Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Aggiunta di una condivisione file
Quando il gateway file S3 è attivato e in esecuzione, è possibile aggiungere ulteriori condivisioni file e concedere l'accesso ai bucket Amazon S3. I bucket a cui è possibile concedere l'accesso includono i bucket in un altroAccount AWSrispetto alla condivisione di file. Per ulteriori informazioni su come aggiungere una condivisione file, consulta Creazione di una condivisione file.
Argomenti
Concessione dell'accesso a un bucket Amazon S3
Quando crei una condivisione di file, il gateway di file richiede l'accesso per caricare i file nel bucket Amazon S3 e per eseguire azioni su qualsiasi punto di accesso o endpoint Virtual Private Cloud (VPC) utilizzato per connettersi al bucket. Per concedere questo accesso, il gateway di file presuppone unAWS Identity and Access Management(IAM) associato a una policy IAM che concede questo accesso.
Il ruolo richiede questa policy IAM e una relazione di trust Security Token Service (STS) per la policy. La policy determina quali operazioni può eseguire il ruolo. Inoltre, il bucket S3 e gli eventuali access point o gli endpoint VPC associati devono includere una policy di accesso che permetta al ruolo IAM di accedervi.
È possibile creare il ruolo e la policy di accesso manualmente oppure possono essere creati per te dal gateway file. Se il gateway file crea la policy per te, la policy contiene un elenco di operazioni S3. Per informazioni su ruoli e autorizzazioni, consultaCreazione di un ruolo per delegare le autorizzazioni a unServizio AWSnellaIAM User Guide.
L'esempio seguente è una policy di trust che consente al gateway file di assumere un ruolo IAM.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "storagegateway.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Se non vuoi che il gateway file crei una policy per conto tuo, puoi creare personalmente la policy e collegarla alla condivisione file. Per ulteriori informazioni su come effettuare tale operazione, consulta Creazione di una condivisione file.
La policy di esempio seguente permette al gateway file di eseguire tutte le operazioni Amazon S3 elencate nella policy. La prima parte dell'istruzione permette l'esecuzione nel bucket S3 denominato TestBucket di tutte le operazioni elencate. La seconda parte permette le operazioni elencate su tutti gli oggetti in TestBucket.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetAccelerateConfiguration", "s3:GetBucketLocation", "s3:GetBucketVersioning", "s3:ListBucket", "s3:ListBucketVersions", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::TestBucket", "Effect": "Allow" }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectVersion", "s3:ListMultipartUploadParts", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::TestBucket/*", "Effect": "Allow" } ] }
Il seguente criterio di esempio è simile a quello precedente, ma consente al gateway di file di eseguire le azioni necessarie per accedere a un bucket tramite un punto di accesso.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectVersion", "s3:ListMultipartUploadParts", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:us-east-1:123456789:accesspoint/TestAccessPointName/*", "Effect": "Allow" } ] }
Nota
Se è necessario collegare la condivisione di file a un bucket S3 tramite un endpoint VPC, vederePolicy dell'endpoint per Amazon S3nellaAWS PrivateLinkGuida per l’utente di.
Prevenzione del confused deputy tra servizi
Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell’autorizzazione per eseguire una certa operazione può costringere un'entità con più privilegi a eseguire tale operazione. In AWS, la rappresentazione cross-service può comportare il problema confused deputy. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio di chiamata ) chiama un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti che ti aiutano a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l'accesso alle risorse del tuo account.
Si consiglia di utilizzare le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount nelle policy delle risorse per limitare le autorizzazioni che AWS Storage Gateway fornisce un altro servizio alla risorsa. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, il valore aws:SourceAccount e l’account nel valore aws:SourceArn devono utilizzare lo stesso ID account nella stessa istruzione di policy.
Il valore diaws:SourceArndeve essere l'ARN dello Storage Gateway a cui è associata la condivisione di file.
Il modo più efficace per proteggersi dal problema confuso dei deputati è quello di utilizzare ilaws:SourceArnchiave del contesto della condizione globale con l'ARN completo della risorsa. Se non si conosce l'ARN completo della risorsa o si specificano più risorse, utilizzare laaws:SourceArnchiave di condizione del contesto globale con caratteri jolly (*) per le parti sconosciute dell'ARN. Ad esempio, arn:aws:. servicename::123456789012:*
L'esempio seguente mostra come puoi utilizzare laaws:SourceArneaws:SourceAccountchiavi di contesto delle condizioni globali in Storage Gateway per prevenire il problema confuso dei deputati.
{ "Version": "2012-10-17", "Statement": { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "storagegateway.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:storagegateway:us-east-1:123456789012:gateway/sgw-712345DA" } } } ] }
Utilizzo di una condivisione file per l'accesso tra account
Account incrociatoQuando un account Amazon Web Services e gli utenti di tale account dispongono dei diritti di accesso alle risorse che appartengono a un altro account Amazon Web Services. Con i gateway dei file, puoi usare una condivisione file in un account Amazon Web Services per accedere a oggetti in un bucket Amazon S3 appartenente a un account Amazon Web Services differente.
Per usare una condivisione file di proprietà di un account Amazon Web Services per accedere a un bucket S3 in un account Amazon Web Services differente
-
Accertare che il proprietaro del bucket S3 abbia concesso l'accesso al bucket S3 a cui si desidera accedere e agli oggetti nel bucket. Per informazioni su come concedere l'accesso, consultaEsempio 2: Il proprietario del bucket concede autorizzazioni per il bucket multiaccountnellaDocumentazione guida per l'utente di Amazon Simp. Per un elenco delle autorizzazioni richieste, consulta Concessione dell'accesso a un bucket Amazon S3.
-
Accertare che il ruolo IAM utilizzato dalla condivisione file per accedere al bucket S3 includa le autorizzazioni per operazioni quali
s3:GetObjectAcles3:PutObjectAcl. Inoltre, verificare che il ruolo IAM includa una policy di attendibilità che consente all'account di assumere quel ruolo IAM. Per un esempio di policy di attendibilità, consulta Concessione dell'accesso a un bucket Amazon S3.Se la condivisione file utilizza un ruolo esistente per accedere al bucket S3, è necessario includere le autorizzazioni per le operazioni
s3:GetObjectAcl es3:PutObjectAcl. Il ruolo richiede inoltre una policy di attendibilità che consente all'account di assumere questo ruolo. Per un esempio di policy di attendibilità, consulta Concessione dell'accesso a un bucket Amazon S3. Aprire la console Storage Gateway suhttps://console.aws.amazon.com/storagegateway/home
. -
Scegliere Give bucket owner full control (Concedi il controllo completo al proprietario del bucket) nelle impostazioni Object metadata (Metadati oggetto) nella finestra di dialogo Configure file share setting (Configura impostazioni di condivisione file).
Una volta creata o aggiornata la condivisione del file per un accesso tra account e una volta caricata la condivisione file in un ambiente locale, è consigliabile testare la configurazione. È possibile eseguire questa operazione elencando contenuti directory o scrivendo file di test e accertando che i file siano visualizzati come oggetti nel bucket S3.
Importante
Accertarsi di configurare le policy correttamente per concedere l'accesso a più account all'account utilizzato dalla condivisione file. In caso contrario, gli aggiornamenti ai file mediante le applicazioni nell'ambiente locale non si propagano al bucket Amazon S3 che si sta utilizzando.
Risorse
Per ulteriori informazioni sulle policy d'accesso e sulle liste di controllo accessi, consulta quanto segue:
Linee guida per l'utilizzo delle opzioni disponibili relative alle policy d'accesso predefinitenellaDocumentazione guida per l'utente di Amazon Simp
Panoramica delle liste di controllo accessi (ACL)nellaDocumentazione guida per l'utente di Amazon Simp
