Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
In che modo Amazon S3 autorizza una richiesta per un'operazione su un bucket
Quando Amazon S3 riceve una richiesta per un'operazione su un bucket, Amazon S3 converte tutte le autorizzazioni pertinenti in una serie di policy da valutare in fase di esecuzione. Le autorizzazioni pertinenti includono le autorizzazioni basate sulle risorse (ad esempio, le policy dei bucket e le liste di controllo degli accessi ai bucket) e le politiche utente se la richiesta proviene da un principale. IAM Amazon S3 valuta quindi il set di policy risultante in una serie di passaggi in base a un contesto specifico: contesto utente o contesto del bucket:
-
Contesto utente: se il richiedente è un IAM principale, il principale deve avere l'autorizzazione del genitore a cui appartiene. Account AWS In questa fase, Amazon S3 valuta un sottoinsieme di policy appartenenti all'account padre (denominato anche autorità del contesto). Questo sottoinsieme include la policy utente che l'account padre ha associato al principale. Se il genitore possiede anche la risorsa nella richiesta (in questo caso, il bucket), Amazon S3 valuta anche le politiche delle risorse corrispondenti (bucket policy e ACL bucket) contemporaneamente. Ogni volta che viene eseguita una richiesta per un'operazione su un bucket, i log degli accessi del server registrano l'ID canonico del richiedente. Per ulteriori informazioni, consulta Registrazione delle richieste con registrazione dell'accesso al server.
-
Contesto del bucket – Il richiedente deve disporre delle autorizzazioni concesse dal proprietario del bucket per eseguire un'operazione specifica sul bucket. In questa fase, Amazon S3 valuta un sottoinsieme di policy di proprietà del proprietario del Account AWS bucket.
Il proprietario del bucket può concedere l'autorizzazione utilizzando una policy o un bucket. ACL Se il Account AWS proprietario del bucket è anche l'account principale di un IAM principale, può configurare le autorizzazioni del bucket in una politica utente.
Di seguito è illustrato il grafico della valutazione basata sul contesto per un'operazione su un bucket.
Negli esempi seguenti viene illustrata la logica di valutazione.
Esempio 1: operazione su un bucket richiesta dal proprietario del bucket
In questo esempio, il proprietario del bucket invia una richiesta per un'operazione sul bucket utilizzando le credenziali dell'utente root dell' Account AWS.
Amazon S3 esegue la valutazione del contesto come indicato di seguito:
-
Poiché la richiesta viene eseguita utilizzando le credenziali dell'utente root di un Account AWS, il contesto dell'utente non viene valutato.
-
Nel contesto del bucket, Amazon S3 esamina la policy del bucket per determinare se il richiedente dispone dell'autorizzazione per eseguire l'operazione. Amazon S3 autorizza la richiesta.
Esempio 2: operazione del bucket richiesta da un utente Account AWS che non è il proprietario del bucket
In questo esempio, viene eseguita una richiesta utilizzando le credenziali dell'utente root dell' Account AWS 1111-1111-1111 per un'operazione sul bucket che appartiene all' Account AWS 2222-2222-2222. Nessun IAM utente è coinvolto in questa richiesta.
In questo esempio, Amazon S3 valuta il contesto come segue:
-
Poiché la richiesta viene effettuata utilizzando le credenziali dell'utente root di an Account AWS, il contesto utente non viene valutato.
-
Nel contesto del bucket, Amazon S3 esamina la policy del bucket. Se il proprietario del bucket (Account AWS 2222-2222-2222) non ha autorizzato Account AWS 1111-1111-1111 a eseguire l'operazione richiesta, Amazon S3 nega la richiesta. Altrimenti, Amazon S3 accetta la richiesta ed esegue l'operazione.
Esempio 3: operazione bucket richiesta da un principale il cui genitore è anche il proprietario del bucket IAM Account AWS
Nell'esempio, la richiesta viene inviata da Jill, un IAM utente in Account AWS 1111-1111-1111, che possiede anche il bucket.
Amazon S3 esegue la seguente valutazione del contesto:
-
Poiché la richiesta proviene da un IAM principale, nel contesto dell'utente, Amazon S3 valuta tutte le policy che appartengono al principale per determinare se Jill è autorizzata Account AWS a eseguire l'operazione.
In questo esempio, il genitore Account AWS 1111-1111-1111, a cui appartiene il principale, è anche il proprietario del bucket. Di conseguenza, oltre alla politica dell'utente, Amazon S3 valuta anche la policy del bucket e il bucket nello stesso contesto perché appartengono allo stesso account. ACL
-
Poiché Amazon S3 ha valutato la policy e il bucket ACL come parte del contesto utente, non valuta il contesto del bucket.
Esempio 4: operazione del bucket richiesta da un IAM principale il cui genitore non è il proprietario del bucket Account AWS
In questo esempio, la richiesta viene inviata da Jill, un IAM utente il cui genitore è 1111-1111-1111, ma il bucket Account AWS è di proprietà di un altro utente, 2222-2222-2222. Account AWS
Jill avrà bisogno delle autorizzazioni sia del genitore Account AWS che del proprietario del bucket. Amazon S3 valuta il contesto come indicato di seguito:
-
Poiché la richiesta proviene da un IAM principale, Amazon S3 valuta il contesto dell'utente esaminando le politiche create dall'account per verificare che Jill disponga delle autorizzazioni necessarie. Se Jill è autorizzata, Amazon S3 passa alla valutazione del contesto del bucket. Se Jill non dispone dell'autorizzazione, nega la richiesta.
-
Nel contesto del bucket, Amazon S3 verifica che il proprietario del bucket 2222-2222-2222 abbia concesso a Jill (o al suo genitore) l'autorizzazione a eseguire l'operazione richiesta. Account AWS Se dispone di tale autorizzazione, Amazon S3 concede la richiesta ed esegue l'operazione. In caso contrario, Amazon S3 rifiuta la richiesta.
