Autorizzazioni dei punti di accesso multi-regione - Amazon Simple Storage Service

Autorizzazioni dei punti di accesso multi-regione

Quando effettui una richiesta tramite un punto di accesso multi-regione, Amazon S3 autorizza la richiesta al punto di accesso multi-regione e al bucket sottostante a cui viene instradata la richiesta. Pertanto, affinché una richiesta abbia esito positivo, sia il punto di accesso multi-regione che almeno un bucket sottostante devono consentire l'operazione.

Supponiamo, ad esempio, di creare una richiesta GetObjecttramite un punto di accesso multi-regione utilizzando un utente denominato AppDataReader nel tuo account AWS. Per garantire che la richiesta non venga negata, l'utente AppDataReader deve ricevere l'autorizzazione s3:GetObject dal punto di accesso multi-regione e da ogni bucket sottostante. AppDataReader non sarà in grado di recuperare i dati dai bucket che non concedono questa autorizzazione.

In generale, i bucket sottostanti dispongono ancora di impostazioni di blocco dell'accesso pubblico di S3, policy e liste di controllo degli accessi (ACL, incluse le ACL degli oggetti) individuali che rimangono in vigore in tutti i casi.

Gestione dell'accesso pubblico a un punto di accesso multi-regione

I punti di accesso multi-regione supportano impostazioni di blocco dell'accesso pubblico indipendenti per ciascun punto di accesso. Quando crei un punto di accesso multi-regione puoi specificare le impostazioni di blocco dell'accesso pubblico applicabili.

Per qualsiasi richiesta eseguita tramite un punto di accesso multi-regione, Amazon S3 valuta le impostazioni di blocco dell'accesso pubblico per tale punto di accesso multi-regione, i bucket sottostanti e l'account proprietario sia del punto di accesso multi-regione che dei bucket sottostanti. Se una di queste impostazioni indica che la richiesta deve essere bloccata, Amazon S3 rifiuta la richiesta. Per ulteriori informazioni sulla caratteristica di blocco dell'accesso pubblico di Amazon S3, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

Importante

Tutte le impostazioni di blocco dell'accesso pubblico sono abilitate per impostazione predefinita per i punti di accesso multi-regione. Devi disabilitare esplicitamente le impostazioni che non vuoi applicare a un punto di accesso multi-regione. Amazon S3 attualmente non supporta la modifica delle impostazioni di blocco dell'accesso pubblico di un punto di accesso multi-regione dopo la sua creazione.

Policy di delega del controllo dell'accesso ai punti di accesso multi-regione

Puoi delegare il controllo dell'accesso per un bucket alla policy di accesso al punto di accesso multi-regione. La policy del bucket di esempio seguente consente l'accesso completo a tutti gli access point dell'account del proprietario del bucket. Questo significa che tutto l'accesso a questo bucket è controllato dalle policy allegate al punto di accesso. Si consiglia di configurare i bucket in questo modo per tutti i casi d'uso che non richiedono l'accesso diretto al bucket.

{ "Version": "2012-10-17", "Statement" : [ { "Effect": "Allow", "Principal" : { "AWS": "*" }, "Action" : "*", "Resource" : [ "Bucket ARN", "Bucket ARN/*"], "Condition": { "StringEquals" : { "s3:DataAccessPointAccount" : "Bucket owner's account ID" } } }] }

La seguente policy di esempio per il bucket delega il controllo dell'accesso a uno qualsiasi dei punti di accesso multi-regione del bucket. Se desideri delegare l'accesso a punti di accesso multi-regione specifici, puoi utilizzare la chiave di condizione s3:DataAccessPointArn.

{ "Version": "2012-10-17", "Statement" : [ { "Effect": "Allow", "Principal" : { "AWS": "*" }, "Action" : "*", "Resource" : [ "Bucket ARN", "Bucket ARN/*"], "Condition": { "StringEquals" : { "s3:DataAccessPointArn" : "MRAP_ARN" } } }] }