Policy basate sull'identità per Amazon S3
Per impostazione predefinita, gli utenti e i ruoli non hanno il permesso di creare o modificare le risorse Amazon S3. Inoltre, non possono eseguire attività utilizzando le API AWS Management Console, AWS Command Line Interface (AWS CLI) o AWS. Per concedere agli utenti l'autorizzazione a eseguire operazioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM. L'amministratore può quindi aggiungere le policy IAM ai ruoli e gli utenti possono assumere i ruoli.
Per imparare a creare un criterio IAM basato sull'identità utilizzando questi documenti di criterio JSON di esempio, consulta Creazione di criteri IAM (console) nella Guida all'utente IAM.
Per i dettagli sulle azioni e sui tipi di risorse definiti da Amazon S3, compreso il formato degli ARN per ciascun tipo di risorsa, consulta Azioni, risorse e chiavi di condizione per Amazon S3 in Riferimento alle autorizzazioni di servizio.
Per ulteriori informazioni sulle autorizzazioni alle operazioni API S3 per tipi di risorse S3, consulta Autorizzazioni necessarie per le operazioni API di Amazon S3.
Argomenti
Best practice sulle policy
Le policy basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon S3 nel tuo account. Queste azioni possono comportare costi per il tuo Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:
-
Iniziare con i criteri gestiti di AWS e passare ai permessi di minimo privilegio - Per iniziare a concedere permessi agli utenti e ai carichi di lavoro, utilizza i criteri gestiti di AWS che concedono permessi per molti casi d'uso comuni. Sono disponibili su Account AWS. Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente di AWS specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta Criteri gestiti da AWS o Criteri gestiti da AWS per funzioni di processo nella Guida all'utente IAM.
-
Applica le autorizzazioni con privilegio minimo: quando imposti le autorizzazioni con le policy IAM, concedi solo le autorizzazioni richieste per eseguire un'attività. A tal fine, si definiscono le azioni che possono essere eseguite su risorse specifiche in condizioni specifiche, note anche come autorizzazioni di minor privilegio. Per ulteriori informazioni sull'utilizzo di IAM per applicare le autorizzazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente IAM.
-
Condizioni d'uso nelle policy IAM per limitare ulteriormente l'accesso: per limitare l'accesso a operazioni e risorse puoi aggiungere una condizione alle tue policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi inoltre utilizzare le condizioni per concedere l'accesso alle operazioni di servizio, ma solo se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l'utente IAM.
-
Utilizza IAM Access Analyzer per convalidare le tue policy IAM e garantire autorizzazioni sicure e funzionali - IAM Access Analyzer convalida le policy nuove ed esistenti in modo che siano conformi al linguaggio delle policy IAM (JSON) e alle best practice IAM. IAM Access Analyzer offre più di 100 controlli dei criteri e raccomandazioni attuabili per aiutarti a creare criteri sicuri e funzionali. Per ulteriori informazioni, consulta Convalida delle policy per il Sistema di analisi degli accessi AWS IAM nella Guida per l'utente IAM.
-
Richiedere l'autenticazione a più fattori (MFA) - Se hai uno scenario che richiede utenti IAM o un utente root nel tuo Account AWS, attiva la MFA per una maggiore sicurezza. Per richiedere l'MFA quando si richiamano le operazioni API, aggiungi le condizioni MFA ai criteri. Per ulteriori informazioni, consulta Protezione dell'accesso API con MFA nella Guida per l'utente IAM.
Per ulteriori informazioni sulle best practice in IAM, consulta le Best practice di sicurezza in IAM nella Guida all'utente IAM.
