dati in maniera esclusiva utilizzando policy.

Le policy Bucket utilizzano un linguaggio di policy basato su JSON AWS Identity and Access Management (IAM). Puoi utilizzare policy di bucket per aggiungere o negare autorizzazioni per gli oggetti in un bucket. I criteri di bucket autorizzano o rifiutano le richieste in base agli elementi inclusi nella policy. Questi elementi possono includere richiedente, operazioni S3, risorse e aspetti o condizioni della richiesta (ad esempio, l'indirizzo IP utilizzato per creare la richiesta). 

Ad esempio, è possibile creare una policy di bucket che esegue le seguenti operazioni: 
+ Concedere ad altri account le autorizzazioni multi-account per il caricamento di oggetti nel bucket S3
+ Verificare che il proprietario del bucket abbia il pieno controllo degli oggetti caricati

Per ulteriori informazioni, consulta [Esempi di policy del bucket Amazon S3](example-bucket-policies.md).

**Importante**  
Non è possibile utilizzare una policy del bucket per impedire eliminazioni o transizioni in base a una regola del [ciclo di vita S3](object-lifecycle-mgmt.md). Ad esempio, anche se la policy del bucket nega tutte le azioni per tutti i principali, la configurazione di S3 Lifecycle continua a funzionare normalmente.

Negli argomenti di questa sezione vengono forniti esempi e viene illustrato come aggiungere una policy di bucket nella console S3. Per informazioni sulle policy basate sull'identità, consulta [Policy basate sull'identità per Amazon S3](security_iam_id-based-policy-examples.md). Per informazioni sul linguaggio delle policy di bucket, consulta [Policy e autorizzazioni in Amazon S3](access-policy-language-overview.md).

Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta [Autorizzazioni necessarie per le operazioni API di Amazon S3](using-with-s3-policy-actions.md).

**Topics**
+ [

# Aggiunta di una policy di bucket utilizzando la console di Amazon S3
](add-bucket-policy.md)
+ [

# Controllo dell'accesso dagli endpoint VPC con policy di bucket
](example-bucket-policies-vpc-endpoint.md)
+ [

# Esempi di policy del bucket Amazon S3
](example-bucket-policies.md)
+ [

# Esempi di policy per i bucket che utilizzano le chiavi di condizione
](amazon-s3-policy-keys.md)

# Aggiunta di una policy di bucket utilizzando la console di Amazon S3
<a name="add-bucket-policy"></a>

Puoi utilizzare il [generatore di policy AWS](https://aws.amazon.com/blogs/aws/aws-policy-generator/) e la console di Amazon S3 per aggiungere una nuova policy di bucket o modificarne una esistente. Una bucket policy è una policy basata sulle risorse (IAM). AWS Identity and Access Management Aggiungi una policy bucket a un bucket per concedere ad altri utenti Account AWS o a utenti IAM le autorizzazioni di accesso per il bucket e gli oggetti in esso contenuti. Le autorizzazioni relative a un oggetto si applicano solo agli oggetti creati dal proprietario del bucket. Per ulteriori informazioni sulle policy di bucket, consulta [Identity and Access Management per Amazon S3](security-iam.md).

Assicurati di risolvere avvisi di sicurezza, errori, avvisi generali e suggerimenti da AWS Identity and Access Management Access Analyzer prima di salvare la policy. IAM Access Analyzer esegue controlli della policy per convalidarla in rapporto alla [sintassi della policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html) e alle [best practice](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di IAM. Questi controlli generano risultati e forniscono raccomandazioni attuabili per aiutarti a creare policy funzionali e conformi alle best practice di sicurezza. Per ulteriori informazioni sulla convalida delle policy tramite IAM Access Analyzer, consulta [Convalida delle policy di IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l'utente di IAM*. Per visualizzare un elenco delle avvertenze, degli errori e dei suggerimenti restituiti da IAM Access Analyzer, consulta il [Riferimento al controllo delle policy di IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html).

Per istruzioni sulla risoluzione degli errori con una policy, consulta [Risoluzione dei problemi relativi agli errori di accesso negato (403 Forbidden) in Amazon S3](troubleshoot-403-errors.md).

**Per creare o modificare una policy del bucket**

1. Accedi a Console di gestione AWS e apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

1. Nel riquadro di navigazione a sinistra, scegli **Bucket per uso generico** o **Bucket di directory**.

1. Nell’elenco dei bucket scegli il nome del bucket per il quale desideri creare una policy di bucket o modificare la policy di bucket.

1. Scegli la scheda **Autorizzazioni**.

1. In **Policy del bucket**, scegli **Modifica**. Viene visualizzata la pagina **Edit bucket policy** (Modifica policy di bucket).

1. Nella pagina **Edit bucket policy** (Modifica policy di bucket), esegui una delle seguenti operazioni: 
   + Per consulta esempi di policy dei bucket, scegli **Esempi di policy**. In alternativa, consulta [Esempi di policy del bucket Amazon S3](example-bucket-policies.md) nella *Guida all'utente di Amazon S3*.
   + Per generare automaticamente una policy o modificare la sintassi JSON nella sezione **Policy**, scegli **Policy generator** (Generatore di policy).

   Se scegli **Policy generator**, il AWS Policy Generator si apre in una nuova finestra.

   1. Nella pagina del **Generatore di policy AWS **, per **Seleziona il tipo di policy**, scegli **Policy del bucket S3**.

   1. Aggiungi un'istruzione inserendo le informazioni nei campi previsti, quindi scegli **Aggiungi istruzione**. Ripeti questo passaggio per tutte le istruzioni che desideri aggiungere. Per ulteriori informazioni su questi campi, consulta [Riferimento agli elementi delle policy IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*. 
**Nota**  
Per comodità, la pagina **Modifica la policy bucket** visualizza un **ARN** (nome della risorsa Amazon) del bucket corrente sopra il campo di testo **Policy**. È possibile copiare questo ARN per utilizzarlo nelle istruzioni della pagina del **Generatore di policy AWS **. 

   1. Dopo aver aggiunto le istruzioni, scegli **Genera policy**.

   1. Copia il testo della policy generata, scegli **Chiudi** e torna alla pagina **Modifica policy del bucket** nella console di Amazon S3.

1. Nella casella **Policy**, modifica la policy esistente o incolla la bucket policy dal AWS Policy Generator. Assicurati di risolvere gli avvisi di sicurezza, gli errori, gli avvisi generali e i suggerimenti prima di salvare la policy.
**Nota**  
Le policy di bucket sono limitate a dimensioni di 20 KB.

1. (Facoltativo) Scegli **Preview external access** (Anteprima accesso esterno) nell'angolo in alto a destra per visualizzare in anteprima in che modo la nuova policy influisce sull'accesso pubblico e multi-account alla risorsa. Prima di salvare la policy, puoi verificare se introduce nuovi risultati di IAM Access Analyzer o risolve i risultati esistenti. Se non è presente uno strumento di analisi attivo, scegli **Go to Access Analyzer** (Passa a strumento analisi accessi) per [creare uno strumento di analisi degli account](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html#access-analyzer-enabling) in IAM Access Analyzer. Per ulteriori informazioni, consulta la sezione [Anteprima dell'accesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html) nella *Guida per l'utente di IAM*. 

1. Scegli **Save changes** (Salva modifiche), che ti riporterà alla pagina **Permissions** (Autorizzazioni). 

# Controllo dell'accesso dagli endpoint VPC con policy di bucket
<a name="example-bucket-policies-vpc-endpoint"></a>

Puoi utilizzare le policy dei bucket di Amazon S3 per controllare l'accesso ai bucket da endpoint specifici del cloud privato virtuale (VPC) o specifici. VPCs Questa sezione contiene esempi di policy per i bucket che possono essere utilizzati per controllare l'accesso al bucket Amazon S3 dagli endpoint VPC. Per informazioni su come configurare gli endpoint VPC, consulta [Endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) nella *Guida per l'utente di VPC*. 

Un VPC consente di avviare AWS risorse in una rete virtuale definita dall'utente. Un endpoint VPC consente di creare una connessione privata tra la propria VPC e un'altra Servizio AWS. Questa connessione privata non richiede l'accesso via Internet, attraverso una connessione di rete privata virtuale (VPN), attraverso un'istanza NAT o attraverso Direct Connect. 

Un endpoint VPC per Amazon S3 è un'entità logica all'interno di un cloud privato virtuale che permette di connettersi esclusivamente ad Amazon S3. L'endpoint VPC instrada le richieste ad Amazon S3 e restituisce le risposte al VPC. Gli endpoint VPC cambiano solo la modalità di instradamento delle richieste. I nomi DNS e gli endpoint pubblici Amazon S3 continueranno a funzionare con gli endpoint VPC. Per informazioni importanti sull'uso degli endpoint VPC con Amazon S3, consulta [Endpoint gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-gateway.html) e [Endpoint gateway per Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html) nella *Guida all'utente VPC*. 

Gli endpoint VPC per Amazon S3 offrono due modi per controllare l'accesso ai dati di Amazon S3: 
+ È possibile controllare le richieste, gli utenti o i gruppi autorizzati tramite un endpoint VPC specifico. Per informazioni su questo tipo di controllo degli accessi, consulta [Controllo dell'accesso agli endpoint VPC mediante policy di endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) nella *Guida all'utente VPC*.
+ Puoi controllare quali endpoint VPCs o VPC hanno accesso ai tuoi bucket utilizzando le policy dei bucket di Amazon S3. Per alcuni esempi di questo tipo di controllo di accesso basato su policy di bucket, consulta i seguenti argomenti sulla limitazione dell'accesso.

**Topics**
+ [

## Limitazione dell'accesso a un endpoint VPC specifico
](#example-bucket-policies-restrict-accesss-vpc-endpoint)
+ [

## Limitazione dell'accesso a un VPC specifico
](#example-bucket-policies-restrict-access-vpc)
+ [

## Limitazione dell'accesso a un endpoint IPv6 VPC
](#example-bucket-policies-ipv6-vpc-endpoint)

**Importante**  
Quando si applicano le policy del bucket Amazon S3 per gli endpoint VPC descritte in questa sezione, si potrebbe bloccare involontariamente l'accesso al bucket. Le autorizzazioni del bucket che hanno lo scopo di limitare l'accesso del bucket a connessioni originate dall'endpoint VPC possono bloccare tutte le connessioni al bucket. Per informazioni su come risolvere questo problema, consulta la sezione [Come correggere una policy del bucket con l'ID del VPC o dell'endpoint VPC errato](https://aws.amazon.com/premiumsupport/knowledge-center/s3-regain-access/) nell'*Supporto AWS Knowledge Center*.

## Limitazione dell'accesso a un endpoint VPC specifico
<a name="example-bucket-policies-restrict-accesss-vpc-endpoint"></a>

Di seguito è riportato un esempio di policy del bucket Amazon S3 che limita l'accesso a un bucket specifico, `awsexamplebucket1`, solo dall'endpoint VPC con l'ID `vpce-1a2b3c4d`. Se l'endpoint specificato non viene utilizzato, la policy nega l'accesso al bucket. La condizione `aws:SourceVpce` specifica l'endpoint. La condizione `aws:SourceVpce` non richiede un nome della risorsa Amazon (ARN) per la risorsa endpoint VPC, ma solo l'ID dell'endpoint VPC. Per ulteriori informazioni sull'utilizzo delle condizioni in una policy, consulta [Esempi di policy per i bucket che utilizzano le chiavi di condizione](amazon-s3-policy-keys.md).

**Importante**  
Prima di utilizzare la policy di esempio seguente, sostituire l'ID endpoint VPC con un valore appropriato per il caso d'uso. In caso contrario, non sarà possibile accedere al bucket.
Questa policy disabilita l'accesso della console al bucket specificato perché le richieste della console non provengono dall'endpoint VPC specificato.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
                    "arn:aws:s3:::amzn-s3-demo-bucket/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpce": "vpce-0abcdef1234567890"
         }
       }
     }
   ]
}
```

------

## Limitazione dell'accesso a un VPC specifico
<a name="example-bucket-policies-restrict-access-vpc"></a>

Puoi creare una policy di bucket che limita l'accesso a uno specifico VPC utilizzando la condizione `aws:SourceVpc`. Ciò è utile se nello stesso VPC sono configurati più endpoint VPC e desideri gestire l'accesso ai bucket Amazon S3 per tutti gli endpoint. Di seguito è riportato un esempio di policy che nega l'accesso a `awsexamplebucket1` e ai relativi oggetti da qualsiasi punto esterno al VPC `vpc-111bbb22`. Se il VPC specificato non è utilizzato, la policy nega l'accesso al bucket. Questa istruzione non garantisce l'accesso al bucket. Per concedere l'accesso, è necessario aggiungere un'istruzione separata `Allow`. La chiave di condizione `vpc-111bbb22` non richiede un ARN per la risorsa VPC, ma solo l'ID VPC.

**Importante**  
Prima di utilizzare la policy di esempio seguente, sostituire l'ID VPC con un valore appropriato per il caso d'uso. In caso contrario, non sarà possibile accedere al bucket.
Questa policy disabilita l'accesso della console al bucket specificato perché le richieste della console non provengono dalla VPC specificata.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Id": "Policy1415115909153",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPC-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
                    "arn:aws:s3:::amzn-s3-demo-bucket/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpc": "vpc-1a2b3c4d"
         }
       }
     }
   ]
}
```

------

## Limitazione dell'accesso a un endpoint IPv6 VPC
<a name="example-bucket-policies-ipv6-vpc-endpoint"></a>

La seguente policy di esempio nega tutte le azioni di Amazon S3 `s3:` () sul bucket e sui suoi oggetti, a meno che *amzn-s3-demo-bucket* la richiesta non provenga dall'endpoint VPC specificato `vpce-0a1b2c3d4e5f6g` () e l'indirizzo IP di origine non corrisponda al blocco CIDR fornito. IPv6 

```
{
   "Version": "2012-10-17", 		 	 	 
   "Id": "Policy1415115909154",
   "Statement": [
     {
       "Sid": "AccessSpecificIPv6VPCEOnly",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
                    "arn:aws:s3:::amzn-s3-demo-bucket/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpc": "vpc-0a1b2c3d4e5f6g4h2"
         },
        "NotIpAddress": {
          "aws:VpcSourceIp": "2001:db8::/32"
        }
       }
     }
   ]
}
```

Per informazioni su come limitare l'accesso al tuo bucket in base a specifici IPs o VPCs, consulta [Come posso consentire solo a endpoint VPC o indirizzi IP specifici di accedere al mio bucket Amazon S3](https://repost.aws/knowledge-center/block-s3-traffic-vpc-ip)? nel Knowledge Center. AWS re:Post 

# Esempi di policy del bucket Amazon S3
<a name="example-bucket-policies"></a>

Con le policy di bucket Amazon S3, puoi proteggere l'accesso agli oggetti nei tuoi bucket, in modo che solo gli utenti con le autorizzazioni appropriate possano accedervi. Puoi persino impedire agli utenti autenticati senza le autorizzazioni appropriate di accedere alle tue risorse Amazon S3.

Questa sezione include esempi di casi d'uso tipici per le policy di bucket. Queste policy di esempio utilizzano `amzn-s3-demo-bucket` come valore di risorsa. Per testare queste policy, sostituisci `user input placeholders` con le tue informazioni (come il nome del bucket). 

Per concedere o negare le autorizzazioni a un insieme di oggetti, puoi utilizzare caratteri jolly () `*` in Amazon Resource Names (ARNs) e altri valori. Ad esempio, è possibile controllare l'accesso a gruppi di oggetti che iniziano con un [prefisso](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html#keyprefix) comune o terminano con un'estensione specifica, come `.html`. 

Per ulteriori informazioni sul linguaggio di policy AWS Identity and Access Management (IAM), consulta. [Policy e autorizzazioni in Amazon S3](access-policy-language-overview.md)

Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta [Autorizzazioni necessarie per le operazioni API di Amazon S3](using-with-s3-policy-actions.md).

**Nota**  
Per testare le autorizzazioni utilizzando la console di Amazon S3, dovrai concedere le autorizzazioni aggiuntive richieste dalla console, ovvero `s3:ListAllMyBuckets`, `s3:GetBucketLocation` e `s3:ListBucket`. Per una procedura dettagliata di esempio che concede autorizzazioni a utenti e le testa utilizzando la console, consulta [Procedura guidata: controllo dell'accesso a un bucket con policy utente](walkthrough1.md).

Ulteriori risorse per la creazione di policy sui bucket sono le seguenti:
+ Per un elenco delle azioni, delle risorse e delle chiavi di condizione delle policy IAM che è possibile utilizzare quando si crea una policy di bucket, consulta [Azioni, risorse e chiavi di condizione per Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) in *Riferimento alle autorizzazioni di servizio*.
+ Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta [Autorizzazioni necessarie per le operazioni API di Amazon S3](using-with-s3-policy-actions.md).
+ Per istruzioni sulla creazione della policy S3, consulta [Aggiunta di una policy di bucket utilizzando la console di Amazon S3](add-bucket-policy.md).
+ Per risolvere gli errori relativi a una policy, consulta [Risoluzione dei problemi relativi agli errori di accesso negato (403 Forbidden) in Amazon S3](troubleshoot-403-errors.md).

Se riscontri problemi nell'aggiungere o aggiornare una policy, consulta [Perché ricevo l'errore «Principio non valido nella policy» quando tento di aggiornare la mia policy sui bucket Amazon S3](https://repost.aws/knowledge-center/s3-invalid-principal-in-policy-error)? nel Knowledge Center. AWS re:Post 

**Topics**
+ [

## Concessione dell'autorizzazione di sola lettura a un utente pubblico anonimo
](#example-bucket-policies-anonymous-user)
+ [

## Richiesta della crittografia
](#example-bucket-policies-encryption)
+ [

## Gestione dei bucket utilizzando «in scatola» ACLs
](#example-bucket-policies-public-access)
+ [

## Gestione dell'accesso agli oggetti con assegnazione di tag agli oggetti
](#example-bucket-policies-object-tags)
+ [

## Gestione dell'accesso agli oggetti utilizzando chiavi di condizione globali
](#example-bucket-policies-global-condition-keys)
+ [

## Gestione dell'accesso in base a richieste HTTP o HTTPS
](#example-bucket-policies-HTTP-HTTPS)
+ [

## Gestione dell'accesso utente a cartelle specifiche
](#example-bucket-policies-folders)
+ [

## Gestione dell'accesso per i log degli accessi
](#example-bucket-policies-access-logs)
+ [

## Gestione dell'accesso a un Amazon CloudFront OAI
](#example-bucket-policies-cloudfront)
+ [

## Gestione dell'accesso per Amazon S3 Storage Lens
](#example-bucket-policies-lens)
+ [

## Gestione delle autorizzazioni per i report di S3 Inventory, S3 Analytics e S3 Inventory
](#example-bucket-policies-s3-inventory)
+ [

## Richiesta dell'autenticazione a più fattori (MFA)
](#example-bucket-policies-MFA)
+ [

## Impedire agli utenti di eliminare gli oggetti
](#using-with-s3-actions-related-to-bucket-subresources)

## Concessione dell'autorizzazione di sola lettura a un utente pubblico anonimo
<a name="example-bucket-policies-anonymous-user"></a>

È possibile utilizzare le impostazioni delle policy per concedere l'accesso a utenti pubblici anonimi, il che è utile se si sta configurando il bucket come un sito web statico. Per consentire l'accesso agli utenti pubblici anonimi è necessario disattivare le impostazioni di Blocco dell'accesso pubblico per il bucket. Per ulteriori informazioni su come fare e sulle policy necessarie, consulta [Impostazione delle autorizzazioni per l'accesso al sito Web](WebsiteAccessPermissionsReqd.md). Per informazioni su come configurare politiche più restrittive per lo stesso scopo, vedi [Come posso concedere l'accesso pubblico in lettura ad alcuni oggetti nel mio bucket Amazon S3](https://repost.aws/knowledge-center/read-access-objects-s3-bucket)? nel Knowledge Center. AWS 

Per impostazione predefinita, Amazon S3 blocca l'accesso pubblico all'account e ai bucket. Per utilizzare un bucket per ospitare un sito Web statico, puoi seguire questa procedura per modificare le impostazioni di blocco dell'accesso pubblico: 

**avvertimento**  
Prima di completare questi passaggi, consulta [Blocco dell'accesso pubblico allo storage Amazon S3](access-control-block-public-access.md) per assicurarsi di aver compreso e accettato i rischi connessi alla concessione dell'accesso pubblico. Quando si disattivano le impostazioni di blocco dell'accesso pubblico per rendere pubblico il bucket, chiunque su Internet può accedere al bucket. Consigliamo di bloccare tutti gli accessi pubblici ai bucket.

1. Apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

1. Seleziona il nome del bucket configurato come sito Web statico.

1. Seleziona **Autorizzazioni**.

1. In **Blocca accesso pubblico (impostazioni bucket)**, seleziona **Modifica**.

1. Deseleziona **Blocca *tutto* l'accesso pubblico**, quindi seleziona **Salva modifiche**.  
![\[Console Amazon S3 in cui vengono mostrate le impostazioni di blocco dell'accesso pubblico a un bucket.\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/images/edit-public-access-clear.png)

   Amazon S3 disattiva le impostazioni di blocco dell'accesso pubblico per il bucket. Per creare un sito web pubblico statico, potrebbe essere necessario [modificare anche le impostazioni di blocco dell'accesso pubblico](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/block-public-access-account.html) per l'account prima di aggiungere una policy del bucket. Se le impostazioni di Blocco dell'accesso pubblico per l'account sono attualmente attivate, viene visualizzata una nota sotto **Blocco dell'accesso pubblico (impostazioni del bucket)**.

## Richiesta della crittografia
<a name="example-bucket-policies-encryption"></a>

Puoi richiedere la crittografia lato server con AWS Key Management Service (AWS KMS) chiavi (SSE-KMS), come mostrato negli esempi seguenti.

### Richiedi SSE-KMS per tutti gli oggetti scritti in un bucket
<a name="example-bucket-policies-encryption-1"></a>

La seguente politica di esempio richiede che ogni oggetto scritto nel bucket sia crittografato con la crittografia lato server utilizzando le chiavi () (SSE-KMS). AWS Key Management Service AWS KMS Se l'oggetto non è crittografato con SSE-KMS, la richiesta viene rifiutata.

------
#### [ JSON ]

****  

```
{
"Version":"2012-10-17",		 	 	 
"Id": "PutObjPolicy",
"Statement": [{
  "Sid": "DenyObjectsThatAreNotSSEKMS",
  "Principal": "*",
  "Effect": "Deny",
  "Action": "s3:PutObject",
  "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
  "Condition": {
    "Null": {
      "s3:x-amz-server-side-encryption-aws-kms-key-id": "true"
    }
  }
}]
}
```

------

### Richiedi SSE-KMS con uno specifico per tutti gli oggetti scritti in un bucket AWS KMS key
<a name="example-bucket-policies-encryption-2"></a>

La seguente policy di esempio impedisce la scrittura di qualsiasi oggetto nel bucket se l'oggetto non è crittografato con SSE-KMS mediante un ID chiave KMS specifico. Anche se gli oggetti sono crittografati con SSE-KMS utilizzando un'intestazione per richiesta o la crittografia predefinita del bucket, gli oggetti non possono essere scritti nel bucket se non sono stati crittografati con la chiave KMS specificata. Assicurati di sostituire il nome della risorsa Amazon (ARN) della chiave KMS utilizzata in questo esempio con il nome della risorsa Amazon (ARN) della tua chiave KMS ARN.

------
#### [ JSON ]

****  

```
{
"Version":"2012-10-17",		 	 	 
"Id": "PutObjPolicy",
"Statement": [{
  "Sid": "DenyObjectsThatAreNotSSEKMSWithSpecificKey",
  "Principal": "*",
  "Effect": "Deny",
  "Action": "s3:PutObject",
  "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
  "Condition": {
    "ArnNotEqualsIfExists": {
      "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-1:111122223333:key/01234567-89ab-cdef-0123-456789abcdef"
    }
  }
}]
}
```

------

## Gestione dei bucket utilizzando «in scatola» ACLs
<a name="example-bucket-policies-public-access"></a>

### Concessione delle autorizzazioni a più account per caricare oggetti o impostare oggetti per l'accesso pubblico ACLs
<a name="example-bucket-policies-acl-1"></a>

Il seguente esempio di policy concede i permessi `s3:PutObject` e `s3:PutObjectAcl` a più Account AWS. Inoltre, la policy di esempio richiede che tutte le richieste per queste operazioni includano la [lista di controllo degli accessi (ACL) predefinita ](acl-overview.md#canned-acl)`public-read`. Per ulteriori informazioni, consultare [Azioni di policy per Amazon S3](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions) e [Chiavi di condizione per Amazon S3](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys).

**avvertimento**  
L'ACL `public-read` predefinita consente a chiunque nel mondo di visualizzare gli oggetti nel tuo bucket, indipendentemente dalla sua dislocazione geografica. Procedi con cautela quando concedi l'accesso anonimo al bucket Amazon S3 o disabiliti le impostazioni di blocco dell'accesso pubblico. Quando si concede l'accesso anonimo, si consente a qualsiasi persona al mondo di accedere al bucket. È consigliabile non concedere mai l'accesso anonimo al bucket Amazon S3 a meno che non sia assolutamente necessario, ad esempio con l'[hosting di un sito Web statico](WebsiteHosting.md). Se desideri abilitare le impostazioni di Blocco dell'accesso pubblico Amazon S3 per l'hosting di siti Web statici, consulta [Tutorial: Configurazione di un sito Web statico su Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/HostingWebsiteOnS3Setup.html).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AddPublicReadCannedAcl",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:root",
                    "arn:aws:iam::444455556666:root"
                ]
            },
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": [
                        "public-read"
                    ]
                }
            }
        }
    ]
}
```

------

### Concedere autorizzazioni multi-account per il caricamento di oggetti a garanzia del controllo completo da parte del proprietario del bucket
<a name="example-bucket-policies-acl-2"></a>

L'esempio seguente mostra come consentire a un altro utente Account AWS di caricare oggetti nel tuo bucket assicurandoti al contempo il pieno controllo degli oggetti caricati. Questa politica concede a uno specifico Account AWS (*`111122223333`*) la possibilità di caricare oggetti solo se tale account include l'ACL predefinito al `bucket-owner-full-control` momento del caricamento. La condizione `StringEquals` nella policy specifica la chiave di condizione `s3:x-amz-acl` per esprimere il requisito dell'ACL predefinita. Per ulteriori informazioni, consulta [Chiavi di condizione per Amazon S3](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys). 

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
     {
       "Sid":"PolicyForAllowUploadWithACL",
       "Effect":"Allow",
       "Principal":{"AWS":"111122223333"},
       "Action":"s3:PutObject",
       "Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*",
       "Condition": {
         "StringEquals": {"s3:x-amz-acl":"bucket-owner-full-control"}
       }
     }
   ]
}
```

------

## Gestione dell'accesso agli oggetti con assegnazione di tag agli oggetti
<a name="example-bucket-policies-object-tags"></a>

### Concedere a un utente autorizzazioni di sola lettura per gli oggetti che hanno una chiave o un valore di tag specifico
<a name="example-bucket-policies-tagging-1"></a>

La seguente policy di autorizzazione limita un utente a leggere solo gli oggetti con chiave e valore di tag `environment: production`. La policy utilizza la chiave di condizione `s3:ExistingObjectTag` per specificare la chiave e il valore di tag.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Principal":{
            "AWS":"arn:aws:iam::111122223333:role/JohnDoe"
         },
         "Effect":"Allow",
         "Action":[
            "s3:GetObject",
            "s3:GetObjectVersion"
         ],
         "Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*",
         "Condition":{
            "StringEquals":{
               "s3:ExistingObjectTag/environment":"production"
            }
         }
      }
   ]
}
```

------

### Limitare le chiavi di tag degli oggetti che gli utenti possono aggiungere
<a name="example-bucket-policies-tagging-2"></a>

La seguente policy di esempio concede a un utente le autorizzazioni per eseguire l'operazione `s3:PutObjectTagging`, che permette di aggiungere tag a un oggetto esistente. La condizione utilizza la chiave di condizione `s3:RequestObjectTagKeys` per specificare le chiavi di tag consentite, ad esempio `Owner` o `CreationDate`. Per ulteriori informazioni, consulta la sezione [Creazione di una condizione con più chiavi o valori](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) nella *Guida per l'utente IAM*.

La policy garantisce che ogni chiave di tag specificata nella richiesta sia una chiave di tag autorizzata. Il qualificatore `ForAnyValue` nella condizione garantisce che almeno una delle chiavi specificate sia presente nella richiesta.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
  "Statement": [
    {"Principal":{"AWS":[
            "arn:aws:iam::111122223333:role/JohnDoe"
         ]
       },
 "Effect": "Allow",
      "Action": [
        "s3:PutObjectTagging"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/*"
      ],
      "Condition": {"ForAnyValue:StringEquals": {"s3:RequestObjectTagKeys": [
            "Owner",
            "CreationDate"
          ]
        }
      }
    }
  ]
}
```

------

### Richiedere una chiave e un valore di tag specifici per consentire agli utenti di aggiungere tag di oggetti
<a name="example-bucket-policies-tagging-3"></a>

Il seguente esempio di policy concede a un utente l'autorizzazione a eseguire l'azione `s3:PutObjectTagging`, che consente di aggiungere tag a un oggetto esistente. La condizione prevede che l'utente includa una chiave di tag specifica (ad esempio, `Project`) con valore impostato su `X`.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
  "Statement": [
    {"Principal":{"AWS":[
       "arn:aws:iam::111122223333:user/JohnDoe"
         ]
       },
      "Effect": "Allow",
      "Action": [
        "s3:PutObjectTagging"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/*"
      ],
      "Condition": {"StringEquals": {"s3:RequestObjectTag/Project": "X"
        }
      }
    }
  ]
}
```

------

### Concedere a un utente di aggiungere solo oggetti che hanno una chiave o un valore di tag specifico
<a name="example-bucket-policies-tagging-4"></a>

La seguente policy di esempio concede a un utente l'autorizzazione per eseguire l'operazione `s3:PutObject` in modo che possa aggiungere oggetti a un bucket. Tuttavia, l'istruzione `Condition` limita le chiavi e i valori di tag consentiti sugli oggetti caricati. In questo esempio, l'utente può aggiungere al bucket solo oggetti con la chiave di tag specifica (`Department`) con il valore impostato su `Finance`

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Principal":{
            "AWS":[
                 "arn:aws:iam::111122223333:user/JohnDoe"
         ]
        },
        "Effect": "Allow",
        "Action": [
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals": {
                "s3:RequestObjectTag/Department": "Finance"
            }
        }
    }]
}
```

------

## Gestione dell'accesso agli oggetti utilizzando chiavi di condizione globali
<a name="example-bucket-policies-global-condition-keys"></a>

Le chiavi di [condizione globali sono chiavi](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html) di contesto delle condizioni con un prefisso. `aws` Servizi AWS può supportare chiavi di condizione globali o chiavi specifiche del servizio che includono il prefisso del servizio. È possibile utilizzare l'elemento `Condition` di una policy JSON per confrontare le chiavi in una richiesta con i valori di chiave specificati nella policy.

### Limitare l'accesso alle sole consegne dei log degli accessi al server Amazon S3
<a name="example-bucket-policies-global-condition-keys-1"></a>

Nel seguente esempio di bucket policy, la chiave [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)global condition viene utilizzata per confrontare l'[Amazon Resource Name (ARN](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns)) della risorsa, effettuando service-to-service una richiesta con l'ARN specificato nella policy. La chiave di condizione globale `aws:SourceArn` viene utilizzata per impedire a un servizio Amazon S3 di essere utilizzato come [confused deputy](https://docs.aws.amazon.com//IAM/latest/UserGuide/confused-deputy.html) durante le transazioni tra servizi. Solo il servizio Amazon S3 può aggiungere oggetti al bucket Amazon S3.

Questo esempio di policy di bucket concede autorizzazioni `s3:PutObject` al principale del servizio di log (`logging.s3.amazonaws.com`). 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowPutObjectS3ServerAccessLogsPolicy",
            "Principal": {
                "Service": "logging.s3.amazonaws.com"
            },
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket-logs/*",
            "Condition": {
                "StringEquals": {
                "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                "aws:SourceArn": "arn:aws:s3:::amzn-s3-demo-source-bucket1"
                }
            }
        },
        {
            "Sid": "RestrictToS3ServerAccessLogs",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket-logs/*",
            "Condition": {
                "ForAllValues:StringNotEquals": {
                    "aws:PrincipalServiceNamesList": "logging.s3.amazonaws.com"
                }
            }
        }
    ]
}
```

------

### Consentire l'accesso solo alla tua organizzazione
<a name="example-bucket-policies-global-condition-keys-2"></a>

Se desideri che tutti i [responsabili IAM che accedono](https://docs.aws.amazon.com//IAM/latest/UserGuide/intro-structure.html#intro-structure-principal) a una risorsa provengano da un membro Account AWS della tua organizzazione (incluso l'account di AWS Organizations gestione), puoi utilizzare la `aws:PrincipalOrgID` chiave global condition.

Per concedere o limitare questo tipo di accesso, definisci la condizione `aws:PrincipalOrgID` e imposta il valore sull'[ID dell'organizzazione](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_org_details.html) nella policy di bucket. L'ID dell'organizzazione viene utilizzato per controllare l'accesso al bucket. Quando si utilizza la condizione `aws:PrincipalOrgID`, le autorizzazioni della policy di bucket vengono applicate anche a tutti i nuovi account aggiunti all'organizzazione.

Ecco un esempio di policy di bucket basata su risorse che puoi utilizzare per concedere l'accesso diretto al bucket a specifici principali IAM nella tua organizzazione. Aggiungendo la chiave di condizione globale `aws:PrincipalOrgID` alla policy di bucket, ora l'account principale deve trovarsi nell'organizzazione per ottenere l'accesso alla risorsa. Anche se si specifica accidentalmente un account errato quando si concede l'accesso, la [chiave di condizione globale aws:PrincipalOrgID](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) funge da ulteriore protezione. Quando viene utilizzata come policy, questa chiave globale impedisce a tutti i principali esterni all'organizzazione specificata di accedere al bucket S3. Solo i principali degli account dell'organizzazione elencata possono ottenere l'accesso alla risorsa.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Sid": "AllowGetObject",
        "Principal": {
            "AWS": "*"
        },
        "Effect": "Allow",
        "Action": "s3:GetObject",
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
        "Condition": {
            "StringEquals": {
                "aws:PrincipalOrgID": ["o-aa111bb222"]
            }
        }
    }]
}
```

------

## Gestione dell'accesso in base a richieste HTTP o HTTPS
<a name="example-bucket-policies-HTTP-HTTPS"></a>

### Limitare l'accesso solo alle richieste HTTPS
<a name="example-bucket-policies-use-case-HTTP-HTTPS-1"></a>

Se desideri impedire a potenziali aggressori di manipolare il traffico di rete, puoi utilizzare HTTPS (TLS) per consentire solo le connessioni crittografate limitando al contempo l'accesso al tuo bucket da parte delle richieste HTTP. Per determinare se la richiesta è HTTP o HTTPS, utilizza la chiave di condizione globale [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-securetransport](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-securetransport) nella policy di bucket S3. La chiave di condizione `aws:SecureTransport` controlla se una richiesta è stata inviata utilizzando HTTP.

Se una richiesta restituisce `true`, la richiesta è stata inviata tramite HTTP. Se la richiesta restituisce `false`, la richiesta è stata inviata tramite HTTP. Puoi quindi consentire o negare l'accesso al bucket in base allo schema di richiesta desiderato.

Nell'esempio seguente, la policy di bucket nega esplicitamente l'accesso alle richieste HTTP. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Sid": "RestrictToTLSRequestsOnly",
        "Action": "s3:*",
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "Bool": {
                "aws:SecureTransport": "false"
            }
        },
        "Principal": "*"
    }]
}
```

------

### Limitare l'accesso a un referer HTTP specifico
<a name="example-bucket-policies-HTTP-HTTPS-2"></a>

Supponi di avere un sito Web con il nome di dominio (*`www.example.com`* o *`example.com`*) con collegamenti a foto e video archiviati nel bucket denominato `amzn-s3-demo-bucket`. Per impostazione predefinita, tutte le risorse Amazon S3 sono private, quindi solo chi le Account AWS ha create può accedervi. 

Per consentire l'accesso in lettura a questi oggetti dal sito Web, è possibile aggiungere una policy di bucket che concede l'autorizzazione `s3:GetObject` con una condizione secondo cui la richiesta `GET` deve generare da pagine Web specifiche. La seguente policy limita le richieste utilizzando la condizione `StringLike` con la chiave di condizione `aws:Referer`.

Verifica che i browser utilizzati includano l'intestazione HTTP `referer` nella richiesta.

**avvertimento**  
Ti consigliamo di procedere cautela quando utilizzi la chiave di condizione `aws:Referer`. È pericoloso includere un valore di intestazione di un referer pubblicamente noto. Parti non autorizzate possono utilizzare browser modificati o personalizzati per fornire qualsiasi valore `aws:Referer` scelto. Pertanto, non `aws:Referer` utilizzarlo per impedire a parti non autorizzate di effettuare richieste dirette AWS .   
La chiave di condizione `aws:Referer` è disponibile solo per consentire ai clienti di proteggere i propri contenuti digitali, come i contenuti archiviati in Amazon S3, da riferimenti su siti di terze parti non autorizzate. Per ulteriori informazioni, consulta la sezione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-referer](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-referer) nella *Guida per l'utente di IAM*.

## Gestione dell'accesso utente a cartelle specifiche
<a name="example-bucket-policies-folders"></a>

### Concedere agli utenti l'accesso a cartelle specifiche
<a name="example-bucket-policies-folders-1"></a>

Supponiamo che tu stia cercando di concedere agli utenti l'accesso a una cartella specifica. Se l'utente IAM e il bucket S3 appartengono allo stesso gruppo Account AWS, puoi utilizzare una policy IAM per concedere all'utente l'accesso a una cartella di bucket specifica. Con questo approccio, non è necessario aggiornare la policy di bucket per concedere l'accesso. Puoi aggiungere la policy IAM a un ruolo IAM a cui possono passare più utenti. 

Se l'identità IAM e il bucket S3 appartengono a parti diverse Account AWS, devi concedere l'accesso a più account sia nella policy IAM che nella policy del bucket. Per informazioni su come concedere l'accesso multi-account, consulta la sezione relativa al [proprietario del bucket che concede autorizzazioni per il bucket multi-account](https://docs.aws.amazon.com//AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html).

La seguente policy di bucket di esempio concede a `JohnDoe` l'accesso completo a livello di console solo alla sua cartella (`home/JohnDoe/`). Creando una cartella `home` e concedendo le autorizzazioni appropriate ai tuoi utenti, puoi fare in modo che più utenti condividano un singolo bucket. Questa policy è composta da tre istruzioni `Allow`:
+ `AllowRootAndHomeListingOfCompanyBucket`: consente all'utente (`JohnDoe`) di elencare gli oggetti al livello root del bucket `amzn-s3-demo-bucket` e nella cartella `home`. Questa istruzione consente inoltre all'utente di cercare in base al prefisso `home/` utilizzando la console.
+ `AllowListingOfUserFolder`: consente all'utente (`JohnDoe`) di elencare tutti gli oggetti nella cartella `home/JohnDoe/` e nelle eventuali sottocartelle.
+ `AllowAllS3ActionsInUserFolder`: consente all'utente di eseguire tutte le operazioni di Amazon S3 concedendo le autorizzazioni `Read`, `Write` e `Delete`. Le autorizzazioni sono limitate alla cartella principale del proprietario del bucket.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRootAndHomeListingOfCompanyBucket",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/JohnDoe"
                ]
            },
            "Effect": "Allow",
            "Action": ["s3:ListBucket"],
            "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket"],
            "Condition": {
                "StringEquals": {
                    "s3:prefix": ["", "home/", "home/JohnDoe"],
                    "s3:delimiter": ["/"]
                }
            }
        },
        {
            "Sid": "AllowListingOfUserFolder",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/JohnDoe"
                ]
            },
            "Action": ["s3:ListBucket"],
            "Effect": "Allow",
            "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket"],
            "Condition": {
                "StringLike": {
                    "s3:prefix": ["home/JohnDoe/*"]
                }
            }
        },
        {
            "Sid": "AllowAllS3ActionsInUserFolder",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:user/JohnDoe"
                ]
            },
            "Action": ["s3:*"],
            "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/home/JohnDoe/*"]
        }
    ]
}
```

------

## Gestione dell'accesso per i log degli accessi
<a name="example-bucket-policies-access-logs"></a>

### Concedere l'accesso ad Application Load Balancer per abilitare i log degli accessi
<a name="example-bucket-policies-access-logs-1"></a>

Quando abiliti i log degli accessi per Application Load Balancer, devi specificare il nome del bucket S3 in cui il sistema di bilanciamento del carico [archivierà i log](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/enable-access-logging.html#access-log-create-bucket). Il bucket deve avere una [policy collegata](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/enable-access-logging.html#attach-bucket-policy) che concede a Elastic Load Balancing l'autorizzazione a scrivere nel bucket.

Nell'esempio seguente, la policy di bucket concede a Elastic Load Balancing (ELB) l'autorizzazione a scrivere i log degli accessi nel bucket:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/111122223333/*"
        }
    ]
}
```

------

**Nota**  
Assicurati di sostituire `elb-account-id` con l'ID Account AWS per Elastic Load Balancing per la tua Regione AWS. Per l'elenco delle regioni Elastic Load Balancing, consulta [Collegamento di una policy al bucket Amazon S3](https://docs.aws.amazon.com//elasticloadbalancing/latest/classic/enable-access-logs.html#attach-bucket-policy) nella *Guida per l'utente di Elastic Load Balancing*.

Se la tua Regione AWS non compare nell'elenco delle regioni Elastic Load Balancing supportate, utilizza la seguente politica, che concede le autorizzazioni al servizio di consegna dei log specificato.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
       "Principal": {
         "Service": "logdelivery.elasticloadbalancing.amazonaws.com"
          },
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/111122223333/*"
    }
  ]
}
```

------

Quindi, assicurati di configurare i [log degli accessi di Elastic Load Balancing](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/enable-access-logging.html#enable-access-logs) abilitandoli. Puoi [verificare le autorizzazioni del bucket](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/enable-access-logging.html#verify-bucket-permissions) creando un file di test.

## Gestione dell'accesso a un Amazon CloudFront OAI
<a name="example-bucket-policies-cloudfront"></a>

### Concedi l'autorizzazione a un Amazon CloudFront OAI
<a name="example-bucket-policies-cloudfront-1"></a>

Il seguente esempio di bucket policy concede un'autorizzazione OAI ( CloudFront Origin Access Identity) per ottenere (leggere) tutti gli oggetti nel bucket S3. Puoi utilizzare un CloudFront OAI per consentire agli utenti di accedere agli oggetti nel tuo bucket tramite Amazon S3 CloudFront , ma non direttamente. Per ulteriori informazioni, consulta [Limitazione dell'accesso ai contenuti di Amazon S3 utilizzando un'identità di accesso di origine](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) nella * CloudFront Amazon* Developer Guide.

La policy seguente utilizza l'ID dell'identità di accesso origine (OAI) come `Principal` della policy. *Per ulteriori informazioni sull'utilizzo delle policy dei bucket S3 per concedere l'accesso a un CloudFront OAI, consulta [Migrating from Origin Access Identity (OAI) a Origin Access Control (OAC)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html#migrate-from-oai-to-oac) nella Amazon Developer Guide. CloudFront *

Per utilizzare questo esempio:
+ Sostituisci `EH1HDMB1FH2TC` con l'ID dell'identità di accesso origine (OAI). Per trovare l'ID dell'OAI, consulta la [pagina Origin Access Identity sulla CloudFront console o utilizzalo](https://console.aws.amazon.com/cloudfront/home?region=us-east-1#oai:) nell'API. [https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListCloudFrontOriginAccessIdentities.html](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListCloudFrontOriginAccessIdentities.html) CloudFront 
+ Sostituisci `amzn-s3-demo-bucket` con il nome del tuo bucket.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "PolicyForCloudFrontPrivateContent",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity EH1HDMB1FH2TC"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}
```

------

## Gestione dell'accesso per Amazon S3 Storage Lens
<a name="example-bucket-policies-lens"></a>

### Concedere le autorizzazioni per Amazon S3 Storage Lens
<a name="example-bucket-policies-lens-1"></a>

S3 Storage Lens aggrega i tuoi parametri e mostra le informazioni nella sezione **Account snapshot** (Snapshot dell'account) nella pagina **Buckets** (Bucket) della console di Amazon S3. S3 Storage Lens fornisce anche una dashboard interattiva che puoi utilizzare per visualizzare approfondimenti e tendenze, contrassegnare valori anomali e ricevere consigli per ottimizzare i costi di archiviazione e applicare le migliori pratiche di protezione dei dati. La dashboard offre opzioni drill-down per generare e visualizzare informazioni a livello di organizzazione, account, classe di storage, bucket, prefisso Regione AWS o gruppo Storage Lens. Puoi anche inviare un rapporto giornaliero sulle metriche in formato CSV o in Parquet formato a un bucket S3 generico o esportare le metriche direttamente in un bucket di tabella S3 gestito. AWS

S3 Storage Lens può esportare i parametri aggregati relativi l'utilizzo dell'archiviazione in un bucket Amazon S3 per ulteriori analisi. Il bucket in cui S3 Storage Lens colloca le esportazioni delle metriche è noto come *bucket di destinazione*. Quando configuri l'esportazione delle metriche di S3 Storage Lens, devi disporre di una policy di bucket per il bucket di destinazione. Per ulteriori informazioni, consulta [Monitoraggio dell'attività e dell'utilizzo dello storage con Amazon S3 Storage Lens](storage_lens.md).

La seguente policy di bucket di esempio concede ad Amazon S3 l'autorizzazione a scrivere oggetti (richieste `PUT`) in un bucket di destinazione. Questo tipo di policy di bucket viene utilizzato nel *bucket di destinazione* quando si imposta l'esportazione dei parametri di S3 Storage Lens.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3StorageLensExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "storage-lens.s3.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-destination-bucket/destination-prefix/StorageLens/111122223333/*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": "111122223333",
                    "aws:SourceArn": "arn:aws:s3:region-code:111122223333:storage-lens/storage-lens-dashboard-configuration-id"
                }
            }
        }
    ]
}
```

------

Utilizza la modifica seguente alla precedente istruzione `Resource` della policy di bucket quando configuri un'esportazione di parametri a livello di organizzazione S3 Storage Lens.

```
1. "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/destination-prefix/StorageLens/your-organization-id/*",
```

## Gestione delle autorizzazioni per i report di S3 Inventory, S3 Analytics e S3 Inventory
<a name="example-bucket-policies-s3-inventory"></a>

### Concedere autorizzazioni per S3 Inventory e S3 Analytics
<a name="example-bucket-policies-s3-inventory-1"></a>

S3 Inventory crea elenchi di oggetti in un bucket, mentre l'esportazione di analisi della classe di archiviazione di S3 Analytics genera file di output dei dati utilizzati nell'analisi. Il bucket per il quale l'inventario elenca gli oggetti è denominato *bucket di origine*. Il bucket nel quale viene scritto il file di inventario e il file di esportazione di analisi è definito *bucket di destinazione*. È necessario creare una policy di bucket per il bucket di destinazione quando si configura un inventario o un'esportazione di analisi. Per ulteriori informazioni, consultare [Catalogazione e analisi dei dati con Inventario S3](storage-inventory.md) e [Analisi di Amazon S3 – Analisi della classe di storage](analytics-storage-class.md).

La policy di bucket di esempio seguente concede ad Amazon S3 l'autorizzazione per scrivere oggetti (richieste `PUT`) dall'account per il bucket di origine nel bucket di destinazione. Questo tipo di policy di bucket viene utilizzato nel bucket di destinazione quando imposti S3 Inventory e l'esportazione di S3 Analytics.

------
#### [ JSON ]

****  

```
{  
      "Version":"2012-10-17",		 	 	 
      "Statement": [
        {
            "Sid": "InventoryAndAnalyticsExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": [
            "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
            ],
            "Condition": {
                "ArnLike": {
                "aws:SourceArn": "arn:aws:s3:::amzn-s3-demo-source-bucket"
                },
                "StringEquals": {
                    "aws:SourceAccount": "111122223333",
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}
```

------

### Controllo della creazione della configurazione dei report di Inventario S3
<a name="example-bucket-policies-s3-inventory-2"></a>

[Catalogazione e analisi dei dati con Inventario S3](storage-inventory.md) crea elenchi degli oggetti presenti in un bucket S3 e i metadata per ogni oggetto. L'autorizzazione `s3:PutInventoryConfiguration` consente all'utente di creare una configurazione dell'inventario che include tutti i campi dei metadati dell'oggetto disponibili per impostazione predefinita e di specificare il bucket di destinazione per memorizzare l'inventario. Un utente con accesso in lettura agli oggetti nel bucket di destinazione può accedere a tutti i campi di metadati degli oggetti disponibili nel report di inventario. Per ulteriori informazioni sui campi dei metadati disponibili in S3 Inventory, consulta [Elenco di Amazon S3 Inventory](storage-inventory.md#storage-inventory-contents).

Per impedire a un utente di configurare un report di Inventario S3, rimuovi l'autorizzazione `s3:PutInventoryConfiguration` dall'utente.

Alcuni campi dei metadati degli oggetti nelle configurazioni dei report dell'Inventario S3 sono opzionali, cioè sono disponibili per impostazione predefinita, ma possono essere limitati quando si concede a un utente l'autorizzazione `s3:PutInventoryConfiguration`. È possibile controllare se gli utenti possono includere questi campi di metadati opzionali nei loro report utilizzando la chiave di condizione `s3:InventoryAccessibleOptionalFields`. Per un elenco dei campi di metadati opzionali disponibili in Inventario S3, consulta [https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutBucketInventoryConfiguration.html#API_PutBucketInventoryConfiguration_RequestBody](https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutBucketInventoryConfiguration.html#API_PutBucketInventoryConfiguration_RequestBody) in *Riferimento API di Amazon Simple Storage Service*.

Per concedere a un utente l'autorizzazione a creare una configurazione dell'inventario con specifici campi di metadati opzionali, utilizzare la chiave di condizione `s3:InventoryAccessibleOptionalFields` per affinare le condizioni della policy del bucket. 

Il seguente esempio di policy concede a un utente (`Ana`) l'autorizzazione a creare una configurazione di inventario in modo condizionato. La condizione `ForAllValues:StringEquals` nella policy utilizza la chiave di condizione `s3:InventoryAccessibleOptionalFields` per specificare i due campi di metadati opzionali consentiti, ovvero `Size` e `StorageClass`. Quindi, quando `Ana` crea una configurazione di inventario, gli unici campi di metadati opzionali che può includere sono `Size` e `StorageClass`. 

------
#### [ JSON ]

****  

```
{
	"Id": "InventoryConfigPolicy",
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
			"Sid": "AllowInventoryCreationConditionally",
			"Effect": "Allow",			
			"Principal": {
				"AWS": "arn:aws:iam::111122223333:user/Ana"
			},			
			"Action": 
				"s3:PutInventoryConfiguration",
			"Resource": 
				"arn:aws:s3:::DOC-EXAMPLE-SOURCE-BUCKET",
			"Condition": {
				"ForAllValues:StringEquals": {
					"s3:InventoryAccessibleOptionalFields": [
					   "Size",
					   "StorageClass"
					   ]
				  }
				}
			}
	]
}
```

------

Per impedire a un utente di configurare un report dell'Inventario S3 che includa specifici campi di metadati opzionali, aggiungere un'istruzione esplicita `Deny` alla policy di bucket per il bucket di origine. Il seguente esempio di policy del bucket impedisce all'utente `Ana` di creare una configurazione dell'inventario nel bucket di origine `amzn-s3-demo-source-bucket` che includa i campi di metadati opzionali `ObjectAccessControlList` o `ObjectOwner`. L'utente `Ana` può comunque creare una configurazione dell'inventario con altri campi di metadati opzionali.

```
 1. {
 2. 	"Id": "InventoryConfigSomeFields",
 3. 	"Version": "2012-10-17",		 	 	 
 4. 	"Statement": [{
 5. 			"Sid": "AllowInventoryCreation",
 6. 			"Effect": "Allow",
 7. 			"Principal": {
 8. 				"AWS": "arn:aws:iam::111122223333:user/Ana"
 9. 			},
10. 			"Action": "s3:PutInventoryConfiguration",			
11. 			"Resource": 
12. 				"arn:aws:s3:::amzn-s3-demo-source-bucket",
13. 
14. 		},
15. 		{
16. 			"Sid": "DenyCertainInventoryFieldCreation",
17. 			"Effect": "Deny",
18. 			"Principal": {
19. 				"AWS": "arn:aws:iam::111122223333:user/Ana"
20. 			},
21. 			"Action": "s3:PutInventoryConfiguration",	
22. 			"Resource": 
23. 			  "arn:aws:s3:::amzn-s3-demo-source-bucket",			
24. 			"Condition": {
25. 				"ForAnyValue:StringEquals": {
26. 					"s3:InventoryAccessibleOptionalFields": [
27. 					   "ObjectOwner",
28. 					   "ObjectAccessControlList"
29. 					   ]
30. 				  }
31. 				}
32. 			}
33. 	]
34. }
```

**Nota**  
L'uso della chiave di condizione `s3:InventoryAccessibleOptionalFields` nelle policy dei bucket non influisce sulla consegna dei report di inventario basati sulle configurazioni di inventario esistenti. 

**Importante**  
Si consiglia di utilizzare `ForAllValues` con un effetto `Allow` o `ForAnyValue` con un effetto `Deny`, come mostrato negli esempi precedenti.  
Non usare `ForAllValues` con un effetto `Deny` né `ForAnyValue` con un effetto `Allow`, perché queste combinazioni possono essere troppo restrittive e bloccare la cancellazione della configurazione dell'inventario.  
Per ulteriori informazioni sugli operatori di set di condizioni `ForAllValues` e `ForAnyValue`, consulta [Tasti contestuali multivalore](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html#reference_policies_condition-multi-valued-context-keys) nella *Guida all'utente IAM*.

## Richiesta dell'autenticazione a più fattori (MFA)
<a name="example-bucket-policies-MFA"></a>

Amazon S3 supporta l'accesso all'API protetto con autenticazione MFA, una caratteristica che permette di imporre la Multi-Factor Authentication (MFA) per accedere alle risorse di Amazon S3. L'autenticazione a più fattori offre un ulteriore livello di sicurezza che puoi applicare al tuo ambiente. AWS L'autenticazione a più fattori (MFA) è una funzione di protezione che prevede che gli utenti dimostrino di possedere fisicamente un dispositivo MFA fornendo un codice MFA valido. Per ulteriori informazioni, consulta [Autenticazione a più fattori (MFA) di AWS](https://aws.amazon.com/mfa/). Puoi richiedere l'autenticazione MFA per tutte le richieste di accesso alle risorse di Amazon S3. 

Per imporre l'uso del requisito dell'autenticazione a più fattori (MFA), utilizza la chiave di condizione `aws:MultiFactorAuthAge` in una policy di bucket. Gli utenti IAM possono accedere alle risorse Amazon S3 utilizzando credenziali temporanee emesse da (). AWS Security Token Service AWS STS Al momento della richiesta AWS STS , dovrai fornire il codice MFA. 

Quando Amazon S3 riceve una richiesta con l'autenticazione a più fattori (MFA), la chiave di condizione `aws:MultiFactorAuthAge` fornisce un valore numerico che indica il tempo trascorso (in secondi) dalla creazione delle credenziali temporanee. Se le credenziali temporanee fornite nella richiesta non sono state create utilizzando un dispositivo MFA, il valore di questa chiave è null (assente). In una policy di bucket, è possibile aggiungere una condizione per controllare questo valore, come mostrato nell'esempio riportato di seguito. 

La policy di esempio nega qualsiasi operazione Amazon S3 nella cartella *`/taxdocuments`* del bucket `amzn-s3-demo-bucket` se la richiesta non è autenticata tramite l'autenticazione a più fattori (MFA). Per ulteriori informazioni su MFA, consulta la sezione [Utilizzo dell'autenticazione a più fattori (MFA) in AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) nella *Guida per l'utente di IAM*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "123",
    "Statement": [
      {
        "Sid": "",
        "Effect": "Deny",
        "Principal": "*",
        "Action": "s3:*",
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/taxdocuments/*",
        "Condition": { "Null": { "aws:MultiFactorAuthAge": true }}
      }
    ]
 }
```

------

La condizione `Null` nel blocco `Condition` viene valutata come `true` se il valore della chiave di condizione `aws:MultiFactorAuthAge` è null, a indicare che le credenziali di sicurezza temporanee nella richiesta sono state create senza un dispositivo MFA. 

La policy di bucket seguente è un'estensione di quella precedente. La seguente policy comprende due istruzioni dedicate. Una dichiarazione consente l'autorizzazione `s3:GetObject` per un bucket (`amzn-s3-demo-bucket`) per tutti gli utenti. La seconda dichiarazione limita ulteriormente l'accesso alla cartella `amzn-s3-demo-bucket/taxdocuments` nel bucket richiedendo l'autenticazione MFA. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "123",
    "Statement": [
      {
        "Sid": "DenyInsecureConnections",
        "Effect": "Deny",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": "s3:*",
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/taxdocuments/*",
        "Condition": { "Null": { "aws:MultiFactorAuthAge": true } }
      },
      {
        "Sid": "AllowGetObject",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": ["s3:GetObject"],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
      }
    ]
 }
```

------

Facoltativamente, è possibile utilizzare una condizione numerica per limitare la durata della validità della chiave `aws:MultiFactorAuthAge`. La durata specificata con la chiave `aws:MultiFactorAuthAge` è indipendente dalla durata delle credenziali di sicurezza temporanee utilizzate per l'autenticazione della richiesta. 

Ad esempio, la policy di bucket seguente, oltre a richiedere l'autenticazione MFA, controlla anche da quanto tempo esiste la sessione temporanea. La policy rifiuta tutte le operazioni se il valore della chiave `aws:MultiFactorAuthAge` indica che la sessione temporanea è stata creata oltre un'ora (3.600 secondi) prima. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "123",
    "Statement": [
      {
        "Sid": "",
        "Effect": "Deny",
        "Principal": "*",
        "Action": "s3:*",
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/taxdocuments/*",
        "Condition": {"Null": {"aws:MultiFactorAuthAge": true }}
      },
      {
        "Sid": "",
        "Effect": "Deny",
        "Principal": "*",
        "Action": "s3:*",
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/taxdocuments/*",
        "Condition": {"NumericGreaterThan": {"aws:MultiFactorAuthAge": 3600 }}
       },
       {
         "Sid": "",
         "Effect": "Allow",
         "Principal": "*",
         "Action": ["s3:GetObject"],
         "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
       }
    ]
 }
```

------

## Impedire agli utenti di eliminare gli oggetti
<a name="using-with-s3-actions-related-to-bucket-subresources"></a>

Per default, gli utenti non dispongono di autorizzazioni. Ma quando si creano le policy, è possibile che si concedano agli utenti autorizzazioni che non si intendevano concedere. Per evitare questi espedienti riguardo alle autorizzazioni, è possibile scrivere una policy di accesso più rigida aggiungendo un rifiuto esplicito. 

Per bloccare esplicitamente gli utenti o gli account dall'eliminazione di oggetti, è necessario aggiungere le seguenti azioni su una policy del bucket: `s3:DeleteObject`, `s3:DeleteObjectVersion` e `s3:PutLifecycleConfiguration`. Tutte e tre le azioni sono necessarie perché è possibile eliminare gli oggetti chiamando esplicitamente le operazioni dell'API `DELETE Object` o configurando il loro ciclo di vita (consulta [Gestione del ciclo di vita degli oggetti](object-lifecycle-mgmt.md)) in modo che Amazon S3 possa rimuovere gli oggetti quando la loro durata scade.

Nel seguente esempio di policy, si negano esplicitamente le autorizzazioni di `DELETE Object` all'utente `MaryMajor`. Un'istruzione esplicita `Deny` sostituisce sempre qualsiasi altra autorizzazione concessa.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "statement1",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/MaryMajor"
      },
      "Action": [
        "s3:GetObjectVersion",
        "s3:GetBucketAcl"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket1",
	 	"arn:aws:s3:::amzn-s3-demo-bucket1/*"
      ]
    },
    {
      "Sid": "statement2",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/MaryMajor"
      },
      "Action": [
        "s3:DeleteObject",
        "s3:DeleteObjectVersion",
        "s3:PutLifecycleConfiguration"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket1",
	    "arn:aws:s3:::amzn-s3-demo-bucket1/*"
      ]
    }
  ]
}
```

------

# Esempi di policy per i bucket che utilizzano le chiavi di condizione
<a name="amazon-s3-policy-keys"></a>

È possibile utilizzare in linguaggio delle policy di accesso per specificare le condizioni quando si concedono le autorizzazioni. È possibile utilizzare l'elemento opzionale `Condition`, o blocco `Condition`, per specificare le condizioni per l'entrata in vigore di una policy. 

Per le policy che utilizzano le chiavi di condizioni di Amazon S3 per operazioni su oggetti e bucket, consulta gli esempi seguenti. Per ulteriori informazioni su queste chiavi di condizione, consulta [Chiavi di condizione per Amazon S3](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys). Per un elenco completo delle azioni, delle chiavi di condizione e delle risorse di Amazon S3 che è possibile specificare nelle policy, consulta [Azioni, risorse e chiavi di condizione per Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) in *Riferimento alle autorizzazioni di servizio*.

Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta [Autorizzazioni necessarie per le operazioni API di Amazon S3](using-with-s3-policy-actions.md).

## Esempi: Chiavi di condizione di Amazon S3 per operazioni sugli oggetti
<a name="object-keys-in-amazon-s3-policies"></a>

Gli esempi seguenti mostrano come si possono usare le chiavi di condizione specifiche di Amazon S3 per le operazioni sugli oggetti. Per un elenco completo delle azioni, delle chiavi di condizione e delle risorse di Amazon S3 che è possibile specificare nelle policy, consulta [Azioni, risorse e chiavi di condizione per Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) in *Riferimento alle autorizzazioni di servizio*.

Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta [Autorizzazioni necessarie per le operazioni API di Amazon S3](using-with-s3-policy-actions.md).

Molte delle policy di esempio mostrano come è possibile utilizzare le chiavi di condizione con le operazioni [PUT Object](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPUT.html). Le operazioni PUT Object permettono intestazioni specifiche della lista di controllo degli accessi (ACL) che è possibile utilizzare per concedere autorizzazioni basate sulle liste ACL. Utilizzando queste chiavi di condizione, è possibile impostare una condizione per richiedere autorizzazioni di accesso specifiche quando l'utente carica un oggetto. Puoi anche concedere autorizzazioni basate su ACL con l'operazione. PutObjectAcl Per ulteriori informazioni, consulta il riferimento [PutObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html)all'*API Amazon S3 Amazon Simple Storage Service*. Per ulteriori informazioni su ACLs, consulta[Panoramica delle liste di controllo accessi (ACL)](acl-overview.md).

**Topics**
+ [

### Esempio 1: concessione dell'autorizzazione a `s3:PutObject` che richiede che gli oggetti siano memorizzati utilizzando la crittografia lato server
](#putobject-require-sse-2)
+ [

### Esempio 2: Concessione all'indirizzo `s3:PutObject` dell'autorizzazione a copiare oggetti con una restrizione sull'origine della copia
](#putobject-limit-copy-source-3)
+ [

### Esempio 3: concessione dell'accesso a una versione specifica di un oggetto
](#getobjectversion-limit-access-to-specific-version-3)
+ [

### Esempio 4: concessione di autorizzazioni in base ai tag degli oggetti
](#example-object-tagging-access-control)
+ [

### Esempio 5: limitazione dell'accesso in base all' Account AWS ID del proprietario del bucket
](#example-object-resource-account)
+ [

### Esempio 6: Richiesta di una versione TLS minima
](#example-object-tls-version)
+ [

### Esempio 7: Esclusione di alcuni principali da un'istruzione `Deny`
](#example-exclude-principal-from-deny-statement)
+ [

### Esempio 8: imporre ai client di caricare oggetti in modo condizionale in base ai nomi delle chiavi degli oggetti o ETags
](#example-conditional-writes-enforce)

### Esempio 1: concessione dell'autorizzazione a `s3:PutObject` che richiede che gli oggetti siano memorizzati utilizzando la crittografia lato server
<a name="putobject-require-sse-2"></a>

Si supponga che l'Account A possieda un bucket. L'amministratore dell'account vuole concedere a Jane, un utente dell'account A, l'autorizzazione a caricare oggetti con la condizione che Jane richieda sempre la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3). L'amministratore del conto A può specificare questo requisito utilizzando la chiave di condizione `s3:x-amz-server-side-encryption`, come mostrato. La coppia chiave-valore nel seguente blocco `Condition` specifica la chiave di condizione `s3:x-amz-server-side-encryption` e SSE-S3 (`AES256`) come tipo di crittografia:

```
"Condition": {
     "StringNotEquals": {
         "s3:x-amz-server-side-encryption": "AES256"
     }}
```

Quando si verifica questa autorizzazione utilizzando il AWS CLI, è necessario aggiungere la crittografia richiesta utilizzando il `--server-side-encryption` parametro, come illustrato nell'esempio seguente. Per utilizzare questo comando di esempio, sostituisci `user input placeholders` con le tue informazioni. 

```
aws s3api put-object --bucket amzn-s3-demo-bucket --key HappyFace.jpg --body c:\HappyFace.jpg --server-side-encryption "AES256" --profile AccountAadmin
```

### Esempio 2: Concessione all'indirizzo `s3:PutObject` dell'autorizzazione a copiare oggetti con una restrizione sull'origine della copia
<a name="putobject-limit-copy-source-3"></a>

In una richiesta di oggetto `PUT`, quando si specifica un oggetto di origine, la richiesta è un'operazione di copia (consulta [https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectCOPY.html](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectCOPY.html)). Di conseguenza è possibile che il proprietario del bucket assegni all'utente l'autorizzazione a copiare gli oggetti con qualche limitazione sull'origine, ad esempio:
+ Consente di copiare gli oggetti solo dal bucket di origine specificato (ad esempio, `amzn-s3-demo-source-bucket`).
+ Consente di copiare gli oggetti dal bucket di origine specificato e solo gli oggetti il cui prefisso del nome della chiave inizia con un prefisso specifico, come ad esempio *`public/`* (ad esempio, `amzn-s3-demo-source-bucket/public/*`).
+ Consente di copiare solo un oggetto specifico dal bucket di origine (ad esempio, `amzn-s3-demo-source-bucket/example.jpg`).

La seguente policy del bucket concede a un utente (`Dave`) l'autorizzazione `s3:PutObject`. Questa policy gli consente di copiare gli oggetti solo a condizione che la richiesta includa l'intestazione `s3:x-amz-copy-source` e che il valore dell'intestazione specifichi il prefisso del nome della chiave `/amzn-s3-demo-source-bucket/public/*`. Per utilizzare questa policy di esempio, sostituisci `user input placeholders` con le tue informazioni.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
       {
            "Sid": "cross-account permission to user in your own account",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/Dave"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
        },
        {
            "Sid": "Deny your user permission to upload object if copy source is not /bucket/prefix",
            "Effect": "Deny",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/Dave"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-source-bucket/*",
            "Condition": {
                "StringNotLike": {
                    "s3:x-amz-copy-source": "amzn-s3-demo-source-bucket/public/*"
                }
            }
        }
    ]
}
```

------

**Verificate la politica con AWS CLI**  
È possibile verificare l'autorizzazione utilizzando il AWS CLI `copy-object` comando. È possibile specificare l'origine aggiungendo il parametro `--copy-source`; il prefisso del nome della chiave deve corrispondere al prefisso consentito nella policy. È necessario fornire le credenziali all'utente Dave utilizzando il parametro `--profile`. *Per ulteriori informazioni sulla configurazione di AWS CLI, consulta [Developing with Amazon S3 using the AWS CLI nell'Amazon S3 API](https://docs.aws.amazon.com/AmazonS3/latest/API/setup-aws-cli.html) Reference.*

```
aws s3api copy-object --bucket amzn-s3-demo-source-bucket --key HappyFace.jpg 
--copy-source amzn-s3-demo-source-bucket/public/PublicHappyFace1.jpg --profile AccountADave
```

**Concessione dell'autorizzazione a copiare solo un oggetto specifico**  
La policy di cui sopra utilizza la condizione `StringNotLike`. Per concedere l'autorizzazione a copiare solo un oggetto specifico, è necessario modificare la condizione da `StringNotLike` a `StringNotEquals` e quindi specificare la chiave dell'oggetto esatto, come mostrato nell'esempio seguente. Per utilizzare questo comando di esempio, sostituisci `user input placeholders` con le tue informazioni.

```
"Condition": {
       "StringNotEquals": {
           "s3:x-amz-copy-source": "amzn-s3-demo-source-bucket/public/PublicHappyFace1.jpg"
       }
}
```

### Esempio 3: concessione dell'accesso a una versione specifica di un oggetto
<a name="getobjectversion-limit-access-to-specific-version-3"></a>

Si supponga che l'account A possieda un bucket con controllo delle versioni abilitato. Il bucket ha diverse versioni dell'oggetto `HappyFace.jpg`. L'amministratore dell'account A vuole ora concedere all'utente `Dave` il permesso di ottenere solo una versione specifica dell'oggetto. L'amministratore dell'account può ottenere questo risultato concedendo all'utente `Dave` l'autorizzazione `s3:GetObjectVersion` in modo condizionato, come mostrato nell'esempio seguente. La coppia chiave-valore nel blocco `Condition` specifica la chiave di condizione `s3:VersionId`. In questo caso, per recuperare l'oggetto dal bucket con controllo delle versioni abilitato specificato, `Dave` deve conoscere l'ID esatto della versione dell'oggetto. Per utilizzare questa policy di esempio, sostituisci `user input placeholders` con le tue informazioni.

Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html) in *Amazon Simple Storage Service API Reference* (Guida di riferimento per l'API di Amazon Simple Storage Service). 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/Dave"
            },
            "Action": "s3:GetObjectVersion",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/HappyFace.jpg"
        },
        {
            "Sid": "statement2",
            "Effect": "Deny",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/Dave"
            },
            "Action": "s3:GetObjectVersion",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/HappyFace.jpg",
            "Condition": {
                "StringNotEquals": {
                    "s3:VersionId": "AaaHbAQitwiL_h47_44lRO2DDfLlBO5e"
                }
            }
        }
    ]
}
```

------

**Verifica la politica con AWS CLI**  
È possibile verificare le autorizzazioni contenute in questa politica utilizzando il AWS CLI `get-object` comando con il `--version-id` parametro per identificare la versione specifica dell'oggetto da recuperare. Il comando recupera la versione specificata dell'oggetto e la salva nel file `OutputFile.jpg`.

```
aws s3api get-object --bucket amzn-s3-demo-bucket --key HappyFace.jpg OutputFile.jpg --version-id AaaHbAQitwiL_h47_44lRO2DDfLlBO5e --profile AccountADave
```

### Esempio 4: concessione di autorizzazioni in base ai tag degli oggetti
<a name="example-object-tagging-access-control"></a>

Per esempi su come utilizzare le chiavi di condizione del tagging degli oggetti con le operazioni di Amazon S3, consulta [Tagging e policy di controllo degli accessi](tagging-and-policies.md).

### Esempio 5: limitazione dell'accesso in base all' Account AWS ID del proprietario del bucket
<a name="example-object-resource-account"></a>

Puoi utilizzare la chiave `aws:ResourceAccount` o `s3:ResourceAccount` condition per scrivere policy endpoint IAM o Virtual Private Cloud (VPC) che limitano l'accesso di utenti, ruoli o applicazioni ai bucket Amazon S3 di proprietà di un ID specifico. Account AWS È possibile utilizzare queste chiavi di condizione per limitare l'accesso dei client all'interno del VPC ai bucket non di proprietà dell'utente.

Tuttavia, tieni presente che alcuni AWS servizi si basano sull'accesso a bucket gestiti. AWS Pertanto, l'utilizzo della chiave `aws:ResourceAccount` o `s3:ResourceAccount` nelle policy IAM potrebbe influire sull'accesso a queste risorse. Per maggiori informazioni, consulta le seguenti risorse:
+ [Limitazione dell'accesso ai bucket in un Account AWS](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#bucket-policies-s3) specificato nella *Guida di AWS PrivateLink *
+ [Limitazione dell'accesso ai bucket utilizzati da Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html#ecr-minimum-s3-perms)nella *Guida di Amazon ECR*
+ [Fornisci l'accesso richiesto a Systems Manager per i bucket Amazon S3 AWS gestiti](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-minimum-s3-permissions.html) *nella guida AWS Systems Manager *

Per ulteriori informazioni sulle chiavi di condizione `aws:ResourceAccount` e `s3:ResourceAccount` ed esempi che mostrano come usarle, consulta [Limitare l'accesso ai bucket Amazon S3 di proprietà di specifici Account AWS](https://aws.amazon.com/blogs/storage/limit-access-to-amazon-s3-buckets-owned-by-specific-aws-accounts/) nello *AWS Storage Blog*.

### Esempio 6: Richiesta di una versione TLS minima
<a name="example-object-tls-version"></a>

È possibile utilizzare la chiave di condizione `s3:TlsVersion` per scrivere policy IAM, endpoint di cloud privato virtuale (VPCE) o bucket che limitano l'accesso di utenti o applicazioni ai bucket Amazon S3 in base alla versione TLS utilizzata dal client. È possibile utilizzare questa chiave di condizione per scrivere policy che richiedono una versione TLS minima. 

**Nota**  
Quando AWS i servizi effettuano chiamate ad altri AWS servizi per tuo conto (service-to-service chiamate), alcuni contesti di autorizzazione specifici della rete vengono oscurati, tra cui,, e. `s3:TlsVersion` `aws:SecureTransport` `aws:SourceIp` `aws:VpcSourceIp` Se la tua politica utilizza queste chiavi di condizione con le `Deny` istruzioni, i responsabili del AWS servizio potrebbero essere bloccati involontariamente. Per consentire ai AWS servizi di funzionare correttamente mantenendo i requisiti di sicurezza, escludi i service principal dalle tue `Deny` dichiarazioni aggiungendo la chiave di `aws:PrincipalIsAWSService` condizione con il valore di. `false` Esempio:  

```
{
  "Effect": "Deny",
  "Action": "s3:*",
  "Resource": "*",
  "Condition": {
    "Bool": {
      "aws:SecureTransport": "false",
      "aws:PrincipalIsAWSService": "false"
    }
  }
}
```
Questa politica nega l'accesso alle operazioni di S3 quando non viene utilizzato HTTPS (`aws:SecureTransport`è falso), ma solo per i principali non di servizio.AWS Ciò garantisce che le restrizioni condizionali si applichino a tutti i principali ad eccezione dei responsabili dei servizi. AWS 

**Example**  
Il seguente esempio di policy del bucket *nega* le richieste di `PutObject` da parte di client che hanno una versione di TLS precedente a 1.2, ad esempio 1.1 o 1.0. Per utilizzare questa policy di esempio, sostituisci `user input placeholders` con le tue informazioni.    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1",
                "arn:aws:s3:::amzn-s3-demo-bucket1/*"
            ],
            "Condition": {
                "NumericLessThan": {
                    "s3:TlsVersion": 1.2
                }
            }
        }
    ]
}
```

**Example**  
Il seguente esempio di policy del bucket *consente* le richieste di `PutObject` da parte di client che hanno una versione TLS successiva alla 1.1, ad esempio 1.2, 1.3 o successiva:    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1",
                "arn:aws:s3:::amzn-s3-demo-bucket1/*"
            ],
            "Condition": {
                "NumericGreaterThan": {
                    "s3:TlsVersion": 1.1
                }
            }
        }
    ]
}
```

### Esempio 7: Esclusione di alcuni principali da un'istruzione `Deny`
<a name="example-exclude-principal-from-deny-statement"></a>

La seguente policy dei bucket nega a `s3:GetObject` l'accesso a `amzn-s3-demo-bucket`, tranne che ai principali con il numero di account *`123456789012`*. Per utilizzare questa policy di esempio, sostituisci `user input placeholders` con le tue informazioni.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAccessFromPrincipalNotInSpecificAccount",
      "Principal": {
        "AWS": "*"
      },
      "Action": "s3:GetObject",
      "Effect": "Deny",
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/*"
      ],
      "Condition": {
        "StringNotEquals": {
          "aws:PrincipalAccount": [
            "123456789012"
          ]
        }
      }
    }
  ]
}
```

------

### Esempio 8: imporre ai client di caricare oggetti in modo condizionale in base ai nomi delle chiavi degli oggetti o ETags
<a name="example-conditional-writes-enforce"></a>

Con le scritture condizionali, è possibile aggiungere un'intestazione aggiuntiva alle richieste di `WRITE` per specificare le precondizioni dell'operazione S3. Questa intestazione specifica una condizione che, se non viene soddisfatta, comporta il fallimento dell'operazione S3. Ad esempio, si può evitare la sovrascrittura di dati esistenti convalidando che non vi siano oggetti con lo stesso nome di chiave già presenti nel bucket durante il caricamento degli oggetti. In alternativa, puoi controllare il tag di entità di un oggetto (ETag) in Amazon S3 prima di scrivere un oggetto.

Per esempi di policy di bucket che utilizzano le condizioni in una policy di bucket per imporre scritture condizionali, consulta [Applicazione delle scritture condizionali sui bucket Amazon S3](conditional-writes-enforce.md).

## Esempi: Chiavi di condizione di Amazon S3 per le operazioni sui bucket
<a name="bucket-keys-in-amazon-s3-policies"></a>

I seguenti esempi di policy mostrano come sia possibile utilizzare chiavi di condizione specifiche di Amazon S3 per le operazioni sui bucket.

**Topics**
+ [

### Esempio 1: concessione dell'autorizzazione a `s3:GetObject` con una condizione su un indirizzo IP
](#AvailableKeys-iamV2)
+ [

### Esempio 2: recupero di un elenco di oggetti in un bucket con un prefisso specifico
](#condition-key-bucket-ops-2)
+ [

### Esempio 3: impostazione del numero massimo di chiavi
](#example-numeric-condition-operators)

### Esempio 1: concessione dell'autorizzazione a `s3:GetObject` con una condizione su un indirizzo IP
<a name="AvailableKeys-iamV2"></a>

È possibile concedere agli utenti autenticati il permesso di utilizzare l'azione `s3:GetObject` se la richiesta proviene da un intervallo specifico di indirizzi IP (ad esempio, `192.0.2.*`), a meno che l'indirizzo IP non sia uno di quelli che si desidera escludere (ad esempio, `192.0.2.188`). Nel blocco `Condition`, `IpAddress` e `NotIpAddress` sono condizioni e a ciascuna condizione viene fornita una coppia chiave-valore da valutare. Entrambe le coppie chiave-valore in questo esempio utilizzano la `aws:SourceIp` AWS chiave wide. Per utilizzare questa policy di esempio, sostituisci `user input placeholders` con le tue informazioni.

**Nota**  
I valori delle chiavi `IPAddress` e `NotIpAddress` specificati nel blocco `Condition` utilizzano la notazione CIDR, come descritto in RFC 4632. [Per ulteriori informazioni, consulta http://www.rfc-editor. org/rfc/rfc](http://www.rfc-editor.org/rfc/rfc4632.txt)4632.txt.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "S3PolicyId1",
    "Statement": [
        {
            "Sid": "statement1",
            "Effect": "Allow",
            "Principal": "*",
            "Action":"s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition" : {
                "IpAddress" : {
                    "aws:SourceIp": "192.0.2.0/24" 
                },
                "NotIpAddress" : {
                    "aws:SourceIp": "192.0.2.188/32" 
                } 
            } 
        } 
    ]
}
```

------

Puoi anche utilizzare altre chiavi di condizione AWS a livello di ‐wide nelle policy di Amazon S3. Ad esempio, è possibile specificare le chiavi di condizione `aws:SourceVpce` e `aws:SourceVpc` nelle policy di bucket per gli endpoint VPC. Per esempi specifici consulta [Controllo dell'accesso dagli endpoint VPC con policy di bucket](example-bucket-policies-vpc-endpoint.md).

**Nota**  
Per alcune chiavi di condizione AWS globali, sono supportati solo determinati tipi di risorse. Pertanto, verificare se Amazon S3 supporta la chiave di condizione globale e il tipo di risorsa che si desidera utilizzare, o se invece è necessario utilizzare una chiave di condizione specifica di Amazon S3. Per un elenco completo dei tipi di risorse e delle chiavi di condizione supportate per Amazon S3, consulta [Azioni, risorse e chiavi di condizione per Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) in *Riferimento alle autorizzazioni di servizio*.  
Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta [Autorizzazioni necessarie per le operazioni API di Amazon S3](using-with-s3-policy-actions.md).

### Esempio 2: recupero di un elenco di oggetti in un bucket con un prefisso specifico
<a name="condition-key-bucket-ops-2"></a>

È possibile utilizzare la chiave di condizione `s3:prefix` per limitare la risposta dell'operazione API ai nomi di chiavi con un prefisso specifico [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) API ai nomi delle chiavi con un prefisso specifico. Se si è il proprietario del bucket, si può usare questa chiave di condizione per limitare un utente a elencare il contenuto di un prefisso specifico nel bucket. La chiave di condizione `s3:prefix` è utile se gli oggetti del bucket sono organizzati per prefissi di nomi di chiavi. 

La console di Amazon S3 utilizza i prefissi dei nomi delle chiavi per mostrare un concetto di cartella. Solo la console supporta il concetto di cartelle, mentre l'API Amazon S3 supporta solo bucket e oggetti. Ad esempio, se due oggetti hanno i nomi delle chiavi *`public/object1.jpg`* e *`public/object2.jpg`*, la console mostra gli oggetti sotto la cartella *`public`*. Nell'API Amazon S3 questi sono oggetti con prefissi, non oggetti nelle cartelle. Per ulteriori informazioni sull'utilizzo di prefissi e delimitatori per filtrare le autorizzazioni di accesso, consulta [Procedura guidata: controllo dell'accesso a un bucket con policy utente](walkthrough1.md). 

Nel seguente scenario, il proprietario del bucket e l'account padre a cui appartiene l'utente sono gli stessi. Il proprietario del bucket può quindi utilizzare una policy del bucket o una policy dell'utente per concedere l'accesso. Per ulteriori informazioni sulle altre chiavi di condizione che è possibile utilizzare con l'operazione API `ListObjectsV2`, consulta la sezione [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html).

**Nota**  
Se per il bucket è abilitato il controllo delle versioni, per elencare gli oggetti nel bucket è necessario concedere l'autorizzazione `s3:ListBucketVersions` nelle policy seguenti, invece dell'autorizzazione `s3:ListBucket`. Il permesso `s3:ListBucketVersions` supporta anche la chiave di condizione `s3:prefix`. 

**Policy utente**  
La seguente policy utente concede l'autorizzazione `s3:ListBucket` (consulta [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)) con un'istruzione `Condition` che richiede all'utente di specificare un prefisso nella richiesta con un valore di `projects`. Per utilizzare questa policy di esempio, sostituisci `user input placeholders` con le tue informazioni.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"statement1",
         "Effect":"Allow",
         "Action": "s3:ListBucket",
         "Resource":"arn:aws:s3:::amzn-s3-demo-bucket",
         "Condition" : {
             "StringEquals" : {
                 "s3:prefix": "projects" 
             }
          } 
       },
      {
         "Sid":"statement2",
         "Effect":"Deny",
         "Action": "s3:ListBucket",
         "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
         "Condition" : {
             "StringNotEquals" : {
                 "s3:prefix": "projects" 
             }
          } 
       }         
    ]
}
```

------

L'istruzione `Condition` limita l'utente a elencare solo le chiavi degli oggetti che hanno il prefisso `projects`. L'aggiunta dell'istruzione esplicita `Deny` impedisce all'utente di elencare le chiavi con qualsiasi altro prefisso, indipendentemente dalle altre autorizzazioni di cui dispone. Ad esempio, è possibile che l'utente ottenga l'autorizzazione a elencare le chiavi degli oggetti senza alcuna restrizione, sia attraverso l'aggiornamento della precedente policy dell'utente sia attraverso una policy del bucket. Poiché le istruzioni esplicite `Deny` sovrascrivono sempre le istruzioni `Allow`, se l'utente tenta di elencare chiavi diverse da quelle che hanno il prefisso `projects`, la richiesta viene rifiutata. 

**Policy del bucket**  
Se si aggiunge l'elemento `Principal` alla policy utente di cui sopra, che identifica l'utente, si ottiene una policy del bucket, come mostrato nell'esempio seguente. Per utilizzare questa policy di esempio, sostituisci `user input placeholders` con le tue informazioni.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"statement1",
         "Effect":"Allow",
         "Principal": {
            "AWS": "arn:aws:iam::123456789012:user/bucket-owner"
         },  
         "Action":  "s3:ListBucket",
         "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
         "Condition" : {
             "StringEquals" : {
                 "s3:prefix": "projects" 
             }
          } 
       },
      {
         "Sid":"statement2",
         "Effect":"Deny",
         "Principal": {
            "AWS": "arn:aws:iam::123456789012:user/bucket-owner"
         },  
         "Action": "s3:ListBucket",
         "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
         "Condition" : {
             "StringNotEquals" : {
                 "s3:prefix": "projects"  
             }
          } 
       }         
    ]
}
```

------

**Prova la politica con AWS CLI**  
È possibile testare la politica utilizzando il seguente `list-object` AWS CLI comando. Nel comando, vengono fornite le credenziali utente utilizzando il parametro `--profile`. *Per ulteriori informazioni sulla configurazione e l'utilizzo di AWS CLI, consulta [Developing with Amazon S3 using the AWS CLI nel Amazon S3 API](https://docs.aws.amazon.com/AmazonS3/latest/API/setup-aws-cli.html) Reference.*

```
aws s3api list-objects --bucket amzn-s3-demo-bucket --prefix projects --profile AccountA
```

### Esempio 3: impostazione del numero massimo di chiavi
<a name="example-numeric-condition-operators"></a>

È possibile utilizzare la chiave di condizione `s3:max-keys` per impostare il numero massimo di chiavi che un richiedente può restituire in una richiesta [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) o [https://docs.aws.amazon.com//AmazonS3/latest/API/API_ListObjectVersions.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_ListObjectVersions.html). Per impostazione predefinita, queste operazioni API restituiscono fino a 1.000 chiavi. Per un elenco di operatori di condizione numerici che è possibile utilizzare con `s3:max-keys` e i relativi esempi, consulta [Operatori di condizione numerici](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Numeric) nella *Guida per l'utente di IAM*.

# Policy basate sull'identità per Amazon S3
<a name="security_iam_id-based-policy-examples"></a>

Per impostazione predefinita, gli utenti e i ruoli non hanno il permesso di creare o modificare le risorse Amazon S3. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.

Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.

*Per dettagli sulle azioni e sui tipi di risorse definiti da Amazon S3, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) nel Service Authorization Reference.*

Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta [Autorizzazioni necessarie per le operazioni API di Amazon S3](using-with-s3-policy-actions.md).

**Topics**
+ [

## Best practice per le policy
](#security_iam_service-with-iam-policy-best-practices)
+ [

# Procedura guidata: controllo dell'accesso a un bucket con policy utente
](walkthrough1.md)
+ [

# Esempi di policy basate sull'identità per Amazon S3
](example-policies-s3.md)

## Best practice per le policy
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Le policy basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon S3 nel tuo account. Queste operazioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le politiche AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** a utenti e carichi di lavoro, utilizza le politiche *AWS gestite* che concedono le autorizzazioni per molti casi d'uso comuni. Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.

Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.

# Procedura guidata: controllo dell'accesso a un bucket con policy utente
<a name="walkthrough1"></a>

Questa spiegazione passo per passo illustra il funzionamento delle autorizzazioni utente con Amazon S3. In questo esempio, viene creato un bucket con cartelle. Quindi crei utenti AWS Identity and Access Management IAM nel tuo Account AWS e concedi a tali utenti autorizzazioni incrementali sul tuo bucket Amazon S3 e sulle cartelle in esso contenute. 

**Topics**
+ [

## Principi di base relativi a bucket e cartelle
](#walkthrough-background1)
+ [

## Riepilogo della spiegazione passo per passo
](#walkthrough-scenario)
+ [

## Preparazione della procedura guidata
](#walkthrough-what-you-need)
+ [

## Fase 1: creazione di un bucket
](#walkthrough1-create-bucket)
+ [

## Fase 2: creazione di un gruppo e di utenti IAM
](#walkthrough1-add-users)
+ [

## Fase 3: verifica che gli utenti IAM non dispongano di autorizzazioni
](#walkthrough1-verify-no-user-permissions)
+ [

## Fase 4: concessione di autorizzazioni a livello di gruppo
](#walkthrough-group-policy)
+ [

## Fase 5: concessione di autorizzazioni specifiche all'utente IAM Alice
](#walkthrough-grant-user1-permissions)
+ [

## Fase 6: concessione di autorizzazioni specifiche all'utente IAM Bob
](#walkthrough1-grant-permissions-step5)
+ [

## Fase 7: protezione della cartella Private (Privato)
](#walkthrough-secure-private-folder-explicit-deny)
+ [

## Fase 8: Pulizia
](#walkthrough-cleanup)
+ [

## Risorse correlate
](#RelatedResources-walkthrough1)

## Principi di base relativi a bucket e cartelle
<a name="walkthrough-background1"></a>

Il modello di dati di Amazon S3 è una struttura flat: crei un bucket e il bucket archivia gli oggetti. Non c'è nessuna gerarchia di bucket secondari o sottocartelle, ma è possibile emulare una gerarchia delle cartelle. Strumenti come la console di Amazon S3 possono presentare una panoramica di queste cartelle e sottocartelle logiche nel bucket.

La console mostra che un bucket denominato `companybucket` ha tre cartelle, `Private`, `Development` e `Finance` e un oggetto, `s3-dg.pdf`. La console utilizza i nomi oggetto (chiavi) per creare una gerarchia logica con cartelle e sottocartelle. Considerare i seguenti esempi:
+ Quando crei la cartella `Development`, la console crea un oggetto con la chiave `Development/`. Nota il delimitatore finale '/' (`/`).
+ Quando carichi un oggetto denominato `Projects1.xls` nella cartella `Development`, la console carica l'oggetto e gli assegna la chiave `Development/Projects1.xls`. 

  Nella chiave, `Development` è il [prefisso](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html#keyprefix) e `/` è il delimitatore. L'API Amazon S3 supporta prefissi e delimitatori nelle operazioni. Ad esempio, è possibile ottenere un elenco di tutti gli oggetti da un bucket con un prefisso e un delimitatore specifici. Nella console, quando apri la cartella `Development`, viene visualizzato un elenco degli oggetti in essa contenuti. Nell'esempio seguente, la cartella `Development` contiene un solo oggetto. 

  Quando la console visualizza la cartella `Development` nel bucket `companybucket`, invia una richiesta ad Amazon S3 in cui specifica un prefisso `Development` e un delimitatore `/`. La risposta della console si presenta proprio come un elenco di cartelle nel file system del computer. L'esempio precedente mostra che il bucket `companybucket` ha un oggetto con la chiave `Development/Projects1.xls`.

La console utilizza le chiavi degli oggetti per dedurre una gerarchia logica. Amazon S3 non ha una gerarchia fisica. Amazon S3 dispone solo di bucket che contengono oggetti in una struttura di file piatti. Quando si creano oggetti utilizzando l'API Amazon S3, è possibile utilizzare le chiavi degli oggetti che implicano una gerarchia logica. Quando viene creata una gerarchia logica di oggetti, è possibile gestire l'accesso alle singole cartelle, come dimostrato in questa procedura guidata.

Prima di iniziare, assicurarsi di acquisire familiarità con il concetto di contenuto di un bucket a *livello di root*. Si supponga che il bucket `companybucket` abbia i seguenti oggetti:
+ `Private/privDoc1.txt`
+ `Private/privDoc2.zip`
+ `Development/project1.xls`
+ `Development/project2.xls`
+ `Finance/Tax2011/document1.pdf`
+ `Finance/Tax2011/document2.pdf`
+ `s3-dg.pdf`

Queste chiavi degli oggetti creano una gerarchia logica con `Private`, `Development` e `Finance` come cartelle a livello root e `s3-dg.pdf` come un oggetto a livello root. Quando si sceglie il nome di un bucket nella console di Amazon S3, le voci a livello di root vengono visualizzate. La console mostra i prefissi di livello superiore (`Private/`, `Development/` e `Finance/`) come cartelle a livello di root. La chiave dell'oggetto `s3-dg.pdf` non ha prefisso e quindi appare come voce a livello root.



## Riepilogo della spiegazione passo per passo
<a name="walkthrough-scenario"></a>

In questa procedura guidata, creare un bucket con tre cartelle (`Private`, `Development` e `Finance`) al suo interno. 

Ci sono due utenti, Alice e Bob. Alice deve accedere solo alla cartella `Development`, mentre Bob deve accedere solo alla cartella `Finance`. Il contenuto della cartella `Private` deve essere mantenuto privato. Nella guida, si gestisce l'accesso creando utenti IAM (l'esempio utilizza i nomi Alice e Bob) e concedendo loro le autorizzazioni necessarie. 

IAM supporta inoltre la creazione di gruppi di utenti e la concessione di autorizzazioni a livello di gruppo valide per tutti gli utenti presenti nel gruppo. In questo modo è possibile gestire le autorizzazioni in modo più efficiente. Per questo esercizio sia Alice che Bob hanno bisogno di autorizzazioni comuni. Pertanto, verrà creato anche un gruppo denominato `Consultants` e Alice e Bob saranno aggiunti al gruppo. Inizialmente, le autorizzazioni vengono assegnate collegando una policy di gruppo al gruppo stesso. Quindi, vengono aggiunte autorizzazioni specifiche per gli utenti collegando le policy agli utenti specifici.

**Nota**  
La spiegazione passo per passo utilizza `companybucket` come nome del bucket, Alice e Bob come utenti IAM e `Consultants` come nome del gruppo. Poiché Amazon S3 richiede che i nomi di bucket siano univoci a livello globale, è necessario sostituire il nome del bucket con un nome personalizzato.

## Preparazione della procedura guidata
<a name="walkthrough-what-you-need"></a>

 In questo esempio, utilizzi le tue Account AWS credenziali per creare utenti IAM. Inizialmente, questi utenti non hanno autorizzazioni. Le autorizzazioni vengono concesse in modo incrementale per l'esecuzione di operazioni di Amazon S3 specifiche. Per testare queste autorizzazioni, viene effettuato l'accesso alla console con le credenziali di ciascun utente. Man mano che concedi in modo incrementale le autorizzazioni come Account AWS proprietario e le testi come utente IAM, devi accedere e disconnetterti, ogni volta utilizzando credenziali diverse. È possibile eseguire questo test con un browser, ma il processo sarà più rapido se è possibile utilizzare due browser diversi. Utilizza un browser per connetterti a Console di gestione AWS con le tue Account AWS credenziali e un altro browser per connetterti con le credenziali utente IAM. 

 Per accedere a Console di gestione AWS con le tue Account AWS credenziali, vai su [https://console.aws.amazon.com/](https://console.aws.amazon.com/). Un utente IAM non può accedere utilizzando lo stesso link. Un utente IAM deve utilizzare una pagina di accesso abilitata per IAM. Come proprietario dell'account, è possibile fornire questo link agli utenti. 

Per ulteriori informazioni su IAM, consulta la [pagina di accesso alla Console di gestione AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html) nella *Guida per l'utente di IAM*.

### Per fornire un collegamento di accesso agli utenti IAM
<a name="walkthrough-sign-in-user-credentials"></a>

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro **Navigation (Navigazione)** scegliere**IAM Dashboard (Pannello di controllo IAM)**.

1. Prendere nota dell'URL in **IAM users sign in link (Collegamento di accesso utenti IAM)**. Sarà necessario fornire questo collegamento agli utenti IAM affinché possano accedere alla console con il loro nome utente e la loro password IAM.

## Fase 1: creazione di un bucket
<a name="walkthrough1-create-bucket"></a>

In questa fase, si accede alla console Amazon S3 con le credenziali Account AWS , si crea un bucket, si aggiungono cartelle al bucket e si caricano uno o due documenti di esempio in ciascuna cartella. 

1. Accedi a Console di gestione AWS e apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

1. Creare un bucket. 

   Per step-by-step istruzioni, consulta[Creazione di un bucket per uso generico](create-bucket-overview.md).

1. Caricare un documento nel bucket.

   Questo esercizio presume che il documento `s3-dg.pdf` si trovi a livello root di questo bucket. Se viene caricato un documento differente, è necessario sostituire il nome file con `s3-dg.pdf`.

1. Aggiungere tre cartelle denominate `Private`, `Finance` e `Development` al bucket.

   Per step-by-step istruzioni su come creare una cartella, consulta [Organizzazione degli oggetti nella console di Amazon S3 utilizzando le cartelle](using-folders.md) > nella *Guida per l'utente di Amazon Simple Storage Service*.

1. Caricare uno o due documenti in ciascuna cartella. 

   Per questo esercizio, si presume che siano stati caricati un paio di documenti in ciascuna cartella, in modo che il bucket abbia oggetti con le seguenti chiavi:
   + `Private/privDoc1.txt`
   + `Private/privDoc2.zip`
   + `Development/project1.xls`
   + `Development/project2.xls`
   + `Finance/Tax2011/document1.pdf`
   + `Finance/Tax2011/document2.pdf`
   + `s3-dg.pdf`

   

   Per step-by-step istruzioni, consulta[Caricamento degli oggetti](upload-objects.md). 

## Fase 2: creazione di un gruppo e di utenti IAM
<a name="walkthrough1-add-users"></a>

Ora utilizza la [Console IAM](https://console.aws.amazon.com/iam/) per aggiungere due utenti IAM, Alice e Bob, a Account AWS. Per step-by-step istruzioni, consulta [Creating an IAM user in your Account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console) nella *IAM User Guide*. 

Crea anche un gruppo amministrativo chiamato `Consultants`. Quindi, aggiungi entrambi gli utenti al gruppo. Per step-by-step istruzioni, consulta [Creazione di gruppi di utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html). 

**avvertimento**  
Quando si aggiungono utenti e un gruppo, non collegare alcuna policy che assegni autorizzazioni agli utenti. Inizialmente, questi utenti non dispongono di alcuna autorizzazione. Nelle sezioni seguenti, le autorizzazioni vengono concesse in modo incrementale. In primo luogo, devi accertarti di avere assegnato le password a questi utenti IAM. Queste credenziali utente vengono utilizzate per testare le operazioni di Amazon S3 e verificare che le autorizzazioni funzionino come previsto.

Per step-by-step istruzioni sulla creazione di un nuovo utente IAM, consulta [Creating an IAM user in your Account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) nella *IAM User Guide*. Quando crei gli utenti per questa procedura guidata, seleziona **Accesso alla Console di gestione AWS ** e deseleziona [Accesso programmatico](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys).

Per step-by-step istruzioni sulla creazione di un gruppo amministrativo, consulta [Creating Your First IAM Admin User and Group](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) nella *IAM User Guide*.



## Fase 3: verifica che gli utenti IAM non dispongano di autorizzazioni
<a name="walkthrough1-verify-no-user-permissions"></a>

Se stai utilizzando due browser, puoi ora utilizzare il secondo browser per effettuare l'accesso alla console con una delle credenziali utente IAM.

1. Utilizzando il link di accesso dell'utente IAM (consulta [Per fornire un collegamento di accesso agli utenti IAM](#walkthrough-sign-in-user-credentials)), effettua l'accesso alla Console di gestione AWS utilizzando una delle credenziali utente IAM.

1. Apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

    Verifica il messaggio della console che indica che l'accesso è negato. 

Ora, è possibile iniziare a concedere le autorizzazioni incrementali agli utenti. Innanzitutto, collegare una policy di gruppo che concede le autorizzazioni necessarie per entrambi gli utenti. 

## Fase 4: concessione di autorizzazioni a livello di gruppo
<a name="walkthrough-group-policy"></a>

Gli utenti devono essere in grado di effettuare quanto segue:
+ Elencare tutti i bucket di proprietà dell'account padre. A tale scopo, Bob e Alice devono avere l'autorizzazione per l'operazione `s3:ListAllMyBuckets`.
+ Elencare le voci, le cartelle e gli oggetti a livello root nel bucket `companybucket`. A tale scopo, Bob e Alice devono avere l'autorizzazione per l'operazione `s3:ListBucket` nel bucket `companybucket`.

Innanzitutto, creare una policy che concede tali autorizzazioni e quindi collegarla al gruppo `Consultants`. 

### Fase 4.1: concessione di autorizzazione per elencare tutti i bucket
<a name="walkthrough1-grant-permissions-step1"></a>

In questa fase viene creata una policy gestita che concede agli utenti le autorizzazioni minime per consentire loro di elencare tutti i bucket di proprietà dell'account padre. Quindi, tale policy verrà collegata al gruppo `Consultants`. Quando si collega la policy gestita a un utente o a un gruppo, si concede all'utente o al gruppo l'autorizzazione per ottenere un elenco dei bucket di proprietà dell' Account AWS parent.

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
**Nota**  
Poiché stai concedendo autorizzazioni utente, è necessario effettuare l'accesso con le credenziali dell' Account AWS , non come utente IAM.

1. Creare la policy gestita.

   1. Nel riquadro di navigazione sulla sinistra, selezionare **Policies (Policy)** e scegliere **Create Policy (Crea policy)**.

   1. Selezionare la scheda **JSON**.

   1. Copiare la policy di accesso seguente e incollarla nel campo di testo relativo alla policy.

------
#### [ JSON ]

****  

      ```
      {
        "Version":"2012-10-17",		 	 	 
        "Statement": [
          {
            "Sid": "AllowGroupToSeeBucketListInTheConsole",
            "Action": ["s3:ListAllMyBuckets"],
            "Effect": "Allow",
            "Resource": ["arn:aws:s3:::*"]
          }
        ]
      }
      ```

------

      Una policy è un documento JSON. Nel documento, uno `Statement` è una serie di oggetti, ognuno dei quali descrive un'autorizzazione utilizzando un insieme di coppie di nome-valore. La suddetta policy descrive un'autorizzazione specifica. L'`Action` specifica il tipo di accesso. Nella policy, `s3:ListAllMyBuckets` è un'operazione di Amazon S3 predefinita. Questa azione copre l'operazione Amazon S3 GET Service, che restituisce un elenco di tutti i bucket di proprietà del mittente autenticato. Il valore dell'elemento `Effect` determina se un'autorizzazione specifica è consentita o rifiutata.

   1. Scegliere **Review policy (Esamina policy)**. Nella pagina successiva, immettere `AllowGroupToSeeBucketListInTheConsole` nel campo **Name (Nome)**, quindi scegliere **Create policy (Crea policy)**.
**Nota**  
La voce **Summary (Riepilogo)** visualizza un messaggio in cui si afferma che la policy non concede alcuna autorizzazione. Per questa procedura guidata, il messaggio può essere ignorato.

1. Collegare la policy gestita `AllowGroupToSeeBucketListInTheConsole` che è stata creata al gruppo `Consultants`.

   Per step-by-step istruzioni su come allegare una policy gestita, consulta [Aggiungere e rimuovere le autorizzazioni di identità IAM nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#attach-managed-policy-console) per l'*utente IAM*. 

   I documenti della policy vengono collegati agli utenti e ai gruppi IAM nella console IAM. Poiché entrambi gli utenti devono essere in grado di elencare i bucket, la policy deve essere collegata al gruppo. 

1. Testare l'autorizzazione.

   1. Utilizzando il collegamento di accesso utente IAM (consultare [Per fornire un collegamento di accesso agli utenti IAM](#walkthrough-sign-in-user-credentials)), accedere alla console con una delle credenziali utente IAM.

   1. Apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

      La console ora dovrebbe elencare tutti i bucket, ma non gli oggetti contenuti in ogni bucket.

### Fase 4.2: abilitazione degli utenti a elencare il contenuto di un bucket a livello root
<a name="walkthrough1-grant-permissions-step2"></a>

Di seguito, consentire a tutti gli utenti nel gruppo `Consultants` di elencare le voci del bucket `companybucket` a livello root. Quando un utente sceglie il bucket aziendale nella console di Amazon S3, può visualizzare le voci a livello root nel bucket.

**Nota**  
Questo esempio utilizza `companybucket` a scopo illustrativo. È necessario utilizzare il nome del bucket che è stato creato.

Per comprendere la richiesta che la console invia ad Amazon S3 quando si sceglie il nome di un bucket, la risposta che Amazon S3 restituisce e il modo in cui la console interpreta la risposta, esaminare il flusso un po' più da vicino.

Quando viene scelto un nome di bucket, la console invia la richiesta [GET Bucket (ListObjects)](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketGET.html) ad Amazon S3. Questa richiesta include i seguenti parametri:
+ Il parametro `prefix` che presenta una stringa vuota come valore. 
+ Il `delimiter` parametro con `/` come valore. 

Di seguito è riportata una richiesta di esempio.

```
GET ?prefix=&delimiter=/ HTTP/1.1 
Host: companybucket.s3.amazonaws.com
Date: Wed, 01 Aug  2012 12:00:00 GMT
Authorization: AWS AKIAIOSFODNN7EXAMPLE:xQE0diMbLRepdf3YB+FIEXAMPLE=
```

Amazon S3 restituisce una risposta che include il seguente elemento `<ListBucketResult/>`.

```
<ListBucketResult xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
  <Name>companybucket</Name>
  <Prefix></Prefix>
  <Delimiter>/</Delimiter>
   ...
  <Contents>
    <Key>s3-dg.pdf</Key>
    ...
  </Contents>
  <CommonPrefixes>
    <Prefix>Development/</Prefix>
  </CommonPrefixes>
  <CommonPrefixes>
    <Prefix>Finance/</Prefix>
  </CommonPrefixes>
  <CommonPrefixes>
    <Prefix>Private/</Prefix>
  </CommonPrefixes>
</ListBucketResult>
```

L'oggetto `s3-dg.pdf` della chiave non contiene il delimitatore barra (`/`) e Amazon S3 restituisce la chiave nell'elemento `<Contents>`. Tutte le altre chiavi nel bucket di esempio contengono tuttavia il delimitatore `/`. Amazon S3 raggruppa queste chiavi e restituisce un elemento `<CommonPrefixes>` per ciascuno dei diversi valori di prefisso `Development/`, `Finance/` e `Private/` che corrisponde a una sottostringa dall'inizio di queste chiavi alla prima occorrenza del delimitatore `/` specificato. 

La console interpreta questo risultato e mostra le voci a livello root come tre cartelle e una chiave dell'oggetto. 

Se Bob o Alice apre la cartella **Development**, la console invia la richiesta [GET Bucket (ListObjects)](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketGET.html) ad Amazon S3 con i parametri `prefix` e `delimiter` impostati sui seguenti valori:
+ Il parametro `prefix` con il valore `Development/`.
+ Il parametro `delimiter` con il valore "`/`". 

In risposta, Amazon S3 restituisce le chiavi degli oggetti che iniziano con il prefisso specificato. 

```
<ListBucketResult xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
  <Name>companybucket</Name>
  <Prefix>Development</Prefix>
  <Delimiter>/</Delimiter>
   ...
  <Contents>
    <Key>Project1.xls</Key>
    ...
  </Contents>
  <Contents>
    <Key>Project2.xls</Key>
    ...
  </Contents> 
</ListBucketResult>
```

La console mostra le chiavi degli oggetti.

Ora, tornare alla concessione dell'autorizzazione agli utenti per elencare le voci del bucket a livello root. Per elencare il contenuto del bucket, gli utenti devono disporre dell'autorizzazione per chiamare l'operazione `s3:ListBucket`, come illustrato nella seguente dichiarazione di policy. Per fare in modo che possa essere visualizzato il contenuto a livello root, è necessario aggiungere una condizione per richiedere che gli utenti specifichino un oggetto `prefix` vuoto nella richiesta, ovvero gli utenti non sono autorizzati a fare doppio clic su alcuna cartella a livello root. Infine, aggiungere una condizione per esigere un accesso di tipo cartella imponendo che le richieste dell'utente includano il parametro `delimiter` con il valore "`/`". 

```
{
  "Sid": "AllowRootLevelListingOfCompanyBucket",
  "Action": ["s3:ListBucket"],
  "Effect": "Allow",
  "Resource": ["arn:aws:s3:::companybucket"],
  "Condition":{ 
         "StringEquals":{
             "s3:prefix":[""], "s3:delimiter":["/"]
                        }
              }
}
```

Quando scegli un bucket sulla console Amazon S3, la console invia innanzitutto la richiesta di posizione [GET Bucket per trovare dove è distribuito Regione AWS il bucket](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketGETlocation.html). La console utilizza quindi l'endpoint specifico della regione per il bucket per inviare la richiesta [GET Bucket (ListObjects)](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketGET.html). Di conseguenza, se gli utenti utilizzeranno la console, è necessario assegnare l'autorizzazione per l'operazione `s3:GetBucketLocation` come illustrato nella seguente dichiarazione di policy.

```
{
   "Sid": "RequiredByS3Console",
   "Action": ["s3:GetBucketLocation"],
   "Effect": "Allow",
   "Resource": ["arn:aws:s3:::*"]
}
```

**Per consentire agli utenti di elencare il contenuto di un bucket a livello root**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

   Usa Account AWS le tue credenziali, non le credenziali di un utente IAM, per accedere alla console.

1. Sostituire la policy gestita `AllowGroupToSeeBucketListInTheConsole` esistente che è collegata al gruppo `Consultants` con la seguente policy, che consente anche l'operazione `s3:ListBucket`. Ricordarsi di sostituire *`companybucket`* nella policy `Resource` con il nome del proprio bucket. 

   Per step-by-step istruzioni, consulta [Modifica delle politiche IAM nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) per l'*utente IAM*. Quando segui le step-by-step istruzioni, assicurati di seguire i passaggi per applicare le modifiche a tutte le principali entità a cui è allegata la policy. 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	                  
     "Statement": [
        {
          "Sid": "AllowGroupToSeeBucketListAndAlsoAllowGetBucketLocationRequiredForListBucket",
          "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ],
          "Effect": "Allow",
          "Resource": [ "arn:aws:s3:::*"  ]
        },
        {
          "Sid": "AllowRootLevelListingOfCompanyBucket",
          "Action": ["s3:ListBucket"],
          "Effect": "Allow",
          "Resource": ["arn:aws:s3:::companybucket"],
          "Condition":{ 
                "StringEquals":{
                       "s3:prefix":[""], "s3:delimiter":["/"]
                              }
                      }
        }
     ] 
   }
   ```

------

1. Test delle autorizzazioni aggiornate.

   1. Mediante il link di accesso dell'utente IAM (consulta [Per fornire un collegamento di accesso agli utenti IAM](#walkthrough-sign-in-user-credentials)), accedere alla Console di gestione AWS. 

      Apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

   1. Scegliere il bucket creato. La console mostra le voci del bucket a livello root. Se si sceglie qualsiasi cartella nel bucket, non sarà possibile visualizzare il contenuto della cartella perché le relative autorizzazioni non sono state ancora concesse.

Questo test ha esito positivo quando gli utenti utilizzano la console di Amazon S3. Quando si sceglie un bucket sulla console, l'implementazione della console invia una richiesta che include il parametro `prefix` con una stringa vuota come valore e il parametro `delimiter` con "`/`" come valore.

### Fase 4.3: sintesi della policy di gruppo
<a name="walkthrough-group-policy-summary"></a>

L'effetto della policy di gruppo aggiunta è quello di concedere agli utenti IAM Alice e Bob le seguenti autorizzazioni minime:
+ Elencare tutti i bucket di proprietà dell'account padre.
+ Visualizzare le voci a livello root nel bucket `companybucket`. 

Tuttavia, gli utenti ancora non possono fare molto. Di seguito, concedere autorizzazioni specifiche per utente, come segue:
+ Consentire a Alice di prendere e mettere oggetti nella cartella `Development`.
+ Consentite a Bob di prendere e mettere oggetti nella cartella `Finance`.

Per le autorizzazioni specifiche dell'utente, collegare una policy all'utente specifico, non al gruppo. Nella sezione seguente, ad Alice vengono concesse le autorizzazioni per lavorare nella cartella `Development`. È possibile ripetere le fasi per concedere un'autorizzazione simile a Bob per lavorare nella cartella `Finance`.

## Fase 5: concessione di autorizzazioni specifiche all'utente IAM Alice
<a name="walkthrough-grant-user1-permissions"></a>

È necessario ora concedere autorizzazioni aggiuntive ad Alice in modo che possa vedere il contenuto della cartella `Development` per poter prendere e mettere oggetti nella stessa.

### Fase 5.1: concessione dell'autorizzazione a elencare il contenuto della cartella Development all'utente IAM Alice
<a name="walkthrough-grant-user1-permissions-listbucket"></a>

Affinché Alice possa elencare il contenuto della cartella `Development`, è necessario applicare all'utente Alice una policy che conceda l'autorizzazione per l'azione `s3:ListBucket` sul bucket `companybucket`, a condizione che la richiesta includa il prefisso `Development/`. Questa policy deve essere applicata solo all'utente Alice, pertanto viene utilizzata una policy inline. Per ulteriori informazioni sulle policy inline, consulta [Policy gestite e policy inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) nella *Guida per l'utente di IAM*.

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   Usa Account AWS le tue credenziali, non le credenziali di un utente IAM, per accedere alla console.

1. Creare una policy inline per concedere all'utente Alice l'autorizzazione per elencare il contenuto della cartella `Development`.

   1. Nel riquadro di navigazione sinistro, scegliere **Users (Utenti)**.

   1. Scegli il nome utente **Alice**.

   1. Nella pagina dei dettagli dell'utente, scegliere la scheda **Permissions (Autorizzazioni)**, quindi selezionare **Add inline policy (Aggiungi policy inline)**.

   1. Selezionare la scheda **JSON**.

   1. Copia la seguente policy per incollarla nel campo di testo della policy.

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	   
          "Statement": [
          {
            "Sid": "AllowListBucketIfSpecificPrefixIsIncludedInRequest",
            "Action": ["s3:ListBucket"],
            "Effect": "Allow",
            "Resource": ["arn:aws:s3:::companybucket"],
            "Condition": { "StringLike": {"s3:prefix": ["Development/*"] }
             }
          }
        ]
      }
      ```

------

   1. Scegliere **Review policy (Esamina policy)**. Nella pagina successiva, immettere un nome nel campo **Name (Nome)**, quindi scegliere **Create policy (Crea policy)**.

1. Test della modifica apportata alle autorizzazioni di Alice:

   1. Mediante il link di accesso dell'utente IAM (consulta [Per fornire un collegamento di accesso agli utenti IAM](#walkthrough-sign-in-user-credentials)), accedere alla Console di gestione AWS. 

   1. Apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

   1. Nella console di Amazon S3 verificare che Alice possa visualizzare l'elenco degli oggetti nella cartella `Development/` del bucket. 

      Quando l'utente sceglie la cartella `/Development` per visualizzare l'elenco degli oggetti in essa contenuti, la console di Amazon S3 invia la richiesta `ListObjects` ad Amazon S3 con il prefisso `/Development`. Poiché all'utente è stata concessa l'autorizzazione per visualizzare l'elenco degli oggetti con il prefisso `Development` e il delimitatore `/`, Amazon S3 restituisce l'elenco degli oggetti con il prefisso della chiave `Development/` e la console visualizza tale elenco.

### Fase 5.2: concessione delle autorizzazioni a recuperare e inserire oggetti nella cartella Development all'utente IAM Alice
<a name="walkthrough-grant-user1-permissions-get-put-object"></a>

Affinché Alice possa prendere e mettere oggetti nella cartella `Development`, ha bisogno di un'autorizzazione per chiamare le operazioni `s3:GetObject` e `s3:PutObject`. Le seguenti dichiarazioni di policy assegnano queste autorizzazioni purché la richiesta includa il parametro `prefix` con un valore di `Development/`.

```
{
    "Sid":"AllowUserToReadWriteObjectData",
    "Action":["s3:GetObject", "s3:PutObject"],
    "Effect":"Allow",
    "Resource":["arn:aws:s3:::companybucket/Development/*"]
 }
```



1. Accedi a Console di gestione AWS e apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

   Usa Account AWS le tue credenziali, non quelle di un utente IAM, per accedere alla console.

1. Modificare la policy inline creata nella fase precedente. 

   1. Nel riquadro di navigazione sinistro, scegliere **Users (Utenti)**.

   1. Scegliere il nome utente Alice.

   1. Nella pagina dei dettagli, scegliere la scheda **Permissions (Autorizzazioni)** ed espandere la sezione **Inline Policies (Policy inline)**.

   1. Accanto al nome della policy creata nella fase precedente, scegliere **Edit Policy (Modifica policy)** .

   1. Copiare la seguente policy e incollarla nel campo di testo della policy, sostituendo la policy esistente.

------
#### [ JSON ]

****  

      ```
      {
           "Version":"2012-10-17",		 	 	 
           "Statement":[
            {
               "Sid":"AllowListBucketIfSpecificPrefixIsIncludedInRequest",
               "Action":["s3:ListBucket"],
               "Effect":"Allow",
               "Resource":["arn:aws:s3:::companybucket"],
               "Condition":{
                  "StringLike":{"s3:prefix":["Development/*"]
                  }
               }
            },
            {
              "Sid":"AllowUserToReadWriteObjectDataInDevelopmentFolder", 
              "Action":["s3:GetObject", "s3:PutObject"],
              "Effect":"Allow",
              "Resource":["arn:aws:s3:::companybucket/Development/*"]
            }
         ]
      }
      ```

------

1. Test della policy aggiornata:

   1. Mediante il link di accesso dell'utente IAM (consulta [Per fornire un collegamento di accesso agli utenti IAM](#walkthrough-sign-in-user-credentials)), accedere alla Console di gestione AWS. 

   1. Apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

   1. Nella console di Amazon S3 verificare che Alice possa aggiungere e scaricare un oggetto nella cartella `Development`. 

### Fase 5.3: rifiuto esplicito delle autorizzazioni relative a qualsiasi altra cartella del bucket per l'utente IAM Alice
<a name="walkthrough-grant-user1-explicit-deny-other-access"></a>

L'utente Alice ora può elencare il contenuto del bucket `companybucket` a livello root. Inoltre, ora può prendere e mettere oggetti nella cartella `Development`. Se si vuole effettivamente limitare le autorizzazioni di accesso, è possibile rifiutare esplicitamente ad Alice l'accesso a qualsiasi altra cartella del bucket. Se esiste qualsiasi altra policy (policy di bucket o ACL) che assegna ad Alice l'accesso a eventuali altre cartelle del bucket, questo rifiuto esplicito sovrascrive tali autorizzazioni. 

È possibile aggiungere la seguente istruzione alla policy utente di Alice, che prevede che tutte le richieste inviate da Alice ad Amazon S3 includano il parametro `prefix`, il cui valore può essere `Development/*` oppure una stringa vuota. 



```
{
   "Sid": "ExplicitlyDenyAnyRequestsForAllOtherFoldersExceptDevelopment",
   "Action": ["s3:ListBucket"],
   "Effect": "Deny",
   "Resource": ["arn:aws:s3:::companybucket"],
   "Condition":{  "StringNotLike": {"s3:prefix":["Development/*",""] },
                  "Null"         : {"s3:prefix":false }
    }
}
```

Esistono due espressioni condizionali nel blocco `Condition`. Il risultato di queste espressioni condizionali viene combinato utilizzando l'`AND` logico. Se entrambe le condizioni sono vere, il risultato della condizione combinata è vero. Poiché `Effect` in questa policy è `Deny`, quando `Condition` viene valutata true, gli utenti non saranno in grado di eseguire la `Action` specificata.
+ L'espressione condizionale `Null` assicura che le richieste provenienti da Alice includano il parametro `prefix`. 

  Il parametro `prefix` richiede l'accesso di tipo cartella. Se viene inviata una richiesta senza il parametro `prefix`, Amazon S3 restituisce tutte le chiavi degli oggetti. 

  Se la richiesta include il parametro `prefix` con un valore null, l'espressione restituisce il valore True, quindi tutta la `Condition` restituisce il valore True. È necessario consentire una stringa vuota come valore del parametro `prefix`. Da quanto detto in precedenza, ricordare che permettere una stringa nulla significa consentire ad Alice di recuperare le voci del bucket a livello root come fa la console nella precedente discussione. Per ulteriori informazioni, consulta [Fase 4.2: abilitazione degli utenti a elencare il contenuto di un bucket a livello root](#walkthrough1-grant-permissions-step2). 
+ L'espressione condizionale `StringNotLike` assicura che se il valore del parametro `prefix` viene specificato e non è `Development/*`, la richiesta ha esito negativo. 

Seguire le fasi della sezione precedente e aggiornare nuovamente la policy inline creata per l'utente Alice.

Copiare la seguente policy e incollarla nel campo di testo della policy, sostituendo la policy esistente.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"AllowListBucketIfSpecificPrefixIsIncludedInRequest",
         "Action":["s3:ListBucket"],
         "Effect":"Allow",
         "Resource":["arn:aws:s3:::companybucket"],
         "Condition":{
            "StringLike":{"s3:prefix":["Development/*"]
            }
         }
      },
      {
        "Sid":"AllowUserToReadWriteObjectDataInDevelopmentFolder", 
        "Action":["s3:GetObject", "s3:PutObject"],
        "Effect":"Allow",
        "Resource":["arn:aws:s3:::companybucket/Development/*"]
      },
      {
         "Sid": "ExplicitlyDenyAnyRequestsForAllOtherFoldersExceptDevelopment",
         "Action": ["s3:ListBucket"],
         "Effect": "Deny",
         "Resource": ["arn:aws:s3:::companybucket"],
         "Condition":{  "StringNotLike": {"s3:prefix":["Development/*",""] },
                        "Null"         : {"s3:prefix":false }
          }
      }
   ]
}
```

------

## Fase 6: concessione di autorizzazioni specifiche all'utente IAM Bob
<a name="walkthrough1-grant-permissions-step5"></a>

È necessario ora assegnare a Bob l'autorizzazione per la cartella `Finance`. Seguire le fasi utilizzate precedentemente per assegnare le autorizzazioni ad Alice ma sostituire la cartella `Development` con la cartella `Finance`. Per step-by-step istruzioni, consulta[Fase 5: concessione di autorizzazioni specifiche all'utente IAM Alice](#walkthrough-grant-user1-permissions). 

## Fase 7: protezione della cartella Private (Privato)
<a name="walkthrough-secure-private-folder-explicit-deny"></a>

In questo esempio, vi sono soltanto due utenti. Sono state concesse le autorizzazioni minime a livello di gruppo e quelle a livello di utente unicamente quando erano veramente necessarie delle autorizzazioni a livello di singolo utente. Questo approccio contribuisce ad alleggerire l'impegno necessario per gestire le autorizzazioni. Con l'aumento del numero degli utenti, la gestione delle autorizzazioni può diventare gravosa. Ad esempio, non vogliamo che alcun utente di questo esempio acceda al contenuto della cartella `Private`. Come ci si assicura di non concedere accidentalmente a un utente i permessi per la cartella `Private`? È necessario aggiungere una policy che rifiuti esplicitamente l'accesso alla cartella. Un rifiuto esplicito sovrascrive qualsiasi altra autorizzazione. 

Per essere certi che la cartella `Private` resti privata, è possibile aggiungere le seguenti due dichiarazioni di rifiuto alla policy di gruppo:
+ Aggiungere la seguente dichiarazione per rifiutare esplicitamente qualsiasi operazione sulle risorse della cartella `Private` (`companybucket/Private/*`).

  ```
  {
    "Sid": "ExplictDenyAccessToPrivateFolderToEveryoneInTheGroup",
    "Action": ["s3:*"],
    "Effect": "Deny",
    "Resource":["arn:aws:s3:::companybucket/Private/*"]
  }
  ```
+ Viene inoltre rifiutata l'autorizzazione a eseguire l'operazione di elenco degli oggetti quando la richiesta specifica il prefisso `Private/`. Nella console, se Bob o Alice apre la cartella `Private`, questa policy fa in modo che Amazon S3 restituisca una risposta di errore.

  ```
  {
    "Sid": "DenyListBucketOnPrivateFolder",
    "Action": ["s3:ListBucket"],
    "Effect": "Deny",
    "Resource": ["arn:aws:s3:::*"],
    "Condition":{
        "StringLike":{"s3:prefix":["Private/"]}
     }
  }
  ```

Sostituire la policy del gruppo `Consultants` con una policy aggiornata che includa le precedenti dichiarazioni di rifiuto. Una volta applicata la policy aggiornata, nessuno degli utenti del gruppo può accedere alla cartella `Private` nel bucket. 

1. Accedi a Console di gestione AWS e apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

   Usa Account AWS le tue credenziali, non quelle di un utente IAM, per accedere alla console.

1. Sostituire la policy gestita `AllowGroupToSeeBucketListInTheConsole` esistente che è collegata al gruppo `Consultants` con la seguente policy. Ricordarsi di sostituire *`companybucket`* nella policy con il nome del bucket. 

   Per istruzioni, consulta [Modifica delle policy gestite dai clienti](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console) nella *Guida all'utente IAM*. Quando si seguono le istruzioni, osservare le indicazioni per l'applicazione delle modifiche a tutte le entità principali a cui è collegata la policy. 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "AllowGroupToSeeBucketListAndAlsoAllowGetBucketLocationRequiredForListBucket",
         "Action": ["s3:ListAllMyBuckets", "s3:GetBucketLocation"],
         "Effect": "Allow",
         "Resource": ["arn:aws:s3:::*"]
       },
       {
         "Sid": "AllowRootLevelListingOfCompanyBucket",
         "Action": ["s3:ListBucket"],
         "Effect": "Allow",
         "Resource": ["arn:aws:s3:::companybucket"],
         "Condition":{
             "StringEquals":{"s3:prefix":[""]}
          }
       },
       {
         "Sid": "RequireFolderStyleList",
         "Action": ["s3:ListBucket"],
         "Effect": "Deny",
         "Resource": ["arn:aws:s3:::*"],
         "Condition":{
             "StringNotEquals":{"s3:delimiter":"/"}
          }
        },
       {
         "Sid": "ExplictDenyAccessToPrivateFolderToEveryoneInTheGroup",
         "Action": ["s3:*"],
         "Effect": "Deny",
         "Resource":["arn:aws:s3:::companybucket/Private/*"]
       },
       {
         "Sid": "DenyListBucketOnPrivateFolder",
         "Action": ["s3:ListBucket"],
         "Effect": "Deny",
         "Resource": ["arn:aws:s3:::*"],
         "Condition":{
             "StringLike":{"s3:prefix":["Private/"]}
          }
       }
     ]
   }
   ```

------



## Fase 8: Pulizia
<a name="walkthrough-cleanup"></a>

Per la pulizia, apri la [Console IAM](https://console.aws.amazon.com/iam/) e rimuovi gli utenti Alice e Bob. Per step-by-step istruzioni, consulta [Eliminazione di un utente IAM nella Guida per l'utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html#id_users_deleting) *IAM*.

Per essere certi che non vengano addebitati costi aggiuntivi per lo storage, è necessario eliminare anche gli oggetti e il bucket che è stato creato per questo esercizio.

## Risorse correlate
<a name="RelatedResources-walkthrough1"></a>
+ [Gestione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) nella *Guida per l'utente IAM*

# Esempi di policy basate sull'identità per Amazon S3
<a name="example-policies-s3"></a>

Questa sezione mostra diversi esempi di policy basate sull'identità AWS Identity and Access Management (IAM) per il controllo dell'accesso ad Amazon S3. Per le *policy dei bucket* (policy basate sulle risorse), consulta [Policy dei bucket per Amazon S3](bucket-policies.md). Per informazioni sul linguaggio delle policy IAM, consulta [Policy e autorizzazioni in Amazon S3](access-policy-language-overview.md).

Le policy di esempio seguenti funzionano se vengono testate a livello di programma. Per utilizzarle con la console di Amazon S3 occorre tuttavia concedere autorizzazioni aggiuntive che sono richieste dalla console. Per ulteriori informazioni sull'utilizzo di policy come queste con la console di Amazon S3, consulta [Procedura guidata: controllo dell'accesso a un bucket con policy utente](walkthrough1.md). 

Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta [Autorizzazioni necessarie per le operazioni API di Amazon S3](using-with-s3-policy-actions.md).

**Topics**
+ [

## Concessione a un utente IAM dell'accesso a uno dei bucket
](#iam-policy-ex0)
+ [

## Concessione a ogni utente IAM dell'accesso a una cartella in un bucket
](#iam-policy-ex1)
+ [

## Concessione a un gruppo dell'accesso a una cartella condivisa in Amazon S3
](#iam-policy-ex2)
+ [

## Permesso a tutti gli utenti di leggere gli oggetti in una parte del bucket
](#iam-policy-ex3)
+ [

## Permesso a un partner di rilasciare i file in una parte specifica del bucket
](#iam-policy-ex4)
+ [

## Limitazione dell'accesso ai bucket Amazon S3 all'interno di uno specifico Account AWS
](#iam-policy-ex6)
+ [

## Limitare l'accesso ai bucket Amazon S3 all'interno della propria unità organizzativa
](#iam-policy-ex7)
+ [

## Limitazione dell'accesso ai bucket Amazon S3 all'interno dell'organizzazione
](#iam-policy-ex8)
+ [

## Concessione del permesso di recuperare la configurazione per un PublicAccessBlock Account AWS
](#using-with-s3-actions-related-to-accountss)
+ [

## Limitare la creazione di bucket a una sola Regione
](#condition-key-bucket-ops-1)

## Concessione a un utente IAM dell'accesso a uno dei bucket
<a name="iam-policy-ex0"></a>

In questo esempio, vuoi concedere a un utente IAM incluso nel tuo account Account AWS l'accesso a uno dei tuoi bucket e consentire all'utente di aggiungere, aggiornare ed eliminare oggetti. *amzn-s3-demo-bucket1* 

Oltre ad assegnare le autorizzazioni `s3:PutObject`, `s3:GetObject` e `s3:DeleteObject` all'utente, la policy assegna anche le autorizzazioni `s3:ListAllMyBuckets`, `s3:GetBucketLocation` e `s3:ListBucket`. Queste sono le autorizzazioni aggiuntive richieste dalla console. Inoltre, le operazioni `s3:PutObjectAcl` e `s3:GetObjectAcl` sono necessarie per essere in grado di copiare, tagliare e incollare gli oggetti nella console. Per una procedura guidata di esempio che concede autorizzazioni a utenti e le testa utilizzando la console, consulta [Procedura guidata: controllo dell'accesso a un bucket con policy utente](walkthrough1.md). 

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action": "s3:ListAllMyBuckets",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":["s3:ListBucket","s3:GetBucketLocation"],
         "Resource":"arn:aws:s3:::amzn-s3-demo-bucket1"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetObject",
            "s3:GetObjectAcl",
            "s3:DeleteObject"
         ],
         "Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/*"
      }
   ]
}
```

------

## Concessione a ogni utente IAM dell'accesso a una cartella in un bucket
<a name="iam-policy-ex1"></a>

In questo esempio, si vuole che due utenti IAM, Mary e Carlos, abbiano accesso al bucket, *amzn-s3-demo-bucket1*, in modo che possano aggiungere, aggiornare e cancellare oggetti. Tuttavia, si vuole limitare l'accesso di ciascun utente a un unico prefisso (cartella) nel bucket. Si possono creare cartelle con nomi che corrispondono ai loro nomi utente. 

```
amzn-s3-demo-bucket1
   Mary/
   Carlos/
```

Per assegnare a ciascun utente unicamente l'accesso alla cartella, è possibile scrivere una policy per ogni utente e collegarla singolarmente. È ad esempio possibile collegare la seguente policy all'utente Mary per concederle autorizzazioni Amazon S3 specifiche sulla cartella `amzn-s3-demo-bucket1/Mary`.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "s3:PutObject",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion"
         ],
         "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/Mary/*"
      }
   ]
}
```

------

Successivamente, è possibile collegare una policy simile all'utente Carlos, specificando la cartella `Carlos` nel valore `Resource`.

Invece di collegare le policy ai singoli utenti, è possibile scrivere un'unica policy che utilizzi una variabile di policy, collegandola poi a un gruppo. In primo luogo, occorre creare un gruppo e aggiungervi Mary e Carlos. La seguente policy di esempio concede un set di autorizzazioni Amazon S3 nella cartella `amzn-s3-demo-bucket1/${aws:username}`. Quando la policy viene valutata, la variabile della policy `${aws:username}` viene sostituita dal nome utente del richiedente. Ad esempio, se Mary invia una richiesta di inserimento di un oggetto, l'operazione è consentita solo se l'oggetto viene caricato nella cartella `amzn-s3-demo-bucket1/Mary`.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:PutObject",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion"
         ],
         "Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/${aws:username}/*"
      }
   ]
}
```

------

**Nota**  
Quando si utilizzano le variabili di policy, è necessario specificare esplicitamente la versione `2012-10-17` nella policy. La versione di default del linguaggio della policy IAM, 2008-10-17, non supporta le variabili di policy. 

 Se si vuole testare la policy precedente nella console di Amazon S3, la console deve avere l'autorizzazione per ottenere autorizzazioni aggiuntive, come illustrato nella policy seguente. Per ulteriori informazioni su come la console utilizza queste autorizzazioni, consulta [Procedura guidata: controllo dell'accesso a un bucket con policy utente](walkthrough1.md). 

------
#### [ JSON ]

****  

```
{
 "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowGroupToSeeBucketListInTheConsole",
      "Action": [ 
      	"s3:ListAllMyBuckets", 
      	"s3:GetBucketLocation" 
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::*"  
    },
    {
      "Sid": "AllowRootLevelListingOfTheBucket",
      "Action": "s3:ListBucket",
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1",
      "Condition": { 
            "StringEquals": {
                    "s3:prefix": [""], "s3:delimiter": ["/"]
                           }
                 }
    },
    {
      "Sid": "AllowListBucketOfASpecificUserPrefix",
      "Action": "s3:ListBucket",
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1",
      "Condition": {  "StringLike": {"s3:prefix": ["${aws:username}/*"] }
       }
    },
      {
     "Sid": "AllowUserSpecificActionsOnlyInTheSpecificUserPrefix",
         "Effect": "Allow",
         "Action": [
            "s3:PutObject",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion"
         ],
         "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/${aws:username}/*"
      }
  ]
}
```

------

**Nota**  
Nella versione 2012-10-17 della policy, le variabili di policy iniziano con `$`. Questa modifica nella sintassi potenzialmente può creare un conflitto se la chiave dell'oggetto (nome dell'oggetto) include un `$`.   
Per evitare questo conflitto, specificare il carattere `$` usando `${$}`. Ad esempio, per includere una chiave dell'oggetto `my$file` in una policy, si specifica il carattere con `my${$}file`.

Sebbene i nomi utente IAM siano identificatori semplici, in formato leggibile, non sono necessariamente univoci a livello globale. Ad esempio, se l'utente Carlos lascia l'organizzazione ed entra un altro utente Carlos, il Carlos nuovo potrebbe accedere alle informazioni del precedente Carlos.

Invece di usare nomi utente, puoi creare cartelle basate sull'utente IAM. IDs Ogni ID utente IAM è univoco. In questo caso, si deve modificare la policy precedente per utilizzare la variabile di policy `${aws:userid}`. Per ulteriori informazioni sugli identificatori utente, consulta [Identificatori IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html)nella *Guida per l'utente di IAM*.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "s3:PutObject",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion"
         ],
         "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/home/${aws:userid}/*"
      }
   ]
}
```

------

### Concessione a utenti non IAM (utenti dell'app per dispositivi mobili) dell'accesso alle cartelle in un bucket
<a name="non-iam-mobile-app-user-access"></a>

Si supponga che si vuole sviluppare un'app mobile, un gioco che archivia i dati degli utenti in un bucket S3. Per ogni utente dell'app, si vuole creare una cartella nel bucket. Si vuole anche limitare l'accesso di ogni utente alla propria cartella. Ma non è possibile creare cartelle prima che qualcuno scarichi l'applicazione e inizi a giocare, perché non si dispone del suo ID utente.

In questo caso, è possibile richiedere agli utenti di accedere all'app mediante provider di identità pubblici quali Login with Amazon, Facebook o Google. Una volta che gli utenti hanno effettuato l'accesso all'app mediante uno di questi provider, dispongono di un ID utente che può essere utilizzato per creare cartelle specifiche di un determinato utente al runtime.

Puoi quindi utilizzare la federazione delle identità web AWS Security Token Service per integrare le informazioni del provider di identità con la tua app e ottenere credenziali di sicurezza temporanee per ogni utente. Successivamente è possibile creare policy IAM che permettono all'app di accedere al bucket ed eseguire operazioni come la creazione di cartelle specifiche dell'utente e il caricamento dei dati. Per ulteriori informazioni sulla federazione delle identità Web, consulta [Informazioni sulla federazione delle identità Web](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html) nella *Guida per l'utente di IAM*.

## Concessione a un gruppo dell'accesso a una cartella condivisa in Amazon S3
<a name="iam-policy-ex2"></a>

Collegando la policy seguente al gruppo viene concesso a tutti i membri del gruppo l'accesso alla seguente cartella in Amazon S3: `amzn-s3-demo-bucket1/share/marketing`. I membri del gruppo possono accedere solo alle autorizzazioni Amazon S3 specifiche illustrate nella policy e unicamente per gli oggetti nella cartella specificata. 

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:PutObject",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion"
         ],
         "Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/share/marketing/*"
      }
   ]
}
```

------

## Permesso a tutti gli utenti di leggere gli oggetti in una parte del bucket
<a name="iam-policy-ex3"></a>

In questo esempio viene creato un gruppo denominato `AllUsers`, che contiene tutti gli utenti IAM che appartengono all' Account AWS. Viene collegata quindi una policy che consente al gruppo di accedere a `GetObject` e `GetObjectVersion`, ma solo per gli oggetti nella cartella `amzn-s3-demo-bucket1/readonly`. 

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetObject",
            "s3:GetObjectVersion"
         ],
         "Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/readonly/*"
      }
   ]
}
```

------

## Permesso a un partner di rilasciare i file in una parte specifica del bucket
<a name="iam-policy-ex4"></a>

In questo esempio, viene creato un gruppo denominato `AnyCompany` che rappresenta un'azienda partner. Viene creato un utente IAM per la persona o l'applicazione specifica presso l'azienda partner che ha necessità di effettuare l'accesso, quindi l'utente viene inserito nel gruppo. 

Viene collegata quindi una policy che consente al gruppo di accedere alla cartella seguente in un bucket aziendale:

`amzn-s3-demo-bucket1/uploads/anycompany` 

Desideri inoltre impedire al gruppo `AnyCompany` di eseguire qualsiasi altra operazione con il bucket, quindi aggiungi un'istruzione che rifiuta esplicitamente l'autorizzazione per qualsiasi azione Amazon S3 ad eccezione di `PutObject` su qualsiasi risorsa Amazon S3 nell'account Account AWS.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"s3:PutObject",
         "Resource":"arn:aws:s3:::amzn-s3-demo-bucket1/uploads/anycompany/*"
      },
      {
         "Effect":"Deny",
         "Action":"s3:*",
         "NotResource":"arn:aws:s3:::amzn-s3-demo-bucket1/uploads/anycompany/*"
      }
   ]
}
```

------

## Limitazione dell'accesso ai bucket Amazon S3 all'interno di uno specifico Account AWS
<a name="iam-policy-ex6"></a>

Se vuoi assicurarti che i tuoi responsabili di Amazon S3 accedano solo alle risorse che si trovano all'interno di un account affidabile Account AWS, puoi limitare l'accesso. Ad esempio, questa [Policy IAM basata sull'identità](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) utilizza un effetto `Deny` per bloccare l'accesso alle azioni Amazon S3, a meno che la risorsa Amazon S3 a cui si accede non sia presente nell'account `222222222222`. Per impedire a un principale IAM di accedere a oggetti Amazon S3 al di fuori dell'account, allega la seguente policy IAM: Account AWS 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyS3AccessOutsideMyBoundary",
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "222222222222"
          ]
        }
      }
    }
  ]
}
```

------

**Nota**  
Questa policy non sostituisce i controlli di accesso IAM esistenti, perché non concede alcun accesso. Invece, questa policy funge da guardrail aggiuntivo per le altre autorizzazioni IAM, indipendentemente dalle autorizzazioni concesse tramite altre policy IAM.

Assicurati di sostituire l'ID account `222222222222` nella policy con il tuo Account AWS. Per applicare una policy a più account pur mantenendo questa restrizione, sostituire l'ID account con la chiave di condizione `aws:PrincipalAccount`. Questa condizione richiede che il principale e la risorsa devono trovarsi nello stesso account.

## Limitare l'accesso ai bucket Amazon S3 all'interno della propria unità organizzativa
<a name="iam-policy-ex7"></a>

Se disponi di un'[unità organizzativa (OU)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) configurata in AWS Organizations, potresti voler limitare l'accesso ai bucket Amazon S3 a una parte specifica dell'organizzazione. In questo esempio, utilizziamo la chiave `aws:ResourceOrgPaths` per limitare l'accesso del bucket Amazon S3 a un'unità organizzativa della tua organizzazione. In questo esempio, l'[ID dell'unità organizzativa](https://docs.aws.amazon.com/organizations/latest/APIReference/API_OrganizationalUnit.html) è `ou-acroot-exampleou`. Assicurati di sostituire questo valore nella tua policy con la tua unità organizzativa. IDs

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
     {
       "Sid": "AllowS3AccessOutsideMyBoundary",
       "Effect": "Allow",
       "Action": [
         "s3:*"
       ],
       "Resource": "*",
       "Condition": {
         "ForAllValues:StringLike": {
           "aws:ResourceOrgPaths": [
             "o-acorg/r-acroot/ou-acroot-exampleou/"
           ] 
         }
       }
     }
   ]
 }
```

------

**Nota**  
Questa policy non garantisce alcun accesso. Al contrario, questa policy funge da backstop per le altre autorizzazioni IAM, impedendo ai tuoi principali di accedere a oggetti Amazon S3 al di fuori di un limite definito dall'unità organizzativa.

La policy nega l'accesso alle azioni di Amazon S3 a meno che l'oggetto Amazon S3 a cui si accede non si trovi nell'UO `ou-acroot-exampleou` nella tua organizzazione. La [Condizione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) richiede `aws:ResourceOrgPaths`, una chiave di condizione multivalore, per contenere uno qualsiasi dei percorsi dell'unità organizzativa elencati. La politica utilizza l'`ForAllValues:StringNotLike`operatore per confrontare i valori di `aws:ResourceOrgPaths` con quelli elencati OUs senza distinzione tra maiuscole e minuscole.

## Limitazione dell'accesso ai bucket Amazon S3 all'interno dell'organizzazione
<a name="iam-policy-ex8"></a>

Per limitare l'accesso agli oggetti Amazon S3 all'interno dell'organizzazione, allega una policy IAM alla radice dell'organizzazione, applicandola a tutti gli account dell'organizzazione. Per richiedere ai tuoi principale IAM di seguire questa regola, usa una [policy di controllo dei servizi (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html). Se scegli di utilizzare una SCP, assicurati di [testare l'SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-warning-testing-effect) prima di allegare la policy alla radice dell'organizzazione.

Nella seguente policy di esempio, l'accesso viene negato alle azioni di Amazon S3 a meno che l'oggetto Amazon S3 a cui si accede non si trovi nella stessa organizzazione del principale IAM che vi sta accedendo:

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
     {
       "Sid": "DenyS3AccessOutsideMyBoundary",
       "Effect": "Deny",
       "Action": [
         "s3:*"
       ],
       "Resource": "arn:aws:s3:::*/*",
       "Condition": {
         "StringNotEquals": {
           "aws:ResourceOrgID": "${aws:PrincipalOrgID}"
         }
       }
     }
   ]
 }
```

------

**Nota**  
Questa policy non garantisce alcun accesso. Invece, questa policy funge da backstop per le altre autorizzazioni IAM, impedendo ai tuoi principali di accedere a qualsiasi oggetto Amazon S3 al di fuori della tua organizzazione. Questa policy si applica anche alle risorse Amazon S3 create dopo l'entrata in vigore della policy.

La [Condizione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) in questo esempio richiede che `aws:ResourceOrgID` e `aws:PrincipalOrgID` siano uguali l'uno all'altro. Con questo requisito, il principale che effettua la richiesta e la risorsa a cui si accede devono trovarsi nella stessa organizzazione.

## Concessione del permesso di recuperare la configurazione per un PublicAccessBlock Account AWS
<a name="using-with-s3-actions-related-to-accountss"></a>

Il seguente esempio di policy basata sull'identità concede l'autorizzazione `s3:GetAccountPublicAccessBlock` a un utente. Per queste autorizzazioni, è necessario impostare il valore `Resource` su `"*"`. Per informazioni sulla risorsa ARNs, vedere. [Risorse di policy per Amazon S3](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-resources)

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"statement1",
         "Effect":"Allow",
         "Action":[
            "s3:GetAccountPublicAccessBlock" 
         ],
         "Resource":[
            "*"
         ]
       }
    ]
}
```

------

## Limitare la creazione di bucket a una sola Regione
<a name="condition-key-bucket-ops-1"></a>

Supponiamo che un Account AWS amministratore voglia concedere al proprio utente (Dave) l'autorizzazione a creare un bucket solo nella regione del Sud America (San Paolo). L'amministratore dell'account può collegare la seguente policy utente assegnando l'autorizzazione `s3:CreateBucket` con una condizione, come mostrato. La coppia chiave-valore nel blocco `Condition` specifica la chiave `s3:LocationConstraint` e la regione `sa-east-1` come valore corrispondente.

**Nota**  
In questo esempio, il proprietario di bucket sta assegnando un'autorizzazione a uno dei suoi utenti, in modo da poter utilizzare una policy di bucket o una policy utente. Questo esempio mostra una policy utente.

Per un elenco delle regioni di Amazon S3, consultare la sezione relativa a [regioni ed endpoint](https://docs.aws.amazon.com/general/latest/gr/s3.html) nella *Riferimenti generali di AWS*. 

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Sid": "statement1",
         "Effect": "Allow",
         "Action": "s3:CreateBucket",
         "Resource": "arn:aws:s3:::*",
         "Condition": {
             "StringLike": {
                 "s3:LocationConstraint": "sa-east-1"
             }
         }
       }
    ]
}
```

------

**Aggiunta del rifiuto esplicito**  
La policy precedente limita l'utente impedendogli di creare un bucket in qualsiasi altra regione al di fuori di `sa-east-1`. Tuttavia, qualche altra policy potrebbe assegnare a questo utente l'autorizzazione a creare bucket in un'altra regione. Ad esempio, se l'utente appartiene a un gruppo, è possibile che questo gruppo abbia una policy collegata che assegna a tutti gli utenti del gruppo stesso l'autorizzazione a creare bucket in un'altra regione. Per assicurarsi che l'utente non ottenga il permesso di creare bucket in qualsiasi altra Regione, è possibile aggiungere un'istruzione esplicita di rifiuto nella policy di cui sopra. 

L'istruzione `Deny` utilizza la condizione `StringNotLike`. Cioè, la richiesta di creazione del bucket viene rifiutata se il vincolo di posizione non è `sa-east-1`. La negazione esplicita non consente all'utente di creare un bucket in nessun'altra Regione, indipendentemente dalle altre autorizzazioni ottenute dall'utente. La seguente policy include un'istruzione esplicita di rifiuto.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"statement1",
         "Effect":"Allow",
         "Action": "s3:CreateBucket",
         "Resource": "arn:aws:s3:::*",
         "Condition": {
             "StringLike": {
                 "s3:LocationConstraint": "sa-east-1"
             }
         }
       },
      {
         "Sid":"statement2",
         "Effect":"Deny",
         "Action": "s3:CreateBucket",
         "Resource": "arn:aws:s3:::*",
         "Condition": {
             "StringNotLike": {
                 "s3:LocationConstraint": "sa-east-1"
             }
         }
       }
    ]
}
```

------

**Prova la politica con il AWS CLI**  
È possibile testare la politica utilizzando il seguente `create-bucket` AWS CLI comando. Questo esempio utilizza il file `bucketconfig.txt` per specificare il vincolo di posizione. Si noti il percorso del file Windows. È necessario aggiornare il nome del bucket e il percorso come opportuno. È necessario fornire le credenziali utente utilizzando il parametro `--profile`. *Per ulteriori informazioni sulla configurazione e l'utilizzo di AWS CLI, consulta [Developing with Amazon S3 using the AWS CLI nel Amazon S3 API](https://docs.aws.amazon.com/AmazonS3/latest/API/setup-aws-cli.html) Reference.*

```
aws s3api create-bucket --bucket examplebucket --profile AccountADave --create-bucket-configuration file://c:/Users/someUser/bucketconfig.txt
```

Il file `bucketconfig.txt` specifica la configurazione come segue:

```
{"LocationConstraint": "sa-east-1"}
```

# Passaggi che utilizzano le policy per gestire l'accesso alle risorse Amazon S3
<a name="example-walkthroughs-managing-access"></a>

Questo argomento contiene i seguenti esempi di procedure guidate introduttive per concedere l'accesso alle risorse di Amazon S3. Questi esempi lo utilizzano Console di gestione AWS per creare risorse (bucket, oggetti, utenti) e concedere loro autorizzazioni. Gli esempi mostrano quindi come verificare le autorizzazioni utilizzando gli strumenti a riga di comando per evitare di scrivere il codice. Forniamo comandi utilizzando sia il AWS Command Line Interface (AWS CLI) che il. AWS Tools for Windows PowerShell
+ [Esempio 1: il proprietario del bucket concede agli utenti le autorizzazioni per il bucket](example-walkthroughs-managing-access-example1.md)

  Per default, gli utenti IAM creati nell'account non dispongono delle autorizzazioni. In questo esercizio agli utenti verrà concessa un'autorizzazione per eseguire le operazioni sui bucket e sugli oggetti.
+ [Esempio 2: il proprietario del bucket concede autorizzazioni per il bucket multiaccount](example-walkthroughs-managing-access-example2.md)

  In questo esercizio un proprietario del bucket, Account A, concede le autorizzazioni multiaccount a un altro Account AWS, Account B, che delega quindi queste autorizzazioni agli utenti nel suo account. 
+ **Gestione delle autorizzazioni per l'oggetto quando il proprietario dell'oggetto non corrisponde al proprietario del bucket**

  Gli scenari di esempio in questo caso riguardano un proprietario del bucket che concede ad altri le autorizzazioni per l'oggetto, sebbene non tutti gli oggetti nel bucket siano di sua proprietà. Di quali autorizzazioni ha bisogno il proprietario del bucket e come può delegare tali autorizzazioni?

  Chi Account AWS crea un bucket si chiama proprietario del *bucket.* Il proprietario può concedere altre Account AWS autorizzazioni per caricare oggetti e chi crea Account AWS gli oggetti ne è proprietario. Il proprietario del bucket non dispone delle autorizzazioni per gli oggetti creati dagli altri Account AWS. Se il proprietario del bucket scrive una policy del bucket che concede l'accesso agli oggetti, la policy non si applica agli oggetti di proprietà di altri account. 

  In questo caso il proprietario dell'oggetto deve in primo luogo concedere le autorizzazioni al proprietario del bucket utilizzando un'ACL dell'oggetto. Il proprietario del bucket può quindi delegare le autorizzazioni relative agli oggetti ad altri, agli utenti del proprio account o a un altro Account AWS, come illustrato dai seguenti esempi.
  + [Esempio 3: il proprietario del bucket concede autorizzazioni per gli oggetti che non sono di sua proprietà](example-walkthroughs-managing-access-example3.md)

    In questo esercizio il proprietario del bucket ottiene prima le autorizzazioni dal proprietario dell'oggetto, Il proprietario del bucket quindi delega queste autorizzazioni agli utenti nel suo account.
  + [Esempio 4 - Proprietario di un bucket che concede un'autorizzazione multi-account agli oggetti di cui non è proprietario](example-walkthroughs-managing-access-example4.md)

    Dopo aver ricevuto le autorizzazioni dal proprietario dell'oggetto, il proprietario del bucket non può delegare l'autorizzazione ad altri Account AWS perché la delega tra account non è supportata (vedi). [Delega delle autorizzazioni](access-policy-language-overview.md#permission-delegation) Invece, il proprietario del bucket può creare un ruolo IAM con autorizzazioni per eseguire operazioni specifiche (come get object) e consentire a un altro di assumere quel ruolo. Account AWS Chiunque assuma il ruolo potrà quindi accedere agli oggetti. Questo esempio mostra in che modo un proprietario del bucket può utilizzare un ruolo IAM per abilitare questa delega multiaccount. 

## Prima di provare le procedure guidate di esempio
<a name="before-you-try-example-walkthroughs-manage-access"></a>

Questi esempi utilizzano il Console di gestione AWS per creare risorse e concedere autorizzazioni. Per verificare le autorizzazioni, gli esempi utilizzano gli strumenti della riga di comando e AWS CLI AWS Tools for Windows PowerShell, quindi, non è necessario scrivere alcun codice. Per testare le autorizzazioni, è necessario configurare uno di questi strumenti. Per ulteriori informazioni, consulta [Impostazione degli strumenti per le visite guidate](policy-eval-walkthrough-download-awscli.md). 

Inoltre, quando si creano le risorse, questi esempi non utilizzano le credenziali dell'utente root di Account AWS. ma viene creato un utente amministratore in questi account per eseguire queste attività. 

### Informazioni sull'uso di un utente amministratore per creare risorse e concedere autorizzazioni
<a name="about-using-root-credentials"></a>

AWS Identity and Access Management (IAM) sconsiglia di utilizzare le credenziali dell'utente root dell' Account AWS per effettuare richieste. Invece, crea un utente o un ruolo IAM, concedi a tale utente o ruolo l'accesso completo, quindi utilizza le relative credenziali per fare richieste. Questo utente viene definito utente o ruolo amministratore. Per ulteriori informazioni, consultare la sezione relativa a [credenziali Utente root dell'account AWS e identità IAM](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html) nella *Riferimenti generali di AWS* e [Best practice di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente di IAM*.

In tutte le procedure guidate di esempio riportate in questa sezione vengono utilizzate le credenziali dell'utente amministratore. Se non avete creato un utente amministratore per il vostro Account AWS, negli argomenti viene illustrato come fare. 

Per accedere Console di gestione AWS utilizzando le credenziali utente, devi utilizzare l'URL di accesso utente IAM. La [console IAM](https://console.aws.amazon.com/iam/) fornisce questo URL per l' Account AWS. Negli argomenti di questa sezione viene illustrato come ottenere l'URL.

# Impostazione degli strumenti per le visite guidate
<a name="policy-eval-walkthrough-download-awscli"></a>

Gli esempi introduttivi (vedi[Passaggi che utilizzano le policy per gestire l'accesso alle risorse Amazon S3](example-walkthroughs-managing-access.md)) utilizzano il Console di gestione AWS per creare risorse e concedere autorizzazioni. Per testare le autorizzazioni, gli esempi utilizzano gli strumenti della riga di comando, AWS Command Line Interface (AWS CLI) e AWS Tools for Windows PowerShell, quindi non è necessario scrivere alcun codice. Per testare le autorizzazioni, è necessario configurare uno di questi strumenti. 

**Per configurare il AWS CLI**

1. Scarica e configura la AWS CLI. Per le istruzioni, consulta i seguenti argomenti nella *Guida per l'utente dell'AWS Command Line Interface *: 

    [Installare o aggiornare alla versione più recente del programma AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-set-up.html) 

    [Nozioni di base su AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) 

1. Impostare il profilo di default. 

   Le credenziali utente vengono memorizzate nel file di AWS CLI configurazione. Crea un profilo predefinito nel file di configurazione utilizzando le tue credenziali. Account AWS Per istruzioni su come trovare e modificare il file di AWS CLI configurazione, consulta Impostazioni del file di [configurazione e credenziali](https://docs.aws.amazon.com/cli/latest/userguide/cli-config-files.html).

   ```
   [default]
   aws_access_key_id = access key ID
   aws_secret_access_key = secret access key
   region = us-west-2
   ```

1. Verificare la configurazione digitando i comandi riportati di seguito al prompt dei comandi. Poiché entrambi questi comandi non forniscono credenziali in modo esplicito, vengono utilizzate le credenziali del profilo di default.
   + Prova il comando `help`.

     ```
     aws help
     ```
   + Per ottenere un elenco dei bucket sull'account configurato, utilizza il comando `aws s3 ls`.

     ```
     aws s3 ls
     ```

Man mano che si procede, si creano utenti e si salvano le credenziali degli utenti nei file di configurazione creando profili, come mostra l'esempio seguente. Questi profili hanno i nomi di `AccountAadmin` e `AccountBadmin`.

```
[profile AccountAadmin]
aws_access_key_id = User AccountAadmin access key ID
aws_secret_access_key = User AccountAadmin secret access key
region = us-west-2

[profile AccountBadmin]
aws_access_key_id = Account B access key ID
aws_secret_access_key = Account B secret access key
region = us-east-1
```

Per eseguire un comando utilizzando queste credenziali utente, aggiungere il parametro `--profile` specificando il nome del profilo. Il AWS CLI comando seguente recupera un elenco di oggetti in *`examplebucket`* e specifica il profilo. `AccountBadmin` 

```
aws s3 ls s3://examplebucket --profile AccountBadmin
```

In alternativa, è possibile configurare un set di credenziali utente come profilo di default modificando la variabile di ambiente `AWS_DEFAULT_PROFILE` dal prompt dei comandi. Dopo aver eseguito questa operazione, ogni volta che si eseguono AWS CLI comandi senza il `--profile` parametro, AWS CLI utilizza il profilo impostato nella variabile di ambiente come profilo predefinito.

```
$ export AWS_DEFAULT_PROFILE=AccountAadmin
```

**Per configurare AWS Tools for Windows PowerShell**

1. Scarica e configura la AWS Tools for Windows PowerShell. Per le istruzioni, consulta la sezione [Installazione di AWS Tools for Windows PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html#pstools-installing-download) nella *Guida all'utente AWS Strumenti per PowerShell *. 
**Nota**  
Per caricare il AWS Tools for Windows PowerShell modulo, è necessario abilitare l'esecuzione PowerShell dello script. Per ulteriori informazioni, consulta [Abilita l'esecuzione di script](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html#enable-script-execution) nella *Guida all'utente AWS Strumenti per PowerShell *.

1. Per queste procedure dettagliate, è necessario specificare AWS le credenziali per sessione utilizzando il comando. `Set-AWSCredentials` Il comando salva le credenziali in uno store permanente (parametro `-StoreAs `).

   ```
   Set-AWSCredentials -AccessKey AccessKeyID -SecretKey SecretAccessKey -storeas string
   ```

1. Verificare la configurazione.
   + Per ottenere un elenco dei comandi disponibili che si possono utilizzare per le operazioni su Amazon S3, esegui il comando `Get-Command`. 

     ```
     Get-Command -module awspowershell -noun s3* -StoredCredentials string
     ```
   + Per recuperare un elenco di oggetti in un bucket, esegui il comando `Get-S3Object`.

     ```
     Get-S3Object -BucketName bucketname -StoredCredentials string
     ```

Per un elenco di comandi, vedere [AWS Tools](https://docs.aws.amazon.com/powershell/latest/reference/Index.html) for Cmdlet Reference. PowerShell 

Ora sei pronto a provare le guide. Segui i link forniti all'inizio di ogni sezione.

# Esempio 1: il proprietario del bucket concede agli utenti le autorizzazioni per il bucket
<a name="example-walkthroughs-managing-access-example1"></a>

**Importante**  
La concessione di autorizzazioni ai ruoli IAM è una pratica migliore rispetto alla concessione di autorizzazioni ai singoli utenti. Per ulteriori informazioni su come concedere autorizzazioni ai ruoli IAM, consulta [Comprendere le autorizzazioni multi-account e utilizzare i ruoli IAM](example-walkthroughs-managing-access-example4.md#access-policies-walkthrough-example4-overview).

**Topics**
+ [

## Preparazione della spiegazione passo per passo
](#grant-permissions-to-user-in-your-account-step0)
+ [

## Fase 1: Creare risorse nell'account A e concedere le autorizzazioni
](#grant-permissions-to-user-in-your-account-step1)
+ [

## Fase 2: testare le autorizzazioni
](#grant-permissions-to-user-in-your-account-test)

In questa procedura dettagliata, un utente Account AWS possiede un bucket e l'account include un utente IAM. Per impostazione predefinita, l'utente non dispone di autorizzazioni. Per eseguire qualsiasi attività, l'account padre deve concedere le autorizzazioni all'utente. Il proprietario del bucket e l'account padre sono uguali. Pertanto, per concedere all'utente le autorizzazioni sul bucket, Account AWS possono utilizzare una policy del bucket, una policy utente o entrambe. Il proprietario dell'account concederà alcune autorizzazioni con una policy del bucket e altre con una policy utente.

La seguenti fasi riepilogano la procedura guidata:

![\[Diagramma che mostra un AWS account che concede le autorizzazioni.\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/images/access-policy-ex1.png)


1. L'amministratore dell'account crea una policy bucket per concedere un set di autorizzazioni all'utente.

1. L'amministratore dell'account collega una policy utente all'utente per concedere ulteriori autorizzazioni.

1. L'utente prova quindi le autorizzazioni concesse tramite la policy bucket e la policy utente.

Per questo esempio, avrai bisogno di un. Account AWS Anziché utilizzare le credenziali dell'utente root dell'account, sarà necessario creare un utente amministratore (consultare [Informazioni sull'uso di un utente amministratore per creare risorse e concedere autorizzazioni](example-walkthroughs-managing-access.md#about-using-root-credentials)). Ci riferiamo all'utente Account AWS e all'utente amministratore come illustrato nella tabella seguente.


| ID account | Account denominato | Utente amministratore nell'account | 
| --- | --- | --- | 
|  *1111-1111-1111*  |  Account A  |  AccountAadmin  | 

**Nota**  
L'utente amministratore in questo esempio è **AccountAadmin**, che si riferisce all'account A e non **AccountAdmin**.

Tutte le attività di creazione degli utenti e assegnazione delle autorizzazioni vengono effettuate nella Console di gestione AWS. Per verificare le autorizzazioni, la procedura dettagliata utilizza gli strumenti della riga di comando, AWS Command Line Interface (AWS CLI) e AWS Tools for Windows PowerShell quindi non è necessario scrivere alcun codice.

## Preparazione della spiegazione passo per passo
<a name="grant-permissions-to-user-in-your-account-step0"></a>

1. Assicurati di avere un account Account AWS e che abbia un utente con privilegi di amministratore.

   1. Registrati per un Account AWS, se necessario. Si fa riferimento a questo account come Account A.

      1.  Vai su [https://aws.amazon.com/s3](https://aws.amazon.com/s3) e scegli **Crea un AWS account**. 

      1. Seguire le istruzioni su schermo.

         AWS ti avviserà via e-mail quando il tuo account sarà attivo e disponibile per l'uso.

   1. Nell'account A, crea un utente amministratore **AccountAadmin**. Utilizzando le credenziali dell'Account A, accedere alla [console IAM](https://console.aws.amazon.com/iam/home?#home) ed effettuare quanto segue: 

      1. Crea l'utente **AccountAadmin** e annota le credenziali di sicurezza dell'utente. 

         Per istruzioni, consulta [Creazione di un utente IAM in Account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) nella *Guida all'utente IAM*. 

      1. Concedi i privilegi di amministratore **AccountAadmin**allegando una politica utente che dia accesso completo. 

         Per istruzioni, consulta [Gestione delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) nella *Guida all'utente IAM*. 

      1. Nota l'URL di **accesso dell'utente IAM** per. **AccountAadmin** che dovrà essere utilizzato per accedere alla Console di gestione AWS. Per ulteriori informazioni su dove trovare l'URL di accesso, consulta [Accedere Console di gestione AWS come utente IAM nella IAM User](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html) *Guide*. Annota l'URL di ciascun account.

1. Configura il AWS CLI o il AWS Tools for Windows PowerShell. Assicurati di salvare le credenziali dell'utente amministratore come segue:
   + Se usi il AWS CLI, crea un profilo`AccountAadmin`, nel file di configurazione.
   + Se utilizzi il AWS Tools for Windows PowerShell, assicurati di memorizzare le credenziali per la sessione come. `AccountAadmin`

   Per istruzioni, consulta [Impostazione degli strumenti per le visite guidate](policy-eval-walkthrough-download-awscli.md). 

## Fase 1: Creare risorse nell'account A e concedere le autorizzazioni
<a name="grant-permissions-to-user-in-your-account-step1"></a>

Utilizzando le credenziali dell'utente `AccountAadmin` nell'Account A e lo speciale URL di accesso utente IAM, accedi a Console di gestione AWS e procedi come segue:

1. Creare risorse di un bucket e di un utente IAM

   1. Nella console di Amazon S3 creare un bucket. Nota Regione AWS in che modo hai creato il bucket. Per istruzioni, consulta [Creazione di un bucket per uso generico](create-bucket-overview.md). 

   1. Nella [Console IAM](https://console.aws.amazon.com/iam/), procedi come segue: 

      1. Crea un utente di nome Dave.

         Per step-by-step istruzioni, consulta [Creazione di utenti IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console) nella *Guida per l'utente IAM*. 

      1. Annota le credenziali `UserDave`.

      1. Annota il nome della risorsa Amazon (ARN) per l'utente Dave. Nella [Console IAM](https://console.aws.amazon.com/iam/), seleziona l'utente e la scheda **Riepilogo** fornisce l'ARN dell'utente.

1. Concedi i permessi. 

   Poiché il proprietario del bucket e l'account principale a cui appartiene l'utente sono gli stessi, Account AWS possono concedere le autorizzazioni all'utente utilizzando una policy del bucket, una policy utente o entrambe. come in questo esempio. Se l'oggetto è anche di proprietà dello stesso account, il proprietario del bucket può concedere le autorizzazioni per l'oggetto nella policy bucket (o una policy IAM).

   1. Nella console Amazon S3, collega la seguente policy sui bucket a. *awsexamplebucket1* 

      La policy include due dichiarazioni. 
      + La prima istruzione concede a Dave le autorizzazioni per le operazioni sul bucket `s3:GetBucketLocation` e `s3:ListBucket`.
      + La seconda istruzione concede l'autorizzazione `s3:GetObject`. Poiché l'Account A è anche proprietario dell'oggetto, l'amministratore dell'account può concedere l'autorizzazione `s3:GetObject`. 

      Nell'istruzione `Principal` Dave è identificato dall'ARN utente. Per ulteriori informazioni sugli elementi delle policy, consultare [Policy e autorizzazioni in Amazon S3](access-policy-language-overview.md).

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Sid": "statement1",
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": "arn:aws:iam::111122223333:user/Dave"
                  },
                  "Action": [
                      "s3:GetBucketLocation",
                      "s3:ListBucket"
                  ],
                  "Resource": [
                      "arn:aws:s3:::awsexamplebucket1"
                  ]
              },
              {
                  "Sid": "statement2",
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": "arn:aws:iam::111122223333:user/Dave"
                  },
                  "Action": [
                      "s3:GetObject"
                  ],
                  "Resource": [
                      "arn:aws:s3:::awsexamplebucket1/*"
                  ]
              }
          ]
      }
      ```

------

   1. Creare una policy inline per l'utente Dave mediante la policy che segue. La policy concede a Dave l'autorizzazione `s3:PutObject`. È necessario aggiornare la policy specificando il nome del bucket.

------
#### [ JSON ]

****  

      ```
      {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
            {
               "Sid": "PermissionForObjectOperations",
               "Effect": "Allow",
               "Action": [
                  "s3:PutObject"
               ],
               "Resource": [
                  "arn:aws:s3:::awsexamplebucket1/*"
               ]
            }
         ]
      }
      ```

------

      Per istruzioni, consulta [Managing IAMpolicies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_inline-using.html) in the *IAM User Guide*. Tenere presente che è necessario accedere alla console tramite le credenziali dell'Account A.

## Fase 2: testare le autorizzazioni
<a name="grant-permissions-to-user-in-your-account-test"></a>

Utilizzando le credenziali di Dave, verificare che le autorizzazioni funzionino correttamente. È possibile utilizzare una delle due procedure di seguito.

**Verifica le autorizzazioni utilizzando il AWS CLI**

1. Aggiorna il file di AWS CLI configurazione aggiungendo il seguente `UserDaveAccountA` profilo. Per ulteriori informazioni, consulta [Impostazione degli strumenti per le visite guidate](policy-eval-walkthrough-download-awscli.md).

   ```
   [profile UserDaveAccountA]
   aws_access_key_id = access-key
   aws_secret_access_key = secret-access-key
   region = us-east-1
   ```

1. Verificare che Dave possa eseguire le operazioni autorizzate nella policy utente. Caricate un oggetto di esempio utilizzando il AWS CLI `put-object` comando seguente. 

   Il parametro `--body` nel comando identifica il file di origine da caricare. Ad esempio, se il file si trova nella radice dell'unità C: su un computer Windows, si specifica `c:\HappyFace.jpg`. Il parametro `--key` fornisce il nome della chiave dell'oggetto.

   ```
   aws s3api put-object --bucket awsexamplebucket1 --key HappyFace.jpg --body HappyFace.jpg --profile UserDaveAccountA
   ```

   Eseguite il AWS CLI comando seguente per ottenere l'oggetto. 

   ```
   aws s3api get-object --bucket awsexamplebucket1 --key HappyFace.jpg OutputFile.jpg --profile UserDaveAccountA
   ```

**Verifica le autorizzazioni utilizzando il AWS Tools for Windows PowerShell**

1. Memorizza le credenziali di Dave come `AccountADave`. Si utilizzano quindi queste credenziali per `PUT` e `GET` un oggetto.

   ```
   set-awscredentials -AccessKey AccessKeyID -SecretKey SecretAccessKey -storeas AccountADave
   ```

1. Caricate un oggetto di esempio utilizzando il AWS Tools for Windows PowerShell `Write-S3Object` comando utilizzando le credenziali memorizzate dell'utente Dave. 

   ```
   Write-S3Object -bucketname awsexamplebucket1 -key HappyFace.jpg -file HappyFace.jpg -StoredCredentials AccountADave
   ```

   Scaricare l'oggetto caricato in precedenza.

   ```
   Read-S3Object -bucketname awsexamplebucket1 -key HappyFace.jpg -file Output.jpg -StoredCredentials AccountADave
   ```

# Esempio 2: il proprietario del bucket concede autorizzazioni per il bucket multiaccount
<a name="example-walkthroughs-managing-access-example2"></a>

**Importante**  
Concedere le autorizzazioni ai ruoli IAM è una pratica migliore rispetto alla concessione delle autorizzazioni ai singoli utenti. Per informazioni su come effettuare questa operazione, consulta [Comprendere le autorizzazioni multi-account e utilizzare i ruoli IAM](example-walkthroughs-managing-access-example4.md#access-policies-walkthrough-example4-overview).

**Topics**
+ [

## Preparazione della spiegazione passo per passo
](#cross-acct-access-step0)
+ [

## Fase 1: esecuzione delle attività per l'Account A
](#access-policies-walkthrough-cross-account-permissions-acctA-tasks)
+ [

## Fase 2: esecuzione delle attività per l'Account B
](#access-policies-walkthrough-cross-account-permissions-acctB-tasks)
+ [

## Fase 3: (facoltativo) provare un rifiuto esplicito
](#access-policies-walkthrough-example2-explicit-deny)
+ [

## Fase 4: pulizia
](#access-policies-walkthrough-example2-cleanup-step)

Un account, ad Account AWS esempio, A può concedere a un altro Account AWS, l'account B, l'autorizzazione ad accedere alle sue risorse come bucket e oggetti. L'Account B può quindi delegare queste autorizzazioni agli utenti nel proprio account. In questo scenario di esempio, il proprietario del bucket concede a un altro account le autorizzazioni multiaccount per eseguire specifiche operazioni nel bucket.

**Nota**  
L'account A può inoltre concedere le autorizzazioni a un utente dell'Account B mediante una policy di bucket. Tuttavia, l'utente avrà comunque bisogno dell'autorizzazione dell'account padre, l'account B, a cui appartiene, anche se l'account B non ha le autorizzazioni dell'account A. Finché l'utente ha l'autorizzazione sia del proprietario della risorsa che dell'account padre, potrà accedere alla risorsa.

Di seguito è riportato un riepilogo delle fasi della procedura:

![\[E Account AWS concedere a un'altra persona l' Account AWS autorizzazione ad accedere alle sue risorse.\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/images/access-policy-ex2.png)


1. L'amministratore dell'Account A collega una policy di bucket che concede all'Account B autorizzazioni multiaccount per l'esecuzione di specifiche operazioni nel bucket.

   L'utente amministratore dell'Account B erediterà automaticamente le autorizzazioni.

1. L'utente amministratore dell'account B collega una policy utente all'utente per delegare le autorizzazioni ricevute dall'Account A.

1. L'utente dell'Account B fa quindi una verifica delle autorizzazioni accedendo a un oggetto nel bucket di proprietà dell'Account A.

Per questo utente, sono necessari due account. La tabella seguente mostra come viene fatto riferimento a questi account e ai relativi utenti amministratori. In conformità alle linee guida IAM (consulta [Informazioni sull'uso di un utente amministratore per creare risorse e concedere autorizzazioni](example-walkthroughs-managing-access.md#about-using-root-credentials)), in questa guida non utilizzeremo le credenziali dell'utente root. Viene invece creato un utente amministratore in ciascun account e le credenziali vengono utilizzate per la creazione di risorse e per concedere autorizzazioni a tali risorse. 


| Account AWS ID | Account denominato | Utente amministratore nell'account  | 
| --- | --- | --- | 
|  *1111-1111-1111*  |  Account A  |  AccountAadmin  | 
|  *2222-2222-2222*  |  Account B  |  AccountBadmin  | 

Tutte le attività di creazione degli utenti e assegnazione delle autorizzazioni vengono effettuate nella Console di gestione AWS. Per verificare le autorizzazioni, la procedura dettagliata utilizza gli strumenti della riga di comando ( AWS Command Line Interface CLI) e AWS Tools for Windows PowerShell quindi non è necessario scrivere alcun codice.

## Preparazione della spiegazione passo per passo
<a name="cross-acct-access-step0"></a>

1. Assicurati di averne due Account AWS e che ogni account abbia un utente amministratore, come mostrato nella tabella nella sezione precedente.

   1. Registrati per un Account AWS, se necessario. 

   1. Utilizzando le credenziali dell'Account A, accedere alla [console IAM](https://console.aws.amazon.com/iam/home?#home) per creare l'utente amministratore:

      1. Crea l'utente **AccountAadmin** e annota le credenziali di sicurezza. Per istruzioni, consulta [Creazione di un utente IAM nell' Account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) nella *Guida per l'utente di IAM*. 

      1. Concedi i privilegi di amministratore **AccountAadmin**allegando una politica utente che dia accesso completo. Per istruzioni, consulta [Gestione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) nella *Guida per l'utente di IAM*. 

   1. Nella console IAM, annota l'**URL di accesso dell'utente IAM** nella **Dashboard**. Tutti gli utenti dell'account devono utilizzare questo URL per accedere alla Console di gestione AWS.

      Per ulteriori informazioni, consulta [In che modo gli utenti effettuano l'accesso al tuo account](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html) nella *Guida per l'utente IAM*. 

   1. Ripeti il passaggio precedente utilizzando le credenziali dell'account B e creare l'utente amministratore **AccountBadmin**.

1. Imposta il AWS Command Line Interface (AWS CLI) o il. AWS Tools for Windows PowerShell Assicurati di salvare le credenziali dell'utente amministratore come segue:
   + Se usi il AWS CLI, crea due profili `AccountAadmin` e`AccountBadmin`, nel file di configurazione.
   + Se utilizzi il AWS Tools for Windows PowerShell, assicurati di memorizzare le credenziali per la sessione come e`AccountAadmin`. `AccountBadmin`

   Per istruzioni, consulta [Impostazione degli strumenti per le visite guidate](policy-eval-walkthrough-download-awscli.md). 

1. Salvare le credenziali dell'utente amministratore, chiamate anche profili. È possibile utilizzare il nome del profilo anziché specificare le credenziali per ciascun comando immesso. Per ulteriori informazioni, consulta [Impostazione degli strumenti per le visite guidate](policy-eval-walkthrough-download-awscli.md). 

   1. Aggiungi i profili nel file delle AWS CLI credenziali per ciascuno degli utenti amministratori `AccountAadmin` e `AccountBadmin` nei due account. 

      ```
      [AccountAadmin]
      aws_access_key_id = access-key-ID
      aws_secret_access_key = secret-access-key
      region = us-east-1
      
      [AccountBadmin]
      aws_access_key_id = access-key-ID
      aws_secret_access_key = secret-access-key
      region = us-east-1
      ```

   1. Se si utilizza AWS Tools for Windows PowerShell, esegui il seguente comando.

      ```
      set-awscredentials –AccessKey AcctA-access-key-ID –SecretKey AcctA-secret-access-key –storeas AccountAadmin
      set-awscredentials –AccessKey AcctB-access-key-ID –SecretKey AcctB-secret-access-key –storeas AccountBadmin
      ```

## Fase 1: esecuzione delle attività per l'Account A
<a name="access-policies-walkthrough-cross-account-permissions-acctA-tasks"></a>

### Passaggio 1.1: accedi a Console di gestione AWS
<a name="access-policies-walkthrough-cross-account-permissions-acctA-tasks-sign-in"></a>

Utilizzando l'URL di accesso utente IAM per l'account A, accedi innanzitutto all'account Console di gestione AWS as **AccountAadmin**user. Questo utente creerà un bucket e vi allegherà una policy. 

### Fase 1.2: creazione di un bucket
<a name="access-policies-walkthrough-example2a-create-bucket"></a>

1. Nella console di Amazon S3 creare un bucket. Questo esercizio presuppone che il bucket sia stato creato negli Stati Uniti orientali (Virginia settentrionale) Regione AWS e abbia un nome. `amzn-s3-demo-bucket`

   Per istruzioni, consulta [Creazione di un bucket per uso generico](create-bucket-overview.md). 

1. Caricare un oggetto campione nel bucket.

   Per istruzioni, vai su [Fase 2: Carica un oggetto nel tuo bucket](GetStartedWithS3.md#uploading-an-object-bucket). 

### Fase 1.3: collegare una policy del bucket per concedere autorizzazioni tra account all'Account B
<a name="access-policies-walkthrough-example2a"></a>

La policy bucket concede le `s3:ListBucket` autorizzazioni `s3:GetLifecycleConfiguration` e all'account B. Si presume che tu abbia ancora effettuato l'accesso alla console utilizzando le credenziali utente. **AccountAadmin**

1. Collegare la seguente policy di bucket a `amzn-s3-demo-bucket`. La policy concede all'Account B autorizzazioni per le operazioni `s3:GetLifecycleConfiguration` e `s3:ListBucket`.

   Per istruzioni, consulta [Aggiunta di una policy di bucket utilizzando la console di Amazon S3](add-bucket-policy.md). 

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
         {
            "Sid": "Example permissions",
            "Effect": "Allow",
            "Principal": {
               "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
               "s3:GetLifecycleConfiguration",
               "s3:ListBucket"
            ],
            "Resource": [
               "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
         }
      ]
   }
   ```

------

1. Verifica che l'account B (e quindi il suo utente amministratore) possa eseguire le operazioni.
   + Verifica utilizzando il AWS CLI

     ```
     aws s3 ls s3://amzn-s3-demo-bucket --profile AccountBadmin
     aws s3api get-bucket-lifecycle-configuration --bucket amzn-s3-demo-bucket --profile AccountBadmin
     ```
   + Verificare utilizzando il AWS Tools for Windows PowerShell

     ```
     get-s3object -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBadmin 
     get-s3bucketlifecycleconfiguration -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBadmin
     ```

## Fase 2: esecuzione delle attività per l'Account B
<a name="access-policies-walkthrough-cross-account-permissions-acctB-tasks"></a>

A questo punto l'amministratore dell'Account B crea un utente, Dave, al quale delega le autorizzazioni ricevute dall'Account A. 

### Passaggio 2.1: accedi a Console di gestione AWS
<a name="access-policies-walkthrough-cross-account-permissions-acctB-tasks-sign-in"></a>

Utilizzando l'URL di accesso utente IAM per l'account B, accedi prima all'**AccountBadmin**utente Console di gestione AWS come. 

### Fase 2.2: creazione dell'utente Dave nell'Account B
<a name="access-policies-walkthrough-example2b-create-user"></a>

Nella [console IAM](https://console.aws.amazon.com/iam/), crea un utente, **Dave**. 

Per le istruzioni, consulta [Creazione di utenti IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console) nella *Guida per l'utente di IAM*. 

### Fase 2.3: delega delle autorizzazioni all'utente Dave
<a name="access-policies-walkthrough-example2-delegate-perm-userdave"></a>

Creare una policy inline per l'utente Dave mediante la policy che segue. Sarà necessario aggiornare la policy specificando il nome del bucket.

Si presume che tu abbia effettuato l'accesso alla console utilizzando le credenziali **AccountBadmin**utente.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Sid": "Example",
         "Effect": "Allow",
         "Action": [
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket"
         ]
      }
   ]
}
```

------

Per istruzioni, consulta [Gestione delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_inline-using.html) nella *Guida all'utente IAM*.

### Fase 2.4: testare le autorizzazioni
<a name="access-policies-walkthrough-example2b-user-dave-access"></a>

Ora l'utente Dave dell'Account B può elencare il contenuto di `amzn-s3-demo-bucket` di proprietà dell'Account A. È possibile verificare le autorizzazioni mediante una delle procedure descritte di seguito. 

**Verifica le autorizzazioni utilizzando il AWS CLI**

1. Aggiungi il `UserDave` profilo al file di AWS CLI configurazione. Per ulteriori informazioni sul file di configurazione, consulta [Impostazione degli strumenti per le visite guidate](policy-eval-walkthrough-download-awscli.md).

   ```
   [profile UserDave]
   aws_access_key_id = access-key
   aws_secret_access_key = secret-access-key
   region = us-east-1
   ```

1. Al prompt dei comandi, inserisci il seguente AWS CLI comando per verificare che Dave possa ora ottenere un elenco di oggetti dall'account di `amzn-s3-demo-bucket` proprietà dell'Account A. Nota che il comando specifica il profilo. `UserDave`

   ```
   aws s3 ls s3://amzn-s3-demo-bucket --profile UserDave
   ```

   Dave non ha altri permessi. Quindi, se si tenta qualsiasi altra operazione, ad esempio la seguente configurazione `get-bucket-lifecycle`, Amazon S3 restituisce l'autorizzazione negata. 

   ```
   aws s3api get-bucket-lifecycle-configuration --bucket amzn-s3-demo-bucket --profile UserDave
   ```

**Verifica le autorizzazioni utilizzando AWS Tools for Windows PowerShell**

1. Memorizza le credenziali di Dave come `AccountBDave`.

   ```
   set-awscredentials -AccessKey AccessKeyID -SecretKey SecretAccessKey -storeas AccountBDave
   ```

1. Provare a utilizzare il comando List Bucket.

   ```
   get-s3object -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBDave
   ```

   Dave non ha altri permessi. Quindi, se si tenta un'altra operazione, ad esempio la seguente `get-s3bucketlifecycleconfiguration`-Amazon S3 restituisce Autorizzazione negata. 

   ```
   get-s3bucketlifecycleconfiguration -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBDave
   ```

## Fase 3: (facoltativo) provare un rifiuto esplicito
<a name="access-policies-walkthrough-example2-explicit-deny"></a>

Le autorizzazioni possono essere concesse utilizzando una lista di controllo degli accessi (ACL), una policy di bucket o una policy utente. Tuttavia, se c'è un rifiuto esplicito impostato da una policy del bucket o da una policy dell'utente, il rifiuto esplicito ha la precedenza su qualsiasi altra autorizzazione. Per i test, aggiornare la policy del bucket e negare esplicitamente all'account B l'autorizzazione `s3:ListBucket`. La policy concede anche il permesso di `s3:ListBucket`. Tuttavia, il rifiuto esplicito ha la precedenza e l'account B o gli utenti dell'account B non potranno elencare gli oggetti in `amzn-s3-demo-bucket`.

1. Utilizzando le credenziali dell'utente `AccountAadmin` nell'account A, sostituisci la policy del bucket con il seguente. 

1. Ora, se si cerca di ottenere un elenco di bucket utilizzando le credenziali di `AccountBadmin`, l'accesso viene negato.
   + Utilizzando AWS CLI, esegui il comando seguente:

     ```
     aws s3 ls s3://amzn-s3-demo-bucket --profile AccountBadmin
     ```
   + Utilizzando il AWS Tools for Windows PowerShell, esegui il comando seguente:

     ```
     get-s3object -BucketName amzn-s3-demo-bucket -StoredCredentials AccountBDave
     ```

## Fase 4: pulizia
<a name="access-policies-walkthrough-example2-cleanup-step"></a>

1. Una volta terminato il test, è possibile eseguire le seguenti operazioni di pulizia:

   1. Accedere a Console di gestione AWS ([Console di gestione AWS](https://console.aws.amazon.com/)) utilizzando le credenziali dell'Account A ed effettuare le seguenti operazioni:
     + Nella console di Amazon S3 rimuovere la policy del bucket collegata a `amzn-s3-demo-bucket`. Nelle **Proprietà** del bucket, elimina la policy nella sezione **Autorizzazioni**. 
     + Se il bucket è stato creato per questo esercizio, nella console di Amazon S3 eliminare gli oggetti e quindi il bucket. 
     + Nella [Console IAM](https://console.aws.amazon.com/iam/), rimuovi l'utente `AccountAadmin`.

1. Accedi alla [Console IAM](https://console.aws.amazon.com/iam/) utilizzando le credenziali dell'Account B. Cancella l'utente `AccountBadmin`. Per step-by-step istruzioni, consulta [Eliminazione di un utente IAM nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html#id_users_deleting) per l'*utente IAM*.

# Esempio 3: il proprietario del bucket concede autorizzazioni per gli oggetti che non sono di sua proprietà
<a name="example-walkthroughs-managing-access-example3"></a>

**Importante**  
Concedere le autorizzazioni ai ruoli IAM è una pratica migliore rispetto alla concessione delle autorizzazioni ai singoli utenti. Per informazioni su come effettuare questa operazione, consulta [Comprendere le autorizzazioni multi-account e utilizzare i ruoli IAM](example-walkthroughs-managing-access-example4.md#access-policies-walkthrough-example4-overview).

**Topics**
+ [

## Fase 0: preparazione della procedura guidata
](#access-policies-walkthrough-cross-account-acl-step0)
+ [

## Fase 1: esecuzione delle attività per l'Account A
](#access-policies-walkthrough-cross-account-acl-acctA-tasks)
+ [

## Fase 2: esecuzione delle attività per l'Account B
](#access-policies-walkthrough-cross-account-acl-acctB-tasks)
+ [

## Fase 3: testare le autorizzazioni
](#access-policies-walkthrough-cross-account-acl-verify)
+ [

## Fase 4: pulizia
](#access-policies-walkthrough-cross-account-acl-cleanup)

Lo scenario di questo esempio è che il proprietario di un bucket voglia concedere il permesso di accedere agli oggetti, ma il proprietario del bucket non possiede tutti gli oggetti del bucket. In questo esempio, il proprietario del bucket tenta di concedere autorizzazioni agli utenti nel proprio account.

Il proprietario di un bucket può consentire ad altri Account AWS di caricare oggetti. Per impostazione predefinita, il proprietario del bucket non possiede oggetti scritti su un bucket da un altro Account AWS. Gli oggetti sono di proprietà degli account che li scrivono in un bucket S3. Se il proprietario del bucket non possiede oggetti nel bucket, il proprietario dell'oggetto deve prima concedere l'autorizzazione al proprietario del bucket utilizzando una lista di controllo degli accessi (ACL) dell'oggetto. Quindi, il proprietario del bucket può concedere i permessi a un oggetto di cui non è proprietario. Per ulteriori informazioni, consulta [Proprietà di bucket e oggetti di Amazon S3](access-policy-language-overview.md#about-resource-owner).

Se il proprietario del bucket esegue l'impostazione proprietario del bucket applicato per S3 Object Ownership per il bucket, il proprietario del bucket possiederà tutti gli oggetti nel bucket, inclusi gli oggetti scritti da un altro Account AWS. Questo approccio risolve il problema degli oggetti che non sono di proprietà del proprietario del bucket. Quindi, puoi delegare le autorizzazioni agli utenti nel tuo account o ad altri Account AWS.

**Nota**  
S3 Object Ownership è un'impostazione a livello di bucket di Amazon S3 che puoi utilizzare sia per controllare la proprietà degli oggetti caricati nel tuo bucket sia per disabilitarli o abilitarli. ACLs Per impostazione predefinita, Object Ownership è impostata sull'impostazione imposta dal proprietario del Bucket e tutti sono disabilitati. ACLs Quando ACLs sono disabilitati, il proprietario del bucket possiede tutti gli oggetti nel bucket e ne gestisce l'accesso esclusivamente utilizzando le politiche di gestione degli accessi.  
 La maggior parte dei casi d'uso moderni in Amazon S3 non richiede più l'uso di. ACLs Ti consigliamo di rimanere ACLs disabilitato, tranne nei casi in cui devi controllare l'accesso per ogni oggetto singolarmente. ACLs Disabilitando, puoi utilizzare le policy per controllare l'accesso a tutti gli oggetti nel tuo bucket, indipendentemente da chi ha caricato gli oggetti nel tuo bucket. Per ulteriori informazioni, consulta [Controllo della proprietà degli oggetti e disattivazione ACLs del bucket](about-object-ownership.md).

In questo esempio supponiamo che il proprietario del bucket non abbia applicato l'impostazione proprietario del bucket applicato per Object Ownership. Il proprietario del bucket delega queste autorizzazioni agli utenti nel suo account. Di seguito è riportato un riepilogo delle fasi della procedura:

![\[Il proprietario di un bucket concede autorizzazioni a oggetti che non possiede.\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/images/access-policy-ex3.png)


1. L'utente amministratore dell'Account A collega una policy di bucket con due istruzioni.
   + Concedere all'Account B autorizzazioni multiaccount per caricare oggetti.
   + Consentire a un utente nel proprio account di accedere agli oggetti nel bucket.

1. L'utente amministratore dell'account B carica gli oggetti nel bucket di proprietà dell'Account A.

1. L'amministratore dell'Account B aggiorna l'ACL dell'oggetto e concede al proprietario del bucket l'autorizzazione al controllo completo sull'oggetto.

1. L'utente dell'Account A fa una verifica accedendo agli oggetti nel bucket, indipendentemente da chi ne ha la proprietà.

Per questo utente, sono necessari due account. La tabella seguente mostra come viene fatto riferimento a questi account e agli utenti amministratori degli account: In questa spiegazione passo per passo, non si utilizzano le credenziali dell'utente root dell'account, in base a quanto riportato nelle linee guida IAM consigliate. Per ulteriori informazioni, consulta [Informazioni sull'uso di un utente amministratore per creare risorse e concedere autorizzazioni](example-walkthroughs-managing-access.md#about-using-root-credentials). Viene invece creato un utente amministratore in ciascun account e le credenziali vengono utilizzate per la creazione di risorse e per concedere autorizzazioni a tali risorse


| Account AWS ID | Account denominato | Amministratore nell'account  | 
| --- | --- | --- | 
|  *1111-1111-1111*  |  Account A  |  AccountAadmin  | 
|  *2222-2222-2222*  |  Account B  |  AccountBadmin  | 

Tutte le attività di creazione degli utenti e assegnazione delle autorizzazioni vengono effettuate nella Console di gestione AWS. Per verificare le autorizzazioni, la procedura dettagliata utilizza gli strumenti della riga di comando, AWS Command Line Interface (AWS CLI) e AWS Tools for Windows PowerShell quindi non è necessario scrivere alcun codice. 

## Fase 0: preparazione della procedura guidata
<a name="access-policies-walkthrough-cross-account-acl-step0"></a>

1. Assicurati di averne due Account AWS e che ogni account abbia un amministratore, come mostrato nella tabella nella sezione precedente.

   1. Iscriviti a un Account AWS, se necessario. 

   1. Utilizzando le credenziali dell'account A, accedi alla [Console IAM](https://console.aws.amazon.com/iam/) e procedere come segue per creare un utente amministratore:
      + Crea l'utente **AccountAadmin** e annota le credenziali di sicurezza dell'utente. Per ulteriori informazioni sull'aggiunta di utenti, consulta [Creazione di un utente IAM nell' Account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) nella *Guida per l'utente di IAM*. 
      + Concedi le autorizzazioni di amministratore **AccountAadmin**allegando una politica utente che dia accesso completo. Per istruzioni, consulta [Gestione delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) nella *Guida all'utente IAM*. 
      + Nella [Console IAM](https://console.aws.amazon.com/iam/) **Dashboard**, annota l'**URL di accesso dell'utente IAM**. Gli utenti di questo account devono utilizzare questo URL per accedere alla Console di gestione AWS. Per ulteriori informazioni, consulta [In che modo gli utenti effettuano l'accesso al tuo account](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html) nella *Guida per l'utente IAM*. 

   1. Ripeti il passaggio precedente utilizzando le credenziali dell'account B e creare l'utente amministratore **AccountBadmin**.

1. Configura AWS CLI o gli strumenti per Windows. PowerShell Assicurati di salvare le credenziali di amministratore nel modo seguente:
   + Se usi il AWS CLI, crea due profili `AccountAadmin` e`AccountBadmin`, nel file di configurazione.
   + Se utilizzi gli Strumenti per Windows PowerShell, assicurati di memorizzare le credenziali per la sessione come `AccountAadmin` e. `AccountBadmin`

   Per istruzioni, consulta [Impostazione degli strumenti per le visite guidate](policy-eval-walkthrough-download-awscli.md). 

## Fase 1: esecuzione delle attività per l'Account A
<a name="access-policies-walkthrough-cross-account-acl-acctA-tasks"></a>

Esegui le operazioni riportate di seguito per l'Account A:

### Fase 1.1: Accesso alla console
<a name="access-policies-walkthrough-cross-account-permissions-acctA-tasks-sign-in-example3"></a>

Utilizzando l'URL di accesso utente IAM per l'account A, accedi all'utente Console di gestione AWS as**AccountAadmin**. Questo utente creerà un bucket e vi allegherà una policy. 

### Fase 1.2: Creazione di un bucket e di un utente e aggiunta di una policy di bucket che concede le autorizzazioni utente
<a name="access-policies-walkthrough-cross-account-acl-create-bucket"></a>

1. Nella console di Amazon S3 creare un bucket. Questo esercizio presuppone che il bucket sia stato creato negli Stati Uniti orientali (Virginia settentrionale) Regione AWS e che il nome sia. `amzn-s3-demo-bucket1`

   Per istruzioni, consulta [Creazione di un bucket per uso generico](create-bucket-overview.md). 

1. Nella [console IAM](https://console.aws.amazon.com/iam/), crea un utente **Dave**. 

   Per step-by-step istruzioni, consulta [Creazione di utenti IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console) nella Guida per l'utente *IAM*. 

1. Osserva le credenziali dell'utente Dave. 

1. Nella console di Amazon S3 collegare la seguente policy del bucket a `amzn-s3-demo-bucket1`. Per istruzioni, consulta [Aggiunta di una policy di bucket utilizzando la console di Amazon S3](add-bucket-policy.md). Seguire le fasi per l'aggiunta di una policy di bucket. Per informazioni su come trovare un account IDs, consulta [Finding your Account AWS ID](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingYourAccountIdentifiers). 

   La policy concede all'Account B le autorizzazioni `s3:PutObject` e `s3:ListBucket`. La policy concede inoltre all'utente `Dave` l'autorizzazione `s3:GetObject`. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "Statement1",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:root"
               },
               "Action": [
                   "s3:PutObject",
                   "s3:ListBucket"
               ],
               "Resource": [
                   "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                   "arn:aws:s3:::amzn-s3-demo-bucket1"
               ]
           },
           {
               "Sid": "Statement3",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:user/Dave"
               },
               "Action": [
                   "s3:GetObject"
               ],
               "Resource": [
                   "arn:aws:s3:::amzn-s3-demo-bucket1/*"
               ]
           }
       ]
   }
   ```

------

## Fase 2: esecuzione delle attività per l'Account B
<a name="access-policies-walkthrough-cross-account-acl-acctB-tasks"></a>

Ora che l'account B ha le autorizzazioni per eseguire operazioni sul bucket dell'account A, l'amministratore dell'account B esegue le seguenti operazioni:
+ Carica un oggetto nel bucket dell'account A 
+ Aggiunge una concessione nella ACL dell'oggetto per consentire all'account A, proprietario del bucket, il pieno controllo

**Usando il AWS CLI**

1. Con il comando `put-object` AWS CLI , carica un oggetto. Il parametro `--body` nel comando identifica il file di origine da caricare. Ad esempio, se il file si trova sull'unità `C:` di una macchina Windows, specifica `c:\HappyFace.jpg`. Il parametro `--key` fornisce il nome della chiave dell'oggetto. 

   ```
   aws s3api put-object --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg --body HappyFace.jpg --profile AccountBadmin
   ```

1. Aggiungere un'autorizzazione nell'ACL dell'oggetto per concedere controllo completo dell'oggetto al proprietario del bucket. Per informazioni su come trovare un ID utente canonico, consulta la sezione [Trovare l'ID utente canonico per Account AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId) nella *AWS Guida di riferimento per la gestione degli account*.

   ```
   aws s3api put-object-acl --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg --grant-full-control id="AccountA-CanonicalUserID" --profile AccountBadmin
   ```

**Utilizzo degli strumenti per Windows PowerShell**

1. Con il comando `Write-S3Object`, carica un oggetto. 

   ```
   Write-S3Object -BucketName amzn-s3-demo-bucket1 -key HappyFace.jpg -file HappyFace.jpg -StoredCredentials AccountBadmin
   ```

1. Aggiungere un'autorizzazione nell'ACL dell'oggetto per concedere controllo completo dell'oggetto al proprietario del bucket.

   ```
   Set-S3ACL -BucketName amzn-s3-demo-bucket1 -Key HappyFace.jpg -CannedACLName "bucket-owner-full-control" -StoredCreden
   ```

## Fase 3: testare le autorizzazioni
<a name="access-policies-walkthrough-cross-account-acl-verify"></a>

A questo punto, verifica se l'utente Dave nell'Account A ha accesso all'oggetto di proprietà dell'Account B.

**Usando il AWS CLI**

1. Aggiungi le credenziali dell'utente Dave al file di AWS CLI configurazione e crea un nuovo profilo,. `UserDaveAccountA` Per ulteriori informazioni, consulta [Impostazione degli strumenti per le visite guidate](policy-eval-walkthrough-download-awscli.md).

   ```
   [profile UserDaveAccountA]
   aws_access_key_id = access-key
   aws_secret_access_key = secret-access-key
   region = us-east-1
   ```

1. Esegui il comando della CLI di `get-object` per scaricare `HappyFace.jpg` e salvarlo in locale. Le credenziali dell'utente Dave vengono fornite aggiungendo il parametro `--profile`.

   ```
   aws s3api get-object --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg Outputfile.jpg --profile UserDaveAccountA
   ```

**Utilizzo degli strumenti per Windows PowerShell**

1. Archivia AWS le credenziali dell'utente Dave, ad esempio`UserDaveAccountA`, nell'archivio persistente. 

   ```
   Set-AWSCredentials -AccessKey UserDave-AccessKey -SecretKey UserDave-SecretAccessKey -storeas UserDaveAccountA
   ```

1. Esegui il comando `Read-S3Object` per scaricare l'oggetto `HappyFace.jpg` e salvarlo in locale. Le credenziali dell'utente Dave vengono fornite aggiungendo il parametro `-StoredCredentials`. 

   ```
   Read-S3Object -BucketName amzn-s3-demo-bucket1 -Key HappyFace.jpg -file HappyFace.jpg  -StoredCredentials UserDaveAccountA
   ```

## Fase 4: pulizia
<a name="access-policies-walkthrough-cross-account-acl-cleanup"></a>

1. Una volta terminato il test, è possibile eseguire le seguenti operazioni di pulizia:

   1. Accedi alla [Console di gestione AWS](https://console.aws.amazon.com/) utilizzando le credenziali dell'Account A e procedere come di seguito:
     + Nella console di Amazon S3 rimuovere la policy del bucket collegata a *amzn-s3-demo-bucket1*. Nelle **Proprietà** del bucket, elimina la policy nella sezione **Autorizzazioni**. 
     + Se il bucket è stato creato per questo esercizio, nella console di Amazon S3 eliminare gli oggetti e quindi il bucket. 
     + Nella [Console IAM](https://console.aws.amazon.com/iam/), rimuovi l'utente **AccountAadmin**. Per step-by-step istruzioni, consulta [Eliminazione di un utente IAM nella Guida per l'utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html#id_users_deleting) *IAM*.

1. Accedere alla [Console di gestione AWS](https://console.aws.amazon.com/) tramite le credenziali dell'Account B. Nella [console IAM](https://console.aws.amazon.com/iam/), elimina l'utente **AccountBadmin**.

# Esempio 4 - Proprietario di un bucket che concede un'autorizzazione multi-account agli oggetti di cui non è proprietario
<a name="example-walkthroughs-managing-access-example4"></a>

**Topics**
+ [

## Comprendere le autorizzazioni multi-account e utilizzare i ruoli IAM
](#access-policies-walkthrough-example4-overview)
+ [

## Fase 0: preparazione della procedura guidata
](#access-policies-walkthrough-example4-step0)
+ [

## Fase 1: eseguire le attività per l'Account A
](#access-policies-walkthrough-example4-step1)
+ [

## Fase 2: esecuzione delle attività per l'Account B
](#access-policies-walkthrough-example4-step2)
+ [

## Fase 3: Eseguire le attività dell'Account C
](#access-policies-walkthrough-example4-step3)
+ [

## Fase 4: pulizia
](#access-policies-walkthrough-example4-step6)
+ [

## Risorse correlate
](#RelatedResources-managing-access-example4)

 In questo scenario di esempio, possiedi un bucket e hai consentito ad altri Account AWS di caricare oggetti. Se è stata applicata l'impostazione proprietario del bucket applicato per S3 Object Ownership per il bucket, si avrà proprietà di tutti gli oggetti nel bucket, inclusi gli oggetti scritti da un altro Account AWS. Questo approccio risolve il problema che gli oggetti non sono di proprietà dell'utente, il proprietario del bucket. Quindi, puoi delegare le autorizzazioni agli utenti nel tuo account o ad altri Account AWS. Supponiamo che l'impostazione proprietario del bucket applicato per S3 Object Ownership non sia abilitata. In altre parole, il bucket può avere oggetti di proprietà di altri Account AWS . 

Ora, si supponga che, in qualità di proprietario del bucket, si debbano concedere autorizzazioni multiaccount per gli oggetti a un utente di un altro account, indipendentemente dall'utente a cui appartengono. Ad esempio, l'utente potrebbe essere un'applicazione per la fatturazione che deve accedere ai metadata dell'oggetto. Esistono due problemi principali:
+ Il proprietario del bucket non dispone delle autorizzazioni per gli oggetti creati dagli altri Account AWS. Affinché il proprietario del bucket possa concedere autorizzazioni su oggetti che non possiede, il proprietario dell'oggetto deve prima concedere l'autorizzazione al proprietario del bucket. Il proprietario dell'oggetto è Account AWS che ha creato gli oggetti. Il proprietario del bucket può quindi delegare tali autorizzazioni.
+ L'account proprietario del bucket può delegare le autorizzazioni agli utenti del proprio account (consulta [Esempio 3: il proprietario del bucket concede autorizzazioni per gli oggetti che non sono di sua proprietà](example-walkthroughs-managing-access-example3.md)). Tuttavia, l'account proprietario del bucket non può delegare le autorizzazioni ad altri Account AWS perché la delega tra account non è supportata. 

In questo scenario, il proprietario del bucket può creare un ruolo AWS Identity and Access Management (IAM) con l'autorizzazione ad accedere agli oggetti. Quindi, il proprietario del bucket può concedere un'altra Account AWS autorizzazione per assumere il ruolo, consentendogli temporaneamente di accedere agli oggetti nel bucket. 

**Nota**  
S3 Object Ownership è un'impostazione a livello di bucket di Amazon S3 che puoi utilizzare sia per controllare la proprietà degli oggetti caricati nel tuo bucket sia per disabilitarli o abilitarli. ACLs Per impostazione predefinita, Object Ownership è impostata sull'impostazione imposta dal proprietario del Bucket e tutti sono disabilitati. ACLs Quando ACLs sono disabilitati, il proprietario del bucket possiede tutti gli oggetti nel bucket e ne gestisce l'accesso esclusivamente utilizzando le politiche di gestione degli accessi.  
 La maggior parte dei casi d'uso moderni in Amazon S3 non richiede più l'uso di. ACLs Ti consigliamo di rimanere ACLs disabilitato, tranne nei casi in cui devi controllare l'accesso per ogni oggetto singolarmente. ACLs Disabilitando, puoi utilizzare le policy per controllare l'accesso a tutti gli oggetti nel tuo bucket, indipendentemente da chi ha caricato gli oggetti nel tuo bucket. Per ulteriori informazioni, consulta [Controllo della proprietà degli oggetti e disattivazione ACLs del bucket](about-object-ownership.md).

## Comprendere le autorizzazioni multi-account e utilizzare i ruoli IAM
<a name="access-policies-walkthrough-example4-overview"></a>

 I ruoli IAM consentono diversi scenari per la delega dell'accesso alle risorse. Uno degli scenari principali è l'accesso multiaccount. In questo esempio, il proprietario del bucket, l'Account A, utilizza un ruolo IAM per delegare temporaneamente l'accesso agli oggetti tra account agli utenti di un altro account Account AWS, l'Account C. A ogni ruolo IAM creato sono associate le seguenti due policy:
+ Una policy di fiducia che ne identifica un'altra Account AWS che può assumere il ruolo.
+ Una policy di accesso per la definizione delle autorizzazioni consentite quando qualcuno assume il ruolo, ad esempio `s3:GetObject`. Per un elenco delle autorizzazioni che è possibile specificare in una policy, consulta [Azioni di policy per Amazon S3](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions).

La Account AWS persona identificata nella politica di fiducia concede quindi all'utente l'autorizzazione ad assumere il ruolo. L'utente può quindi accedere agli oggetti nel modo seguente:
+ Assumere il ruolo e, in risposta, ottenere le credenziali di sicurezza temporanee. 
+ Accedere agli oggetti nel bucket utilizzando le credenziali di sicurezza temporanee.

Per ulteriori informazioni sui ruoli IAM, consulta [Ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) nella *Guida per l'utente di IAM*. 

Di seguito è riportato un riepilogo delle fasi della procedura:

![\[Autorizzazioni multi-account utilizzando i ruoli IAM.\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/images/access-policy-ex4.png)


1. L'utente amministratore dell'account A collega una policy di bucket che concede all'Account B un'autorizzazione condizionale per caricare gli oggetti.

1. L'amministratore dell'Account A crea un ruolo IAM per stabilire l'attendibilità con l'Account C, pertanto gli utenti in quell'account possono accedere all'Account A. La policy di accesso collegata al ruolo limita le operazioni consentite all'utente nell'Account C quando accede all'Account A.

1. L'amministratore dell'Account B carica un oggetto nel bucket di proprietà dell'Account A, concedendo al proprietario del bucket un'autorizzazione al controllo completo.

1. L'amministratore dell'account C crea un utente e collega una policy utente che gli consente di assumere il ruolo.

1. L'utente nell'Account C per prima cosa assume il ruolo, che restituisce all'utente credenziali di sicurezza temporanee. Mediante tali credenziali temporanee, l'utente accede quindi agli oggetti nel bucket.

Per questo esempio sono necessari tre account. La tabella seguente mostra come viene fatto riferimento a questi account e agli utenti amministratori degli account: In conformità con le linee guida IAM (consulta [Informazioni sull'uso di un utente amministratore per creare risorse e concedere autorizzazioni](example-walkthroughs-managing-access.md#about-using-root-credentials)), in questa guida non utilizzeremo le credenziali Utente root dell'account AWS . Viene invece creato un utente amministratore in ciascun account e le credenziali vengono utilizzate per la creazione di risorse e per concedere autorizzazioni a tali risorse.


| Account AWS ID | Account denominato | Utente amministratore nell'account  | 
| --- | --- | --- | 
|  *1111-1111-1111*  |  Account A  |  AccountAadmin  | 
|  *2222-2222-2222*  |  Account B  |  AccountBadmin  | 
|  *3333-3333-3333*  |  Account C  |  AccountCadmin  | 



## Fase 0: preparazione della procedura guidata
<a name="access-policies-walkthrough-example4-step0"></a>

**Nota**  
Si consiglia di aprire un editor di testo e di annotare alcune informazioni man mano che si procede. In particolare, avrai bisogno di account IDs, utente canonico IDs, accesso utente IAM URLs per ogni account per connettersi alla console e Amazon Resource Names (ARNs) degli utenti e dei ruoli IAM. 

1. Assicurati di averne tre Account AWS e che ogni account abbia un utente amministratore, come mostrato nella tabella nella sezione precedente.

   1. Iscriviti a Account AWS, se necessario. Si fa riferimento a questi account come Account A, Account B e Account C.

   1. Utilizzando le credenziali dell'Account A, accedere alla [console IAM](https://console.aws.amazon.com/iam/home?#home) ed effettuare quanto segue per creare un utente amministratore:
      + Crea l'utente **AccountAadmin** e prendi nota delle sue credenziali di sicurezza. Per ulteriori informazioni sull'aggiunta di utenti, consulta [Creazione di un utente IAM nell' Account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) nella *Guida per l'utente di IAM*. 
      + Concedi i privilegi di amministratore **AccountAadmin**allegando una politica utente che dia accesso completo. Per istruzioni, consulta [Gestione delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) nella *Guida all'utente IAM*. 
      + Nella **Dashboard** della Console IAM, annota l'**URL di accesso dell'utente IAM**. Gli utenti di questo account devono utilizzare questo URL per accedere alla Console di gestione AWS. Per ulteriori informazioni, consulta [Accedere Console di gestione AWS come utente IAM nella Guida per l'utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html) *IAM*. 

   1. Ripetere la fase precedente per creare utenti amministratore nell'Account B e nell'Account C.

1. Per l'account C, annota l'ID utente canonico. 

   Quando si crea un ruolo IAM nell'Account A, la policy di attendibilità concede all'Account C l'autorizzazione per assumere il ruolo mediante la specifica dell'ID account. È possibile trovare informazioni sull'account come indicato di seguito:

   1. Usa il tuo Account AWS ID o alias dell'account, il tuo nome utente IAM e la password per accedere alla console [Amazon S3](https://console.aws.amazon.com/s3/).

   1. Scegliere il nome di un bucket Amazon S3 per visualizzare i relativi dettagli.

   1. Selezionare la scheda **Permissions (Autorizzazioni)** e selezionare **Access Control List (Lista di controllo accessi)**. 

   1. Nella sezione **Accesso per il tuo Account AWS**, nella colonna **Account** è presente un identificatore lungo, come `c1daexampleaaf850ea79cf0430f33d72579fd1611c97f7ded193374c0b163b6`. Questo è il tuo ID utente canonico.

1. Quando si crea una policy di bucket, è necessario disporre delle informazioni seguenti. Osserva questi valori:
   + **ID utente canonico dell'Account A** – Quando l'amministratore dell'Account A concede all'amministratore dell'Account B l'autorizzazione condizionale per il caricamento degli oggetti, la condizione specifica l'ID utente canonico dell'utente dell'Account A che deve ottenere controllo completo degli oggetti. 
**Nota**  
L'ID utente canonico è un concetto esclusivo di Amazon S3. Si tratta di una versione offuscata dell'ID account, composta da 64 caratteri. 
   + **ARN dell'utente per l'amministratore dell'account B** - È possibile trovare l'ARN dell'utente nella [Console IAM](https://console.aws.amazon.com/iam/). È necessario selezionare l'utente e trovare l'ARN dell'utente nella scheda **Riepilogo**.

     Nella policy del bucket, si concede a `AccountBadmin` l'autorizzazione a caricare oggetti e si specifica l'utente utilizzando l'ARN. Ecco un esempio di valore ARN:

     ```
     arn:aws:iam::AccountB-ID:user/AccountBadmin
     ```

1. Configura la AWS Command Line Interface (CLI) o la. AWS Tools for Windows PowerShell Assicurati di salvare le credenziali dell'utente amministratore come segue:
   + Se usi il AWS CLI, crea profili `AccountAadmin` e`AccountBadmin`, nel file di configurazione.
   + Se utilizzi il AWS Tools for Windows PowerShell, assicurati di memorizzare le credenziali per la sessione come e`AccountAadmin`. `AccountBadmin`

   Per istruzioni, consulta [Impostazione degli strumenti per le visite guidate](policy-eval-walkthrough-download-awscli.md).

## Fase 1: eseguire le attività per l'Account A
<a name="access-policies-walkthrough-example4-step1"></a>

In questo esempio, l'Account A è il proprietario del bucket. Quindi l'utente dell'Account AccountAadmin A farà quanto segue: 
+ Creare un bucket.
+ Allega una policy del bucket che conceda all'amministratore dell'account B l'autorizzazione a caricare oggetti.
+ Crea un ruolo IAM che conceda all'account C l'autorizzazione ad assumere il ruolo in modo da poter accedere agli oggetti del bucket.

### Passaggio 1.1: accedi a Console di gestione AWS
<a name="access-policies-walkthrough-cross-account-permissions-acctA-tasks-sign-in-example4"></a>

Utilizzando l'URL di accesso dell'utente IAM per l'account A, accedi prima all'account Console di gestione AWS come **AccountAadmin** utente. Questo utente creerà un bucket e vi allegherà una policy. 

### Fase 1.2: creare un bucket e allegarlo alla policy di bucket
<a name="access-policies-walkthrough-example2d-step1-1"></a>

Nella console di Amazon S3 effettuare quanto segue:

1. Creare un bucket. In questo esercizio si presume che il nome del bucket sia `amzn-s3-demo-bucket1`.

   Per istruzioni, consulta [Creazione di un bucket per uso generico](create-bucket-overview.md). 

1. Allega la seguente policy del bucket. La policy concede all'amministratore dell'account B l'autorizzazione condizionata a caricare gli oggetti.

   Aggiorna la policy fornendo valori personalizzati per `amzn-s3-demo-bucket1`, `AccountB-ID`, e `CanonicalUserId-of-AWSaccountA-BucketOwner`. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "111",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:user/AccountBadmin"
               },
               "Action": "s3:PutObject",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"
           },
           {
               "Sid": "112",
               "Effect": "Deny",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:user/AccountBadmin"
               },
               "Action": "s3:PutObject",
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
               "Condition": {
                   "StringNotEquals": {
                       "s3:x-amz-grant-full-control": "id=CanonicalUserId-of-AWSaccountA-BucketOwner"
                   }
               }
           }
       ]
   }
   ```

------

### Fase 1.3: Creare un ruolo IAM per consentire all'account C l'accesso multi-account all'account A
<a name="access-policies-walkthrough-example2d-step1-2"></a>

Nella [Console IAM](https://console.aws.amazon.com/iam/), crea un ruolo IAM (**examplerole**) che conceda all'account C l'autorizzazione ad assumere il ruolo. Assicurati di aver effettuato l'accesso come amministratore dell'account A, poiché il ruolo deve essere creato nell'account A.

1. Prima di creare il ruolo, preparare la policy gestita che definisce le autorizzazioni richieste dal ruolo. La policy verrà collegata al ruolo in una fase successiva.

   1. Nel riquadro di navigazione a sinistra, seleziona **Policy** e poi **Crea policy**.

   1. Accanto a **Create Your Own Policy** (Crea la tua policy) scegli **Select** (Seleziona).

   1. Immettere **access-accountA-bucket** nel campo **Policy Name (Nome policy)**.

   1. Copiare la seguente policy di accesso e incollarla nel campo **Policy Document (Documento policy)**. La policy di accesso concede l'autorizzazione al ruolo `s3:GetObject`, quindi, quando l'utente Account C assume il ruolo, può eseguire solo l'operazione `s3:GetObject`.

------
#### [ JSON ]

****  

      ```
      {
        "Version":"2012-10-17",		 	 	 
        "Statement": [
          {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"
          }
        ]
      }
      ```

------

   1. Scegli **Crea policy**.

      La nuova policy viene inserita nell'elenco delle policy gestite.

1. Nel riquadro di navigazione a sinistra, scegli **Ruoli** e quindi **Crea nuovo ruolo**.

1. In **Seleziona il tipo di ruolo**, seleziona **Ruolo per l'accesso su più account**, quindi scegli il pulsante **Seleziona** accanto a **Fornisci l'accesso tra i Account AWS tuoi** utenti.

1. Immettere l'ID account dell'Account C.

   Per questa guida, non è necessario richiedere agli utenti l'autenticazione a più fattori (MFA) per assumere il ruolo, quindi lasciare l'opzione deselezionata.

1. Scegli **Fase successiva** per impostare le autorizzazioni associate al ruolo.

1. 

   Seleziona la casella di controllo accanto alla policy **access-accountA-bucket** creata, quindi scegli **Fase successiva**.

   Viene visualizzata la pagina Review (Revisione) che consente di confermare le impostazioni per il ruolo prima che venga creato. Questa pagina contiene una voce molto importante, ossia il collegamento che è possibile inviare agli utenti che hanno necessità di utilizzare questo ruolo. Gli utenti che utilizzano il link accedono direttamente alla pagina **Cambia ruolo** con i campi ID account e Nome ruolo già compilati. Questo link è visibile anche in seguito nella pagina di **riepilogo dei ruoli** per qualsiasi multi-account.

1. Immetti `examplerole` per il nome del ruolo, quindi scegli **Fase successiva**.

1. Dopo aver esaminato il ruolo, scegli **Crea ruolo**.

   Il ruolo `examplerole` viene visualizzato nell'elenco dei ruoli.

1. Scegli il nome del ruolo `examplerole`.

1. Selezionare la scheda **Trust Relationships (Relazioni di trust)**.

1. Scegli **Mostra documento della policy** e verifica che la policy di attendibilità mostrata corrisponda alla policy seguente.

   Le seguente policy di attendibilità stabilisce l'attendibilità con l'Account C, consentendogli di eseguire l'operazione `sts:AssumeRole`. Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) nella *documentazione di riferimento dell’API AWS Security Token Service *.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:root"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   ```

------

1. Osserva il nome della risorsa Amazon (ARN) del ruolo `examplerole` creato. 

   Nelle fasi successive verrà illustrato come allegare una policy utente per consentire all'utente IAM di assumere questo ruolo e come identificare il ruolo mediante il valore ARN. 

## Fase 2: esecuzione delle attività per l'Account B
<a name="access-policies-walkthrough-example4-step2"></a>

Il bucket di esempio di proprietà dell'Account A necessita di oggetti di proprietà di altri account. In questa fase, l'amministratore dell'Account B carica un oggetto mediante gli strumenti a riga di comando.
+ Utilizzando il `put-object` AWS CLI comando, carica un oggetto su. `amzn-s3-demo-bucket1` 

  ```
  aws s3api put-object --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg --body HappyFace.jpg --grant-full-control id="canonicalUserId-ofTheBucketOwner" --profile AccountBadmin
  ```

  Tenere presente quanto segue:
  + Il parametro `--Profile` specifica il profilo `AccountBadmin`, quindi l'oggetto è di proprietà dell'account B.
  + Il parametro `grant-full-control` concede al proprietario del bucket l'autorizzazione al controllo completo sull'oggetto, come richiesto dalla policy di bucket.
  + Il parametro `--body` identifica il file di origine da caricare. Ad esempio, se il file si trova nell'unità C: di un computer Windows, si specifica `c:\HappyFace.jpg`. 

## Fase 3: Eseguire le attività dell'Account C
<a name="access-policies-walkthrough-example4-step3"></a>

Nei passaggi precedenti, l'account A ha già creato un ruolo, `examplerole`, che stabilisce un rapporto di attendibilità con l'account C. Questo ruolo consente agli utenti dell'account C di accedere all'account A. In questo passaggio, l'amministratore dell'account C crea un utente (Dave) e gli delega il permesso `sts:AssumeRole` ricevuto dall'account A. Questo approccio consente a Dave di assumere il ruolo `examplerole` e di ottenere temporaneamente l'accesso all'account A. La policy di accesso che l'account A ha collegato al ruolo limita ciò che Dave può fare quando accede all'account A, in particolare ottenere oggetti in `amzn-s3-demo-bucket1`.

### Fase 3.1: Creare un utente nel conto C e delegare l'autorizzazione ad assumere examplerole
<a name="cross-acct-access-using-role-step3-1"></a>

1. Utilizzando l'URL di accesso utente IAM per l'account C, accedi prima all'**AccountCadmin**utente Console di gestione AWS as. 

   

1. Nella [console IAM](https://console.aws.amazon.com/iam/), crea un utente, Dave. 

   Per step-by-step istruzioni, consulta [Creating IAM users (Console di gestione AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console) nella *IAM User Guide*. 

1. Annota le credenziali di Dave. Dave dovrà utilizzare queste credenziali per assumere il ruolo `examplerole`.

1. Crea una policy in linea per l'utente IAM Dave per delegare a Dave l'autorizzazione `sts:AssumeRole` sul ruolo `examplerole` nell'account A. 

   1. Nel riquadro di navigazione sinistro, scegli **Utenti**.

   1. Scegli il nome utente **Dave**.

   1. Nella pagina dei dettagli dell'utente, selezionare la scheda **Permissions (Autorizzazioni)**, quindi espandere la sezione **Inline Policies (Policy inline)**.

   1. Scegliere **click here (fai clic qui)** oppure **Create User Policy (Crea policy di utente)**.

   1. Scegliere **Custom Policy (Policy personalizzata)** quindi **Select (Seleziona)**.

   1. Immettere un nome per la policy nel campo **Policy Name (Nome policy)**.

   1. Copiare la seguente policy nel campo **Policy Document (Documento policy)**.

      È necessario aggiornare la policy fornendo `AccountA-ID`.

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "sts:AssumeRole"
                  ],
                  "Resource": "arn:aws:iam::111122223333:role/examplerole"
              }
          ]
      }
      ```

------

   1. Scegli **Apply Policy** (Applica policy).

1. Salva le credenziali di Dave nel file di configurazione di AWS CLI aggiungendo un altro profilo,. `AccountCDave`

   ```
   [profile AccountCDave]
   aws_access_key_id = UserDaveAccessKeyID
   aws_secret_access_key = UserDaveSecretAccessKey
   region = us-west-2
   ```

### Fase 3.2: Assumere il ruolo (examplerole) e accedere agli oggetti
<a name="cross-acct-access-using-role-step3-2"></a>

Ora Dave può accedere agli oggetti nel bucket di proprietà dell'Account A nel modo seguente:
+ Per prima cosa, Dave assume il ruolo `examplerole` utilizzando le sue credenziali personali. Questa operazione restituirà le credenziali temporanee.
+ Dave utilizzerà le credenziali temporanee per accedere agli oggetti nel bucket dell'Account A.

1. Al prompt dei comandi, esegui il AWS CLI `assume-role` comando seguente utilizzando il profilo. `AccountCDave` 

   È necessario aggiornare il valore ARN nel comando fornendo l'`AccountA-ID` dove è definito `examplerole`.

   ```
   aws sts assume-role --role-arn arn:aws:iam::AccountA-ID:role/examplerole --profile AccountCDave --role-session-name test
   ```

   In risposta, AWS Security Token Service (AWS STS) restituisce credenziali di sicurezza temporanee (ID della chiave di accesso, chiave di accesso segreta e un token di sessione).

1. Salva le credenziali di sicurezza temporanee nel file di AWS CLI configurazione sotto il profilo. `TempCred`

   ```
   [profile TempCred]
   aws_access_key_id = temp-access-key-ID
   aws_secret_access_key = temp-secret-access-key
   aws_session_token = session-token
   region = us-west-2
   ```

1. Al prompt dei comandi, esegui il AWS CLI comando seguente per accedere agli oggetti utilizzando le credenziali temporanee. Ad esempio, il comando specifica l'API head-object per recuperare i metadata dell'oggetto per l'oggetto `HappyFace.jpg`.

   ```
   aws s3api get-object --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg SaveFileAs.jpg --profile TempCred
   ```

   Dal momento che la policy di accesso collegata a `examplerole` consente l'esecuzione delle operazioni, Amazon S3 elabora la richiesta. È possibile provare ad eseguire un'altra operazione su qualsiasi altro oggetto nel bucket.

   Se si tenta un'altra azione, ad esempio `get-object-acl`, l'autorizzazione sarà negata perché il ruolo non è autorizzato a eseguire tale azione.

   ```
   aws s3api get-object-acl --bucket amzn-s3-demo-bucket1 --key HappyFace.jpg --profile TempCred
   ```

   È stato utilizzato l'utente Dave per assumere il ruolo e accedere all'oggetto mediante le credenziali temporanee. L'accesso agli oggetti in `amzn-s3-demo-bucket1` può essere effettuato anche da un'applicazione nell'Account C. L'applicazione può ottenere credenziali di sicurezza temporanee e l'Account C può delegare all'applicazione le autorizzazioni per assumere `examplerole`.

## Fase 4: pulizia
<a name="access-policies-walkthrough-example4-step6"></a>

1. Una volta terminato il test, è possibile eseguire le seguenti operazioni di pulizia:

   1. Accedi alla [Console di gestione AWS](https://console.aws.amazon.com/) utilizzando le credenziali dell'Account A e procedere come di seguito:
     + Nella console di Amazon S3 rimuovere la policy del bucket collegata a `amzn-s3-demo-bucket1`. Nelle **Proprietà** del bucket, elimina la policy nella sezione **Autorizzazioni**. 
     + Se il bucket è stato creato per questo esercizio, nella console di Amazon S3 eliminare gli oggetti e quindi il bucket. 
     + Nella [console IAM](https://console.aws.amazon.com/iam/), rimuovi l'account `examplerole` che hai creato nell'account A. Per step-by-step istruzioni, consulta [Eliminazione di un utente IAM nella Guida per l'utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html#id_users_deleting) *IAM*. 
     + Nella [Console IAM](https://console.aws.amazon.com/iam/), rimuovi l'utente **AccountAadmin**.

1. Accedi alla [Console IAM](https://console.aws.amazon.com/iam/) utilizzando le credenziali dell'account B. Elimina l'utente **AccountBadmin**. 

1. Accedi alla [Console IAM](https://console.aws.amazon.com/iam/) utilizzando le credenziali dell'Account C. Elimina **AccountCadmin**e l'utente Dave.

## Risorse correlate
<a name="RelatedResources-managing-access-example4"></a>

Per ulteriori informazioni relative a questa guida, consulta le seguenti risorse nella *Guida all'utente IAM*:
+ [Creazione di un ruolo per delegare le autorizzazioni a un utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)
+ [Tutorial: delega l'accesso Account AWS tramite i ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial-cross-account-with-roles.html)
+ [Gestione delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)

# Utilizzo dei ruoli collegati ai servizi per Amazon S3 Storage Lens
<a name="using-service-linked-roles"></a>

Per utilizzare Amazon S3 Storage Lens per raccogliere e aggregare i parametri su tutti i tuoi account AWS Organizations, devi innanzitutto assicurarti che per S3 Storage Lens sia abilitato l'accesso attendibile all'account di gestione della tua organizzazione. S3 Storage Lens crea un ruolo collegato al servizio (SLR) per consentirgli di ottenere l'elenco di appartenenza alla tua organizzazione. Account AWS Questo elenco di account viene utilizzato da S3 Storage Lens per raccogliere i parametri delle risorse S3 in tutti gli account membri quando il pannello di controllo o le configurazioni dello Storage Lens S3 vengono create o aggiornate.

Amazon S3 Storage Lens utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo univoco di ruolo IAM collegato direttamente a S3 Storage Lens. I ruoli collegati ai servizi sono predefiniti da S3 Storage Lens e includono tutte le autorizzazioni richieste dal servizio per chiamare altri utenti per tuo conto. Servizi AWS 

Un ruolo collegato ai servizi semplifica la configurazione di S3 Storage Lens perché ti permette di evitare l'aggiunta manuale delle autorizzazioni necessarie. S3 Storage Lens definisce le autorizzazioni dei relativi ruoli associati ai servizi e, salvo diversamente definito, solo S3 Storage Lens potrà assumere i propri ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.

È possibile eliminare il ruolo collegato ai servizi solo dopo avere eliminato le risorse correlate. Questa procedura protegge le risorse di S3 Storage Lens perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Yes** (Sì) nella colonna **Service-linked roles** (Ruoli collegati ai servizi). Scegli un link **Yes** (Sì) per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

## Autorizzazioni di ruolo collegate ai servizi per Amazon S3 Storage Lens
<a name="slr-permissions"></a>

S3 Storage Lens utilizza il ruolo collegato ai servizi denominato **AWSServiceRoleForS3, che consente l'accesso ai AWS servizi e alle StorageLens risorse utilizzati o gestiti da S3** Storage Lens. Ciò consente a S3 Storage Lens di accedere alle risorse per tuo conto. AWS Organizations 

Il ruolo collegato ai servizi S3 Storage Lens considera attendibile il seguente servizio nello storage dell'organizzazione:
+ `storage-lens.s3.amazonaws.com`

La policy delle autorizzazioni del ruolo consente a S3 Storage Lens di eseguire le seguenti operazioni:
+ `organizations:DescribeOrganization`

  `organizations:ListAccounts`

  `organizations:ListAWSServiceAccessForOrganization`

  `organizations:ListDelegatedAdministrators`

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.

## Creazione di un ruolo collegato ai servizi per S3 Storage Lens
<a name="create-slr"></a>

Non devi creare manualmente un ruolo collegato ai servizi. Quando completi una delle seguenti attività mentre sei connesso agli account di AWS Organizations gestione o amministratore delegato, S3 Storage Lens crea automaticamente il ruolo collegato al servizio:
+ Crea una configurazione del pannello di controllo S3 Storage Lens per la tua organizzazione nella console di Amazon S3.
+ `PUT`una configurazione S3 Storage Lens per la tua organizzazione che utilizza l'API REST e. AWS CLI SDKs

**Nota**  
S3 Storage Lens supporterà un massimo di cinque amministratori delegati per organizzazione.

Se si elimina questo ruolo collegato ai servizi, le azioni precedenti lo ricreeranno all'occorrenza.

### Esempio di policy per il ruolo collegato ai servizi S3 Storage Lens
<a name="slr-sample-policy"></a>

**Example Policy di autorizzazione per il ruolo collegato ai servizi S3 Storage Lens**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AwsOrgsAccess",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

## Modifica di un ruolo collegato ai servizi per Amazon S3 Storage Lens
<a name="edit-slr"></a>

S3 Storage Lens non consente di modificare il ruolo collegato al servizio AWSServiceRoleForS3StorageLens. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.

## Eliminazione di un ruolo collegato ai servizi per Amazon S3 Storage Lens
<a name="delete-slr"></a>

Se non devi più utilizzare il ruolo collegato ai servizi, è consigliabile eliminarlo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.

**Nota**  
Se il servizio Amazon S3 Storage Lens utilizza tale ruolo quando tenti di eliminare le risorse, è possibile che l'eliminazione non abbia esito positivo. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Per eliminare la, AWSServiceRoleForS3StorageLens è necessario eliminare tutte le configurazioni di S3 Storage Lens a livello di organizzazione presenti in tutte Regioni AWS utilizzando gli account di AWS Organizations gestione o amministratore delegato.

Le risorse sono configurazioni S3 Storage Lens a livello di organizzazione. Usa S3 Storage Lens per pulire le risorse, quindi utilizza la [console IAM](https://console.aws.amazon.com/iam/), la CLI, l'API REST AWS o l'SDK per eliminare il ruolo. 

Nell'API REST e SDKs S3 Storage Lens è possibile scoprire le configurazioni di S3 Storage Lens `ListStorageLensConfigurations` in tutte le regioni in cui l'organizzazione ha creato configurazioni S3 Storage Lens. AWS CLI Utilizza l'azione `DeleteStorageLensConfiguration` per eliminare queste configurazioni in modo che sia possibile eliminare il ruolo.

**Nota**  
Per eliminare il ruolo collegato ai servizi, è necessario eliminare tutte le configurazioni S3 Storage Lens a livello di organizzazione in tutte le regioni in cui esistono.

**Per eliminare le risorse di Amazon S3 Storage Lens utilizzate dalla SLR AWSServiceRoleForS3StorageLens**

1. Per ottenere un elenco delle configurazioni a livello di organizzazione, è necessario utilizzare `ListStorageLensConfigurations` in ogni Regione in cui sono presenti configurazioni di S3 Storage Lens. Questo elenco può essere ottenuto anche dalla console Amazon S3.

1. Eliminare queste configurazioni dagli endpoint regionali appropriati invocando la chiamata API `DeleteStorageLensConfiguration` o utilizzando la console Amazon S3. 

**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**

Dopo aver eliminato le configurazioni, elimina la AWSServiceRoleForS3StorageLens reflex dalla [console IAM o richiamando l'API `DeleteServiceLinkedRole` IAM](https://console.aws.amazon.com/iam/) o utilizzando l'SDK o. AWS CLI AWS Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.

## Regioni supportate per i ruoli collegati ai servizi S3 Storage Lens
<a name="slr-regions"></a>

S3 Storage Lens supporta l'utilizzo di ruoli collegati al servizio in tutti i luoghi in cui il servizio è disponibile. Regioni AWS Per ulteriori informazioni, consulta la sezione [Regioni ed endpoint di Amazon S3](https://docs.aws.amazon.com/general/latest/gr/s3.html).

# Risoluzione dei problemi di identità e accesso ad Amazon S3
<a name="security_iam_troubleshoot"></a>

Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi comuni che potresti incontrare quando lavori con Amazon S3 e IAM.

**Topics**
+ [

## Errore di accesso negato ricevuto
](#access_denied_403)
+ [

## Non sono autorizzato a eseguire un'azione in Amazon S3
](#security_iam_troubleshoot-no-permissions)
+ [

## Non sono autorizzato a eseguire iam: PassRole
](#security_iam_troubleshoot-passrole)
+ [

## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon S3
](#security_iam_troubleshoot-cross-account-access)
+ [

# Risoluzione dei problemi relativi agli errori di accesso negato (403 Forbidden) in Amazon S3
](troubleshoot-403-errors.md)

## Errore di accesso negato ricevuto
<a name="access_denied_403"></a>

Verifica che non ci sia un'istruzione esplicita `Deny` contro il richiedente a cui si sta cercando di concedere le autorizzazioni nella policy di bucket o nella policy basata sull'identità. 

Per informazioni dettagliate sulla risoluzione dei problemi relativi agli errori di accesso negato, consulta [Risoluzione dei problemi relativi agli errori di accesso negato (403 Forbidden) in Amazon S3](troubleshoot-403-errors.md).

## Non sono autorizzato a eseguire un'azione in Amazon S3
<a name="security_iam_troubleshoot-no-permissions"></a>

Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.

L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `s3:GetWidget` fittizie.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: s3:GetWidget on resource: my-example-widget
```

In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `s3:GetWidget`.

Se hai bisogno di aiuto, contatta il tuo amministratore. AWS L’amministratore è la persona che ti ha fornito le credenziali di accesso.

## Non sono autorizzato a eseguire iam: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Se si riceve un errore che indica che non si è autorizzati a eseguire l'azione `iam:PassRole`, è necessario aggiornare le policy per consentire di passare un ruolo ad Amazon S3.

Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.

Il seguente esempio di errore si verifica quando un utente IAM di nome `marymajor` tenta di utilizzare la console per eseguire un'azione in Amazon S3. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.

Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.

## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon S3
<a name="security_iam_troubleshoot-cross-account-access"></a>

È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per consentire alle persone di accedere alle tue risorse.

Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Amazon S3 supporta queste funzioni, consulta [Come funziona Amazon S3 con IAM](security_iam_service-with-iam.md).
+ Per scoprire come fornire l'accesso alle risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in Account AWS un altro Account AWS di tua proprietà nella](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) *IAM* User Guide.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.

# Risoluzione dei problemi relativi agli errori di accesso negato (403 Forbidden) in Amazon S3
<a name="troubleshoot-403-errors"></a>

Gli errori di accesso negato (HTTP`403 Forbidden`) compaiono quando si nega in AWS modo esplicito o implicito una richiesta di autorizzazione. 
+ Un *rifiuto esplicito* si verifica quando una politica contiene una `Deny` dichiarazione per l'azione specifica. AWS 
+ Un *diniego implicito* si verifica quando non è presente un'istruzione `Deny` applicabile e non è presente neppure un'istruzione `Allow` applicabile. 

Poiché una policy AWS Identity and Access Management (IAM) nega implicitamente un principio IAM per impostazione predefinita, la policy deve consentire esplicitamente al principale di eseguire un'azione. In caso contrario, la policy nega implicitamente l'accesso. Per ulteriori informazioni, consulta la sezione [Differenza tra rifiuti espliciti e impliciti](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#AccessPolicyLanguage_Interplay) nella *Guida all'utente IAM*. Per informazioni sulla logica di valutazione delle policy che determina se una richiesta di accesso è consentita o negata, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *Guida all'utente IAM*. 

Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta [Autorizzazioni necessarie per le operazioni API di Amazon S3](using-with-s3-policy-actions.md).

I seguenti argomenti trattano le cause più comuni degli errori di accesso negato in Amazon S3.

**Nota**  
Per gli errori di accesso negato (HTTP`403 Forbidden`), Amazon S3 non addebita alcun costo al proprietario del bucket quando la richiesta viene avviata al di fuori dell' AWS account individuale del proprietario del bucket o dell'organizzazione del proprietario del bucket. AWS 

**Topics**
+ [

## Esempi di messaggi di accesso negato e di risoluzione dei problemi
](#access-denied-message-examples)
+ [

## Accesso negato a causa delle impostazioni Pagamento a carico del richiedente
](#access-denied-requester-pays)
+ [

## Policy di bucket e policy IAM
](#bucket-iam-policies)
+ [

## Impostazioni ACL di Amazon S3
](#troubleshoot-403-acl-settings)
+ [

## Impostazioni dell'opzione S3 Blocco dell'accesso pubblico
](#troubleshoot-403-bpa)
+ [

## Impostazioni della crittografia Amazon S3
](#troubleshoot-403-encryption)
+ [

## Impostazioni dell'opzione S3 Blocco oggetti
](#troubleshoot-403-object-lock)
+ [

## Policy di endpoint VPC
](#troubleshoot-403-vpc)
+ [

## AWS Organizations politiche
](#troubleshoot-403-orgs)
+ [

## CloudFront accesso alla distribuzione
](#troubleshoot-403-cloudfront)
+ [

## Impostazioni del punto di accesso
](#troubleshoot-403-access-points)
+ [

## Risorse aggiuntive
](#troubleshoot-403-additional-resources)

**Nota**  
Se si sta cercando di risolvere un problema di permessi, inizia dalla sezione [Esempi di messaggi di accesso negato e di risoluzione dei problemi](#access-denied-message-examples), quindi passa alla sezione [Policy di bucket e policy IAM](#bucket-iam-policies). Assicurati inoltre di seguire le indicazioni contenute in [Suggerimenti per la verifica delle autorizzazioni](#troubleshoot-403-tips).

## Esempi di messaggi di accesso negato e di risoluzione dei problemi
<a name="access-denied-message-examples"></a>

Amazon S3 ora include un contesto aggiuntivo negli errori di accesso negato (HTTP`403 Forbidden`) per le richieste effettuate a risorse all'interno della stessa Account AWS o della stessa organizzazione in. AWS Organizations Questo nuovo contesto include il tipo di policy che ha negato l'accesso, il motivo del rifiuto e le informazioni sull'utente o sul ruolo IAM che ha richiesto l'accesso alla risorsa. 

Questo contesto aggiuntivo aiuta a risolvere i problemi di accesso, a identificare la causa principale degli errori di accesso negato e a correggere i controlli di accesso errati aggiornando le policy pertinenti. Questo contesto aggiuntivo è disponibile anche nei AWS CloudTrail log. I messaggi di errore di accesso negato avanzato per le richieste relative allo stesso account o alla stessa organizzazione sono ora disponibili in tutte le regioni Regioni AWS, incluse quelle AWS GovCloud (US) Regions della Cina. 

Per la maggior parte, i messaggi di errore di accesso negato sono visualizzati nel formato `User user-arn is not authorized to perform action on "resource-arn" because context`. In questo esempio, *`user-arn`* è il [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) dell’utente che non riceve l’accesso, *`action`* è l’azione del servizio che la policy nega e *`resource-arn`* è l’ARN della risorsa su cui agisce la policy. Il campo *`context`* rappresenta un contesto aggiuntivo sul tipo di policy che spiega perché la policy ha negato l'accesso.

Quando una policy nega esplicitamente l'accesso perché contiene un'istruzione `Deny`, il messaggio di errore di accesso negato include la frase `with an explicit deny in a type policy`. Quando la policy nega implicitamente l'accesso, il messaggio di errore di accesso negato include la frase `because no type policy allows the action action`.

**Importante**  
I messaggi di accesso negato avanzati vengono restituiti solo per le richieste dello stesso account o per le richieste all’interno della stessa organizzazione in AWS Organizations. Le richieste multi-account esterne alla stessa organizzazione restituiscono il messaggio generico `Access Denied`.   
Per informazioni sulla logica di valutazione delle policy che determina se una richiesta di accesso multi-account è consentita o negata, consulta [Logica di valutazione delle policy di accesso a più account](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html) nella *Guida all'utente IAM*. Per una guida che mostra come concedere l'accesso multi-account, consulta [Esempio 2: il proprietario del bucket concede autorizzazioni per il bucket multiaccount](example-walkthroughs-managing-access-example2.md). 
Per le richieste all’interno della stessa organizzazione in AWS Organizations:  
I messaggi di accesso negato avanzati non vengono restituiti se la negazione si verifica a causa di una policy dell’endpoint del cloud privato virtuale (VPC).
I messaggi di accesso negato avanzati vengono forniti ogni volta che sia il proprietario del bucket sia l’account chiamante appartengono alla stessa organizzazione in AWS Organizations. Sebbene i bucket configurati con le impostazioni **Proprietario del bucket preferito** o **Autore dell’oggetto** di Proprietà dell’oggetto S3 possano contenere oggetti di proprietà di account diversi, la proprietà degli oggetti non influisce sui messaggi di accesso negato avanzati. I messaggi di accesso negato avanzati vengono restituiti per tutte le richieste di oggetti purché il proprietario del bucket e il chiamante si trovino nella stessa organizzazione, indipendentemente dal proprietario dell’oggetto specifico. Per informazioni sulle impostazioni e le configurazioni di Proprietà dell’oggetto, consulta [Controllo della proprietà degli oggetti e disattivazione ACLs del bucket](about-object-ownership.md).
I messaggi di errore di accesso negato non vengono restituiti per le richieste effettuate ai bucket di directory. Le richieste di directory bucket restituiscono un messaggio generico `Access Denied`.
Se più policy dello stesso tipo negano una richiesta di autorizzazione, il messaggio di errore Accesso negato non specifica il numero di policy.
Se più tipi di policy negano una richiesta di autorizzazione, il messaggio di errore include solo uno di questi tipi di policy.
Se una richiesta di accesso viene rifiutata per più motivi, il messaggio di errore include solo uno dei motivi del rifiuto. 

Gli esempi seguenti mostrano il formato dei diversi tipi di messaggi di errore di accesso negato e come risolvere i problemi di ciascun tipo di messaggio.

### Accesso negato a causa del tipo di crittografia bloccato
<a name="access-denied-due-to-blocked-encryption-type"></a>

Per limitare i tipi di crittografia lato server che è possibile utilizzare nei bucket generici, è possibile scegliere di bloccare le richieste di scrittura SSE-C aggiornando la configurazione di crittografia predefinita per i bucket. Questa configurazione a livello di bucket blocca le richieste di caricamento di oggetti che specificano SSE-C. Quando SSE-C è bloccato per un bucket `PutObject``CopyObject`, `PostObject` tutte le richieste di caricamento o replica multipart o multipart che specificano la crittografia SSE-C verranno rifiutate con un errore HTTP 403. `AccessDenied`

Questa impostazione è un parametro dell'`PutBucketEncryption`API e può essere aggiornata anche utilizzando la console S3, la AWS CLI AWS SDKs e, se `s3:PutEncryptionConfiguration` disponi dell'autorizzazione. I valori validi sono`SSE-C`, che blocca la crittografia SSE-C per il bucket generico e`NONE`, che consente l'uso di SSE-C per le scritture nel bucket.

Ad esempio, quando l'accesso viene negato a una `PutObject` richiesta perché l'`BlockedEncryptionTypes`impostazione blocca le richieste di scrittura che specificano SSE-C, viene visualizzato il seguente messaggio:

```
An error occurred (AccessDenied) when calling the PutObject operation:   
User: arn:aws:iam::123456789012:user/MaryMajor  is not   
authorized to perform: s3:PutObject on resource:   
"arn:aws:s3:::amzn-s3-demo-bucket1/object-name" because this   
bucket has blocked upload requests that specify   
Server Side Encryption with Customer provided keys (SSE-C).   
Please specify a different server-side encryption type
```

Per ulteriori informazioni su questa impostazione, consulta [Blocco o sblocco di SSE-C per un bucket per uso generico](blocking-unblocking-s3-c-encryption-gpb.md).

### Accesso negato a causa di una policy di controllo delle risorse - rifiuto esplicito
<a name="access-denied-rcp-examples-explicit"></a>

1. Verifica la presenza di una `Deny` dichiarazione relativa all'azione nelle tue politiche di controllo delle risorse (). RCPs Per l’esempio seguente, l’operazione è `s3:GetObject`.

1. Aggiorna la tua RCP rimuovendo l'istruzione `Deny`. Per ulteriori informazioni, consulta [Aggiornamento di una policy di controllo delle risorse (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_update.html#update_policy-rcp) nella *Guida all'utente AWS Organizations *. 

```
An error occurred (AccessDenied) when calling the GetObject operation: 
User: arn:aws:iam::777788889999:user/MaryMajor is not authorized to perform: 
s3:GetObject on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name" 
with an explicit deny in a resource control policy
```

### Accesso negato a causa di una policy di controllo dei servizi: diniego implicito
<a name="access-denied-scp-examples-implicit"></a>

1. Verifica la presenza di un'`Allow`istruzione mancante per l'azione nelle tue politiche di controllo del servizio (SCPs). Per l'esempio seguente, l'operazione è `s3:GetObject`.

1. Aggiorna la tua SCP aggiungendo l'istruzione `Allow`. Per ulteriori informazioni, consulta [Aggiornamento di una SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#update_policy) nella *Guida per l'utente di AWS Organizations *.

```
User: arn:aws:iam::777788889999:user/MaryMajor is not authorized to perform:
s3:GetObject because no service control policy allows the s3:GetObject action
```

### Accesso negato a causa di una policy di controllo dei servizi: diniego esplicito
<a name="access-denied-scp-examples-explicit"></a>

1. Cerca un'`Deny`informativa sull'azione nelle tue politiche di controllo dei servizi (SCPs). Per l’esempio seguente, l’operazione è `s3:GetObject`.

1. Aggiorna la tua SCP modificando l'istruzione `Deny` per consentire all'utente l'accesso necessario. Per un esempio di come si può fare, consulta [Impedire agli utenti e ai ruoli IAM di apportare modifiche specifiche, con un'eccezione per un ruolo di amministratore specificato](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-restricts-with-exception), nella *Guida all'utente AWS Organizations *. Per ulteriori informazioni sull'aggiornamento dell'SCP, consulta [Aggiornamento di un SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#update_policy) nella *Guida all'utente di AWS Organizations *.

```
User: arn:aws:iam::777788889999:user/MaryMajor is not authorized to perform: 
s3:GetObject with an explicit deny in a service control policy
```

### Accesso negato a causa di una policy dell'endpoint VPC: diniego implicito
<a name="access-denied-vpc-endpoint-examples-implicit"></a>

1. Verificare la mancanza di un'istruzione `Allow` per l'azione nelle policy degli endpoint del cloud privato virtuale (VPC). Per l’esempio seguente, l'operazione è `s3:GetObject`.

1. Aggiorna la tua policy sugli endpoint VPC aggiungendo l'iistruzione `Allow`. Per ulteriori informazioni, consulta [Aggiornamento di una policy dell'endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy) nella *AWS PrivateLink Guida*.

```
User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform: 
s3:GetObject because no VPC endpoint policy allows the s3:GetObject action
```

### Accesso negato a causa di una policy dell'endpoint VPC: diniego esplicito
<a name="access-denied-vpc-endpoint-examples-explicit"></a>

1. Verifica la presenza di un'istruzione esplicita `Deny` per l'azione nelle policy dell'endpoint del cloud privato virtuale (VPC). Per l’esempio seguente, l’operazione è `s3:GetObject`.

1. Aggiornare la policy dell'endpoint VPC modificando l'istruzione `Deny` per consentire all'utente l'accesso necessario. Ad esempio, è possibile aggiornare l'istruzione `Deny` per utilizzare la chiave di condizione `aws:PrincipalAccount` con l'operatore di condizione `StringNotEquals` per consentire l'accesso al principale specifico, come mostrato in [Esempio 7: Esclusione di alcuni principali da un'istruzione `Deny`](amazon-s3-policy-keys.md#example-exclude-principal-from-deny-statement). Per ulteriori informazioni sull'aggiornamento delle policy degli endpoint VPC, consulta [Aggiornamento di una policy degli endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#update-vpc-endpoint-policy) nella *Guida a AWS PrivateLink *.

```
User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform: 
s3:GetObject on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name" with 
an explicit deny in a VPC endpoint policy
```

### Accesso negato a causa di limiti delle autorizzazioni: diniego implicito
<a name="access-denied-permissions-boundary-examples-implicit"></a>

1. Verifica la presenza di un'istruzione `Allow` mancante relativa all'azione nel limite delle autorizzazioni. Per l’esempio seguente, l’operazione è `s3:GetObject`.

1. Aggiorna il limite delle autorizzazioni aggiungendo l'istruzione `Allow`relativa alla tua policy IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) e [Modifica delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) nella *Guida dell'utente IAM*.

```
User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform: 
s3:GetObject on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name" 
because no permissions boundary allows the s3:GetObject action
```

### Accesso negato a causa di un limite delle autorizzazioni: diniego esplicito
<a name="access-denied-permissions-boundary-examples-explicit"></a>

1. Verifica la presenza di un'istruzione `Deny` esplicita relativa all'azione nel limite delle autorizzazioni. Per l’esempio seguente, l’operazione è `s3:GetObject`.

1. Aggiornare il limite delle autorizzazioni modificando l'istruzione `Deny` nella policy IAM per consentire all'utente l'accesso necessario. Ad esempio, è possibile aggiornare l'istruzione `Deny` per utilizzare la chiave di condizione `aws:PrincipalAccount` con l'operatore di condizione `StringNotEquals` per consentire l'accesso al principale specifico, come mostrato in [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount) nella *Guida all'utente IAM*. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) e [Modifica delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) nella *Guida dell'utente IAM*.

```
User: arn:aws:iam::777788889999:user/MaryMajor is not authorized to perform: 
s3:GetObject with an explicit deny in a permissions boundary
```

### Accesso negato a causa di policy di sessione: diniego implicito
<a name="access-denied-session-policy-examples-implicit"></a>

1. Verifica la presenza di un'istruzione `Allow` mancante relativa all'azione nelle tue policy di sessione. Per l’esempio seguente, l’operazione è `s3:GetObject`.

1. Aggiorna la tua policy di sessione aggiungendo l'istruzione `Allow`. Per ulteriori informazioni, consulta [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) e [Modifica delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) nella *Guida all'utente IAM*.

```
User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform: 
s3:GetObject because no session policy allows the s3:GetObject action
```

### Accesso negato a causa di policy di sessione: diniego esplicito
<a name="access-denied-session-policy-examples-explicit"></a>

1. Verifica la presenza di un'istruzione `Deny` esplicita relativa all'azione nelle tue policy di sessione. Per l’esempio seguente, l’operazione è `s3:GetObject`.

1. Aggiornare la policy di sessione modificando l'istruzione `Deny` per consentire all'utente l'accesso necessario. Ad esempio, è possibile aggiornare l'istruzione `Deny` per utilizzare la chiave di condizione `aws:PrincipalAccount` con l'operatore di condizione `StringNotEquals` per consentire l'accesso al principale specifico, come mostrato in [Esempio 7: Esclusione di alcuni principali da un'istruzione `Deny`](amazon-s3-policy-keys.md#example-exclude-principal-from-deny-statement). Per ulteriori informazioni sull'aggiornamento delle policy di sessione, consulta [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) e [Modifica delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) nella *Guida all'utente IAM*.

```
User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform: 
s3:GetObject on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name" with 
an explicit deny in a session policy
```

### Accesso negato a causa di policy basate sulle risorse: diniego implicito
<a name="access-denied-resource-based-policy-examples-implicit"></a>

**Nota**  
Per *policy basate sulle risorse* si intendono policy come quelle relative ai bucket e ai punti di accesso.

1. Verifica la presenza di un'istruzione `Allow` mancante relativa all'azione nella tua policy basata sulle risorse. Controlla anche se l'impostazione `IgnorePublicAcls` di Blocco dell'accesso pubblico S3 è applicata a livello di bucket, punto di accesso o account. Per l’esempio seguente, l’operazione è `s3:GetObject`.

1. Aggiorna la tua policy aggiungendo l'istruzione `Allow`. Per ulteriori informazioni, consulta [Policy basate sulle risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) e [Modifica delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) nella *Guida all'utente IAM*.

   Potrebbe anche essere necessario modificare l'impostazione `IgnorePublicAcls` di Blocco dell'accesso pubblico per il bucket, il punto di accesso o l'account. Per ulteriori informazioni, consultare [Accesso negato a causa delle impostazioni di Blocco accesso pubblico](#access-denied-bpa-examples) e [Configurazione delle impostazioni di blocco dell'accesso pubblico per i bucket S3](configuring-block-public-access-bucket.md).

```
User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform: 
s3:GetObject because no resource-based policy allows the s3:GetObject action
```

### Accesso negato a causa di policy basate sulle risorse: diniego esplicito
<a name="access-denied-resource-based-policy-examples-explicit"></a>

**Nota**  
Per *policy basate sulle risorse* si intendono policy come quelle relative ai bucket e ai punti di accesso.

1. Verifica la presenza di un'istruzione `Deny` esplicita relativa all'azione nella tua policy basata sulle risorse. Controlla anche se l'impostazione `RestrictPublicBuckets` di Blocco dell'accesso pubblico S3 è applicata a livello di bucket, punto di accesso o account. Per l’esempio seguente, l’operazione è `s3:GetObject`.

1. Aggiorna la policy modificando l'istruzione `Deny` per consentire all'utente l'accesso necessario. Ad esempio, è possibile aggiornare l'istruzione `Deny` per utilizzare la chiave di condizione `aws:PrincipalAccount` con l'operatore di condizione `StringNotEquals` per consentire l'accesso al principale specifico, come mostrato in [Esempio 7: Esclusione di alcuni principali da un'istruzione `Deny`](amazon-s3-policy-keys.md#example-exclude-principal-from-deny-statement). Per ulteriori informazioni sull'aggiornamento della policy basata sulle risorse, consulta [Policy basate sulle risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) e [Modifica delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) nella *Guida all'utente IAM*.

   Potrebbe anche essere necessario modificare l'impostazione `RestrictPublicBuckets` di Blocco dell'accesso pubblico per il bucket, il punto di accesso o l'account. Per ulteriori informazioni, consultare [Accesso negato a causa delle impostazioni di Blocco accesso pubblico](#access-denied-bpa-examples) e [Configurazione delle impostazioni di blocco dell'accesso pubblico per i bucket S3](configuring-block-public-access-bucket.md).

```
User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform: 
s3:GetObject on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name" with 
an explicit deny in a resource-based policy
```

### Accesso negato a causa di policy basate sull'identità: diniego implicito
<a name="access-denied-identity-based-policy-examples-implicit"></a>

1. Verifica l'eventuale mancanza di un'istruzione `Allow` per l'azione nelle politicy basate sull'identità collegate all'identità. Nell'esempio seguente, l'azione è `s3:GetObject` collegata all'utente `MaryMajor`.

1. Aggiorna la tua policy aggiungendo l’istruzione `Allow`. Per ulteriori informazioni, consulta [Policy basate sull'identità](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_id-based) e [Modifica delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) nella *Guida dell'utente IAM*.

```
User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform: 
s3:GetObject because no identity-based policy allows the s3:GetObject action
```

### Accesso negato a causa di policy basate sull'identità: diniego esplicito
<a name="access-denied-identity-based-policy-examples-explicit"></a>

1. Verifica la presenza di un’istruzione `Deny` esplicita per l'azione nelle politicy basate sull'identità collegate all'identità. Nell'esempio seguente, l'azione è `s3:GetObject` collegata all'utente `MaryMajor`.

1. Aggiorna la policy modificando l'istruzione `Deny` per consentire all'utente l'accesso necessario. Ad esempio, è possibile aggiornare l'istruzione `Deny` per utilizzare la chiave di condizione `aws:PrincipalAccount` con l'operatore di condizione `StringNotEquals` per consentire l'accesso al principale specifico, come mostrato in [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount) nella *Guida all'utente IAM*. Per ulteriori informazioni, consulta [Policy basate sull'identità](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_id-based) e [Modifica delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) nella *Guida dell'utente IAM*.

```
User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform: 
s3:GetObject on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name" with 
an explicit deny in an identity-based policy
```

### Accesso negato a causa delle impostazioni di Blocco accesso pubblico
<a name="access-denied-bpa-examples"></a>

La funzione Blocco dell'accesso pubblico Amazon S3 fornisce le impostazioni per i punti di accesso, i bucket e gli account per aiutare a gestire l'accesso pubblico alle risorse Amazon S3. Per ulteriori informazioni su cosa si intende con il termine "pubblico" in Amazon S3, consulta [Significato di "pubblico"](access-control-block-public-access.md#access-control-block-public-access-policy-status). 

Per impostazione predefinita, i nuovi bucket, punti di accesso e oggetti non consentono l'accesso pubblico. Tuttavia, gli utenti possono modificare le policy dei bucket, le policy dei punti di accesso, le policy degli utenti IAM, le autorizzazioni degli oggetti o le liste di controllo degli accessi (ACLs) per consentire l'accesso pubblico. Le impostazioni di S3 Block Public Access hanno la precedenza su queste politiche, autorizzazioni e. ACLs Da aprile 2023, tutte le impostazioni di Blocco dell'accesso pubblico sono attivate per impostazione predefinita per i nuovi bucket. 

Quando Amazon S3 riceve una richiesta di accesso a un bucket o a un oggetto, determina se per il bucket o l'account del proprietario del bucket è applicata un'impostazione di blocco dell'accesso pubblico. Se la richiesta è stata effettuata tramite un punto di accesso, Amazon S3 controlla anche la presenza di impostazioni di blocco dell'accesso pubblico per il punto di accesso. Se è presente un'impostazione di blocco dell'accesso pubblico che vieta l'accesso richiesto, Amazon S3 rifiuta la richiesta.

Il blocco dell'accesso pubblico di Amazon S3 comprende quattro impostazioni. Queste impostazioni sono indipendenti e possono essere usate in qualunque combinazione. Ogni impostazione può essere applicata a un punto di accesso, un bucket o un intero account. AWS Se le impostazioni di blocco dell'accesso pubblico per il punto di accesso, il bucket o l'account differiscono, Amazon S3 applica la combinazione più restrittiva di punto di accesso, bucket e account.

Quando Amazon S3 valuta se un'operazione è vietata da un'impostazione di accesso pubblico al blocco, rifiuta qualsiasi richiesta che violi l'impostazione di un punto di accesso, un bucket o un account.

Le quattro impostazioni fornite da Blocco dell'accesso pubblico Amazon S3 sono le seguenti: 
+ `BlockPublicAcls` - Questa impostazione si applica alle richieste `PutBucketAcl`, `PutObjectAcl`, `PutObject`, `CreateBucket`, `CopyObject` e `POST Object`. L'impostazione `BlockPublicAcls` causa il seguente comportamento: 
  + `PutBucketAcl` e `PutObjectAcl` falliscono se la lista di controllo degli accessi (ACL) specificata è pubblica.
  + `PutObject` fallisce se la richiesta include una ACL pubblica.
  + Se questa impostazione è applicata a un account, le chiamate `CreateBucket` hanno esito negativo con una risposta HTTP `400` (`Bad Request`) se la richiesta include un'ACL pubblica.

  Ad esempio, quando l'accesso è negato per una richiesta `CopyObject` a causa dell'impostazione `BlockPublicAcls`, si riceve il seguente messaggio: 

  ```
  An error occurred (AccessDenied) when calling the CopyObject operation: 
  User: arn:aws:sts::123456789012:user/MaryMajor is not authorized to 
  perform: s3:CopyObject on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name" 
  because public ACLs are prevented by the BlockPublicAcls setting in S3 Block Public Access.
  ```
+ `IgnorePublicAcls`— L'`IgnorePublicAcls`impostazione fa sì che Amazon S3 ignori tutto il pubblico ACLs su un bucket e tutti gli oggetti in esso contenuti. Se l'autorizzazione della richiesta è concessa solo da una ACL pubblica, l'impostazione `IgnorePublicAcls` comporta il rifiuto della richiesta.

  Qualsiasi negazione derivante dall'impostazione di `IgnorePublicAcls` è implicita. Ad esempio, se `IgnorePublicAcls` nega una richiesta `GetObject` a causa di una ACL pubblica, si riceve il seguente messaggio: 

  ```
  User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform: 
  s3:GetObject because no resource-based policy allows the s3:GetObject action
  ```
+ `BlockPublicPolicy` - Questa impostazione si applica alle richieste `PutBucketPolicy` e `PutAccessPointPolicy`. 

  L'impostazione di `BlockPublicPolicy` per un bucket fa sì che Amazon S3 rifiuti le chiamate a `PutBucketPolicy` se la policy del bucket specificata consente l'accesso pubblico. Questa impostazione fa sì che Amazon S3 rifiuti anche le chiamate a `PutAccessPointPolicy` per tutti i punti di accesso dello stesso account del bucket, se la policy specificata consente l'accesso pubblico.

  Impostando `BlockPublicPolicy` per un punto di accesso, Amazon S3 rifiuta le chiamate a `PutAccessPointPolicy` e `PutBucketPolicy` effettuate attraverso il punto di accesso se la policy specificata (per il punto di accesso o il bucket sottostante) consente l'accesso pubblico.

  Ad esempio, quando l'accesso viene negato a una richiesta di `PutBucketPolicy` a causa dell'impostazione `BlockPublicPolicy`, si riceve il seguente messaggio: 

  ```
  An error occurred (AccessDenied) when calling the PutBucketPolicy operation: 
  User: arn:aws:sts::123456789012:user/MaryMajor is not authorized to 
  perform: s3:PutBucketPolicy on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name" 
  because public policies are prevented by the BlockPublicPolicy setting in S3 Block Public Access.
  ```
+ `RestrictPublicBuckets`— L'`RestrictPublicBuckets`impostazione limita l'accesso a un punto di accesso o a un bucket con una politica pubblica solo ai Servizio AWS principali e agli utenti autorizzati all'interno dell'account del proprietario del bucket e dell'account del proprietario del punto di accesso. Questa impostazione blocca tutti gli accessi tra account al punto di accesso o al bucket (ad eccezione Servizio AWS dei principali), pur consentendo agli utenti all'interno dell'account di gestire il punto di accesso o il bucket. Questa impostazione rifiuta anche tutte le chiamate anonime (o non firmate).

  Qualsiasi negazione derivante dall'impostazione di `RestrictPublicBuckets` è esplicita. Ad esempio, se `RestrictPublicBuckets` nega una richiesta di `GetObject` a causa di un bucket pubblico o di una policy del punto di accesso, si riceve il seguente messaggio: 

  ```
  User: arn:aws:iam::123456789012:user/MaryMajor is not authorized to perform: 
  s3:GetObject on resource: "arn:aws:s3:::amzn-s3-demo-bucket1/object-name" with 
  an explicit deny in a resource-based policy
  ```

Per ulteriori informazioni su queste impostazioni, consultare [Impostazioni di blocco dell'accesso pubblico](access-control-block-public-access.md#access-control-block-public-access-options). Per rivedere e aggiornare queste impostazioni, consulta [Configurazione del blocco dell'accesso pubblico](access-control-block-public-access.md#configuring-block-public-access).

## Accesso negato a causa delle impostazioni Pagamento a carico del richiedente
<a name="access-denied-requester-pays"></a>

Se il bucket Amazon S3 a cui si tenta di accedere ha la funzionalità Pagamento a carico del richiedente abilitata, è necessario passare i parametri di richiesta corretti quando si effettuano le richieste a quel bucket. La funzionalità Pagamento a carico del richiedente di Amazon S3 consente al richiedente, anziché al proprietario del bucket, di pagare i costi di trasferimento dei dati e di richiesta per l’accesso agli oggetti nel bucket. Quando Requester Pays è abilitato per un bucket, al proprietario del bucket non vengono addebitate le richieste effettuate da altri account. AWS 

Se si effettua una richiesta a un bucket con Pagamento a carico del richiedente abilitato senza specificare i parametri necessari, si riceve un errore di accesso negato (403 Forbidden). Per accedere agli oggetti in un bucket con Pagamento a carico del richiedente abilitato, è necessario effettuare quanto segue: 

1. Quando si effettuano richieste utilizzando la AWS CLI, è necessario includere il `--request-payer requester` parametro. Ad esempio, per copiare un oggetto con la chiave `object.txt` contenuta nel bucket S3 `s3://amzn-s3-demo-bucket/` in una posizione sul computer locale, è necessario passare il parametro `--request-payer requester` se questo bucket ha il Pagamento a carico del richiedente abilitato. 

   ```
   aws s3 cp s3://amzn-s3-demo-bucket/object.txt /local/path \
   --request-payer requester
   ```

1. Quando effettui richieste programmatiche utilizzando un AWS SDK, imposta l'`x-amz-request-payer`intestazione sul valore. `requester` Per vedere un esempio, consulta [Download di oggetti dai bucket con pagamento a carico del richiedente](ObjectsinRequesterPaysBuckets.md).

1. È necessario che l’utente o il ruolo IAM che effettua la richiesta disponga delle autorizzazioni richieste per accedere al bucket con Pagamento a carico del richiedente, ad esempio le autorizzazioni `s3:GetObject` e `s3:ListBucket`.

Includendo il parametro `--request-payer requester` o impostando l’intestazione `x-amz-request-payer`, si informa Amazon S3 che il richiedente pagherà i costi associati all’accesso agli oggetti nel bucket con Pagamento a carico del richiedente abilitato. Questo eviterà l’errore di accesso negato (403 Forbidden).

## Policy di bucket e policy IAM
<a name="bucket-iam-policies"></a>

### Operazioni a livello di bucket
<a name="troubleshoot-403-bucket-level-ops"></a>

Se non esiste una policy relativa al bucket, il bucket consente implicitamente le richieste provenienti da qualsiasi identità AWS Identity and Access Management (IAM) presente nell'account del proprietario del bucket. Inoltre, il bucket rifiuta implicitamente le richieste provenienti da qualsiasi altra identità IAM da qualsiasi altro account e le richieste anonime (non firmate). Tuttavia, se non esiste una policy utente IAM, al richiedente (a meno che non sia l'utente Account AWS root) viene implicitamente negato di effettuare richieste. Per ulteriori informazioni su questa logica di valutazione, consulta [Determinazione se una richiesta è consentita o rifiutata in un account](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow) nella *Guida per l'utente di IAM*.

### Operazioni a livello di oggetti
<a name="troubleshoot-403-object-level-ops"></a>

Se l'oggetto è di proprietà dell'account proprietario del bucket, la policy di bucket e la policy degli utenti IAM funzioneranno allo stesso modo per le operazioni a livello di oggetto e per le operazioni a livello di bucket. Ad esempio, se non esiste una policy del bucket, il bucket consente implicitamente le richieste di oggetti da qualsiasi identità IAM nell'account del proprietario del bucket. Inoltre, il bucket rifiuta implicitamente le richieste di oggetti provenienti da qualsiasi altra identità IAM da qualsiasi altro account e le richieste anonime (non firmate). Tuttavia, se non esiste una policy utente IAM, al richiedente (a meno che non sia l'utente Account AWS root) viene implicitamente negato di effettuare richieste di oggetti.

Se l'oggetto è di proprietà di un account esterno, l'accesso all'oggetto può essere concesso solo tramite le liste di controllo dell'accesso agli oggetti ()ACLs. La policy di bucket e la policy degli utenti IAM possono ancora essere utilizzate per rifiutare le richieste di oggetti. 

Pertanto, per assicurarsi che la policy del bucket o dell'utente IAM non provochi un errore di Accesso negato (403 Forbidden), verificare che siano soddisfatti i seguenti requisiti:
+ Per l'accesso con lo stesso account, non deve esserci un'istruzione `Deny` esplicita per il richiedente a cui stai cercando di concedere le autorizzazioni nella policy di bucket né nella politica degli utenti IAM. Se desideri concedere le autorizzazioni utilizzando solo la policy di bucket e la policy degli utenti IAM, deve esserci almeno un'istruzione `Allow` esplicita in una di queste policy.
+ Per l'accesso multi-account, non deve essere presente un'istruzione esplicita `Deny` contro il richiedente a cui si sta cercando di concedere le autorizzazioni, né nella policy del bucket né in quella dell'utente IAM. Per concedere le autorizzazioni per più account utilizzando solo la policy di bucket e la policy utente IAM, assicurati che sia la policy di bucket sia la policy utente IAM del richiedente includano un'istruzione esplicita `Allow`.

**Nota**  
Le istruzioni `Allow` in una policy di bucket si applicano solo agli oggetti [di proprietà dello stesso account proprietario del bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html). Tuttavia, le istruzioni `Deny` in una policy di bucket si applicano a tutti gli oggetti indipendentemente dalla proprietà dell'oggetto. 

**Per rivedere o modificare la policy di bucket**
**Nota**  
Per visualizzare o modificare una policy di bucket, devi disporre dell'autorizzazione `s3:GetBucketPolicy`.

1. Accedi a Console di gestione AWS e apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

1. Nel pannello di navigazione a sinistra, scegli **Buckets** (Bucket).

1. Nell'elenco **Bucket** scegli il nome del bucket per il quale vuoi visualizzare o modificare una policy di bucket.

1. Scegli la scheda **Autorizzazioni**.

1. In **Policy del bucket**, scegli **Modifica**. Viene visualizzata la pagina **Modifica la policy del bucket**.

Per rivedere o modificare la tua policy sui bucket utilizzando AWS Command Line Interface (AWS CLI), usa il [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-policy.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-policy.html)comando.

**Nota**  
Se rimani bloccato all'accesso a un bucket a causa di una policy di bucket errata, [accedi Console di gestione AWS utilizzando le credenziali dell'utente Account AWS root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html). Per riottenere l'accesso al tuo bucket, assicurati di eliminare la policy del bucket errata utilizzando le credenziali dell'utente root. Account AWS 

### Suggerimenti per la verifica delle autorizzazioni
<a name="troubleshoot-403-tips"></a>

Per verificare se il richiedente dispone delle autorizzazioni adeguate per eseguire un'operazione Amazon S3, prova quanto segue:
+ Identifica il richiedente. Se si tratta di una richiesta non firmata, significa che è una richiesta anonima senza una policy utente IAM. Se si tratta di una richiesta che utilizza un URL prefirmato, la policy utente è la stessa dell'utente o del ruolo IAM che ha firmato la richiesta.
+ Assicurati di utilizzare il ruolo o l'utente IAM corretto. Per verificare il ruolo o utente IAM, controlla nell'angolo in alto a destra della Console di gestione AWS o utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/sts/get-caller-identity.html](https://docs.aws.amazon.com/cli/latest/reference/sts/get-caller-identity.html).
+ Controlla tutte le policy IAM collegate al ruolo o all'utente IAM. È possibile utilizzare uno dei seguenti metodi:
  + [Verifica le policy IAM con il simulatore di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html).
  + Esamina i vari [tipi di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).
+ Se necessario, [modifica la policy utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html).
+ Consulta i seguenti esempi di policy che negano o consentono esplicitamente l'accesso:
  + Policy utente IAM di autorizzazione esplicita: [IAM: consente e rifiuta l'accesso a più servizi a livello di programmazione e nella console](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam_multiple-services-console.html)
  + Policy esplicita di autorizzazione al bucket: [concessione delle autorizzazioni a più account per caricare oggetti o impostare oggetti per l'](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html#example-bucket-policies-acl-1)accesso pubblico ACLs 
  + Politica esplicita di negazione degli utenti IAM [AWS: nega](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-requested-region.html) l'accesso in base alla richiesta AWS Regione AWS
  + Policy di bucket di rifiuto esplicito: [Richiesta SSE-KMS per tutti gli oggetti scritti in un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html#example-bucket-policies-encryption-1)

## Impostazioni ACL di Amazon S3
<a name="troubleshoot-403-acl-settings"></a>

Quando controlli le impostazioni ACL, controlla innanzitutto le [impostazioni Object Ownership](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-ownership-retrieving.html) per verificare se ACLs sono abilitate nel bucket. Tieni presente che le autorizzazioni ACL possono essere utilizzate solo per concedere autorizzazioni e non possono essere utilizzate per rifiutare le richieste. ACLs inoltre, non possono essere utilizzate per concedere l'accesso ai richiedenti che vengono rifiutati mediante negazioni esplicite nelle policy dei bucket o nelle politiche degli utenti IAM.

### L’impostazione Proprietà dell’oggetto è impostata su Proprietario del bucket applicato
<a name="troubleshoot-403-object-ownership-1"></a>

Se l'impostazione **applicata al proprietario di Bucket** è abilitata, è improbabile che le impostazioni ACL causino un errore di accesso negato (403 Forbidden) perché questa impostazione disabilita tutto ciò che si applica al bucket e agli oggetti. ACLs **Proprietario del bucket applicato** è l’impostazione predefinita (e consigliata) per i bucket Amazon S3.

### L’opzione Proprietà dell’oggetto è impostata su Proprietario del bucket preferito o Autore dell’oggetto
<a name="troubleshoot-403-object-ownership-2"></a>

Le autorizzazioni ACL continuano a essere valide con l’impostazione **Proprietario del bucket preferito** o **Autore dell’oggetto**. Esistono due tipi di oggetti: bucket e object. ACLs ACLs ACLs Per le differenze tra questi due tipi di autorizzazioni ACLs, vedere [Mappatura delle autorizzazioni ACL e delle autorizzazioni](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html#acl-access-policy-permission-mapping) dei criteri di accesso.

A seconda dell'azione della richiesta rifiutata, [controlla le autorizzazioni ACL per il bucket o l'oggetto](https://docs.aws.amazon.com/AmazonS3/latest/userguide/managing-acls.html):
+ Se Amazon S3 ha rifiutato una richiesta `LIST`, `PUT` oggetto, `GetBucketAcl` o `PutBucketAcl`, [controlla le autorizzazioni ACL per il tuo bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/managing-acls.html).
**Nota**  
Non è possibile concedere le autorizzazioni agli oggetti `GET` con le impostazioni ACL dei bucket.
+ Se Amazon S3 ha rifiutato una richiesta `GET` per un oggetto S3 o una richiesta [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html), [controlla le autorizzazioni ACL per l'oggetto](https://docs.aws.amazon.com/AmazonS3/latest/userguide/managing-acls.html).
**Importante**  
Se l'account proprietario dell'oggetto è diverso dall'account proprietario del bucket, l'accesso all'oggetto non è controllato dalla policy di bucket.

### Risoluzione di un errore di accesso negato (403 Accesso negato) derivante da una richiesta oggetto `GET` durante la proprietà di un oggetto multi-account
<a name="troubleshoot-403-object-ownership-tips"></a>

Esamina le [impostazioni dell'opzione Proprietà dell'oggetto](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html#object-ownership-overview) del bucket per determinare il proprietario dell'oggetto. Se hai accesso all'[oggetto ACLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/managing-acls.html), puoi anche controllare l'account del proprietario dell'oggetto. (Per visualizzare l'account del proprietario dell'oggetto, controlla l'impostazione ACL dell'oggetto nella console Amazon S3.) In alternativa, puoi anche eseguire una richiesta `GetObjectAcl` per trovare l'[ID canonico](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html) del proprietario dell'oggetto per verificare l'account del proprietario. Per impostazione predefinita, ACLs concedi autorizzazioni esplicite per le `GET` richieste all'account del proprietario dell'oggetto.

Dopo aver verificato che il proprietario dell'oggetto sia diverso dal proprietario del bucket, a seconda del caso d'uso e del livello di accesso, scegli uno dei seguenti metodi per risolvere l'errore di accesso negato (403 Accesso negato):
+ **Disabilita ACLs (consigliato)**: questo metodo si applica a tutti gli oggetti e può essere eseguito dal proprietario del bucket. Questo metodo assegna automaticamente il ruolo di proprietario del bucket e il controllo completo su ogni oggetto in esso contenuto. Prima di implementare questo metodo, verificate i [prerequisiti per](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-ownership-migrating-acls-prerequisites.html) la disabilitazione. ACLs Per informazioni su come impostare il bucket su **Proprietario del bucket applicato** (scelta consigliata), consulta [Impostazione della proprietà dell’oggetto su un bucket esistente](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-ownership-existing-bucket.html).
**Importante**  
Per evitare un errore di accesso negato (403 proibito), assicurati di migrare le autorizzazioni ACL a una policy bucket prima di disabilitarla. ACLs Per ulteriori informazioni, consulta [Esempi di policy di bucket per la migrazione delle autorizzazioni delle ACL](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-ownership-migrating-acls-prerequisites.html#migrate-acl-permissions-bucket-policies).
+ **Cambiare il proprietario dell'oggetto in proprietario del bucket**: questo metodo può essere applicato a singoli oggetti, ma solo il proprietario dell'oggetto (o un utente con le autorizzazioni appropriate) può modificare la proprietà di un oggetto. Potrebbero essere applicati costi aggiuntivi a `PUT` Per ulteriori informazioni, consulta la pagina [Prezzi di Amazon S3](https://aws.amazon.com/s3/pricing/). Questo metodo garantisce al proprietario del bucket la piena proprietà dell'oggetto, consentendogli di controllare l'accesso all'oggetto tramite una policy di bucket. 

  Per modificare la proprietà dell'oggetto, procedi in uno dei seguenti modi:
  + Tu (il proprietario del bucket) puoi [copiare nuovamente l'oggetto](https://docs.aws.amazon.com/AmazonS3/latest/userguide/copy-object.html#CopyingObjectsExamples) nel bucket. 
  + È possibile modificare l’impostazione Proprietà dell’oggetto per il bucket impostandola su **Proprietario del bucket preferito**. Se il controllo delle versioni è disabilitato, gli oggetti nel bucket vengono sovrascritti. Se il controllo delle versioni è abilitato, nel bucket verranno visualizzate versioni duplicate dello stesso oggetto, per le quali il proprietario può [impostare una regola del ciclo di vita per la scadenza](https://docs.aws.amazon.com/AmazonS3/latest/userguide/lifecycle-expire-general-considerations.html). Per istruzioni su come modificare le impostazioni dell'opzione Proprietà dell'oggetto, consulta [Impostazione di Object Ownership su un bucket esistente](object-ownership-existing-bucket.md).
**Nota**  
Quando si aggiorna l’impostazione Proprietà dell’oggetto impostandola su **Proprietario del bucket preferito**, l’impostazione viene applicata solo ai nuovi oggetti caricati nel bucket.
  + È possibile fare in modo che il proprietario dell'oggetto carichi nuovamente l'oggetto con l'ACL `bucket-owner-full-control` predefinita dell'oggetto. 
**Nota**  
Per i caricamenti multi-account, nella tua policy di bucket dovrai disporre anche dell'ACL `bucket-owner-full-control` dell'oggetto predefinito. Per una policy di bucket di esempio, consulta [Concedere autorizzazioni multi-account per il caricamento di oggetti a garanzia del controllo completo da parte del proprietario del bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html#example-bucket-policies-acl-2).
+ **Mantenere l'autore dell'oggetto come proprietario dell'oggetto**: questo metodo non modifica il proprietario dell'oggetto, ma consente di concedere l'accesso agli oggetti singolarmente. Per concedere l'accesso a un oggetto, devi disporre dell'autorizzazione `PutObjectAcl` per l'oggetto. Quindi, per correggere l'errore Accesso negato (403 Forbidden), aggiungi il richiedente come [beneficiario](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html#specifying-grantee) per accedere all'oggetto nell'oggetto. ACLs Per ulteriori informazioni, consulta [Configurazione ACLs](managing-acls.md).

## Impostazioni dell'opzione S3 Blocco dell'accesso pubblico
<a name="troubleshoot-403-bpa"></a>

Se la richiesta fallita riguarda l'accesso pubblico o le policy pubbliche, controllare le impostazioni di Blocco dell'accesso pubblico S3 sull'account, sul bucket o sul punto di accesso. Per ulteriori informazioni sulla risoluzione dei problemi relativi agli errori di accesso negato relativi alle impostazioni di Blocco dell'accesso pubblico S3, consulta [Accesso negato a causa delle impostazioni di Blocco accesso pubblico](#access-denied-bpa-examples).

## Impostazioni della crittografia Amazon S3
<a name="troubleshoot-403-encryption"></a>

Amazon S3 supporta la crittografia lato server nel bucket. La crittografia lato server è la crittografia dei dati nella posizione di destinazione eseguita dall'applicazione o dal servizio che li riceve. Amazon S3 crittografa i dati a livello di oggetto mentre li scrive su dischi nei data AWS center e li decrittografa per te quando vi accedi. 

Per impostazione predefinita, Amazon S3 ora applica la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) come livello di base della crittografia per ogni bucket di Amazon S3. Amazon S3 consente inoltre di specificare il metodo di crittografia lato server durante il caricamento degli oggetti.

**Per esaminare lo stato della crittografia lato server e le impostazioni della crittografia del bucket**

1. Accedi a Console di gestione AWS e apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

1. Nel pannello di navigazione a sinistra, scegli **Buckets** (Bucket).

1. Nell'elenco **Bucket**, scegli il bucket per cui vuoi controllare le impostazioni della crittografia.

1. Scegliere la scheda **Properties (Proprietà)**.

1. Scorri verso il basso fino alla sezione **Crittografia predefinita** e visualizza le impostazioni dell'opzione **Tipo di crittografia**.

Per verificare le impostazioni di crittografia utilizzando il AWS CLI, usa il [https://docs.aws.amazon.com/cli/latest/reference/s3api/get-bucket-encryption.html](https://docs.aws.amazon.com/cli/latest/reference/s3api/get-bucket-encryption.html)comando.

**Per controllare lo stato della crittografia dell'oggetto**

1. Accedi a Console di gestione AWS e apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

1. Nel pannello di navigazione a sinistra, scegli **Buckets** (Bucket).

1. Nell'elenco **Bucket** scegli il nome del bucket contenente l'oggetto.

1. Nell'elenco **Nome** scegli il nome dell'oggetto per cui desideri aggiungere o modificare la crittografia. 

   Viene visualizzata la pagina dei dettagli dell'oggetto.

1. Scorri verso il basso fino alla sezione **Impostazioni crittografia lato server** per visualizzare le impostazioni della crittografia lato server dell'oggetto.

Per verificare lo stato di crittografia degli oggetti utilizzando il AWS CLI, usa il [https://docs.aws.amazon.com/cli/latest/reference/s3api/head-object.html#examples](https://docs.aws.amazon.com/cli/latest/reference/s3api/head-object.html#examples)comando.

### Requisiti relativi a crittografia e autorizzazioni
<a name="troubleshoot-403-encryption-requirements"></a>

Amazon S3 supporta tre tipi di crittografia lato server:
+ Crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3)
+ Crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS)
+ Crittografia lato server con chiavi fornite dal cliente (SSE-C)

In base alle impostazioni di crittografia correnti, verifica che siano soddisfatti i seguenti requisiti relativi alle autorizzazioni:
+ **SSE-S3**: non sono richieste autorizzazioni aggiuntive.
+ **SSE-KMS (con una chiave gestita dal cliente)**: per caricare oggetti, è necessaria l'autorizzazione `kms:GenerateDataKey` per la AWS KMS key . Per scaricare oggetti ed eseguire caricamenti di oggetti in più parti, è necessaria l'autorizzazione `kms:Decrypt` per la chiave KMS.
+ **SSE-KMS (con un Chiave gestita da AWS)**: il richiedente deve appartenere allo stesso account proprietario della chiave KMS. `aws/s3` Il richiedente deve inoltre disporre delle autorizzazioni Amazon S3 corrette per accedere all'oggetto.
+ **SSE-C (con una chiave fornita dal cliente)**: non sono richieste autorizzazioni aggiuntive. Puoi configurare la policy di bucket per [richiedere e limitare la crittografia lato server con chiavi di crittografia fornite dal cliente](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html#ssec-require-condition-key) per gli oggetti nel bucket.

Se l'oggetto è crittografato con una chiave gestita dal cliente, assicurati che la policy della chiave KMS ti consenta di eseguire le operazioni `kms:GenerateDataKey` o `kms:Decrypt`. Per istruzioni su come verificare la policy della chiave KMS, consulta [Visualizzazione di una policy di chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-viewing.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.

## Impostazioni dell'opzione S3 Blocco oggetti
<a name="troubleshoot-403-object-lock"></a>

Se il bucket ha [S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) abilitato e l’oggetto è protetto da un [periodo di conservazione](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-overview.html#object-lock-retention-periods) o da un [blocco legale](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-overview.html#object-lock-legal-holds) e si tenta di eliminare un oggetto, Amazon S3 restituisce una delle seguenti risposte, a seconda di come si cerca di eliminare l’oggetto:
+ **Richiesta `DELETE` permanente**: se viene inviata una richiesta `DELETE` permanente (una richiesta che specifica un ID di versione), Amazon S3 restituisce un errore di accesso negato (`403 Forbidden`) quando si tenta di eliminare l’oggetto.
+ **Richiesta `DELETE` semplice**: se viene inviata una richiesta `DELETE` semplice (una richiesta che non specifica un ID di versione), Amazon S3 restituisce una risposta `200 OK` e inserisce un [indicatore di eliminazione](DeleteMarker.md) nel bucket, che diventa la versione corrente dell’oggetto con un nuovo ID.

**Per verificare se l'opzione Blocco oggetti è abilitata per il bucket**

1. Accedi a Console di gestione AWS e apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

1. Nel pannello di navigazione a sinistra, scegli **Buckets** (Bucket).

1. Nell'elenco **Bucket** scegli il nome del bucket da controllare.

1. Scegliere la scheda **Properties (Proprietà)**.

1. Scorri verso il basso fino alla sezione **Blocco oggetti**. Verifica se l'impostazione dell'opzione **Blocco oggetti** è **abilitata** o **disabilitata**.

Per determinare se l'oggetto è protetto da un periodo di conservazione o da un blocco a fini legali, [visualizza le informazioni relative al blocco](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-managing.html#object-lock-managing-view) dell'oggetto. 

Se l'oggetto è protetto da un periodo di conservazione o da un blocco a fini legali, verifica quanto segue:
+ Se la versione dell'oggetto è protetta dalla modalità di conservazione della conformità, non è possibile eliminarla definitivamente. Una `DELETE` richiesta permanente da parte di qualsiasi richiedente, incluso l'utente Account AWS root, genererà un errore di accesso negato (403 proibito). Inoltre, considera che quando invii una richiesta `DELETE` per un oggetto protetto dalla modalità di conservazione della conformità, Amazon S3 crea un [contrassegno di eliminazione](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DeleteMarker.html) per l'oggetto.
+ Se la versione dell'oggetto è protetta con la modalità di conservazione della governance e disponi dell'autorizzazione `s3:BypassGovernanceRetention`, è possibile aggirare la protezione ed eliminare definitivamente la versione. Per ulteriori informazioni, consulta [Bypassare la modalità Governance](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-managing.html#object-lock-managing-bypass).
+ Se la versione dell'oggetto è protetta da un blocco a fini legali, una richiesta `DELETE` permanente può generare un errore di accesso negato (403 Accesso negato). Per eliminare definitivamente la versione dell'oggetto, è necessario rimuovere il blocco a fini legali applicato alla versione dell'oggetto. Per rimuovere un blocco a fini legali, devi disporre dell'autorizzazione `s3:PutObjectLegalHold`. Per ulteriori informazioni sulla rimozione di un blocco a fini legali, consulta [Configurazione di S3 Object Lock](object-lock-configure.md).

## Policy di endpoint VPC
<a name="troubleshoot-403-vpc"></a>

Se si accede ad Amazon S3 utilizzando un endpoint di cloud privato virtuale (VPC), assicurarsi che la policy dell'endpoint VPC non blocchi l'accesso alle risorse di Amazon S3. Per impostazione predefinita, la policy degli endpoint VPC consente di eseguire tutte le richieste indirizzate ad Amazon S3. È inoltre possibile configurare la policy degli endpoint VPC per limitare determinate richieste. Per informazioni su come controllare le policy degli endpoint VPC, consulta le seguenti risorse: 
+ [Accesso negato a causa di una policy dell'endpoint VPC: diniego implicito](#access-denied-vpc-endpoint-examples-implicit)
+ [Accesso negato a causa di una policy dell'endpoint VPC: diniego esplicito](#access-denied-vpc-endpoint-examples-explicit)
+ [Controllo dell'accesso agli endpoint VPC utilizzando le policy degli endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella *Guida a AWS PrivateLink *

## AWS Organizations politiche
<a name="troubleshoot-403-orgs"></a>

Se fai Account AWS parte di un'organizzazione, AWS Organizations le policy possono impedirti di accedere alle risorse Amazon S3. Per impostazione predefinita, AWS Organizations le policy non bloccano alcuna richiesta ad Amazon S3. Tuttavia, assicurati che AWS Organizations le tue policy non siano state configurate per bloccare l'accesso ai bucket S3. Per istruzioni su come controllare le tue AWS Organizations politiche, consulta le seguenti risorse: 
+ [Accesso negato a causa di una policy di controllo dei servizi: diniego implicito](#access-denied-scp-examples-implicit)
+ [Accesso negato a causa di una policy di controllo dei servizi: diniego esplicito](#access-denied-scp-examples-explicit)
+ [Accesso negato a causa di una policy di controllo delle risorse - rifiuto esplicito](#access-denied-rcp-examples-explicit)
+ [Elenco di tutte le policy](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_info-operations.html#list-all-pols-in-org) nella *Guida all'utente di AWS Organizations *

Inoltre, se si è configurato in modo errato la policy del bucket per un account membro in modo da negare a tutti gli utenti l'accesso al bucket S3, è possibile sbloccare il bucket avviando una sessione privilegiata per l'account membro in IAM. Una volta avviata una sessione privilegiata, è possibile eliminare la policy di bucket configurata in modo errato per riottenere l’accesso al bucket. Per ulteriori informazioni, consulta [Eseguire un'attività privilegiata su un account AWS Organizations membro](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user-privileged-task.html) nella *Guida per l'AWS Identity and Access Management utente*. 

## CloudFront accesso alla distribuzione
<a name="troubleshoot-403-cloudfront"></a>

Se ricevi un errore Access Denied (403 Forbidden) quando provi ad accedere al tuo sito web statico S3 tramite CloudFront, verifica questi problemi comuni:
+ **Il nome di dominio di origine è nel formato corretto?**
  + Assicurati di utilizzare il formato dell’endpoint del sito web S3 (bucket-name.s3-website-region.amazonaws.com) anziché l’endpoint della REST API
  + Verifica che l’hosting di siti web statici sia abilitato nel bucket
+ **La tua policy sui bucket consente l'accesso? CloudFront **
  + Assicurati che la tua policy bucket includa le autorizzazioni per Origin Access Identity (OAI) o Origin Access Control (OAC) della tua CloudFront distribuzione
  + Verifica che la policy includa le autorizzazioni s3: richieste GetObject 

Per ulteriori procedure e configurazioni di risoluzione dei problemi, incluse le configurazioni delle pagine di errore e le impostazioni del protocollo, consulta [Perché ricevo un errore «403 accesso negato» quando utilizzo un endpoint del sito Web Amazon S3 come origine della mia](https://repost.aws/knowledge-center/s3-website-cloudfront-error-403) distribuzione? CloudFront nel Knowledge Center. AWS re:Post 

**Nota**  
Questo errore è diverso dagli errori 403 che potresti ricevere accedendo direttamente a S3. Per problemi CloudFront specifici, assicurati di controllare sia le impostazioni di CloudFront distribuzione che le configurazioni S3.

## Impostazioni del punto di accesso
<a name="troubleshoot-403-access-points"></a>

Se ricevi un errore di accesso negato (403 Accesso negato) mentre effettui richieste tramite i punti di accesso Amazon S3, potresti dover controllare quanto segue: 
+ Le configurazioni per i punti di accesso
+ La policy utente IAM utilizzata per i punti di accesso
+ La policy di bucket utilizzata per gestire o configurare i punti di accesso multi-account

**Configurazioni e policy dei punti di accesso**
+ Quando si crea un punto di accesso, è possibile scegliere di impostare **Internet** o **VPC** come origine della rete. Se l'origine della rete è impostata si "Solo VPC", Amazon S3 rifiuterà tutte le richieste effettuate al punto di accesso che non provengono dal VPC specificato. Per verificare l'origine della rete del punto di accesso, consulta [Creazione di access point limitati a un cloud privato virtuale](access-points-vpc.md).
+ Con i punti di accesso, puoi anche configurare impostazioni personalizzate dell'opzione Blocco dell'accesso pubblico, che funzionano in modo simile alle impostazioni di Blocco dell'accesso pubblico a livello di bucket o account. Per verificare le impostazioni personalizzate dell'opzione Blocco dell'accesso pubblico, consulta [Gestione dell’accesso pubblico ai punti di accesso per bucket per uso generico](access-points-bpa-settings.md).
+ Per effettuare con successo richieste ad Amazon S3 utilizzando i punti di accesso, assicurati che il richiedente disponga delle autorizzazioni IAM necessarie. Per ulteriori informazioni, consulta [Configurazione delle policy IAM per l'utilizzo degli access point](access-points-policies.md).
+ Se la richiesta interessa punti di accesso multi-account, assicurati che il proprietario del bucket abbia aggiornato la policy di bucket per autorizzare le richieste provenienti dal punto di accesso. Per ulteriori informazioni, consulta [Concessione delle autorizzazioni per i punti di accesso multi-account](access-points-policies.md#access-points-cross-account).

Se l'errore Accesso negato (403 Forbidden) persiste dopo aver controllato tutti gli elementi di questo argomento, [recupera l'ID della richiesta Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/get-request-ids.html) e contattaci per ulteriori informazioni. Supporto 

## Risorse aggiuntive
<a name="troubleshoot-403-additional-resources"></a>

Per ulteriori indicazioni sugli errori di accesso negato (403 Forbidden), consulta le seguenti risorse:
+ [In che modo è possibile risolvere gli errori 403 Access Denied di Amazon S3?](https://repost.aws/knowledge-center/s3-troubleshoot-403) nel Knowledge Center. AWS re:Post 
+ [Perché ricevo un errore 403 Forbidden quando tento di accedere a un bucket o a un oggetto Amazon S3?](https://repost.aws/knowledge-center/s3-403-forbidden-error) nel Knowledge Center. AWS re:Post 
+ [Perché ricevo un errore di accesso negato quando tento di accedere a una risorsa Amazon S3 nella stessa? Account AWS](https://repost.aws/knowledge-center/s3-troubleshoot-403-resource-same-account) nel AWS re:Post Knowledge Center.
+ [Perché ricevo un errore di accesso negato quando tento di accedere a un bucket Amazon S3 con accesso pubblico in lettura?](https://repost.aws/knowledge-center/s3-troubleshoot-403-public-read) nel AWS re:Post Knowledge Center.
+ [Perché ricevo un errore di «firma non corrispondente» quando tento di utilizzare un URL predefinito per caricare un oggetto su Amazon S3?](https://repost.aws/knowledge-center/s3-presigned-url-signature-mismatch) nel Knowledge Center. AWS re:Post 
+ [Perché ricevo un errore di accesso negato per la ListObjects versione 2 quando eseguo il comando sync sul mio bucket Amazon S3?](https://repost.aws/knowledge-center/s3-access-denied-listobjects-sync) nel Knowledge Center. AWS re:Post 
+ [Perché ricevo l'errore «403 access denied» quando utilizzo un endpoint di un sito Web Amazon S3 come origine della mia distribuzione? CloudFront ](https://repost.aws/knowledge-center/s3-website-cloudfront-error-403) nel Knowledge Center. AWS re:Post 

# AWS politiche gestite per Amazon S3
<a name="security-iam-awsmanpol"></a>

Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d’uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.

Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l’utente di IAM*.

## AWS politica gestita: AmazonS3FullAccess
<a name="security-iam-awsmanpol-amazons3fullaccess"></a>

È possibile allegare la policy `AmazonS3FullAccess` alle identità IAM. Questa policy concede le autorizzazioni che consentono l'accesso completo ad Amazon S3.

Per visualizzare le autorizzazioni per questa policy, consulta [https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonS3FullAccess$jsonEditor](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonS3FullAccess$jsonEditor) in Console di gestione AWS.

## AWS politica gestita: AmazonS3ReadOnlyAccess
<a name="security-iam-awsmanpol-amazons3readonlyaccess"></a>

È possibile allegare la policy `AmazonS3ReadOnlyAccess` alle identità IAM. Questa policy concede le autorizzazioni che consentono l'accesso in sola lettura ad Amazon S3.

Per visualizzare le autorizzazioni per questa policy, consulta [https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess$jsonEditor](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess$jsonEditor) in Console di gestione AWS.

## AWS politica gestita: AmazonS3ObjectLambdaExecutionRolePolicy
<a name="security-iam-awsmanpol-amazons3objectlambdaexecutionrolepolicy"></a>

Fornisce alle AWS Lambda funzioni le autorizzazioni necessarie per inviare dati a S3 Object Lambda quando vengono effettuate richieste a un punto di accesso S3 Object Lambda. Concede inoltre le autorizzazioni Lambda per la scrittura nei log di Amazon. CloudWatch 

Per visualizzare le autorizzazioni per questa policy, consulta [https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/service-role/AmazonS3ObjectLambdaExecutionRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/service-role/AmazonS3ObjectLambdaExecutionRolePolicy$jsonEditor) in Console di gestione AWS.

## AWS politica gestita: S3UnlockBucketPolicy
<a name="security-iam-awsmanpol-S3UnlockBucketPolicy"></a>

Se hai configurato erroneamente la tua policy sui bucket per un account membro in modo da negare a tutti gli utenti l'accesso al tuo bucket S3, puoi utilizzare questa policy AWS gestita (`S3UnlockBucketPolicy`) per sbloccare il bucket. *Per ulteriori informazioni su come rimuovere una policy sui bucket configurata in modo errato che impedisce a tutti i principali di accedere a un bucket Amazon S3, consulta [Esegui un'attività privilegiata su un account membro](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user-privileged-task.html) nella Guida per l'utente. AWS Organizations AWS Identity and Access Management * 

## Amazon S3 si aggiorna alle AWS politiche gestite
<a name="security-iam-awsmanpol-updates"></a>

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon S3 da quando questo servizio ha iniziato a tracciare queste modifiche.


| Modifica | Descrizione | Data | 
| --- | --- | --- | 
|  Amazon S3 ha aggiunto `S3UnlockBucketPolicy`  |  Amazon S3 ha aggiunto una nuova policy di AWS gestione chiamata `S3UnlockBucketPolicy` a sbloccare un bucket e rimuovere una policy di bucket non configurata correttamente che impedisce a tutti i principali di accedere a un bucket Amazon S3.  | 1 novembre 2024 | 
|  Amazon S3 ha aggiunto le autorizzazioni Descrivi a `AmazonS3ReadOnlyAccess`  |  Amazon S3 ha aggiunto le autorizzazioni `s3:Describe*` a `AmazonS3ReadOnlyAccess`.  | 11 agosto 2023 | 
|  Amazon S3 ha aggiunto le autorizzazioni per S3 Object Lambda `AmazonS3FullAccess` e `AmazonS3ReadOnlyAccess`  |  Amazon S3 ha aggiornato le policy `AmazonS3FullAccess` e `AmazonS3ReadOnlyAccess` in modo da includere le autorizzazioni per S3 Object Lambda.  | 27 settembre 2021 | 
|  Amazon S3 ha aggiunto `AmazonS3ObjectLambdaExecutionRolePolicy`  |  Amazon S3 ha aggiunto una nuova policy AWS gestita chiamata che `AmazonS3ObjectLambdaExecutionRolePolicy` fornisce alle funzioni Lambda le autorizzazioni per interagire con S3 Object Lambda e scrivere nei log. CloudWatch   | 18 agosto 2021 | 
|  Amazon S3 ha iniziato a tenere traccia delle modifiche  |  Amazon S3 ha iniziato a tracciare le modifiche per le sue politiche AWS gestite.  | 18 agosto 2021 |