Gestione degli accessi - Amazon Simple Storage Service
Risorse S3IdentitàStrumenti di gestione degli accessiAzioniCasi d'uso della gestione degli accessiRisoluzione dei problemi di gestione dell'accesso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione degli accessi

In AWS, una risorsa è un'entità con cui puoi lavorare. In Amazon Simple Storage Service (S3), i bucket e gli oggetti sono le risorse Amazon S3 originali. È probabile che ogni cliente S3 abbia dei bucket contenenti oggetti. Con l'aggiunta di nuove funzionalità a S3, sono state aggiunte anche risorse aggiuntive, ma non tutti i clienti utilizzano queste risorse specifiche per le funzionalità. Per ulteriori informazioni sulle risorse di Amazon S3, consulta. Risorse S3

Per impostazione predefinita, tutte le risorse Amazon S3 sono private. Per impostazione predefinita, l'utente root di chi ha creato la Account AWS risorsa (proprietario della risorsa) e gli utenti IAM all'interno di quell'account con le autorizzazioni necessarie possono accedere a una risorsa da loro creata. Il proprietario della risorsa decide chi altro può accedere alla risorsa e le azioni che altri possono eseguire sulla risorsa. S3 dispone di vari strumenti di gestione degli accessi che puoi utilizzare per concedere ad altri l'accesso alle tue risorse S3.

Le sezioni seguenti forniscono una panoramica delle risorse S3, degli strumenti di gestione degli accessi S3 disponibili e dei migliori casi d'uso per ogni strumento di gestione degli accessi. Gli elenchi contenuti in queste sezioni vogliono essere completi e includono tutte le risorse S3, gli strumenti di gestione degli accessi e i casi d'uso comuni di gestione degli accessi. Allo stesso tempo, queste sezioni sono progettate per essere directory che consentono di accedere ai dettagli tecnici desiderati. Se hai una buona conoscenza di alcuni dei seguenti argomenti, puoi passare alla sezione che ti riguarda.

Argomenti

Risorse S3

Le risorse originali di Amazon S3 sono i bucket e gli oggetti in essi contenuti. Man mano che vengono aggiunte nuove funzionalità a S3, vengono aggiunte anche nuove risorse. Di seguito è riportato un elenco completo delle risorse S3 e delle rispettive funzionalità.

Tipo di risorsa Funzionalità Amazon S3 Descrizione

bucket

Caratteristiche principali

Un bucket è un container per oggetti o file. Per memorizzare un oggetto in S3, crea un bucket e poi carica uno o più oggetti nel bucket. Per ulteriori informazioni, consulta Creazione, configurazione e utilizzo di bucket Amazon S3.

object

Un oggetto può essere un file e qualsiasi metadato che descrive quel file. Quando un oggetto è nel bucket, puoi aprirlo, scaricarlo e spostarlo. Per ulteriori informazioni, consulta Caricamento, download e utilizzo di oggetti in Amazon S3.

accesspoint

Access point

Gli access point sono endpoint di rete denominati collegati a bucket che è possibile utilizzare per eseguire operazioni sugli oggetti Amazon S3, ad esempio e. GetObject PutObject Ogni punto di accesso dispone di autorizzazioni e controlli di rete distinti e di una politica personalizzata del punto di accesso che funziona in combinazione con la policy del bucket associata al bucket sottostante. Puoi configurare qualsiasi punto di accesso per accettare richieste solo da un cloud privato virtuale (VPC) o configurare impostazioni di accesso pubblico a blocchi personalizzate per ogni punto di accesso. Per ulteriori informazioni, consulta Gestione dell'accesso ai dati con Punti di accesso Amazon S3.

objectlambdaaccesspoint

Un Object Lambda Access Point è un punto di accesso per un bucket associato anche a una funzione Lambda. Con Object Lambda Access Point, puoi aggiungere il tuo codice ad Amazon GET S3 LIST HEAD e richiedere di modificare ed elaborare i dati non appena vengono restituiti a un'applicazione. Per ulteriori informazioni, consulta Creazione di punti di accesso Object Lambda.

multiregionaccesspoint

I punti di accesso multiregione forniscono un endpoint globale che le applicazioni possono utilizzare per soddisfare le richieste dei bucket Amazon S3 che si trovano in più regioni. AWS Puoi utilizzare i punti di accesso multi-regione per creare applicazioni multi-regione con la stessa architettura utilizzata in una singola regione e quindi eseguire tali applicazioni in qualsiasi parte del mondo. Invece di inviare richieste sulla rete Internet pubblica congestionata, le richieste di applicazioni effettuate a un endpoint globale Multi-Region Access Point vengono instradate automaticamente attraverso la rete AWS globale fino al bucket Amazon S3 più vicino. Per ulteriori informazioni, consulta Punti di accesso multi-regione in Amazon S3.

job

Operazioni in batch S3

Un job è una risorsa della funzionalità Batch Operations di S3. Puoi utilizzare S3 Batch Operations per eseguire operazioni batch su larga scala su elenchi di oggetti Amazon S3 specificati. Amazon S3 monitora lo stato di avanzamento del processo operativo in batch, invia notifiche e archivia un rapporto dettagliato di completamento di tutte le azioni, offrendoti un'esperienza completamente gestita, verificabile e senza server. Per ulteriori informazioni, consulta Esecuzione di operazioni in batch su larga scala su oggetti Amazon S3.

storagelensconfiguration

S3 Storage Lens

Una configurazione S3 Storage Lens raccoglie i parametri di storage e i dati utente a livello di organizzazione su tutti gli account. S3 Storage Lens offre agli amministratori una visione unica dell'utilizzo e dell'attività dello storage di oggetti su centinaia o addirittura migliaia di account di un'organizzazione, con dettagli per generare approfondimenti a più livelli di aggregazione. Per ulteriori informazioni, consulta Valutazione dell'attività e dell'utilizzo dello storage con Amazon S3 Storage Lens.

storagelensgroup

Un gruppo S3 Storage Lens aggrega le metriche utilizzando filtri personalizzati basati sui metadati degli oggetti. I gruppi S3 Storage Lens ti aiutano a studiare le caratteristiche dei tuoi dati, come la distribuzione degli oggetti per età, i tipi di file più comuni e altro ancora. Per ulteriori informazioni, consulta Utilizzo dei gruppi S3 Storage Lens.

accessgrantsinstance

S3 Access Grants

Un'istanza S3 Access Grants è un contenitore per le concessioni S3 che crei. Con S3 Access Grants, puoi creare sovvenzioni ai tuoi dati Amazon S3 per identità IAM all'interno del tuo account, identità IAM in altri account (più account) e identità di directory aggiunte dalla tua directory aziendale. AWS IAM Identity Center Per ulteriori informazioni su S3 Access Grants, consulta. Gestione dell'accesso con S3 Access Grants

accessgrantslocation

Un Access Grants Location è un bucket, un prefisso all'interno di un bucket o un oggetto che registri nell'istanza di S3 Access Grants. È necessario registrare le sedi all'interno dell'istanza S3 Access Grants prima di poter creare una concessione per quella posizione. Quindi, con S3 Access Grants, puoi concedere l'accesso al bucket, al prefisso o all'oggetto per le identità IAM all'interno del tuo account, le identità IAM in altri account (più account) e le identità di directory aggiunte dalla tua directory aziendale. AWS IAM Identity Center Per ulteriori informazioni su S3 Access Grants, vedi Gestione dell'accesso con S3 Access Grants

accessgrant

Una concessione di accesso è una concessione individuale ai tuoi dati Amazon S3. Con S3 Access Grants, puoi creare sovvenzioni ai tuoi dati Amazon S3 per identità IAM all'interno del tuo account, identità IAM in altri account (più account) e identità di directory aggiunte dalla tua directory aziendale. AWS IAM Identity Center Per ulteriori informazioni su S3 Access Grants, consulta Gestione dell'accesso con S3 Access Grants
Bucket

Esistono due tipi di bucket Amazon S3: bucket generici e bucket di directory.

Classificazione delle risorse S3

Amazon S3 offre funzionalità per classificare e organizzare le risorse S3. La categorizzazione delle risorse non è utile solo per organizzarle, ma consente anche di impostare regole di gestione degli accessi basate sulle categorie di risorse. In particolare, i prefissi e i tag sono due funzionalità di organizzazione dell'archiviazione che è possibile utilizzare per impostare le autorizzazioni di gestione degli accessi.

Nota

Le seguenti informazioni si applicano ai bucket per uso generico. I bucket di directory non supportano l'etichettatura e presentano limitazioni relative ai prefissi. Per ulteriori informazioni, consulta AWS Identity and Access Management (IAM) per S3 Express One Zone.

  • Prefissi: un prefisso in Amazon S3 è una stringa di caratteri all'inizio del nome chiave di un oggetto che viene utilizzata per organizzare gli oggetti archiviati nei bucket S3. È possibile utilizzare un carattere delimitatore, ad esempio una barra (/), per indicare la fine del prefisso all'interno del nome della chiave dell'oggetto. Ad esempio, potreste avere nomi di chiavi di oggetto che iniziano con il engineering/ prefisso o nomi di chiavi di oggetto che iniziano con il prefisso. marketing/campaigns/ L'uso di un delimitatore alla fine del prefisso, ad esempio una barra, / emula le convenzioni di denominazione di cartelle e file. Tuttavia, in S3, il prefisso fa parte del nome della chiave dell'oggetto. Nei bucket S3 per uso generico, non esiste una vera gerarchia di cartelle.

    Amazon S3 supporta l'organizzazione e il raggruppamento di oggetti utilizzando i relativi prefissi. Puoi anche gestire l'accesso agli oggetti tramite i relativi prefissi. Ad esempio, è possibile limitare l'accesso solo agli oggetti con nomi che iniziano con un prefisso specifico.

    Per ulteriori informazioni, consulta Organizzazione degli oggetti utilizzando i prefissi. La console S3 utilizza il concetto di cartelle, che, nei bucket generici, sono essenzialmente prefissi aggiunti al nome della chiave dell'oggetto. Per ulteriori informazioni, consulta Organizzazione degli oggetti nella console di Amazon S3 utilizzando le cartelle.

  • Tag: ogni tag è una coppia chiave-valore che assegni alle risorse. Ad esempio, puoi taggare alcune risorse con il tag. topicCategory=engineering È possibile utilizzare i tag per facilitare l'allocazione dei costi, la categorizzazione e l'organizzazione e il controllo degli accessi. Il bucket tagging viene utilizzato solo per l'allocazione dei costi. Puoi taggare oggetti, S3 Storage Lens, lavori e S3 Access Grants per scopi organizzativi o per il controllo degli accessi. In S3 Access Grants, puoi anche utilizzare i tag per l'allocazione dei costi. Come esempio di controllo dell'accesso alle risorse utilizzando i relativi tag, puoi condividere solo gli oggetti che hanno un tag specifico o una combinazione di tag.

    Per ulteriori informazioni, consulta Controllare l'accesso alle AWS risorse utilizzando i tag delle risorse nella Guida per l'utente IAM.

Identità

In Amazon S3, il proprietario della risorsa è l'identità che ha creato la risorsa, ad esempio un bucket o un oggetto. Per impostazione predefinita, solo l'utente root dell'account che ha creato la risorsa e le identità IAM all'interno dell'account che dispongono dell'autorizzazione richiesta possono accedere alla risorsa S3. I proprietari delle risorse possono consentire ad altre identità di accedere alle proprie risorse S3.

Le identità che non possiedono una risorsa possono richiedere l'accesso a tale risorsa. Le richieste a una risorsa sono autenticate o non autenticate. Le richieste autenticate devono includere un valore di firma che autentichi il mittente della richiesta, ma le richieste non autenticate non richiedono una firma. Si consiglia di concedere l'accesso solo agli utenti autenticati. Per ulteriori informazioni sull'autenticazione delle richieste, consulta Esecuzione di richieste.

Importante

Ti consigliamo di non utilizzare le credenziali dell'utente Account AWS root per effettuare richieste autenticate. Crea invece un ruolo IAM, concedendo a esso l'accesso completo. Gli utenti con questo ruolo vengono definiti utenti amministratori. È possibile utilizzare le credenziali assegnate al ruolo di amministratore, anziché le credenziali dell'utente Account AWS root, per interagire AWS ed eseguire attività, come creare un bucket, creare utenti e concedere autorizzazioni. Per ulteriori informazioni, consulta le credenziali dell'utente Account AWS root e le credenziali utente IAM in Riferimenti generali di AWS, e consulta le migliori pratiche di sicurezza in IAM nella IAM User Guide.

Le identità che accedono ai tuoi dati in Amazon S3 possono essere una delle seguenti:

Account AWS owner

Account AWS Quello che ha creato la risorsa. Ad esempio, l'account che ha creato il bucket. Questo account possiede la risorsa. Per ulteriori informazioni, vedere AWS account root user.

Identità IAM nello stesso account del proprietario Account AWS

Quando configura gli account per i nuovi membri del team che richiedono l'accesso a S3, il Account AWS proprietario può utilizzare AWS Identity and Access Management (IAM) per creare utenti, gruppi e ruoli. Il Account AWS proprietario può quindi condividere le risorse con queste identità IAM. Il proprietario dell'account può anche specificare le autorizzazioni da concedere alle identità IAM, che consentono o negano le azioni che possono essere eseguite sulle risorse condivise.

Le identità IAM offrono funzionalità avanzate, inclusa la possibilità di richiedere agli utenti di inserire le credenziali di accesso prima di accedere alle risorse condivise. Utilizzando le identità IAM, puoi implementare una forma di autenticazione a più fattori (MFA) IAM per supportare una solida base di identità. Una best practice di IAM consiste nel creare ruoli per la gestione degli accessi anziché concedere le autorizzazioni a ogni singolo utente. Assegni ai singoli utenti il ruolo appropriato. Per ulteriori informazioni, consulta Best practice per la sicurezza in IAM.

Altri proprietari di AWS account e relative identità IAM (accesso tra account diversi)

Il Account AWS proprietario può inoltre consentire ad altri proprietari di AWS account, o identità IAM che appartengono a un altro AWS account, l'accesso alle risorse.

Nota

Delega delle autorizzazioni: se un utente Account AWS possiede una risorsa, può concedere tali autorizzazioni a un'altra. Account AWS Tale account può quindi delegare tali autorizzazioni, o un sottoinsieme di esse, agli utenti dello stesso account. Questa operazione si definisce delega delle autorizzazioni. Tuttavia, un account che riceve le autorizzazioni da un altro account non può delegare tali autorizzazioni «su più account» a un altro. Account AWS

Utenti anonimi (accesso pubblico)

Il Account AWS proprietario può rendere pubbliche le risorse. Rendendo pubblica una risorsa tecnicamente la risorsa viene condivisa con l'utente anonimo. I bucket creati a partire da aprile 2023 bloccano tutti gli accessi pubblici per impostazione predefinita, a meno che non si modifichi questa impostazione. Ti consigliamo di impostare i bucket per bloccare l'accesso pubblico e di concedere l'accesso solo agli utenti autenticati. Per ulteriori informazioni sul blocco dell'accesso pubblico, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

Servizi AWS

Il proprietario della risorsa può concedere a un altro AWS servizio l'accesso a una risorsa Amazon S3. Ad esempio, puoi concedere al AWS CloudTrail servizio l's3:PutObjectautorizzazione a scrivere file di registro nel tuo bucket. Per ulteriori informazioni, vedere Fornire l'accesso a un AWS servizio.

Identità degli elenchi aziendali

Il proprietario della risorsa può concedere agli utenti o ai ruoli della directory aziendale l'accesso a una risorsa S3 utilizzando S3 Access Grants. Per ulteriori informazioni sull'aggiunta della directory aziendale a AWS IAM Identity Center, consulta Cos'è IAM Identity Center? .

Proprietari di bucket o risorse

I bucket Account AWS che usi per creare bucket e caricare oggetti sono i proprietari di tali risorse. Il proprietario di un bucket può concedere autorizzazioni su più account a un altro Account AWS (o agli utenti di un altro account) per caricare oggetti.

Quando il proprietario del bucket consente a un altro account di caricare oggetti in un bucket, il proprietario del bucket, per impostazione predefinita, possiede tutti gli oggetti caricati nel proprio bucket. Tuttavia, se le impostazioni preferite del bucket proprietario del bucket e del proprietario del bucket sono disattivate, chi carica gli oggetti possiede tali oggetti e il Account AWS proprietario del bucket non dispone delle autorizzazioni sugli oggetti di proprietà di un altro account, con le seguenti eccezioni:

  • È il proprietario del bucket a pagare la fattura. Il proprietario del bucket può rifiutare l'accesso agli oggetti nel bucket o eliminarli, indipendentemente dall'utente a cui appartengono.

  • Il proprietario del bucket può archiviare qualsiasi oggetto o ripristinare gli oggetti archiviati, indipendentemente dal proprietario. L'archiviazione fa riferimento alla classe di storage utilizzata per archiviare gli oggetti. Per ulteriori informazioni, consulta Gestione del ciclo di vita dello storage.

Strumenti di gestione degli accessi

Amazon S3 offre una varietà di funzionalità e strumenti di sicurezza. Di seguito è riportato un elenco completo di queste funzionalità e strumenti. Non sono necessari tutti questi strumenti di gestione degli accessi, ma è necessario utilizzarne uno o più per concedere l'accesso alle risorse Amazon S3. La corretta applicazione di questi strumenti può contribuire a garantire che le risorse siano accessibili solo agli utenti previsti.

Lo strumento di gestione degli accessi più utilizzato è una politica di accesso. Una politica di accesso può essere una politica basata sulle risorse collegata a una AWS risorsa, ad esempio una policy bucket per un bucket. Una policy di accesso può anche essere una policy basata sull'identità collegata a un'identità AWS Identity and Access Management (IAM), ad esempio un utente, un gruppo o un ruolo IAM. Scrivi una policy di accesso per concedere a utenti, gruppi Account AWS e ruoli IAM l'autorizzazione a eseguire operazioni su una risorsa. Ad esempio, puoi concedere PUT Object l'autorizzazione a un altro account Account AWS in modo che l'altro account possa caricare oggetti nel tuo bucket.

Una politica di accesso descrive chi ha accesso a quali cose. Quando Amazon S3 riceve una richiesta, deve valutare tutte le politiche di accesso per determinare se autorizzare o rifiutare la richiesta. Per ulteriori informazioni su come Amazon S3 valuta le policy, consulta In che modo Amazon S3 autorizza una richiesta.

Di seguito sono riportati gli strumenti di gestione degli accessi disponibili in Amazon S3.

Una policy sui bucket di Amazon S3 è una policy basata su risorse in formato JSON AWS Identity and Access Management (IAM) collegata a un particolare bucket. Utilizza le policy dei bucket per concedere autorizzazioni ad altre identità Account AWS o IAM per il bucket e gli oggetti in esso contenuti. Molti casi d'uso della gestione degli accessi di S3 possono essere soddisfatti utilizzando una bucket policy. Con le bucket policy, puoi personalizzare l'accesso ai bucket per assicurarti che solo le identità che hai approvato possano accedere alle risorse ed eseguire azioni al loro interno. Per ulteriori informazioni, consulta Politiche Bucket per Amazon S3.

Di seguito è riportato un esempio di policy di bucket. La policy del bucket viene espressa utilizzando un file JSON. Questa policy di esempio concede l'autorizzazione di lettura del ruolo IAM a tutti gli oggetti nel bucket. Contiene un'istruzione denominataBucketLevelReadPermissions, che consente l's3:GetObjectazione (autorizzazione di lettura) sugli oggetti in un bucket denominato. DOC-EXAMPLE-BUCKET1 Specificando un ruolo IAM comePrincipal, questa policy concede l'accesso a qualsiasi utente IAM con questo ruolo. Per utilizzare questa policy di esempio, sostituisci user input placeholders con le tue informazioni. 

{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid":"BucketLevelReadPermissions",
      "Effect":"Allow",
      "Principal": {
	    "AWS": "arn:aws:iam::123456789101:role/s3-role"
      },
      "Action":["s3:GetObject"],
      "Resource":["arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*"]
    }]
  }
Nota

Durante la creazione delle policy, è opportuno evitare l'uso di caratteri jolly (*) nell'elemento Principal perché questo consente a chiunque di accedere alle risorse Amazon S3. Invece, elenca in modo esplicito gli utenti o i gruppi a cui è consentito accedere al bucket o elenca le condizioni che devono essere soddisfatte utilizzando una clausola condizionale nella policy. Inoltre, anziché includere un carattere jolly per le azioni degli utenti o dei gruppi, concedi loro autorizzazioni specifiche quando applicabile.

Una policy utente basata sull'identità o IAM è un tipo di AWS Identity and Access Management policy (IAM). Una policy basata sull'identità è una policy in formato JSON associata agli utenti, ai gruppi o ai ruoli IAM del tuo account. AWS Puoi utilizzare policy basate sull'identità per concedere a un'identità IAM l'accesso ai tuoi bucket o oggetti. Puoi creare utenti, gruppi e ruoli IAM nel tuo account e allegare loro policy di accesso. Puoi quindi concedere l'accesso alle AWS risorse, incluse le risorse Amazon S3. Per ulteriori informazioni, consulta Policy basate sull'identità per Amazon S3.

Di seguito è riportato un esempio di policy basata sull'identità. La policy di esempio consente al ruolo IAM associato di eseguire sei diverse azioni Amazon S3 (autorizzazioni) su un bucket e sugli oggetti in esso contenuti. Se colleghi questa policy a un ruolo IAM nel tuo account e assegni il ruolo ad alcuni dei tuoi utenti IAM, gli utenti con questo ruolo saranno in grado di eseguire queste azioni sulle risorse (bucket) specificate nella tua policy. Per utilizzare questa policy di esempio, sostituisci user input placeholders con le tue informazioni.

{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Sid": "AssignARoleActions",
    "Effect": "Allow",
    "Action": [
	  "s3:PutObject",
	  "s3:GetObject",
	  "s3:ListBucket",
	  "s3:DeleteObject",
	  "s3:GetBucketLocation"
    ],
    "Resource": [
	  "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*",
	  "arn:aws:s3:::DOC-EXAMPLE-BUCKET1"
    ]
    },
  {
    "Sid": "AssignARoleActions2",
    "Effect": "Allow",
    "Action": "s3:ListAllMyBuckets",
    "Resource": "*"
  }
  ]
}

Usa S3 Access Grants per creare concessioni di accesso ai tuoi dati Amazon S3 per entrambe le identità nelle directory di identità aziendali, ad esempio, e alle identità (IAM). Active Directory AWS Identity and Access Management S3 Access Grants ti aiuta a gestire le autorizzazioni relative ai dati su larga scala. Inoltre, S3 Access Grants registra l'identità dell'utente finale e l'applicazione utilizzata per accedere ai dati S3. AWS CloudTrail Ciò fornisce una cronologia di controllo dettagliata fino all'identità dell'utente finale per tutti gli accessi ai dati nei bucket S3. Per ulteriori informazioni, consulta Gestione dell'accesso con S3 Access Grants.

Amazon S3 Access Points semplifica la gestione dell'accesso ai dati su larga scala per le applicazioni che utilizzano set di dati condivisi su S3. Gli access point sono endpoint di rete denominati collegati a un bucket. È possibile utilizzare i punti di accesso per eseguire operazioni sugli oggetti S3 su larga scala, come il caricamento e il recupero di oggetti. Un bucket può avere fino a 10.000 punti di accesso collegati e, per ogni punto di accesso, puoi applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso agli oggetti S3. Gli access point S3 possono essere associati a bucket nello stesso account o in un altro account affidabile. Le policy degli Access Points sono politiche basate sulle risorse che vengono valutate insieme alla policy bucket sottostante. Per ulteriori informazioni, consulta Gestione dell'accesso ai dati con Punti di accesso Amazon S3.

Un ACL è un elenco di sovvenzioni che identificano il beneficiario e l'autorizzazione concessa. Gli ACL concedono autorizzazioni di base di lettura o scrittura ad altri. Account AWS Le liste ACL utilizzano uno schema XML specifico di Amazon S3. Un ACL è un tipo di policy AWS Identity and Access Management (IAM). Un ACL di oggetto viene utilizzato per gestire l'accesso a un oggetto e un ACL di un bucket viene utilizzato per gestire l'accesso a un bucket. Con le policy dei bucket, esiste un'unica politica per l'intero bucket, ma gli ACL degli oggetti sono specificati per ogni oggetto. Si consiglia di mantenere gli ACL disattivati, tranne in circostanze insolite in cui è necessario controllare singolarmente l'accesso per ciascun oggetto. Per ulteriori informazioni sulle ACL, consulta Controllo della proprietà degli oggetti e disabilitazione degli ACL per il bucket.

avvertimento

La maggior parte dei casi d'uso moderni in Amazon S3 non richiede l'uso di ACL.

Di seguito è riportato un esempio di ACL del bucket. La concessione nell'ACL mostra un proprietario del bucket che dispone dell'autorizzazione al pieno controllo. 

<?xml version="1.0" encoding="UTF-8"?>
	<AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
		<Owner>
			<ID>Owner-Canonical-User-ID</ID>
			<DisplayName>owner-display-name</DisplayName>
		</Owner>
	<AccessControlList>
		<Grant>
			<Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Canonical User">
				<ID>Owner-Canonical-User-ID</ID>
				<DisplayName>display-name</DisplayName>
			</Grantee>
			<Permission>FULL_CONTROL</Permission>
		</Grant>
	</AccessControlList>
</AccessControlPolicy>

Per gestire l'accesso ai tuoi oggetti, devi essere il proprietario dell'oggetto. Puoi utilizzare l'impostazione a livello di bucket Object Ownership per controllare la proprietà degli oggetti caricati nel tuo bucket. Inoltre, usa Object Ownership per attivare gli ACL. Per impostazione predefinita, Object Ownership è impostata sull'impostazione applicata dal proprietario del Bucket e tutti gli ACL sono disattivati. Quando gli ACL sono disattivati, il proprietario del bucket possiede tutti gli oggetti nel bucket e gestisce esclusivamente l'accesso ai dati. Per gestire l'accesso, il proprietario del bucket utilizza le policy o un altro strumento di gestione degli accessi, esclusi gli ACL. Per ulteriori informazioni, consulta Controllo della proprietà degli oggetti e disabilitazione degli ACL per il bucket.

Object Ownership dispone di tre impostazioni che puoi utilizzare sia per controllare la proprietà degli oggetti caricati nel tuo bucket sia per attivare gli ACL:

ACL disattivati

  • Proprietario del bucket applicato (impostazione predefinita): gli ACL sono disattivati e il proprietario del bucket possiede automaticamente e ha il pieno controllo su ogni oggetto nel bucket. Gli ACL non influiscono sulle autorizzazioni per i dati nel bucket S3. Il bucket utilizza le policy esclusivamente per definire il controllo degli accessi.

Gli ACL sono attivati

  • Proprietario del bucket scelto – Il proprietario del bucket possiede e ha il pieno controllo sui nuovi oggetti che altri account scrivono nel bucket con l'ACL predefinita bucket-owner-full-control.

  • Scrittore di oggetti: chi carica un oggetto possiede l'oggetto, ne ha il pieno controllo e può concedere ad altri utenti l'accesso ad esso tramite ACL. Account AWS

Best practice aggiuntive

Prendi in considerazione l'utilizzo delle seguenti impostazioni e strumenti del bucket per proteggere i dati in transito e a riposo, entrambi fondamentali per mantenere l'integrità e l'accessibilità dei tuoi dati:

  • Blocca accesso pubblico: non disattivare l'impostazione predefinita a livello di bucket Blocca accesso pubblico. Per impostazione predefinita, questa impostazione blocca l'accesso pubblico ai dati. Per ulteriori informazioni sul blocco dell'accesso pubblico, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

  • S3 Versioning: per l'integrità dei dati, puoi implementare l'impostazione del bucket S3 Versioning, che crea una versione degli oggetti man mano che apporti aggiornamenti, anziché sovrascriverli. Puoi usare S3 Versioning per conservare, recuperare e ripristinare una versione precedente, se necessario. Per informazioni sulla funzione Controllo delle versioni S3, consulta Utilizzo della funzione Controllo delle versioni nei bucket S3.

  • S3 Object Lock — S3 Object Lock è un'altra impostazione che puoi implementare per raggiungere l'integrità dei dati. Questa funzionalità può implementare un modello write-once-read-many (WORM) per archiviare oggetti in modo immutabile. Per ulteriori informazioni sul blocco oggetti, consulta Utilizzo del blocco oggetti S3.

  • Crittografia degli oggetti: Amazon S3 offre diverse opzioni di crittografia degli oggetti che proteggono i dati in transito e a riposo. La crittografia lato server crittografa l'oggetto prima di salvarlo sui dischi dei relativi data center e quindi lo decrittografa quando gli oggetti vengono scaricati. Se autentichi la richiesta e disponi delle autorizzazioni di accesso, non c'è differenza nel modo in cui accedi agli oggetti crittografati o non crittografati. Per ulteriori informazioni, consulta Protezione dei dati con la crittografia lato server. Per impostazione predefinita, S3 crittografa gli oggetti appena caricati. Per ulteriori informazioni, consulta Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3. La crittografia lato client consiste nel crittografare i dati prima di inviarli ad Amazon S3. Per ulteriori informazioni, consulta Protezione dei dati con la crittografia lato client.

  • Metodi di firma: la versione 4 di Signature è il processo di aggiunta di informazioni di autenticazione alle AWS richieste inviate tramite HTTP. Per motivi di sicurezza, la maggior parte delle richieste AWS deve essere firmata con una chiave di accesso, che consiste in un ID della chiave di accesso e una chiave di accesso segreta. Queste due chiavi in genere vengono definite come le tue credenziali di sicurezza. Per ulteriori informazioni, consulta le sezioni Autenticazione delle richieste (AWS Signature Version 4) e Processo di firma Signature Version 4.

Azioni

Per un elenco completo delle autorizzazioni e delle chiavi di condizione S3, consulta Azioni, risorse e chiavi di condizione per Amazon S3 nel Service Authorization Reference.

Azioni

Le azioni AWS Identity and Access Management (IAM) per Amazon S3 sono le possibili azioni che possono essere eseguite su un bucket o un oggetto S3. Concedi queste azioni alle identità in modo che possano agire sulle tue risorse S3. Esempi di azioni S3 sono la lettura s3:GetObject di oggetti in un bucket e s3:PutObject la scrittura di oggetti in un bucket.

Chiavi di condizione

Oltre alle azioni, le chiavi delle condizioni IAM si limitano a concedere l'accesso solo quando viene soddisfatta una condizione. I tasti di condizione sono opzionali.

Nota

In una politica di accesso basata sulle risorse, ad esempio una policy sui bucket, o in una politica basata sull'identità, puoi specificare quanto segue:

  • Un'azione o una serie di azioni nell'elemento della dichiarazione politica. Action

  • Nell'Effectelemento della dichiarazione politica, è possibile specificare di Allow concedere le azioni elencate oppure è possibile specificare di Deny bloccare le azioni elencate. Per mantenere ulteriormente la pratica dei privilegi minimi, Deny le dichiarazioni nell'Effectelemento della politica di accesso devono essere le più ampie possibile e Allow le dichiarazioni devono essere il più ristrette possibile. Denygli effetti associati all's3:*azione sono un altro buon modo per implementare le migliori pratiche di opt-in per le identità incluse nelle dichiarazioni sulle condizioni politiche.

  • Una condizione chiave nell'Conditionelemento di una dichiarazione politica.

Casi d'uso della gestione degli accessi

Amazon S3 offre ai proprietari delle risorse una varietà di strumenti per concedere l'accesso. Lo strumento di gestione degli accessi S3 che utilizzi dipende dalle risorse S3 che desideri condividere, dalle identità a cui concedi l'accesso e dalle azioni che desideri consentire o negare. Potresti voler utilizzare uno o una combinazione di strumenti di gestione degli accessi S3 per gestire l'accesso alle tue risorse S3.

Nella maggior parte dei casi, puoi utilizzare una politica di accesso per gestire le autorizzazioni. Una policy di accesso può essere una policy basata sulle risorse, collegata a una risorsa, ad esempio un bucket, o un'altra risorsa Amazon S3 (). Risorse S3 Una policy di accesso può anche essere una policy basata sull'identità, collegata a un utente, gruppo o ruolo AWS Identity and Access Management (IAM) nel tuo account. Potresti scoprire che una policy bucket funziona meglio per il tuo caso d'uso. Per ulteriori informazioni, consulta Politiche Bucket per Amazon S3. In alternativa, con AWS Identity and Access Management (IAM), puoi creare utenti, gruppi e ruoli IAM al tuo interno Account AWS e gestire il loro accesso a bucket e oggetti tramite policy basate sull'identità. Per ulteriori informazioni, consulta Policy basate sull'identità per Amazon S3.

Per aiutarti a navigare tra queste opzioni di gestione degli accessi, di seguito sono riportati i casi d'uso e i consigli comuni dei clienti di Amazon S3 per ciascuno degli strumenti di gestione degli accessi S3.

Tutti gli strumenti di gestione degli accessi possono soddisfare questo caso d'uso di base. Consigliamo i seguenti strumenti di gestione degli accessi per questo caso d'uso:

  • Policy sui bucket: se desideri concedere l'accesso a un bucket o a un numero limitato di bucket o se le tue autorizzazioni di accesso ai bucket sono simili da un bucket all'altro, utilizza una policy sui bucket. Con le policy dei bucket, gestisci una policy per ogni bucket. Per ulteriori informazioni, consulta Politiche Bucket per Amazon S3.

  • Policy basata sull'identità: se disponi di un numero molto elevato di bucket con autorizzazioni di accesso diverse per ogni bucket e solo pochi ruoli utente da gestire, puoi utilizzare una policy IAM per utenti, gruppi o ruoli. Le policy IAM sono anche una buona opzione se gestisci l'accesso degli utenti ad altre AWS risorse, oltre alle risorse Amazon S3. Per ulteriori informazioni, consulta Esempio 1: il proprietario del bucket concede agli utenti le autorizzazioni per il bucket.

  • S3 Access Grants: puoi utilizzare S3 Access Grants per concedere l'accesso ai tuoi bucket, prefissi o oggetti S3. S3 Access Grants consente di specificare diverse autorizzazioni a livello di oggetto su larga scala, mentre le policy dei bucket sono limitate a 20 KB di dimensione. Per ulteriori informazioni, consulta Nozioni di base su S3 Access Grants.

  • Punti di accesso: è possibile utilizzare gli access point, denominati endpoint di rete collegati a un bucket. Un bucket può avere fino a 10.000 punti di accesso collegati e per ogni punto di accesso puoi applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso ai tuoi oggetti S3. Per ulteriori informazioni, consulta Gestione dell'accesso ai dati con Punti di accesso Amazon S3.

Per concedere l'autorizzazione a un altro utente Account AWS, è necessario utilizzare una policy sui bucket o uno dei seguenti strumenti di gestione degli accessi consigliati. Non è possibile utilizzare una politica di accesso basata sull'identità per questo caso d'uso. Per ulteriori informazioni sulla concessione dell'accesso a più account, consulta Come posso fornire l'accesso su più account agli oggetti che si trovano nei bucket Amazon S3?

Consigliamo i seguenti strumenti di gestione degli accessi per questo caso d'uso:

  • Bucket policy: con le bucket policy, gestisci una policy per ogni bucket. Per ulteriori informazioni, consulta Politiche Bucket per Amazon S3.

  • S3 Access Grants: puoi utilizzare S3 Access Grants per concedere autorizzazioni su più account ai tuoi bucket, prefissi o oggetti S3. Puoi utilizzare S3 Access Grants per specificare diverse autorizzazioni a livello di oggetto su larga scala, mentre le policy dei bucket hanno una dimensione limitata a 20 KB. Per ulteriori informazioni, consulta Nozioni di base su S3 Access Grants.

  • Punti di accesso: puoi utilizzare i punti di accesso, denominati endpoint di rete collegati a un bucket. Un bucket può avere fino a 10.000 punti di accesso collegati e per ogni punto di accesso puoi applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso ai tuoi oggetti S3. Per ulteriori informazioni, consulta Gestione dell'accesso ai dati con Punti di accesso Amazon S3.

In una policy bucket, ad esempio, puoi concedere l'accesso agli oggetti all'interno di un bucket che condividono un nome chiave specifico, un prefisso o un tag specifico. È possibile concedere l'autorizzazione di lettura agli oggetti che iniziano con il prefisso del nome chiave. logs/ Tuttavia, se le autorizzazioni di accesso variano in base all'oggetto, la concessione delle autorizzazioni a singoli oggetti utilizzando una policy bucket potrebbe non essere pratica, soprattutto perché le policy dei bucket hanno una dimensione limitata a 20 KB.

Consigliamo i seguenti strumenti di gestione degli accessi per questo caso d'uso:

  • S3 Access Grants: puoi utilizzare S3 Access Grants per gestire le autorizzazioni a livello di oggetto o prefisso. A differenza delle bucket policy, puoi usare S3 Access Grants per specificare autorizzazioni diverse a livello di oggetto su larga scala. Le policy di bucket sono limitate a una dimensione di 20 KB. Per ulteriori informazioni, consulta Nozioni di base su S3 Access Grants.

  • Punti di accesso: puoi utilizzare i punti di accesso per gestire le autorizzazioni a livello di oggetto o prefisso. Gli access point sono denominati endpoint di rete collegati a un bucket. Un bucket può avere fino a 10.000 punti di accesso collegati e per ogni punto di accesso puoi applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso agli oggetti S3. Per ulteriori informazioni, consulta Gestione dell'accesso ai dati con Punti di accesso Amazon S3.

  • ACL: non è consigliabile utilizzare gli Access Control List (ACL), soprattutto perché gli ACL sono limitati a 100 concessioni per oggetto. Tuttavia, se scegli di attivare gli ACL, nelle impostazioni del bucket imposta Object Ownership su Bucket owner favorite e ACL abilitati. Con questa impostazione, nuovi oggetti scritti con l'ACL predefinita bucket-owner-full-control saranno automaticamente di proprietà del proprietario del bucket anziché dell'object writer. Puoi quindi utilizzare gli ACL degli oggetti, che sono una politica di accesso in formato XML, per concedere ad altri utenti l'accesso all'oggetto. Per ulteriori informazioni, consulta Panoramica delle liste di controllo accessi (ACL).

Consigliamo i seguenti strumenti di gestione degli accessi per questo caso d'uso:

  • Bucket policy: con le bucket policy, gestisci una policy per ogni bucket. Per ulteriori informazioni, consulta Politiche Bucket per Amazon S3.

  • Punti di accesso: i punti di accesso sono denominati endpoint di rete collegati a un bucket. Un bucket può avere fino a 10.000 punti di accesso collegati e per ogni punto di accesso puoi applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso ai tuoi oggetti S3. Per ulteriori informazioni, consulta Gestione dell'accesso ai dati con Punti di accesso Amazon S3.

Consigliamo il seguente strumento di gestione degli accessi per questo caso d'uso:

  • Punti di accesso: i punti di accesso sono denominati endpoint di rete collegati a un bucket. Un bucket può avere fino a 10.000 punti di accesso collegati e per ogni punto di accesso puoi applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso ai tuoi oggetti S3. Ogni access point applica una policy di access point personalizzata che funziona in combinazione con la policy di bucket collegata al bucket sottostante. Per ulteriori informazioni, consulta Gestione dell'accesso ai dati con Punti di accesso Amazon S3.

Gli endpoint Virtual Private Cloud (VPC) per Amazon S3 sono entità logiche all'interno di un VPC che consentono la connettività solo a S3. Consigliamo i seguenti strumenti di gestione degli accessi per questo caso d'uso:

  • Bucket in un'impostazione VPC: puoi utilizzare una policy sui bucket per controllare chi è autorizzato ad accedere ai tuoi bucket e a quali endpoint VPC possono accedere. Per ulteriori informazioni, consulta Controllo dell'accesso dagli endpoint VPC con policy di bucket.

  • Punti di accesso: se scegli di configurare i punti di accesso, puoi utilizzare una politica dei punti di accesso. Puoi configurare qualsiasi access point per accettare le richieste solo da un cloud privato virtuale (VPC), in modo da limitare l'accesso ai dati Amazon S3 a una rete privata. È inoltre possibile configurare le impostazioni di blocco dell'accesso pubblico personalizzate per ciascun access point. Per ulteriori informazioni, consulta Gestione dell'accesso ai dati con Punti di accesso Amazon S3.

Con S3, puoi ospitare un sito Web statico e consentire a chiunque di visualizzarne il contenuto, che è ospitato da un bucket S3.

Consigliamo i seguenti strumenti di gestione degli accessi per questo caso d'uso:

  • Amazon CloudFront: questa soluzione consente di ospitare un sito Web statico Amazon S3 al pubblico, continuando allo stesso tempo a bloccare tutti gli accessi pubblici ai contenuti di un bucket. Se desideri mantenere abilitate tutte e quattro le impostazioni di S3 Block Public Access e ospitare un sito Web statico S3, puoi utilizzare Amazon CloudFront Origin Access Control (OAC). Amazon CloudFront offre le funzionalità necessarie per configurare un sito Web statico sicuro. Inoltre, i siti Web statici di Amazon S3 che non utilizzano questa soluzione possono supportare solo endpoint HTTP. CloudFront utilizza lo storage durevole di Amazon S3 fornendo al contempo intestazioni di sicurezza aggiuntive, come HTTPS. HTTPS aggiunge sicurezza crittografando una normale richiesta HTTP e proteggendo contro o più comuni attacchi informatici.

    Per ulteriori informazioni, consulta la sezione Guida introduttiva a un sito Web statico sicuro nella Amazon CloudFront Developer Guide.

  • Rendere il tuo bucket Amazon S3 accessibile al pubblico: puoi configurare un bucket da utilizzare come sito Web statico accessibile pubblicamente.

    avvertimento

    Non consigliamo questo metodo. Ti consigliamo invece di utilizzare siti Web statici di Amazon S3 come parte di Amazon. CloudFront Per ulteriori informazioni, consulta l'opzione precedente o la Guida introduttiva a un sito Web statico sicuro.

    Per creare un sito Web statico Amazon S3, senza Amazon CloudFront, devi innanzitutto disattivare tutte le impostazioni di Block Public Access. Durante la scrittura della policy del bucket per il sito Web statico, assicurati di consentire solo operazioni s3:GetObject, non autorizzazioni ListObject o PutObject. Questo aiuta a garantire che gli utenti non possano visualizzare tutti gli oggetti nel bucket o aggiungere i propri contenuti. Per ulteriori informazioni, consulta Impostazione delle autorizzazioni per l'accesso al sito Web.

Quando si crea un nuovo bucket Amazon S3, l'impostazione Block Public Access è abilitata per impostazione predefinita. Per ulteriori informazioni sul blocco dell'accesso pubblico, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

Non è consigliabile consentire l'accesso pubblico al tuo bucket. Tuttavia, se è necessario farlo per un caso d'uso particolare, consigliamo il seguente strumento di gestione degli accessi per questo caso d'uso:

  • Disattiva l'impostazione Block Public Access: il proprietario di un bucket può consentire richieste non autenticate al bucket. Ad esempio, le richieste di oggetti PUT non autenticate sono consentite quando un bucket ha una politica di bucket pubblica o quando un bucket ACL concede l'accesso pubblico. Tutte le richieste non autenticate vengono effettuate da altri utenti arbitrari AWS o addirittura da utenti anonimi non autenticati. Questo utente viene rappresentato dall'ID utente canonico specifico 65a011a29cdf8ec533ec3d1ccaae921c nelle ACL. Se un oggetto viene caricato su un WRITE oFULL_CONTROL, ciò concede specificamente l'accesso al gruppo Tutti gli utenti o all'utente anonimo. Per ulteriori informazioni sulle policy dei bucket pubbliche e sulle liste di controllo accessi (ACL) pubbliche, consulta Significato di "pubblico".

Sia le politiche dei bucket che le politiche basate sull'identità hanno un limite di dimensione di 20 KB. Se i requisiti di autorizzazione di accesso sono complessi, potresti superare questo limite di dimensione.

Abbiamo consigliato i seguenti strumenti di gestione degli accessi per questo caso d'uso:

  • Punti di accesso: utilizza i punti di accesso se questo è adatto al tuo caso d'uso. Per quanto riguarda i punti di accesso, ogni bucket ha più endpoint di rete denominati, ciascuno con una propria politica di punto di accesso che funziona con la policy del bucket sottostante. Tuttavia, gli access point possono agire solo sugli oggetti, non sui bucket, e non supportano la replica tra regioni. Per ulteriori informazioni, consulta Gestione dell'accesso ai dati con Punti di accesso Amazon S3.

  • S3 Access Grants: utilizza S3 Access Grants, che supporta un numero molto elevato di concessioni che danno accesso a bucket, prefissi o oggetti. Per ulteriori informazioni, consulta Nozioni di base su S3 Access Grants.

Invece di gestire utenti, gruppi e ruoli tramite AWS Identity and Access Management (IAM), puoi aggiungere la tua directory aziendale a. AWS IAM Identity Center Per ulteriori informazioni, consulta Cos'è IAM Identity Center? .

Dopo aver aggiunto la rubrica aziendale AWS IAM Identity Center, ti consigliamo di utilizzare il seguente strumento di gestione degli accessi per concedere alle identità della directory aziendale l'accesso alle tue risorse S3:

  • S3 Access Grants: utilizza S3 Access Grants, che supporta la concessione dell'accesso a utenti o ruoli nella directory aziendale. Per ulteriori informazioni, consulta Nozioni di base su S3 Access Grants.

Abbiamo consigliato il seguente strumento di gestione degli accessi per questo caso d'uso:

Puoi concedere ad altri account l'accesso per caricare oggetti nel tuo bucket utilizzando una policy sui bucket, un punto di accesso o S3 Access Grants. Se hai concesso l'accesso multiaccount al tuo bucket, puoi assicurarti che tutti gli oggetti caricati nel tuo bucket rimangano sotto il tuo pieno controllo.

Abbiamo consigliato il seguente strumento di gestione degli accessi per questo caso d'uso:

  • Proprietà dell'oggetto: mantiene l'impostazione a livello di bucket Object Ownership sull'impostazione predefinita del proprietario del bucket.

Risoluzione dei problemi di gestione dell'accesso

Le seguenti risorse possono aiutarti a risolvere eventuali problemi relativi alla gestione degli accessi S3:

Risoluzione dei problemi relativi agli errori di accesso negato (403 Accesso negato)

Se riscontri problemi di negazione dell'accesso, controlla le impostazioni a livello di account e a livello di bucket. Inoltre, controlla la funzionalità di gestione degli accessi che stai utilizzando per concedere l'accesso per assicurarti che la politica, l'impostazione o la configurazione siano corrette. Per ulteriori informazioni sulle cause più comuni degli errori di accesso negato (403 Accesso negato) in Amazon S3, consulta Risoluzione dei problemi relativi agli errori di accesso negato (403 Accesso negato) in Amazon S3.

IAM Access Analyzer per S3

Se non desideri rendere disponibile al pubblico nessuna delle tue risorse o se desideri limitare l'accesso pubblico alle tue risorse, puoi utilizzare IAM Access Analyzer per S3. Sulla console Amazon S3, usa IAM Access Analyzer per S3 per esaminare tutti i bucket che dispongono di elenchi di controllo degli accessi ai bucket (ACL), policy dei bucket o policy dei punti di accesso che garantiscono l'accesso pubblico o condiviso. IAM Access Analyzer for S3 ti avvisa dei bucket configurati per consentire l'accesso a chiunque su Internet o altro, anche all'esterno della tua organizzazione. Account AWS Account AWS Per ogni bucket pubblico o condiviso, vengono visualizzati risultati che riportano l'origine e il livello di accesso pubblico o condiviso.

In IAM Access Analyzer for S3, puoi bloccare tutti gli accessi pubblici a un bucket con una sola azione. Ti consigliamo di bloccare tutti gli accessi pubblici ai tuoi bucket, a meno che tu non richieda l'accesso pubblico per supportare un caso d'uso specifico. Prima di bloccare tutti gli accessi pubblici, assicurati che le tue applicazioni continuino a funzionare correttamente anche senza accesso pubblico. Per ulteriori informazioni, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

Puoi anche rivedere le impostazioni di autorizzazione a livello di bucket per configurare livelli di accesso dettagliati. Per casi d'uso specifici e verificati che richiedono l'accesso pubblico o condiviso, puoi confermare e registrare l'intenzione del bucket di rimanere pubblico o condiviso archiviando i risultati per il bucket. Puoi consultare e modificare le configurazioni relative al bucket in qualsiasi momento. Inoltre, puoi scaricare i risultati come report CSV per scopi di audit.

IAM Access Analyzer per S3 è disponibile senza costi aggiuntivi nella console di Amazon S3. IAM Access Analyzer per S3 è basato su AWS Identity and Access Management (IAM) IAM Access Analyzer. Per utilizzare IAM Access Analyzer for S3 sulla console Amazon S3, devi visitare la console IAM e creare un analizzatore a livello di account in IAM Access Analyzer per ogni singola regione.

Per ulteriori informazioni su IAM Access Analyzer per S3, consultare Revisione dell'accesso al bucket tramite IAM Access Analyzer per S3.

Registrazione di log e monitoraggio

Il monitoraggio è una parte importante per mantenere l'affidabilità, la disponibilità e le prestazioni delle soluzioni Amazon S3 in modo da poter eseguire più facilmente il debug di un errore di accesso. La registrazione può fornire informazioni sugli errori ricevuti dagli utenti e su quando e quali richieste vengono effettuate. AWS fornisce diversi strumenti per il monitoraggio delle risorse Amazon S3, come i seguenti:

  • AWS CloudTrail

  • Log di accesso Amazon S3

  • AWS Trusted Advisor

  • Amazon CloudWatch

Per ulteriori informazioni, consulta Registrazione e monitoraggio in Amazon S3.