Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlla l'accesso ad Amazon S3 da Athena
Puoi concedere l'accesso alle posizioni Amazon S3 utilizzando le policy basate sulle identità, le policy delle risorse bucket, le policy dei punti di accesso o qualsiasi combinazione delle policy qui sopra. Quando gli attori interagiscono con Athena, le loro autorizzazioni passano attraverso Athena per determinare ciò a cui Athena può accedere. Ciò significa che gli utenti devono essere autorizzati ad accedere ai bucket Amazon S3 per potervi eseguire query con Athena.
Ogni volta che utilizzi IAM le politiche, assicurati di seguire le IAM migliori pratiche. Per ulteriori informazioni, consulta le migliori pratiche di sicurezza IAM nella Guida IAM per l'utente.
Tieni presente che le richieste ad Amazon S3 provengono da un IPv4 indirizzo privato per Athena, non dall'IP di origine specificato in. aws:SourceIp
Per questo motivo, non è possibile utilizzare la aws:SourceIp
condizione per negare l'accesso alle azioni di Amazon S3 in una IAM determinata policy. Inoltre, non è possibile limitare o consentire l'accesso alle risorse Amazon S3 in base alle chiavi di aws:SourceVpce
condizione aws:SourceVpc
o.
Nota
I gruppi di lavoro Athena che utilizzano l'autenticazione IAM Identity Center richiedono che S3 Access Grants sia configurato per utilizzare identità di propagazione delle identità affidabili. Per maggiori informazioni, consulta la pagina S3 Access Grants and directory identities nella Guida per l'utente di Amazon Simple Storage Service.
Argomenti
Utilizza policy basate sull'identità per controllare l'accesso ai bucket Amazon S3
Le politiche basate sull'identità sono associate a un utente, gruppo o ruolo. IAM Queste policy consentono di specificare cosa può fare quell'identità (le sue autorizzazioni). Puoi utilizzare policy basate sull'identità per controllare l'accesso ai tuoi bucket Amazon S3.
La seguente politica basata sull'identità consente Read
Write
l'accesso agli oggetti in uno specifico bucket Amazon S3. Per utilizzare questa politica, sostituiscila con i italicized placeholder text
tuoi valori.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListObjectsInBucket", "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket"] }, { "Sid": "AllObjectActions", "Effect": "Allow", "Action": "s3:*Object", "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"] } ] }
Utilizza le policy relative alle risorse dei bucket per controllare l'accesso ai bucket Amazon S3
Puoi utilizzare le policy dei bucket di Amazon S3 per proteggere l'accesso agli oggetti nei tuoi bucket in modo che solo gli utenti con le autorizzazioni appropriate possano accedervi. Per indicazioni sulla creazione di una policy Amazon S3, consulta Aggiungere una bucket policy utilizzando la console Amazon S3 nella Amazon S3 User Guide.
Il seguente esempio di politica di autorizzazione limita un utente alla lettura di oggetti che hanno il environment: production
tag key e value. La politica di esempio utilizza la chiave s3:ExistingObjectTag
condition per specificare la chiave e il valore del tag.
{ "Version":"2012-10-17", "Statement": [ { "Principal":{"AWS":"arn:aws:iam::
111122223333
:role/JohnDoe
" }, "Effect":"Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": { "StringEquals":{"s3:ExistingObjectTag/environment":"production" } ] }
Per altri esempi di policy relative ai bucket, consulta Esempi di policy relative ai bucket di Amazon S3 nella Amazon S3 User Guide.
Usa i punti di accesso Amazon S3 per un controllo più preciso sull'accesso ai bucket
Se disponi di un set di dati condiviso in un bucket Amazon S3, mantenere una singola policy del bucket che gestisce l'accesso per centinaia di casi d'uso può essere difficile.
I punti di accesso, le policy e gli alias dei bucket Amazon S3 possono aiutare a risolvere questo problema. Un bucket può avere più punti di accesso, ciascuno con una policy che controlla l'accesso al bucket in modo diverso.
Per ogni punto di accesso creato, Amazon S3 genera un alias che rappresenta il punto di accesso. Poiché l'alias è nel formato del nome bucket Amazon S3, è possibile utilizzare l'alias nella clausola LOCATION
delle istruzioni CREATE TABLE
in Athena. L'accesso di Athena al bucket è quindi controllato dalla policy per il punto di accesso che l'alias rappresenta.
Per ulteriori informazioni, consulta Specificare la posizione di una tabella in Amazon S3 e Utilizzo dei punti di accesso nella Guida per l'utente di Amazon S3.
Usa le chiavi CalledVia contestuali per consentire solo le chiamate da Athena a un altro servizio
Per una maggiore sicurezza, puoi usare aws:CalledViachiave di contesto della condizione globale. La chiave di aws:CalledVia
condizione contiene un elenco di servizi a cui è consentito chiamare un altro servizio. Ad esempio, è possibile consentire InvokeFunction
le chiamate AWS Lambda solo se provengono da Athena specificando il nome athena.amazonaws.com
principale del servizio Athena per la chiave di contesto. aws:CalledVia
Per ulteriori informazioni, consulta Usa le chiavi di CalledVia contesto per Athena.
Altre risorse
Per ulteriori informazioni ed esempi su come concedere l'accesso ad Amazon S3, consulta le seguenti risorse:
-
Procedure guidate di esempio: gestione degli accessi nella Guida per l'utente di Amazon S3.
-
In che modo posso fornire l'accesso su più account agli oggetti che si trovano nei bucket Amazon S3?
nel Knowledge Center. AWS -
Configura l'accesso tra account in Athena ai bucket Amazon S3.