Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Panoramica della lista di controllo degli accessi (ACL)
Le liste di controllo degli accessi di Amazon S3 (ACLs) consentono di gestire l'accesso a bucket e oggetti. A ogni bucket e oggetto è ACL associato un oggetto come sottorisorsa. Definisce quale Account AWS o ai gruppi viene concesso l'accesso e il tipo di accesso. Quando viene ricevuta una richiesta su una risorsa, Amazon S3 verifica la corrispondente ACL per verificare che il richiedente disponga delle autorizzazioni di accesso necessarie.
S3 Object Ownership è un'impostazione a livello di bucket di Amazon S3 che puoi utilizzare sia per controllare la proprietà degli oggetti caricati nel tuo bucket sia per disabilitarli o abilitarli. ACLs Per impostazione predefinita, Object Ownership è impostata sull'impostazione imposta dal proprietario del Bucket e tutti sono disabilitati. ACLs Quando ACLs sono disabilitati, il proprietario del bucket possiede tutti gli oggetti nel bucket e ne gestisce l'accesso esclusivamente utilizzando le politiche di gestione degli accessi.
La maggior parte dei casi d'uso moderni in Amazon S3 non richiede più l'uso di. ACLs Ti consigliamo di rimanere ACLs disabilitato, tranne in circostanze insolite in cui devi controllare l'accesso per ogni oggetto singolarmente. ACLsDisabilitando, puoi utilizzare le policy per controllare l'accesso a tutti gli oggetti nel tuo bucket, indipendentemente da chi ha caricato gli oggetti nel tuo bucket. Per ulteriori informazioni, consulta Controllo della proprietà degli oggetti e disattivazione del ACLs bucket.
Importante
Se il bucket utilizza l'impostazione Proprietario del bucket applicato per Proprietà dell'oggetto S3, è necessario utilizzare le policy per concedere l'accesso al bucket e agli oggetti in esso contenuti. Con l'impostazione forzata del proprietario del Bucket abilitata, le richieste di impostazione degli elenchi di controllo degli accessi (ACLs) o di aggiornamento hanno ACLs esito negativo e restituiscono il codice di errore. AccessControlListNotSupported
Le richieste di lettura ACLs sono ancora supportate.
Quando crei un bucket o un oggetto, Amazon S3 crea un ACL valore predefinito che garantisce al proprietario della risorsa il pieno controllo sulla risorsa. Questo è mostrato nel seguente bucket di esempio ACL (l'oggetto predefinito ACL ha la stessa struttura):
<?xml version="1.0" encoding="UTF-8"?> <AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Owner> <ID>*** Owner-Canonical-User-ID ***</ID> <DisplayName>owner-display-name</DisplayName> </Owner> <AccessControlList> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Canonical User"> <ID>*** Owner-Canonical-User-ID ***</ID> <DisplayName>display-name</DisplayName> </Grantee> <Permission>FULL_CONTROL</Permission> </Grant> </AccessControlList> </AccessControlPolicy>
L'esempio ACL include un Owner
elemento che identifica il proprietario tramite Account AWS l'ID utente canonico. Per istruzioni sulla ricerca dell'ID utente canonico, consulta Trovare un Account AWS ID utente canonico. L'Grant
elemento identifica il beneficiario (un Account AWS o un gruppo predefinito) e l'autorizzazione concessa. Questa impostazione predefinita ACL ha un Grant
elemento per il proprietario. Per concedere le autorizzazioni aggiungere elementi Grant
; ognuno di questi elementi identifica l'assegnatario e l'autorizzazione.
Nota
An ACL può avere fino a 100 sovvenzioni.
Argomenti
Che cosa si intende per assegnatario?
Un beneficiario può essere un Account AWS o uno dei gruppi Amazon S3 predefiniti. Concedi l'autorizzazione a un Account AWS utilizzando l'indirizzo e-mail o l'ID utente canonico. Tuttavia, se fornisci un indirizzo e-mail nella tua richiesta di concessione, Amazon S3 trova l'ID utente canonico per quell'account e lo aggiunge a. ACL Il risultato contiene ACLs sempre l'ID utente canonico per Account AWS, non l'indirizzo e-mail del Account AWS.
Quando si concedono i diritti di accesso, si specifica ogni assegnatario come coppia
in cui type
="value
"
è uno dei seguenti:type
id
— Se il valore specificato è l'ID utente canonico di un Account AWSuri
: se si concedono autorizzazioni a un gruppo predefinitoemailAddress
— Se il valore specificato è l'indirizzo e-mail di un Account AWS
Importante
L'utilizzo di indirizzi e-mail per specificare un beneficiario è supportato solo nei seguenti casi AWS Regioni:
-
Stati Uniti orientali (Virginia settentrionale)
-
Stati Uniti occidentali (California settentrionale)
-
Stati Uniti occidentali (Oregon)
-
Asia Pacifico (Singapore)
-
Asia Pacifico (Sydney)
-
Asia Pacifico (Tokyo)
-
Europa (Irlanda)
-
Sud America (San Paolo)
Per un elenco di tutte le regioni e gli endpoint supportati da Amazon S3, consulta Regioni ed endpoint nel Riferimenti generali di Amazon Web Services.
Esempio: indirizzo e-mail
Ad esempio, l'intestazione seguente concede x-amz-grant-read
Account AWS identificati dagli indirizzi e-mail, autorizzazioni a leggere i dati dell'oggetto e i relativi metadati:
x-amz-grant-read: emailAddress="xyz@example.com", emailAddress="abc@example.com"
avvertimento
Quando concedi ad altri Account AWS accesso alle tue risorse, tieni presente che Account AWS possono delegare le proprie autorizzazioni agli utenti tramite i propri account. Questa operazione è nota con il nome di accesso multiaccount. Per informazioni sull'utilizzo dell'accesso su più account, consulta Creazione di un ruolo per delegare le autorizzazioni a un IAM utente nella Guida per l'utente. IAM
Trovare un Account AWS ID utente canonico
L'ID utente canonico è associato al tuo Account AWS. Questo ID è una lunga stringa di caratteri, ad esempio:
79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be
Per informazioni su come trovare l'ID utente canonico per il tuo account, vedi Trovare l'ID utente canonico per il tuo Account AWS nella AWS Guida di riferimento per la gestione degli account.
Puoi anche cercare l'ID utente canonico di un Account AWS leggendo il contenuto ACL di un secchio o di un oggetto su cui Account AWS dispone di autorizzazioni di accesso. Quando un individuo Account AWS a cui vengono concesse le autorizzazioni tramite una richiesta di sovvenzione, viene aggiunta una voce di sovvenzione ACL con l'ID utente canonico dell'account.
Nota
Se rendi pubblico il bucket (non consigliato) qualsiasi utente non autenticato può caricare oggetti nel bucket. Questi utenti anonimi non dispongono di un Account AWS. Quando un utente anonimo carica un oggetto nel tuo bucket, Amazon S3 aggiunge uno speciale ID utente canonico 65a011a29cdf8ec533ec3d1ccaae921c
() come proprietario dell'oggetto in. ACL Per ulteriori informazioni, consulta Proprietà di bucket e oggetti di Amazon S3.
Gruppi predefiniti di Amazon S3
Amazon S3 include un set di gruppi predefiniti. Quando concedi l'accesso tramite account a un gruppo, specifichi uno degli Amazon URIs S3 anziché un ID utente canonico. Amazon S3 fornisce i seguenti gruppi predefiniti:
-
Gruppo Authenticated Users – Rappresentato da
http://acs.amazonaws.com/groups/global/AuthenticatedUsers
.Questo gruppo rappresenta tutto Account AWS. L'autorizzazione di accesso a questo gruppo consente qualsiasi Account AWS per accedere alla risorsa. Tuttavia, tutte le richieste devono essere firmate (autenticate).
avvertimento
Quando concedi l'accesso al gruppo Authenticated Users, qualsiasi AWS un utente autenticato in tutto il mondo può accedere alla tua risorsa.
-
Gruppo All Users – Rappresentato da
http://acs.amazonaws.com/groups/global/AllUsers
.L'autorizzazione di accesso per questo gruppo consente a qualsiasi persona al mondo di accedere alla risorsa. Le richieste possono essere firmate (autenticate) o non firmate (anonime). Le richieste non firmate mancano dell'intestazione di autenticazione.
avvertimento
È vivamente consigliato non concedere mai al gruppo All Users autorizzazioni
WRITE
,WRITE_ACP
oFULL_CONTROL
. Ad esempio, mentre le autorizzazioniWRITE
non consentono ai non proprietari di sovrascrivere o eliminare oggetti esistenti, le autorizzazioniWRITE
consentono comunque a chiunque di memorizzare oggetti nel bucket, per i quali vengono fatturati. Per ulteriori dettagli su queste autorizzazioni, consulta la sezione Quali autorizzazioni è possibile concedere?. -
Gruppo Log Delivery – Rappresentato da
http://acs.amazonaws.com/groups/s3/LogDelivery
.L'autorizzazione
WRITE
per un bucket consente a questo gruppo di scriver log di credenziali d'accesso al server (consulta Registrazione delle richieste con registrazione dell'accesso al server) per il bucket.
Nota
Quando si utilizzaACLs, un beneficiario può essere un Account AWS o uno dei gruppi Amazon S3 predefiniti. Tuttavia, il beneficiario non può essere un utente. IAM Per ulteriori informazioni sull' AWS utenti e autorizzazioni inclusi, vedere Utilizzo IAM AWS Identity and Access Management.
Quali autorizzazioni è possibile concedere?
La tabella seguente elenca il set di autorizzazioni supportate da Amazon S3 in un file. ACL Il set di ACL autorizzazioni è lo stesso per un oggetto ACL e un bucket. ACL Tuttavia, a seconda del contesto (bucket ACL o oggettoACL), queste ACL autorizzazioni concedono autorizzazioni per bucket o operazioni sugli oggetti specifici. La tabella elenca le autorizzazioni e ne descrive il significato nel contesto degli oggetti e dei bucket.
Per ulteriori informazioni sulle ACL autorizzazioni nella console Amazon S3, consulta. Configurazione ACLs
ACLautorizzazioni | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Autorizzazione | Concessione a livello di bucket | Concessione a livello di oggetto | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
READ |
Consente all'assegnatario di elencare gli oggetti del bucket | Consente all'assegnatario di leggere i dati dell'oggetto e i relativi metadata | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
WRITE |
Consente all'assegnatario di creare nuovi oggetti del bucket. Per i proprietari di bucket e oggetti di oggetti esistenti, consente anche di eliminare e sovrascrivere tali oggetti. | Non applicabile | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
READ_ACP |
Consente al beneficiario di leggere il bucket ACL | Consente al beneficiario di leggere l'oggetto ACL | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
WRITE_ACP |
Consente al beneficiario di scrivere il file per il bucket applicabile ACL | Consente al beneficiario di scrivere il file per l'oggetto applicabile ACL | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
FULL_CONTROL |
Consente al beneficiario le autorizzazioni READ , WRITE , READ_ACP e WRITE_ACP sul bucket |
Consente al beneficiario le autorizzazioni READ , READ_ACP e WRITE_ACP sull'oggetto |
avvertimento
Prestare attenzione a concedere le autorizzazioni di accesso ai bucket e agli oggetti S3. Ad esempio, la concessione dell'accesso WRITE
a un bucket consente all'assegnatario di creare oggetti nel bucket. È vivamente consigliato di leggere tutta questa sezione Panoramica della lista di controllo degli accessi (ACL) prima di concedere autorizzazioni.
Mappatura delle autorizzazioni e delle ACL autorizzazioni relative alle politiche di accesso
Come illustrato nella tabella precedente, an ACL consente solo un insieme finito di autorizzazioni, rispetto al numero di autorizzazioni che è possibile impostare in una politica di accesso (vedere). Azioni politiche per Amazon S3 Ognuna di queste autorizzazioni permette di eseguire una o più operazioni di Amazon S3.
La tabella seguente mostra come ogni ACL autorizzazione è mappata alle autorizzazioni corrispondenti ai criteri di accesso. Come puoi vedere, la politica di accesso consente più autorizzazioni di unaACL. Si utilizza ACLs principalmente per concedere autorizzazioni di lettura/scrittura di base, simili alle autorizzazioni del file system. Per ulteriori informazioni su quando utilizzare un, vedere. ACL Identity and Access Management per Amazon S3
Per ulteriori informazioni sulle ACL autorizzazioni nella console Amazon S3, consulta. Configurazione ACLs
ACLautorizzazione | Autorizzazioni corrispondenti alla politica di accesso quando l'ACLautorizzazione viene concessa su un bucket | Autorizzazioni corrispondenti alla politica di accesso quando l'ACLautorizzazione viene concessa su un oggetto |
---|---|---|
READ |
s3:ListBucket , s3:ListBucketVersions e s3:ListBucketMultipartUploads |
s3:GetObject e s3:GetObjectVersion |
WRITE |
Il proprietario del bucket può creare, sovrascrivere ed eliminare qualsiasi oggetto nel bucket e il proprietario dell'oggetto ha Inoltre, quando il beneficiario è il proprietario del bucket, la concessione dell' |
Non applicabile |
READ_ACP |
s3:GetBucketAcl
|
s3:GetObjectAcl e s3:GetObjectVersionAcl |
WRITE_ACP |
s3:PutBucketAcl |
s3:PutObjectAcl e s3:PutObjectVersionAcl |
FULL_CONTROL |
Equivalente alla concessione di,, e READ autorizzazioni. WRITE READ_ACP WRITE_ACP ACL Di conseguenza, questa ACL autorizzazione corrisponde a una combinazione di autorizzazioni corrispondenti ai criteri di accesso. |
Equivalente alla concessione READ e WRITE_ACP ACL alle autorizzazioni. READ_ACP Di conseguenza, questa ACL autorizzazione corrisponde a una combinazione di autorizzazioni corrispondenti ai criteri di accesso. |
Chiavi di condizione
Quando concedi le autorizzazioni relative ai criteri di accesso, puoi utilizzare le chiavi di condizione per vincolare il valore di ACL su un oggetto utilizzando una policy bucket. Le seguenti chiavi di contesto corrispondono a. ACLs È possibile utilizzare queste chiavi di contesto per imporre l'uso di uno specifico ACL in una richiesta:
s3:x-amz-grant-read
– Richiedere l'accesso in lettura.s3:x-amz-grant-write
– Richiedere l'accesso in scrittura.s3:x-amz-grant-read-acp
‐ Richiede l'accesso in lettura al bucket. ACLs3:x-amz-grant-write-acp
‐ Richiede l'accesso in scrittura al ACL bucket.s3:x-amz-grant-full-control
– Richiedere il controllo completo.s3:x-amz-acl
– Richiedere una lista In scatola ACL.
Ad esempio, le politiche che coinvolgono intestazioni ACL specifiche, vedi. Concessione di s3: PutObject autorizzazione con una condizione che richiede al proprietario del bucket di ottenere il pieno controllo Per un elenco completo delle chiavi di condizione specifiche di Amazon S3, consulta Azioni, risorse e chiavi di condizione per Amazon S3 nel Service Authorization Reference.
Per ulteriori informazioni sulle autorizzazioni alle API operazioni S3 in base ai tipi di risorse S3, consulta. Autorizzazioni richieste per le operazioni di Amazon API S3
Valori aclRequired
per le richieste di Amazon S3
Per identificare le richieste Amazon S3 che richiedono ACLs l'autorizzazione, puoi utilizzare il aclRequired
valore nei log di accesso al server Amazon S3 o AWS CloudTrail. Il aclRequired
valore visualizzato nei CloudTrail nostri log di accesso al server di Amazon S3 dipende dalle operazioni richiamate e da determinate informazioni sul richiedente, sul proprietario dell'oggetto e sul proprietario del bucket. Se non è ACLs necessario, se stai impostando il bucket-owner-full-control
valore predefinito o se le richieste sono consentite dalla tua bucket policy, la stringa di aclRequired
valore è "-
" nei log di accesso al server di Amazon S3 ed è assente in. ACL CloudTrail
Le tabelle seguenti elencano i aclRequired
valori previsti nei nostri log CloudTrail di accesso al server Amazon S3 per le varie operazioni di Amazon S3. API Puoi utilizzare queste informazioni per capire da cosa dipende ACLs l'autorizzazione delle operazioni di Amazon S3. Nelle tabelle seguenti, A, B e C rappresentano i diversi account associati al richiedente, al proprietario dell'oggetto e al proprietario del bucket. Le voci con un asterisco (*) indicano uno degli account A, B o C.
Nota
PutObject
le operazioni nella tabella seguente, se non diversamente specificato, indicano le richieste che non impostano unACL, a meno che non ACL sia un bucket-owner-full-control
ACL. Un valore nullo per aclRequired
indica che aclRequired
è assente in AWS CloudTrail registri.
aclRequired valori per CloudTrail | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Nome operazione | Richiedente | Proprietario dell'oggetto. | Proprietario del bucket | La politica dei bucket garantisce l'accesso | aclRequired value |
Motivo | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
GetObject |
A | A | A | Sì o No | null | Accesso allo stesso account | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | B | A | Sì o No | null | È stato imposto l'accesso allo stesso account con il proprietario del bucket | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | A | B | Sì | null | Accesso tra account a causa della politica tra account | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | A | B | No | Sì | L'accesso su più account si basa su ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | A | B | Sì | null | Accesso tra account a causa della politica tra account | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | B | B | No | Sì | L'accesso tra account diversi si basa su ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | B | C | Sì | null | Accesso tra account a causa della politica tra account | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | B | C | No | Sì | L'accesso tra account diversi si basa su ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
PutObject |
A | Non applicabile | A | Sì o No | null | Accesso allo stesso account | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | Non applicabile | B | Sì | null | Accesso tra account a causa della politica tra account | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | Non applicabile | B | No | Sì | L'accesso tra account diversi si basa su ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
PutObject con un ACL (eccetto per) bucket-owner-full-control |
* | Non applicabile | * | Sì o No | Sì | Richiedi sovvenzioni ACL | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListObjects |
A | Non applicabile | A | Sì o No | null | Accesso allo stesso account | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | Non applicabile | B | Sì | null | Accesso tra account a causa della politica tra account | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | Non applicabile | B | No | Sì | L'accesso su più account si basa su ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DeleteObject |
A | Non applicabile | A | Sì o No | null | Accesso allo stesso account | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | Non applicabile | B | Sì | null | Accesso tra account a causa della politica tra account | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | Non applicabile | B | No | Sì | L'accesso tra account diversi si basa su ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
PutObjectAcl |
* | * | * | Sì o No | Sì | Richiedi sovvenzioni ACL | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
PutBucketAcl |
* | Non applicabile | * | Sì o No | Sì | Richiedi sovvenzioni ACL |
Nota
REST.PUT.OBJECT
le operazioni nella tabella seguente, se non diversamente specificato, indicano le richieste che non impostano unACL, a meno che non sia a. ACL bucket-owner-full-control
ACL Una stringa di valori aclRequired
di "-
" indica un valore nullo nei log di accesso al server Amazon S3.
Valori aclRequired per i log di accesso al server Amazon S3 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Nome operazione | Richiedente | Proprietario dell'oggetto. | Proprietario del bucket | La politica dei bucket garantisce l'accesso | aclRequired value |
Motivo | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
REST.GET.OBJECT |
A | A | A | Sì o No | - | Accesso allo stesso account | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | B | A | Sì o No | - | È stato imposto l'accesso allo stesso account con il proprietario del bucket | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | A | B | Sì | - | Accesso tra account a causa della politica tra account | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | A | B | No | Sì | L'accesso tra account diversi si basa su ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | B | B | Sì | - | Accesso tra account a causa della politica tra account | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | B | B | No | Sì | L'accesso tra account diversi si basa su ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | B | C | Sì | - | Accesso tra account a causa della politica tra account | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | B | C | No | Sì | L'accesso tra account diversi si basa su ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
REST.PUT.OBJECT |
A | Non applicabile | A | Sì o No | - | Accesso allo stesso account | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | Non applicabile | B | Sì | - | Accesso tra account a causa della politica tra account | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | Non applicabile | B | No | Sì | L'accesso tra account diversi si basa su ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
REST.PUT.OBJECT con un ACL (eccetto per) bucket-owner-full-control |
* | Non applicabile | * | Sì o No | Sì | Richiedi sovvenzioni ACL | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
REST.GET.BUCKET |
A | Non applicabile | A | Sì o No | - | Accesso allo stesso account | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | Non applicabile | B | Sì | - | Accesso tra account a causa della politica tra account | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | Non applicabile | B | No | Sì | L'accesso su più account si basa su ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
REST.DELETE.OBJECT |
A | Non applicabile | A | Sì o No | - | Accesso allo stesso account | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | Non applicabile | B | Sì | - | Accesso tra account a causa della politica tra account | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
A | Non applicabile | B | No | Sì | L'accesso tra account diversi si basa su ACL | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
REST.PUT.ACL |
* | * | * | Sì o No | Sì | Richiedi sovvenzioni ACL |
Esempio ACL
L'esempio seguente ACL su un bucket identifica il proprietario della risorsa e una serie di sovvenzioni. Il formato è la XML rappresentazione di un ACL in Amazon S3 RESTAPI. Il proprietario del bucket ha il FULL_CONTROL
della risorsa. Inoltre, ACL mostra come vengono concesse le autorizzazioni su una risorsa a due Account AWS, identificato da un ID utente canonico, e due dei gruppi Amazon S3 predefiniti descritti nella sezione precedente.
<?xml version="1.0" encoding="UTF-8"?> <AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Owner> <ID>Owner-canonical-user-ID</ID> <DisplayName>display-name</DisplayName> </Owner> <AccessControlList> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser"> <ID>Owner-canonical-user-ID</ID> <DisplayName>display-name</DisplayName> </Grantee> <Permission>FULL_CONTROL</Permission> </Grant> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser"> <ID>user1-canonical-user-ID</ID> <DisplayName>display-name</DisplayName> </Grantee> <Permission>WRITE</Permission> </Grant> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser"> <ID>user2-canonical-user-ID</ID> <DisplayName>display-name</DisplayName> </Grantee> <Permission>READ</Permission> </Grant> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Group"> <URI>http://acs.amazonaws.com/groups/global/AllUsers</URI> </Grantee> <Permission>READ</Permission> </Grant> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Group"> <URI>http://acs.amazonaws.com/groups/s3/LogDelivery</URI> </Grantee> <Permission>WRITE</Permission> </Grant> </AccessControlList> </AccessControlPolicy>
In scatola ACL
Amazon S3 supporta una serie di sovvenzioni predefinite, note come predefinite. ACLs Ogni prodotto predefinito ACL ha un set predefinito di concessionari e autorizzazioni. La tabella seguente elenca l'insieme delle sovvenzioni predefinite e le sovvenzioni predefinite associateACLs.
In scatola ACL | Si applica a | Autorizzazioni aggiunte a ACL |
---|---|---|
private |
Bucket e oggetto | Il proprietario ottiene il FULL_CONTROL . Nessun altro ha diritti di accesso (impostazione predefinita). |
public-read |
Bucket e oggetto | Il proprietario ottiene il FULL_CONTROL . Il gruppo AllUsers (consulta Che cosa si intende per assegnatario?) ottiene l'accesso READ . |
public-read-write |
Bucket e oggetto | Il proprietario ottiene il FULL_CONTROL . Il gruppo AllUsers ottiene l'accesso READ e WRITE . In genere la concessione di queste autorizzazioni su un bucket non è consigliata. |
aws-exec-read |
Bucket e oggetto | Il proprietario ottiene il FULL_CONTROL . Amazon EC2 ottiene READ l'accesso a GET un pacchetto Amazon Machine Image (AMI) da Amazon S3. |
authenticated-read |
Bucket e oggetto | Il proprietario ottiene il FULL_CONTROL . Il gruppo AuthenticatedUsers ottiene l'accesso READ . |
bucket-owner-read |
Oggetto | Il proprietario dell'oggetto ottiene il FULL_CONTROL . Il proprietario del bucket ottiene l'accesso READ . Se lo specifichi preimpostato ACL durante la creazione di un bucket, Amazon S3 lo ignora. |
bucket-owner-full-control |
Oggetto | Sia il proprietario dell'oggetto che il proprietario del bucket ottengono il FULL_CONTROL dell'oggetto. Se lo specifichi preimpostato ACL durante la creazione di un bucket, Amazon S3 lo ignora. |
log-delivery-write |
Bucket | Il gruppo LogDelivery ottiene le autorizzazioni WRITE e READ_ACP sul bucket. Per ulteriori informazioni sui log, consulta (Registrazione delle richieste con registrazione dell'accesso al server). |
Nota
Puoi specificare solo uno di questi valori predefiniti nella tua richiesta. ACLs
Specificate un valore predefinito ACL nella vostra richiesta utilizzando l'intestazione della x-amz-acl
richiesta. Quando Amazon S3 riceve una richiesta con un valore predefinito ACL nella richiesta, aggiunge le concessioni predefinite alla risorsa. ACL