Autorizzazioni - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni

I punti di accesso multi-regione di Amazon S3 possono semplificare l'accesso ai dati per i bucket Amazon S3 in più Regioni AWS. I punti di accesso multi-regione sono endpoint globali denominati che possono essere utilizzati per eseguire operazioni su oggetti di accesso ai dati di Amazon S3, ad esempio GetObject e PutObject. Ogni punto di accesso multi-regione può disporre di autorizzazioni e controlli di rete distinti per qualsiasi richiesta eseguita tramite l'endpoint globale.

Ogni punto di accesso multi-regione può inoltre applicare una policy di accesso personalizzata che funziona in combinazione con la policy di bucket collegata al bucket sottostante. Affinché una richiesta abbia esito positivo, è necessario che tutti i seguenti elementi consentano l'operazione:

  • Policy dei punti di accesso multi-regione

  • Policy AWS Identity and Access Management (IAM) sottostante

  • Policy di bucket sottostante (a cui viene indirizzata la richiesta)

È possibile configurare qualsiasi policy dei punti di accesso multi-regione per accettare richieste solo da gruppi o utenti IAM specifici. Per un esempio su come eseguire questa operazione, consulta l'esempio 2 in Esempi di policy dei punti di accesso multi-regione. Per limitare l'accesso ai dati di Amazon S3 a una rete privata, puoi configurare la policy dei punti di accesso multi-regione in modo che accetti le richieste solo da un cloud privato virtuale (VPC).

Supponiamo, ad esempio, di creare una richiesta GetObject tramite un punto di accesso multi-regione utilizzando un utente denominato AppDataReader nel tuo account AWS. Per far sì che la richiesta non venga negata, l'utente AppDataReader deve ricevere l'autorizzazione s3:GetObject dal punto di accesso multi-regione e da ogni relativo bucket sottostante. AppDataReader non sarà in grado di recuperare i dati dai bucket che non concedono questa autorizzazione.

Importante

La delega del controllo dell'accesso di un bucket a una policy del punto di accesso multi-regione non modifica il comportamento del bucket a cui si accede direttamente tramite il nome del bucket o il nome della risorsa Amazon (ARN). Tutte le operazioni eseguite direttamente sul bucket continueranno a funzionare come prima. Le limitazioni incluse in una policy del punto di accesso multi-regione si applicano solo alle richieste effettuate tramite il corrispondente punto di accesso multi-regione.

Gestione dell'accesso pubblico a un punto di accesso multi-regione

I punti di accesso multi-regione supportano impostazioni di blocco dell'accesso pubblico indipendenti per ciascun punto di accesso. Quando crei un punto di accesso multi-regione puoi specificare le impostazioni di blocco dell'accesso pubblico applicabili.

Nota

Tutte le impostazioni di blocco dell'accesso pubblico abilitate in Impostazioni di blocco dell'accesso pubblico per questo account (nel tuo account) o Impostazioni del Blocco dell'accesso pubblico per bucket esterni continuano a essere valide anche se le impostazioni indipendenti di blocco dell'accesso pubblico per il punto di accesso multi-regione sono disabilitate.

Per qualsiasi richiesta eseguita tramite un punto di accesso multi-regione, Amazon S3 valuta le impostazioni di Blocco dell'accesso pubblico Amazon S3 per:

  • Punto di accesso multi-regione

  • I bucket sottostanti (compresi i bucket esterni)

  • L'account proprietario del punto di accesso multi-regione

  • L'account proprietario dei bucket sottostanti (inclusi gli account esterni)

Se una di queste impostazioni indica che la richiesta deve essere bloccata, Amazon S3 rifiuta la richiesta. Per ulteriori informazioni sulla caratteristica di blocco dell'accesso pubblico di Amazon S3, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

Importante

Per impostazione predefinita, tutte le impostazioni di Blocco dell'accesso pubblico Amazon S3 sono abilitate per i punti di accesso multi-regione. Devi disabilitare esplicitamente le impostazioni che non vuoi applicare a un punto di accesso multi-regione.

Dopo la creazione del punto di accesso multi-regione, non puoi più modificare le relative impostazioni di blocco dell'accesso pubblico.

Visualizzazione delle impostazioni di Blocco dell'accesso pubblico Amazon S3 per un punto di accesso multi-regione

Per visualizzare le impostazioni di Blocco dell'accesso pubblico Amazon S3 per un punto di accesso multi-regione
  1. Accedi alla AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

  2. Nel pannello di navigazione a sinistra, scegli Multi-Region Access Points (Punti di accesso multi-regione).

  3. Scegli il nome del punto di accesso multi-regione che desideri esaminare.

  4. Scegliere la scheda Permissions (Autorizzazioni).

  5. In Block Public Access settings for this Multi-Region Access Point (Impostazioni di Blocco dell'accesso pubblico per il punto di accesso multi-regione corrente), seleziona le impostazioni di Blocco dell'accesso pubblico Amazon S3 da applicare al tuo punto di accesso multi-regione.

    Nota

    Dopo la creazione del punto di accesso multi-regione, non puoi modificare le impostazioni di Blocco dell'accesso pubblico Amazon S3. Pertanto, se intendi bloccare l'accesso pubblico, assicurati che le tue applicazioni funzionino correttamente senza accesso pubblico prima di creare un punto di accesso multi-regione.

Utilizzo di una policy dei punti di accesso multi-regione

Il seguente esempio di policy dei punti di accesso multi-regione consente a un utente IAM di visualizzare e scaricare file dal punto di accesso multi-regione. Per utilizzare questa policy di esempio, sostituisci user input placeholders con le tue informazioni.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::123456789012:user/JohnDoe" }, "Action":[ "s3:ListBucket", "s3:GetObject" ], "Resource":[ "arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias", "arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias/object/*" ] } ] }

Per associare la policy dei punti di accesso multi-regione al punto di accesso multi-regione specificato mediante AWS Command Line Interface (AWS CLI), utilizza il comando put-multi-region-access-point-policy seguente. Per utilizzare questo comando di esempio, sostituisci user input placeholders con le tue informazioni. Ogni punto di accesso multi-regione può avere una sola policy, quindi una richiesta effettuata per l'operazione put-multi-region-access-point-policy sostituisce qualsiasi policy esistente associata al punto di accesso multi-regione specificato.

AWS CLI
aws s3control put-multi-region-access-point-policy --account-id 111122223333 --details { "Name": "DOC-EXAMPLE-BUCKET-MultiRegionAccessPoint", "Policy": "{ \"Version\": \"2012-10-17\", \"Statement\": { \"Effect\": \"Allow\", \"Principal\": { \"AWS\": \"arn:aws:iam::111122223333:root\" }, \"Action\": [\"s3:ListBucket\", \"s3:GetObject\"], \"Resource\": [ \"arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias", \"arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias/object/*\" ] } }" }

Per esaminare i risultati dell'operazione precedente, utilizza il comando seguente:

AWS CLI
aws s3control describe-multi-region-access-point-operation --account-id 111122223333 --request-token-arn requestArn

Per recuperare la policy dei punti di accesso multi-regione, utilizza il comando seguente:

AWS CLI
aws s3control get-multi-region-access-point-policy --account-id 111122223333 --name=DOC-EXAMPLE-BUCKET-MultiRegionAccessPoint

Modifica della policy dei punti di accesso multi-regione

La policy dei punti di accesso multi-regione (scritta in JSON) fornisce l'accesso all'archiviazione ai bucket Amazon S3 utilizzati con questo punto di accesso multi-regione. Puoi consentire o negare a principali specifici di eseguire varie azioni sul tuo punto di accesso multi-regione. Quando una richiesta viene instradata a un bucket tramite il punto di accesso multi-regione, si applicano le policy di accesso per il punto di accesso multi-regione e per il bucket. La policy di accesso più restrittiva ha sempre la precedenza.

Nota

Se un bucket contiene oggetti di proprietà di altri account, la policy dei punti di accesso multi-regione non si applica agli oggetti di proprietà di altri Account AWS.

Dopo aver applicato una policy dei punti di accesso multi-regione, tale policy non può essere eliminata. È possibile modificare la policy o creare una nuova policy che sovrascriva quella esistente.

Per esaminare la policy dei punti di accesso multi-regione

  1. Accedi alla AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

  2. Nel pannello di navigazione a sinistra, scegli Multi-Region Access Points (Punti di accesso multi-regione).

  3. Seleziona il nome del punto di accesso multi-regione per il quale desideri modificare la policy.

  4. Scegliere la scheda Permissions (Autorizzazioni).

  5. Scorri verso il basso fino alla sezione Multi-Region Access Point policy (Policy del punto di accesso multi-regione). Scegli Edit (Modifica) per aggiornare la policy (in JSON).

  6. Viene visualizzata la pagina Edit Multi-Region Access Point policy (Modifica policy del punto di accesso multi-regione). Puoi immettere la policy direttamente nel campo di testo oppure puoi scegliere Add statement (Aggiungi istruzione) per selezionare gli elementi della policy da un elenco a discesa.

    Nota

    La console visualizza automaticamente il nome della risorsa Amazon (ARN) del punto di accesso multi-regione che può essere utilizzato nella policy. Per degli esempi di policy dei punti di accesso multi-regione, consulta Esempi di policy dei punti di accesso multi-regione.

Esempi di policy dei punti di accesso multi-regione

I punti di accesso multi-regione di Amazon S3 supportano le policy di risorseAWS Identity and Access Management (IAM). È possibile utilizzare queste policy per controllare l'utilizzo del punto di accesso multi-regione per risorsa, utente o altre condizioni. Affinché un'applicazione o un utente possa accedere agli oggetti tramite un punto di accesso multi-regione, sia il punto di accesso multi-regione che il bucket sottostante devono consentire la stessa richiesta.

Per consentire lo stesso accesso sia al punto di accesso multi-regione che al bucket sottostante, esegui una delle seguenti operazioni:

  • (Consigliato) Per semplificare i controlli di accesso quando si utilizza un punto di accesso multi-regione di Amazon S3, delega il controllo dell'accesso per il bucket Amazon S3 al punto di accesso multi-regione. Per un esempio su come eseguire questa operazione, consulta l'esempio 1 in questa sezione.

  • Aggiungi le stesse autorizzazioni contenute nella policy del punto di accesso multi-regione alla policy di bucket sottostante.

Importante

La delega del controllo dell'accesso di un bucket a una policy del punto di accesso multi-regione non modifica il comportamento del bucket a cui si accede direttamente tramite il nome del bucket o il nome della risorsa Amazon (ARN). Tutte le operazioni eseguite direttamente sul bucket continueranno a funzionare come prima. Le limitazioni incluse in una policy del punto di accesso multi-regione si applicano solo alle richieste effettuate tramite il corrispondente punto di accesso multi-regione.

Esempio 1: delega dell'accesso a specifici punti di accesso multi-regione nella policy di bucket (per lo stesso account o per più account)

La seguente policy di esempio per i bucket consente l'accesso completo a livello di bucket a un punto di accesso multi-regione specifico. Questo significa che tutto l'accesso a questo bucket è controllato dalle policy associate al punto di accesso multi-regione. Si consiglia di configurare i bucket in questo modo per tutti i casi d'uso che non richiedono l'accesso diretto al bucket. È possibile utilizzare questa struttura di policy di bucket per i punti di accesso multi-regione nello stesso account o in un altro account.

{ "Version": "2012-10-17", "Statement" : [ { "Effect": "Allow", "Principal" : { "AWS": "*" }, "Action" : "*", "Resource" : [ "Bucket ARN", "Bucket ARN/*"], "Condition": { "StringEquals" : { "s3:DataAccessPointArn" : "MultiRegionAccessPoint_ARN" } } }] }
Nota

Se sono presenti più punti di accesso multi-regione a cui concedi l'accesso, assicurati di specificare ogni punto di accesso multi-regione.

Esempio 2: concessione a un account dell'accesso a un punto di accesso multi-regione nella policy del punto di accesso multi-regione

La seguente policy del punto di accesso multi-regione consente all'account 123456789012 di elencare e leggere gli oggetti contenuti nel punto di accesso multi-regione definito con MultiRegionAccessPoint_ARN.

{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS":"arn:aws:iam::123456789012:user/JohnDoe" }, "Action":[ "s3:ListBucket", "s3:GetObject" ], "Resource":[ "MultiRegionAccessPoint_ARN", "MultiRegionAccessPoint_ARN/object/*" ] } ] }
Esempio 3: policy del punto di accesso multi-regione che consente l'elenco dei bucket

La seguente policy del punto di accesso multi-regione consente all'account 123456789012 di elencare gli oggetti contenuti nel punto di accesso multi-regione definito con MultiRegionAccessPoint_ARN.

{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:user/JohnDoe" }, "Action": "s3:ListBucket", "Resource": "MultiRegionAccessPoint_ARN" } ] }