Tagging e policy di controllo degli accessi - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tagging e policy di controllo degli accessi

Le policy di autorizzazione (policy bucket e policy utente) possono essere utilizzate per gestire le autorizzazioni relative al tagging oggetti. Per le operazioni delle policy, consulta i seguenti argomenti:

I tag degli oggetti consentono un controllo degli accessi granulare per la gestione delle autorizzazioni. È possibile concedere autorizzazioni condizionali in base ai tag degli oggetti. Amazon S3 supporta le seguenti chiavi di condizione che è possibile utilizzare per concedere autorizzazioni condizionali basate sui tag degli oggetti.

  • s3:ExistingObjectTag/<tag-key> – Utilizzare questa chiave di condizione per verificare che un tag degli oggetti esistente abbia una chiave e un valore di tag specifici.

    Nota

    Quando si concedono autorizzazioni per le operazioni PUT Object e DELETE Object, questa chiave di condizione non è supportata. Ciò significa che non è possibile creare una policy per concedere o rifiutare le autorizzazioni utente che consentono di eliminare o sovrascrivere un oggetto in base ai relativi tag esistenti.

  • s3:RequestObjectTagKeys – Utilizzare questa chiave di condizione per limitare le chiavi di tag che si desidera consentire sugli oggetti. Ciò è utile quando si aggiungono tag agli oggetti utilizzando le PutObjectTagging richieste and e POST object. PutObject

  • s3:RequestObjectTag/<tag-key> – Utilizzare questa chiave di condizione per limitare i valori e le chiavi di tag che si desidera consentire sugli oggetti. Ciò è utile quando si aggiungono tag agli oggetti utilizzando le richieste PutObjectTagging and PutObject e POST Bucket.

Per un elenco completo delle chiavi di condizione specifiche per il servizio Amazon S3, consulta Esempi di policy Bucket che utilizzano chiavi condizionali. Le seguenti policy di autorizzazione illustrano il modo in cui il tagging oggetti consente una gestione granulare delle autorizzazioni di accesso.

Esempio 1: concedere a un utente autorizzazioni di sola lettura per gli oggetti con un valore di tag o chiave specifico

La seguente policy di autorizzazione limita un utente a leggere solo gli oggetti con chiave e valore di tag environment: production. La policy utilizza la chiave di condizione s3:ExistingObjectTag per specificare la chiave e il valore di tag.

{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Principal": {
      "AWS": [
        "arn:aws:iam::111122223333:role/JohnDoe"
      ]
    },
    "Effect": "Allow",
    "Action": ["s3:GetObject", "s3:GetObjectVersion"],
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
    "Condition": {
      "StringEquals": 
        {"s3:ExistingObjectTag/environment": "production"}
    }
  }
  ]
}
Esempio 2: limitare le chiavi di tag dell'oggetto che gli utenti possono aggiungere

La seguente policy di autorizzazione concede a un utente le autorizzazioni per eseguire l'operazione s3:PutObjectTagging, che permette di aggiungere tag a un oggetto esistente. La condizione utilizza la chiave di condizione s3:RequestObjectTagKeys per specificare le chiavi di tag consentite, ad esempio Owner o CreationDate. Per ulteriori informazioni, consulta Creazione di una condizione che verifica più valori chiave nella Guida per l'IAMutente.

La policy garantisce che ogni chiave di tag specificata nella richiesta sia una chiave di tag autorizzata. Il qualificatore ForAnyValue nella condizione garantisce che almeno una delle chiavi specificate sia presente nella richiesta.

{
   "Version": "2012-10-17",
  "Statement": [
    {"Principal":{"AWS":[
            "arn:aws:iam::111122223333:role/JohnDoe"
         ]
       },
 "Effect": "Allow",
      "Action": [
        "s3:PutObjectTagging"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/*"
      ],
      "Condition": {"ForAnyValue:StringEquals": {"s3:RequestObjectTagKeys": [
            "Owner",
            "CreationDate"
          ]
        }
      }
    }
  ]
}
Esempio 3: richiedere una chiave e un valore di tag specifici per consentire agli utenti di aggiungere tag di oggetti

La seguente policy di esempio concede a un utente le autorizzazioni per eseguire l'operazione s3:PutObjectTagging, che permette di aggiungere tag a un oggetto esistente. La condizione prevede che l'utente includa una chiave di tag specifica (ad esempio, Project) con valore impostato su X.

{
   "Version": "2012-10-17",
  "Statement": [
    {"Principal":{"AWS":[
       "arn:aws:iam::111122223333:user/JohnDoe"
         ]
       },
      "Effect": "Allow",
      "Action": [
        "s3:PutObjectTagging"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/*"
      ],
      "Condition": {"StringEquals": {"s3:RequestObjectTag/Project": "X"
        }
      }
    }
  ]
}