Configurazione di IAM con S3 su Outposts - Amazon Simple Storage Service

Configurazione di IAM con S3 su Outposts

AWS Identity and Access Management (IAM) è un Servizio AWS che consente agli amministratori di controllare in modo sicuro l'accesso alle risorse AWS. Gli amministratori IAM controllano chi può essere autenticato (che ha effettuato l'accesso) e autorizzato (chi dispone di autorizzazioni) a utilizzare le risorse AWS. IAM ti consente di creare utenti e gruppi all'interno del tuo Account AWS. Puoi controllare le autorizzazioni che gli utenti devono avere per eseguire attività con le risorse AWS. Puoi utilizzare IAM senza alcun costo aggiuntivo.

Per impostazione predefinita, gli utenti IAM non dispongono delle autorizzazioni per le risorse e le operazioni di Amazon S3 su Outposts. Per consentire agli utenti IAM di gestire S3 sulle risorse Outposts, devi effettuare le seguenti operazioni:

  • Crea una policy IAM che conceda esplicitamente le autorizzazioni agli utenti o ai gruppi IAM.

  • Collega questa policy agli utenti o ai gruppi IAM che richiedono le autorizzazioni.

Oltre alle policy IAM, S3 su Outposts supporta sia le policy del bucket che le policy dei punti di accesso. Le policy del bucket e le policy del punto di accesso sono policy basate sulle risorsecollegate alla risorsa S3 su Outposts.

  • Una policy del bucket è collegata al bucket e consente o nega le richieste al bucket e agli oggetti in esso contenuti in base agli elementi nella policy.

  • Al contrario, una policy del punto di accesso è collegata al punto di accesso e consente o nega le richieste al punto di accesso.

La policy del punto di accesso funziona con la policy del bucket collegata al bucket S3 su Outposts sottostante. Affinché un'applicazione o un utente possa accedere agli oggetti in un bucket S3 su Outposts tramite un punto di accesso S3 su Outposts, sia la policy del punto di accesso che la policy del bucket devono consentire la richiesta.

Le limitazioni incluse in una policy di access point si applicano solo alle richieste effettuate tramite quell'access point. Ad esempio, se un punto di accesso è collegato a un bucket, non potrai utilizzare la policy del punto di accesso per consentire o negare le richieste che vengono effettuate direttamente al bucket. Tuttavia, le restrizioni applicate a una policy del bucket possono consentire o rifiutare le richieste effettuate direttamente al bucket o tramite il punto di accesso.

In una policy IAM o in una policy basata su risorse, definisci quali operazioni S3 su Outposts saranno consentite o negate. Le operazioni S3 su Outposts corrispondono a operazioni API S3 su Outposts specifiche. Le operazioni S3 su Outposts utilizzano il prefisso dello spazio dei nomi s3-outposts:. Le richieste effettuate all'API di controllo S3 su Outposts in Regione AWS e le richieste effettuate agli endpoint dell'API dell'oggetto sull'Outpost vengono autenticate utilizzando IAM e sono autorizzate rispetto al prefisso dello spazio dei nomi s3-outposts:. Configurare gli utenti IAM e autorizzarli a fronte dello spazio dei nomi IAM s3-outposts: per lavorare con S3 su Outposts.

Per ulteriori informazioni, consulta Operazioni, risorse e chiavi di condizione per Amazon S3 su Outposts nella Documentazione di riferimento per l'autorizzazione ai servizi.

Nota
  • Le liste di controllo degli accessi (ACL) non sono supportate in S3 su Outposts.

  • Per impostazione predefinita, S3 su Outposts definisce il proprietario del bucket come proprietario dell'oggetto per avere la certezza che al proprietario di un bucket non possa essere impedito di accedere o eliminare oggetti.

  • S3 su Outposts dispone sempre di accesso pubblico blocco S3 abilitato per garantire che gli oggetti non possano mai avere accesso pubblico.

Per ulteriori informazioni sulla configurazione di IAM per S3 su Outposts, consulta i seguenti argomenti.

Principi per le policy di S3 su Outposts

Quando crei una policy basata su risorse per concedere l'accesso al bucket S3 su Outposts, devi utilizzare l'elemento Principal per specificare la persona o l'applicazione che può effettuare una richiesta per un'azione o un'operazione su tale risorsa. Per le policy S3 su Outposts, puoi utilizzare uno dei seguenti principali:

  • Un Account AWS

  • Un utente IAM

  • Un ruolo IAM:

  • Tutti i principali, specificando un carattere jolly (*) in una policy che utilizza un elemento Condition per limitare l'accesso a un intervallo IP specifico

Importante

Non puoi scrivere una policy per un bucket S3 su Outposts che utilizza un carattere jolly (*) nell'elemento Principal a meno che la policy non includa anche una Condition che limita l'accesso a un intervallo di indirizzi IP specifico. Questa limitazione garantisce che non vi sia alcun accesso pubblico al bucket S3 su Outposts. Per un esempio, consultare Esempi di policy per S3 su Outposts.

Per ulteriori informazioni sull'elemento Principal, consulta Elementi della policy JSON di AWS: principale nella Guida per l'utente di IAM.

ARN delle risorse per S3 su Outposts

Gli Amazon Resource Name (ARN) per S3 su Outposts contengono l'ID Outpost oltre a Regione AWS, ID Account AWS e nome della risorsa. Per accedere ed eseguire operazioni sui bucket e sugli oggetti Outposts, è necessario utilizzare uno dei formati ARN mostrati nella tabella seguente.

Il valore partition nell'ARN si riferisce a un gruppo di Regioni AWS. Ogni Account AWS è limitato a una partizione. Di seguito sono riportate le partizioni supportate:

  • aws – Regioni AWS

  • Regioni aws-us-gov - AWS GovCloud (US)

Formati ARN di S3 su Outposts
Amazon S3 su ARN Outposts. Formato ARN Esempio
Bucket ARN arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/bucket/bucket_name arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/bucket/DOC-EXAMPLE-BUCKET1
ARN del punto di accesso arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/accesspoint/accesspoint_name arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/accesspoint/access-point-name
Oggetto ARN arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/bucket/bucket_name/object/object_key arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/bucket/DOC-EXAMPLE-BUCKET1/object/myobject
ARN dell'oggetto punto di accesso S3 su Outpost (utilizzato nelle policy) arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id/accesspoint/accesspoint_name/object/object_key arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904/accesspoint/access-point-name/object/myobject
ARN di S3 su Outposts arn:partition:s3-outposts:region:​account_id:​outpost/outpost_id arn:aws:s3-outposts:us-west-2:123456789012:​outpost/op-01ac5d28a6a232904

Esempi di policy per S3 su Outposts

Esempio : policy del bucket S3 su Outposts con un principale Account AWS

La seguente policy del bucket utilizza un principale Account AWS per concedere l'accesso a un bucket S3 su Outposts. Per utilizzare questa policy del bucket, sostituisci user input placeholders con le tue informazioni.

{ "Version":"2012-10-17", "Id":"ExampleBucketPolicy1", "Statement":[ { "Sid":"statement1", "Effect":"Allow", "Principal":{ "AWS":"123456789012" }, "Action":"s3-outposts:*", "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket" } ] }
Esempio : policy del bucket S3 su Outposts policy con principale e chiave di condizione con carattere jolly (*) per limitare l'accesso a un intervallo di indirizzi IP specifico.

La seguente policy del bucket utilizza un principale con carattere jolly (*) con la condizione aws:SourceIp per limitare l'accesso a un intervallo di indirizzi IP specifico. Per utilizzare questa policy del bucket, sostituisci user input placeholders con le tue informazioni.

{ "Version": "2012-10-17", "Id": "ExampleBucketPolicy2", "Statement": [ { "Sid": "statement1", "Effect": "Allow", "Principal": { "AWS" : "*" }, "Action":"s3-outposts:*", "Resource":"arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outposts-bucket", "Condition" : { "IpAddress" : { "aws:SourceIp": "192.0.2.0/24" }, "NotIpAddress" : { "aws:SourceIp": "198.51.100.0/24" } } } ] }

Autorizzazioni per endpoint S3 su Outposts

S3 su Outposts richiede proprie autorizzazioni in IAM per gestire le operazioni degli endpoint S3 su Outposts.

Nota
  • Per gli endpoint che utilizzano il tipo di accesso del pool di indirizzi IP (pool CoIP) di proprietà del cliente, è inoltre necessario disporre delle autorizzazioni per lavorare con gli indirizzi IP del pool CoIP, come descritto nella tabella seguente.

  • Per gli account condivisi che accedono a S3 su Outposts tramite AWS Resource Access Manager, gli utenti in questi account condivisi non possono creare i propri endpoint in una sottorete condivisa. Se un utente in un account condiviso desidera gestire i propri endpoint, l'account condiviso deve creare una propria sottorete nell'Outpost. Per ulteriori informazioni, consultare Condivisione di S3 on Outposts tramite AWS RAM.

Autorizzazioni IAM correlate agli endpoint S3 su Outposts
Operazione Autorizzazioni IAM
CreateEndpoint

s3-outposts:CreateEndpoint

ec2:CreateNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeVpcs

ec2:DescribeSecurityGroups

ec2:DescribeSubnets

ec2:CreateTags

Per gli endpoint che utilizzano il tipo di accesso del pool di indirizzi IP di proprietà del cliente on-premise (pool CoIP), sono necessarie le seguenti autorizzazioni aggiuntive:

s3-outposts:CreateEndpoint

ec2:DescribeCoipPools

ec2:GetCoipPoolUsage

ec2:AllocateAddress

ec2:AssociateAddress

ec2:DescribeAddresses

ec2:DescribeLocalGatewayRouteTableVpcAssociations

DeleteEndpoint

s3-outposts:DeleteEndpoint

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

Per gli endpoint che utilizzano il tipo di accesso del pool di indirizzi IP di proprietà del cliente on-premise (pool CoIP), sono necessarie le seguenti autorizzazioni aggiuntive:

s3-outposts:DeleteEndpoint

ec2:DisassociateAddress

ec2:DescribeAddresses

ec2:ReleaseAddress

ListEndpoints

s3-outposts:ListEndpoints

Nota

Puoi utilizzare i tag delle risorse in una policy IAM per gestire le autorizzazioni.