Utilizzo di tag con punti di accesso S3 per bucket generici - Amazon Simple Storage Service
Metodi comuni per utilizzare i tag con i punti di accessoUtilizzo dei tag per i punti di accesso per i bucket di uso generico

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di tag con punti di accesso S3 per bucket generici

Un AWS tag è una coppia chiave-valore che contiene i metadati relativi alle risorse, in questo caso Amazon S3 Access Points. Puoi etichettare i punti di accesso quando li crei o gestire i tag su punti di accesso esistenti. Per informazioni generali sui tag, consultaEtichettatura per l'allocazione dei costi o il controllo degli accessi basato sugli attributi (ABAC).

Nota

Non sono previsti costi aggiuntivi per l'utilizzo dei tag sui punti di accesso oltre alle tariffe di richiesta dell'API S3 standard. Per ulteriori informazioni, consulta Prezzi di Amazon S3.

Metodi comuni per utilizzare i tag con i punti di accesso

Il controllo degli accessi basato sugli attributi (ABAC) consente di scalare le autorizzazioni di accesso e concedere l'accesso ai punti di accesso in base ai relativi tag. Per ulteriori informazioni su ABAC in Amazon S3, consulta Utilizzo dei tag per ABAC.

ABAC per punti di accesso S3

Gli access point Amazon S3 supportano il controllo degli accessi basato sugli attributi (ABAC) tramite tag. Utilizza le chiavi di condizione basate su tag nelle policy AWS aziendali, IAM e Access Points. Per le aziende, ABAC in Amazon S3 supporta l'autorizzazione su più AWS account.

Nelle tue policy IAM, puoi controllare l'accesso ai punti di accesso in base ai tag dei punti di accesso utilizzando le seguenti chiavi di condizione globali:

  • aws:ResourceTag/key-name

    Importante

    La chiave di aws:ResourceTag condizione può essere utilizzata solo per le azioni S3 eseguite tramite l'ARN di un punto di accesso per bucket generici e copre solo i tag del punto di accesso sottostanti.

    • Utilizzare questa chiave per confrontare la coppia chiave-valore del tag specificata nella policy con la coppia chiave-valore associata alla risorsa. Ad esempio, puoi richiedere che l'accesso a una risorsa sia consentito solo se la risorsa dispone di una chiave di tag Dept collegata al valore Marketing. Per ulteriori informazioni, consulta Controllo dell'accesso alle risorse. AWS

  • aws:RequestTag/key-name

    • Utilizzare questa chiave per confrontare la coppia chiave-valore del tag passata nella richiesta con la coppia del tag specificata nella policy. Ad esempio, è possibile controllare che la richiesta includa la chiave del tag Dept e che abbia il valore Accounting. Per ulteriori informazioni, vedere Controllo dell'accesso durante AWS le richieste. Puoi utilizzare questa chiave di condizione per limitare le coppie chiave-valore di tag che possono essere passate durante le operazioni TagResource e CreateAccessPoint API.

  • aws:TagKeys

    • Utilizzare questa chiave per confrontare le chiavi dei tag in una richiesta con quelle specificate nella policy. Nell'utilizzo delle policy per controllare gli accessi tramite tag, è consigliabile utilizzare la chiave di condizione aws:TagKeys per definire le chiavi di tag ammesse. Per esempi di politiche e ulteriori informazioni, consulta Controllo dell'accesso in base alle chiavi dei tag. È possibile creare un punto di accesso con tag. Per consentire l'applicazione di tag durante il funzionamento dell'CreateAccessPointAPI, è necessario creare una politica che includa s3:TagResource sia le s3:CreateAccessPoint azioni che. È quindi possibile utilizzare la chiave aws:TagKeys condition per imporre l'utilizzo di tag specifici nella CreateAccessPoint richiesta.

  • s3:AccessPointTag/tag-key

    • Usa questa chiave condizionale per concedere autorizzazioni a dati specifici tramite punti di accesso che utilizzano tag. Quando viene utilizzato aws:ResourceTag/tag-key in una policy IAM, sia il punto di accesso che il bucket a cui punta il punto di accesso devono avere lo stesso tag, poiché entrambi vengono presi in considerazione durante l'autorizzazione. Se desideri controllare l'accesso ai tuoi dati in modo specifico solo tramite il tag del punto di accesso, puoi utilizzare s3:AccessPointTag/tag-key la chiave di condizione.

Esempi di politiche ABAC per i punti di accesso

Vedi i seguenti esempi di politiche ABAC per Amazon S3 Access Points.

1.1 - Politica IAM per creare o modificare bucket con tag specifici

In questa policy IAM, gli utenti o i ruoli con questa policy possono creare punti di accesso solo se etichettano i punti di accesso con la chiave del tag project e il valore del tag Trinity nella richiesta di creazione dei punti di accesso. Possono anche aggiungere o modificare tag sui punti di accesso esistenti purché la TagResource richiesta includa la coppia chiave-valore del tag. project:Trinity 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CreateAccessPointWithTags",
      "Effect": "Allow",
      "Action": [
        "s3:CreateAccessPoint",
        "s3:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "Trinity"
          ]
        }
      }
    }
  ]
}

1.2 - Politica dei punti di accesso per limitare le operazioni sul punto di accesso utilizzando i tag

In questa policy sull'Access Point, i responsabili IAM (utenti e ruoli) possono eseguire operazioni utilizzando l'GetObjectazione sul punto di accesso solo se il valore del project tag del punto di accesso corrisponde al valore del project tag del principale.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowObjectOperations",
      "Effect": "Allow",
      "Principal": {
        "AWS": "111122223333"
      },
      "Action": "s3:GetObject",
      "Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        }
      }
    }
  ]
}

1.3 - Politica IAM per modificare i tag sulle risorse esistenti mantenendo la governance dei tag

In questa policy IAM, i responsabili IAM (utenti o ruoli) possono modificare i tag su un punto di accesso solo se il valore del project tag del punto di accesso corrisponde al valore del tag del principale. project Solo i quattro tag project e quelli cost-center specificati nelle chiavi di aws:TagKeys condizione sono consentiti per questi punti di accesso. environment owner Questo aiuta a far rispettare la governance dei tag, previene le modifiche non autorizzate dei tag e mantiene lo schema di tagging coerente su tutti i punti di accesso.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3:TagResource"
      ],
      "Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "project",
            "environment",
            "owner",
            "cost-center"
          ]
        }
      }
    }
  ]
}

1.4 - Utilizzo del tasto s3: condition AccessPointTag

In questa policy IAM, l'istruzione condition consente l'accesso ai dati del bucket se il punto di accesso ha la chiave del tag Environment e il valore del tag. Production 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAccessToSpecificAccessPoint",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
      "Condition": {
        "StringEquals": {
          "s3:AccessPointTag/Environment": "Production"
        }
      }
    }
  ]
}

1.5 - Utilizzo di una politica di delega del tipo bucket

In Amazon S3, puoi delegare l'accesso o il controllo della tua policy sui bucket S3 a un altro AWS account o a un utente o ruolo specifico AWS Identity and Access Management (IAM) nell'altro account. La politica del bucket delegato concede a quest'altro account, utente o ruolo l'autorizzazione al tuo bucket e ai suoi oggetti. Per ulteriori informazioni, consulta Delega delle autorizzazioni.

Se si utilizza una politica relativa ai bucket delegati, come la seguente: 

{
  "Version": "2012-10-17",
    "Statement": {
      "Principal": {"AWS": "*"},
        "Effect": "Allow",
        "Action": ["s3:*"],
        "Resource":["arn:aws::s3:::amzn-s3-demo-bucket/*", "arn:aws::s3:::amzn-s3-demo-bucket"],
           "Condition": {
             "StringEquals" : {
                "s3:DataAccessPointAccount" : "111122223333"
             }
           }
    }
}

Nella seguente politica IAM, l'istruzione condizionale consente l'accesso ai dati del bucket se il punto di accesso ha la chiave Environment e il valore del tag. Production 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAccessToSpecificAccessPoint",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
      "Condition": {
        "StringEquals": {
          "s3:AccessPointTag/Environment": "Production"
        }
      }
    }
  ]
}

Utilizzo dei tag per i punti di accesso per i bucket di uso generico

Puoi aggiungere o gestire tag per i punti di accesso utilizzando la console Amazon S3, l'interfaccia a riga di AWS comando (CLI) AWS SDKs, o utilizzando S3 APIs:, e. TagResourceUntagResourceListTagsForResource Per ulteriori informazioni, consultare:

Argomenti