Policy e autorizzazioni in Amazon S3

In questa pagina viene fornita una panoramica delle policy utente e del bucket in Amazon S3 e vengono descritti gli elementi di base di una policy. Ogni elemento elencato è collegato a ulteriori dettagli ed esempi su come usare l'elemento.

Per un elenco completo di azioni, risorse e condizioni di Amazon S3, consulta Azioni, risorse e chiavi di condizione per Amazon S3 nel Service Authorization Reference.

In termini basilari, una policy contiene i seguenti elementi:

• Risorsa: il bucket, l'oggetto, il punto di accesso o il processo di Amazon S3 a cui si applica la policy. Usa il nome della risorsa Amazon (ARN) del bucket, dell'oggetto, del punto di accesso o del processo per identificare la risorsa.

  Un esempio di operazioni a livello di bucket:

  - "Resource": "arn:aws:s3:::bucket_name".

  Esempi di operazioni a livello di oggetto:

  - "Resource": "arn:aws:s3:::bucket_name/*" per tutti gli oggetti nel bucket.

  - "Resource": "arn:aws:s3:::bucket_name/prefix/*" per oggetti con un determinato prefisso nel bucket.

  Per ulteriori informazioni, consulta Risorse di Amazon S3.

• Operazioni - Per ciascuna risorsa, Amazon S3 supporta un set di operazioni. Vengono identificate le operazioni delle risorse che verranno consentite (o rifiutate) utilizzando le parole chiave dell'operazione.

  L'autorizzazione s3:ListBucket permette ad esempio all'utente di utilizzare l'operazione GET Bucket (ListObjects) di Amazon S3. Per ulteriori informazioni sull'uso di operazioni con Simple Storage Service (Amazon S3), consulta Azioni politiche di Amazon S3. Per un elenco completo delle operazioni di Amazon S3, consulta Operazioni.

• Effetto – Effetto che si produce quando l'utente richiede una determinata operazione, che può essere un permesso o un rifiuto.

  Se l'accesso a una risorsa non viene esplicitamente autorizzato (consentito), di fatto è implicitamente rifiutato. È anche possibile negare esplicitamente l'accesso a una risorsa. È possibile eseguire questa operazione per accertarsi che un utente non sia in grado di accedere a una risorsa, anche se l'accesso viene concesso da un'altra policy. Per ulteriori informazioni, consulta Elementi delle policy JSON IAM: Effect.

• Principale – Account o utente a cui viene permesso l'accesso alle operazioni e alle risorse nell'istruzione. In una policy di bucket l'entità principale è l'utente, l'account, il servizio o un'altra entità destinataria di questa autorizzazione. Per ulteriori informazioni, consulta Principali.

• Condizione – Condizioni che stabiliscono quando una policy viene applicata. Puoi utilizzare chiavi AWS‐wide e chiavi specifiche di Amazon S3 per specificare le condizioni in una policy di accesso di Amazon S3. Per ulteriori informazioni, consulta Esempi di chiavi di condizioni di Amazon S3.

La seguente policy di bucket di esempio mostra l'effetto, il principal, l'operazione e gli elementi di una risorsa. La policy consente ad Akua, a un utente nell'account Account-ID s3:GetObjects3:GetBucketLocation, e le autorizzazioni s3:ListBucket Amazon S3 sul bucket. awsexamplebucket1

{
    "Version": "2012-10-17",
    "Id": "ExamplePolicy01",
    "Statement": [
        {
            "Sid": "ExampleStatement01",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/Akua"
            },
            "Action": [
                "s3:GetObject",
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::awsexamplebucket1/*",
                "arn:aws:s3:::awsexamplebucket1"
            ]
        }
    ]
}

Per ulteriori informazioni, consulta gli argomenti riportati di seguito. Per informazioni complete sulla sintassi delle policy, consulta Policy e autorizzazioni in IAM e Riferimento alla policy JSON di IAM nella Guida per l'utente di IAM.

Argomenti

• Risorse di Amazon S3
• Principali
• Azioni politiche di Amazon S3
• Chiavi di condizione di Amazon S3