AWS: nega l'accesso alle risorse Amazon S3 al di fuori del tuo account tranne AWS Data Exchange - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS: nega l'accesso alle risorse Amazon S3 al di fuori del tuo account tranne AWS Data Exchange

Questo esempio mostra come potresti creare una politica basata sull'identità che neghi l'accesso a tutte le risorse AWS che non appartengono al tuo account, ad eccezione delle risorse necessarie per il normale funzionamento. AWS Data Exchange Per utilizzare questa policy, sostituisci il testo segnaposto in corsivo nella policy di esempio con le tue informazioni. Quindi, segui le indicazioni fornite in Creazione di una policy o Modifica di una policy.

È possibile creare una politica simile per limitare l'accesso alle risorse all'interno di un'organizzazione o di un'unità organizzativa, contabilizzando al contempo le risorse di AWS Data Exchange proprietà utilizzando i tasti di condizione e. aws:ResourceOrgPaths aws:ResourceOrgID

Se lo utilizzi AWS Data Exchange nel tuo ambiente, il servizio crea e interagisce con risorse come i bucket Amazon S3 di proprietà dell'account del servizio. Ad esempio, AWS Data Exchange invia richieste ai bucket Amazon S3 di proprietà del AWS Data Exchange servizio per conto del principale IAM (utente o ruolo) che richiama le API. AWS Data Exchange In tal caso, l'utilizzo aws:ResourceAccountaws:ResourceOrgPaths, o aws:ResourceOrgID nell'ambito di una policy, senza tenere conto delle risorse di AWS Data Exchange proprietà, nega l'accesso ai bucket di proprietà dell'account di servizio.

  • L'istruzione DenyAllAwsResourcesOutsideAccountExceptS3 utilizza l'elemento NotAction con l'effetto Deny che nega esplicitamente l'accesso a tutte le operazioni non elencate nell'istruzione e che non appartengono all'account elencato. L'elemento NotAction indica le eccezioni a questa istruzione. Queste azioni fanno eccezione a questa dichiarazione perché se le azioni vengono eseguite su risorse create da AWS Data Exchange, la policy le nega.

  • L'istruzione DenyAllS3ResoucesOutsideAccountExceptDataExchange utilizza una combinazione delle condizioni ResourceAccount e CalledVia per negare l'accesso alle tre operazioni di Amazon S3 escluse nell'istruzione precedente. L'istruzione nega le operazioni se le risorse non appartengono all'account elencato e se il servizio chiamante non è AWS Data Exchange. L'istruzione non nega le operazioni se la risorsa appartiene all'account elencato o l'operazione viene eseguita dal principale del servizio elencato, dataexchange.amazonaws.com.

Importante

Questa policy non consente alcuna operazione. Utilizza l'effetto Deny, che neghi esplicitamente l'accesso a tutte le risorse elencate nell'istruzione che non appartengono all'account elencato. Utilizza questa policy in combinazione con altre policy che consentono l'accesso a risorse specifiche.

L'esempio seguente mostra come configurare la policy per consentire l'accesso ai bucket Amazon S3 richiesti.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllAwsReourcesOutsideAccountExceptAmazonS3", "Effect": "Deny", "NotAction": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:ResourceAccount": [ "111122223333" ] } } }, { "Sid": "DenyAllS3ResourcesOutsideAccountExceptDataExchange", "Effect": "Deny", "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:ResourceAccount": [ "111122223333" ] }, "ForAllValues:StringNotEquals": { "aws:CalledVia": [ "dataexchange.amazonaws.com" ] } } } ] }