Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione amministratore
Prima che gli utenti possano creare integrazioni e knowledge base di Amazon S3, un amministratore di Amazon Quick deve completare le seguenti attività di configurazione.
## Concedi ad Amazon Quick l'accesso ai bucket Amazon S3
Concedi ad Amazon Quick l'accesso ai bucket Amazon S3 di cui la tua organizzazione ha bisogno. Questo vale sia che i bucket si trovino nello stesso AWS account o in un altro account.
1. Nella console di amministrazione di Amazon Quick, in **Autorizzazioni**, scegli **AWS le risorse**.
1. In **Consenti accesso e individuazione automatica per queste risorse**, seleziona la casella di controllo **Amazon S3**.
1. Scegli **Select S3 bucket**.
1. Nella finestra di dialogo **Seleziona i bucket Amazon S3**, scegli la scheda che corrisponde alla posizione del bucket:
+ **Bucket S3 collegati all'account Quick**: seleziona i bucket dall'elenco a cui desideri che Amazon Quick acceda. Per impostazione predefinita, i bucket selezionati dispongono di autorizzazioni di sola lettura.
+ Bucket **S3 a cui puoi accedere attraverso AWS: per i bucket** tra più account, assicurati che il proprietario dell'account abbia autorizzato il tuo account. **Scegli **Usa un bucket diverso, inserisci il nome del bucket** e scegli Aggiungi bucket S3.**
1. (Facoltativo) Per i **bucket tra più account, seleziona Limita l'accesso al generatore della knowledge base** per limitare l'accesso in modo che solo l'utente che crea la knowledge base possa utilizzare il bucket.
1. Scegli **Fine**.
I bucket selezionati sono ora accessibili agli utenti durante la creazione della knowledge base.
## Prepara la configurazione dei ruoli e delle policy IAM
L'integrazione con Amazon S3 utilizza l' AWS autenticazione per accedere ai bucket Amazon S3. Prepara la configurazione del ruolo e della policy IAM prima che gli utenti configurino l'integrazione.
### Autorizzazioni IAM richieste
Assicurati che il tuo AWS account disponga delle seguenti autorizzazioni minime per il bucket Amazon S3:
+ `s3:GetObject`— Leggi gli oggetti dal bucket.
+ `s3:ListBucket`— Elenca i contenuti del bucket.
+ `s3:GetBucketLocation`— Ottieni informazioni sulla regione del bucket.
+ `s3:GetObjectVersion`— Ottieni le versioni degli oggetti.
+ `s3:ListBucketVersions`— Elenca le versioni del bucket.
### Configura le autorizzazioni del bucket Amazon S3 per l'accesso tra account
Se accedi ai bucket Amazon S3 da un AWS account diverso, devi configurare le policy IAM nell'account di origine. AWS
**Per configurare le autorizzazioni del bucket Amazon S3 per l'accesso tra account**
1. Accedi alla console di AWS gestione per l'account che contiene il bucket Amazon S3.
1. Apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Scegli il bucket a cui vuoi concedere l'accesso.
1. Selezionare **Permissions (Autorizzazioni)**, quindi **Bucket Policy (Policy bucket)**.
1. Aggiungi una policy bucket con i seguenti elementi:
+ `Version`— Impostato su «2012-10-17"
+ `Statement`— Array contenente dichiarazioni politiche con:
+ `Sid`— "AllowQuickSuiteS3Access»
+ `Effect`— «Consenti»
+ `Principal`— AWS ARN per il ruolo del servizio Amazon Quick nel tuo account. Ad esempio, il principale dovrebbe avere il seguente aspetto: ` "Principal": { "AWS": "arn:aws:iam:::role/service-role/aws-quicksight-service-role-v0" }`
+ `Action`— Serie di autorizzazioni Amazon S3: s3:, s3:GetObject, s3:, s3:ListBucket, s3: GetBucketLocation GetObjectVersion ListBucketVersions
+ `Resource`— «\$1» (si riferisce alla chiave corrente), il percorso del bucket di Amazon S3 dovrebbe essere simile al seguente: `"Resource": [ "arn:aws:s3:::bucket_name"]`
1. Scegli **Save changes** (Salva modifiche).
### Configura le autorizzazioni delle chiavi KMS (se il tuo bucket utilizza la crittografia)
Se il tuo bucket Amazon S3 utilizza la crittografia AWS KMS, completa i seguenti passaggi.
**Per configurare le autorizzazioni delle chiavi KMS**
1. [Apri la console AWS Key Management Service (AWS KMS) in /kms. https://console.aws.amazon.com](https://console.aws.amazon.com/kms)
1. Scegli la chiave KMS utilizzata per crittografare il tuo bucket Amazon S3.
1. Scegliere **Key policy (Policy chiave)**, quindi scegliere **Edit (Modifica)**.
1. Aggiungi una dichiarazione alla politica chiave con i seguenti elementi strutturali:
+ `Sid` – "AllowQuickSuiteKMSAccess"
+ `Effect`— «Consenti»
+ `Principal`— AWS ARN per il ruolo del servizio Amazon Quick nel tuo account. Ad esempio, il principale dovrebbe avere il seguente aspetto: ` "Principal": { "AWS": "arn:aws:iam:::role/service-role/aws-quicksight-service-role-v0" }`
+ `Action`— Matrice di autorizzazioni KMS: kms: Decrypt, kms: DescribeKey
+ `Resource`— «\$1» (si riferisce alla chiave corrente), il percorso del bucket di Amazon S3 dovrebbe essere simile al seguente: `"Resource": [ "arn:aws:s3:::bucket_name"]`
1. Scegli **Save changes** (Salva modifiche).
1. Attendi 2-3 minuti per la propagazione delle modifiche alle policy.
## Configurazione dell'accesso VPC per Amazon S3 Connector in Amazon Quick
Le autorizzazioni VPC garantiscono che Amazon Quick possa accedere al tuo bucket Amazon S3 solo tramite connessioni endpoint VPC o VPC sicure.
### Modifica della politica richiesta
Aggiungi questa dichiarazione alla tua politica di accesso al bucket per consentire ad Amazon Quick di accedere al tuo bucket tramite endpoint VPC:
```
{
"Sid": "Allow-Quick-access" ,
"Principal": "arn:aws:iam::Quick Account:role/service-role/aws-quicksight-service-role-v0",
"Action": "s3:*",
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Null": {
"aws:SourceVpce": "false"
}
}
}
```
+ Sostituiscilo `amzn-s3-demo-bucket` con il nome del tuo bucket.
+ `Quick Account`Sostituiscilo con il tuo account Amazon Quick.
`"aws:SourceVpce": "false"`Questa condizione garantisce che Amazon Quick possa accedere al tuo bucket solo tramite endpoint VPC, mantenendo i tuoi requisiti di sicurezza.
### Politiche di negazione
Se il tuo bucket ha una politica che limita il traffico verso uno specifico VPC o endpoint VPC tramite Deny Policy, devi invertire questa politica perché le politiche di negazione hanno la precedenza sulle politiche di autorizzazione.
Esempio:
```
{
"Version":"2012-10-17" ,
"Id": "Policy1415115909152",
"Statement": [
{
"Sid": "Access-to-specific-VPCE-only",
"Principal": "*",
"Action": "s3:*",
"Effect": "Deny",
"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"],
"Condition": {
"StringNotEquals": {
"aws:SourceVpce": "vpce-0abcdef1234567890"
}
}
}
]
}
```
Dovrebbe essere invertita in:
```
{
"Version":"2012-10-17" ,
"Id": "Policy1415115909152",
"Statement": [
{
"Sid": "Access-to-specific-VPCE-only",
"Principal": "*",
"Action": "s3:*",
"Effect": "Allow",
"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"],
"Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-0abcdef1234567890"
}
}
}
]
}
```
### Best practice
**Limita l'accesso al tuo ruolo in Amazon Quick**
Le politiche di accesso dovrebbero far sì che il chiamante sia il tuo ARN del ruolo Amazon Quick o, almeno, il tuo account Amazon Quick. Ciò garantisce che, nonostante consenta il traffico VPC, le chiamate provengano solo da fonti previste.
### Consigli sulla sicurezza
+ Limita le politiche al tuo ruolo in Amazon Quick per il traffico più sicuro
+ Rivedi regolarmente le tue politiche relative ai valori limite per assicurarti che seguano il principio del privilegio minimo
## Limita l'accesso ai bucket Amazon S3 con assegnazioni di policy IAM
Puoi controllare quali bucket Amazon S3 gli utenti di Amazon Quick possono utilizzare per creare basi di conoscenza creando policy IAM e assegnandole a utenti specifici, gruppi o a tutti gli utenti tramite assegnazioni di policy Amazon Quick IAM. Ciò consente di limitare chi può creare basi di conoscenza in base a gruppi specifici, comprese le knowledge base compatibili con ACL.
**Nota**
Le policy IAM assegnate tramite Amazon Quick hanno la precedenza sulle policy a livello di AWS risorsa. Per garantire che i requisiti di accesso siano soddisfatti, configura le politiche IAM in modo appropriato.
Ad esempio, puoi assegnare una policy restrittiva a utenti specifici che devono accedere a bucket compatibili con ACL, mentre assegnare una policy più ampia a tutti gli utenti per i bucket non ACL.
### Fase 1: creare una policy di accesso Amazon S3 in IAM
Crea una policy IAM nella console AWS IAM che definisca a quali bucket Amazon S3 possono accedere gli utenti per la creazione di knowledge base. La seguente policy di esempio concede l'accesso a due bucket specifici:
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket-1",
"arn:aws:s3:::amzn-s3-demo-bucket-2"
]
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket-1/*",
"arn:aws:s3:::amzn-s3-demo-bucket-2/*"
]
},
{
"Action": [
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket-1",
"arn:aws:s3:::amzn-s3-demo-bucket-2"
]
},
{
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket-1/*",
"arn:aws:s3:::amzn-s3-demo-bucket-2/*"
]
}
]
}
```
Sostituisci `amzn-s3-demo-bucket-1` e `amzn-s3-demo-bucket-2` con i nomi dei bucket Amazon S3 a cui desideri concedere l'accesso.
### Fase 2: Assegna la policy in Amazon Quick
Dopo aver creato la policy IAM, assegnala a utenti o gruppi Amazon Quick.
1. Nella console di amministrazione di Amazon Quick, in **Autorizzazioni**, scegli le **assegnazioni delle policy IAM**.
1. Scegli **Aggiungi nuovo incarico**.
1. Inserisci un nome per l'assegnazione.
1. Nella pagina **Seleziona una policy IAM**, cerca e seleziona la policy IAM che hai creato nel passaggio 1. Scegli **Next (Successivo)**.
1. Nella pagina **Assegna utenti e gruppi**, scegli una delle seguenti opzioni:
+ Seleziona **Assegna a tutti gli utenti e i gruppi** per applicare la politica a tutti gli utenti attuali e futuri.
+ Cerca e seleziona utenti o gruppi specifici a cui assegnare la politica.
Scegli **Next (Successivo)**.
1. Nella pagina **Rivedi e abilita le modifiche**, verifica i dettagli dell'assegnazione e scegli **Salva e** abilita.
Gli utenti a cui non viene esplicitamente concesso l'accesso tramite un'assegnazione di policy IAM non saranno in grado di accedere ai bucket Amazon S3 con restrizioni per creare integrazioni o knowledge base.