Configurazione di IAM con S3 su Outposts - Amazon Simple Storage Service
Principi per le policy di S3 su OutpostsARN per S3 su OutpostsEsempi di policy per S3 su OutpostsAutorizzazioni per gli endpoint Ruoli collegati ai servizi per S3 su Outposts

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di IAM con S3 su Outposts

AWS Identity and Access Management (IAM) è un Servizio AWS che consente agli amministratori di controllare in modo sicuro l'accesso alle risorse AWS. Gli amministratori IAM controllano chi può autenticarsi (eseguire l'accesso) ed è autorizzato (dispone di autorizzazioni) a utilizzare le risorse di Amazon S3 su Outpost. IAM è un Servizio AWS il cui uso non comporta costi aggiuntivi. Per impostazione predefinita, gli utenti non dispongono delle autorizzazioni per le risorse e le operazioni di S3 su Outposts. Per concedere le autorizzazioni di accesso per S3 sulle risorse e le operazioni API di Outposts, puoi utilizzare IAM per creare utenti, gruppi o ruoli a cui associare le autorizzazioni.

Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

  • Utenti e gruppi in AWS IAM Identity Center:

    Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center.

  • Utenti gestiti in IAM tramite un provider di identità:

    Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Creating a role for a third-party identity provider (federation) (Creazione di un ruolo per un provider di identità di terze parti [federazione]) nella Guida per l'utente di IAM.

  • Utenti IAM:

    • Crea un ruolo che l'utente possa assumere. Per istruzioni, consulta la pagina Creating a role for an IAM user (Creazione di un ruolo per un utente IAM) nella Guida per l'utente di IAM.

    • (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente di IAM.

Oltre alle policy IAM basate sull'identità, S3 su Outposts supporta sia le policy del bucket che le policy dei punti di accesso. Le policy del bucket e le policy del punto di accesso sono policy basate sulle risorsecollegate alla risorsa S3 su Outposts.

  • Una policy del bucket è collegata al bucket e consente o nega le richieste al bucket e agli oggetti in esso contenuti in base agli elementi nella policy.

  • Al contrario, una policy del punto di accesso è collegata al punto di accesso e consente o nega le richieste al punto di accesso.

La policy del punto di accesso funziona con la policy del bucket collegata al bucket S3 su Outposts sottostante. Affinché un'applicazione o un utente possa accedere agli oggetti in un bucket S3 su Outposts tramite un punto di accesso S3 su Outposts, sia la policy del punto di accesso che la policy del bucket devono consentire la richiesta.

Le limitazioni incluse in una policy di access point si applicano solo alle richieste effettuate tramite quell'access point. Ad esempio, se un punto di accesso è collegato a un bucket, non potrai utilizzare la policy del punto di accesso per consentire o negare le richieste che vengono effettuate direttamente al bucket. Tuttavia, le restrizioni applicate a una policy del bucket possono consentire o rifiutare le richieste effettuate direttamente al bucket o tramite il punto di accesso.

In una policy IAM o in una policy basata su risorse, definisci quali operazioni S3 su Outposts saranno consentite o negate. Le operazioni S3 su Outposts corrispondono a operazioni API S3 su Outposts specifiche. Le operazioni S3 su Outposts utilizzano il prefisso dello spazio dei nomi s3-outposts:. Le richieste effettuate all'API di controllo S3 su Outposts in Regione AWS e le richieste effettuate agli endpoint dell'API dell'oggetto sull'Outpost vengono autenticate utilizzando IAM e sono autorizzate rispetto al prefisso dello spazio dei nomi s3-outposts:. Configurare gli utenti IAM e autorizzarli a fronte dello spazio dei nomi IAM s3-outposts: per lavorare con S3 su Outposts.

Per ulteriori informazioni, consulta Operazioni, risorse e chiavi di condizione per Amazon S3 su Outposts nella Documentazione di riferimento per l'autorizzazione ai servizi.

Nota

  • Le liste di controllo degli accessi (ACL) non sono supportate in S3 su Outposts.

  • Per impostazione predefinita, S3 su Outposts definisce il proprietario del bucket come proprietario dell'oggetto per avere la certezza che al proprietario di un bucket non possa essere impedito di accedere o eliminare oggetti.

  • S3 su Outposts dispone sempre di accesso pubblico blocco S3 abilitato per garantire che gli oggetti non possano mai avere accesso pubblico.

Per ulteriori informazioni sulla configurazione di IAM per S3 su Outposts, consulta i seguenti argomenti.

Principi per le policy di S3 su Outposts

Quando crei una policy basata su risorse per concedere l'accesso al bucket S3 su Outposts, devi utilizzare l'elemento Principal per specificare la persona o l'applicazione che può effettuare una richiesta per un'azione o un'operazione su tale risorsa. Per le policy S3 su Outposts, puoi utilizzare uno dei seguenti principali:

  • Un Account AWS

  • Un utente IAM

  • Un ruolo IAM:

  • Tutti i principali, specificando un carattere jolly (*) in una policy che utilizza un elemento Condition per limitare l'accesso a un intervallo IP specifico

Importante

Non puoi scrivere una policy per un bucket S3 su Outposts che utilizza un carattere jolly (*) nell'elemento Principal a meno che la policy non includa anche una Condition che limita l'accesso a un intervallo di indirizzi IP specifico. Questa limitazione garantisce che non vi sia alcun accesso pubblico al bucket S3 su Outposts. Per un esempio, consulta Esempi di policy per S3 su Outposts.

Per ulteriori informazioni sull'elemento Principal, consulta Elementi della policy JSON di AWS: principale nella Guida per l'utente di IAM.

ARN delle risorse per S3 su Outposts

Gli Amazon Resource Name (ARN) per S3 su Outposts contengono l'ID Outpost oltre a Regione AWS, ID Account AWS e nome della risorsa. Per accedere ed eseguire operazioni sui bucket e sugli oggetti Outposts, è necessario utilizzare uno dei formati ARN mostrati nella tabella seguente.

Il valore partition nell'ARN si riferisce a un gruppo di Regioni AWS. Ogni Account AWS è limitato a una partizione. Di seguito sono riportate le partizioni supportate:

  • aws – Regioni AWS

  • Regioni aws-us-gov - AWS GovCloud (US)

Formati ARN di S3 su Outposts
Amazon S3 su ARN Outposts. Formato ARN Esempio
Bucket ARN arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/bucket/bucket_name arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/bucket/DOC-EXAMPLE-BUCKET1
ARN del punto di accesso arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/accesspoint/accesspoint_name arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/accesspoint/access-point-name
Oggetto ARN arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/bucket/bucket_name/object/object_key arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/bucket/DOC-EXAMPLE-BUCKET1/object/myobject
ARN dell'oggetto punto di accesso S3 su Outpost (utilizzato nelle policy) arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/accesspoint/accesspoint_name/object/object_key arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/accesspoint/access-point-name/object/myobject
ARN di S3 su Outposts arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904

Esempi di policy per S3 su Outposts

Esempio : policy del bucket S3 su Outposts con un principale Account AWS

La seguente policy del bucket utilizza un principale Account AWS per concedere l'accesso a un bucket S3 su Outposts. Per utilizzare questa policy del bucket, sostituisci user input placeholders con le tue informazioni.

{
   "Version":"2012-10-17",
   "Id":"ExampleBucketPolicy1",
   "Statement":[
      {
         "Sid":"statement1",
         "Effect":"Allow",
         "Principal":{
            "AWS":"123456789012"
         },
         "Action":"s3-outposts:*",
         "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket"
      }
   ]
}
Esempio : policy del bucket S3 su Outposts policy con principale e chiave di condizione con carattere jolly (*) per limitare l'accesso a un intervallo di indirizzi IP specifico.

La seguente policy del bucket utilizza un principale con carattere jolly (*) con la condizione aws:SourceIp per limitare l'accesso a un intervallo di indirizzi IP specifico. Per utilizzare questa policy del bucket, sostituisci user input placeholders con le tue informazioni.

{
    "Version": "2012-10-17",
    "Id": "ExampleBucketPolicy2",
    "Statement": [
        {
            "Sid": "statement1",
            "Effect": "Allow",
            "Principal": { "AWS" : "*" },
            "Action":"s3-outposts:*",
            "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket",
            "Condition" : {
                "IpAddress" : {
                    "aws:SourceIp": "192.0.2.0/24" 
                },
                "NotIpAddress" : {
                    "aws:SourceIp": "198.51.100.0/24" 
                } 
            } 
        } 
    ]
}

Autorizzazioni per endpoint S3 su Outposts

S3 su Outposts richiede proprie autorizzazioni in IAM per gestire le operazioni degli endpoint S3 su Outposts.

Nota

  • Per gli endpoint che utilizzano il tipo di accesso del pool di indirizzi IP (pool CoIP) di proprietà del cliente, è inoltre necessario disporre delle autorizzazioni per lavorare con gli indirizzi IP del pool CoIP, come descritto nella tabella seguente.

  • Per gli account condivisi che accedono a S3 su Outposts tramite AWS Resource Access Manager, gli utenti in questi account condivisi non possono creare i propri endpoint in una sottorete condivisa. Se un utente in un account condiviso desidera gestire i propri endpoint, l'account condiviso deve creare una propria sottorete nell'Outpost. Per ulteriori informazioni, consulta Condivisione di S3 on Outposts tramite AWS RAM.

Autorizzazioni IAM correlate agli endpoint S3 su Outposts
Operazione Autorizzazioni IAM
CreateEndpoint

s3-outposts:CreateEndpoint

ec2:CreateNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeVpcs

ec2:DescribeSecurityGroups

ec2:DescribeSubnets

ec2:CreateTags

iam:CreateServiceLinkedRole

Per gli endpoint che utilizzano il tipo di accesso del pool di indirizzi IP di proprietà del cliente on-premise (pool CoIP), sono necessarie le seguenti autorizzazioni aggiuntive:

s3-outposts:CreateEndpoint

ec2:DescribeCoipPools

ec2:GetCoipPoolUsage

ec2:AllocateAddress

ec2:AssociateAddress

ec2:DescribeAddresses

ec2:DescribeLocalGatewayRouteTableVpcAssociations
DeleteEndpoint

s3-outposts:DeleteEndpoint

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

Per gli endpoint che utilizzano il tipo di accesso del pool di indirizzi IP di proprietà del cliente on-premise (pool CoIP), sono necessarie le seguenti autorizzazioni aggiuntive:

s3-outposts:DeleteEndpoint

ec2:DisassociateAddress

ec2:DescribeAddresses

ec2:ReleaseAddress
ListEndpoints

s3-outposts:ListEndpoints
Nota

Puoi utilizzare i tag delle risorse in una policy IAM per gestire le autorizzazioni.

Ruoli collegati ai servizi per S3 su Outposts

S3 su Outposts utilizza ruoli IAM collegati ai servizi per creare alcune risorse di rete per tuo conto. Per ulteriori informazioni, consulta Utilizzo dei ruoli collegati ai servizi per Amazon S3 su Outposts.