Gestione degli accessi con le ACL - Amazon Simple Storage Service

Gestione degli accessi con le ACL

Le liste di controllo accessi (ACL) sono una delle opzioni basate su risorse (consultare Panoramica sulla gestione degli accessi) utilizzabili per gestire l'accesso ai bucket e agli oggetti. Le ACL possono essere utilizzate per concedere autorizzazioni base di lettura/scrittura ad altri Account AWS. Esistono dei limiti alla gestione delle autorizzazioni tramite le ACL.

Ad esempio, è possibile concedere le autorizzazioni solo ad altri Account AWS.; non è possibile concedere autorizzazioni a utenti del proprio account. Non si possono concedere autorizzazioni condizionali e non è possibile rifiutare le autorizzazioni in modo esplicito. Le ACL sono idonee per scenari specifici. Ad esempio, se il proprietario del bucket consente ad altri Account AWS di caricare oggetti, le autorizzazioni relative a tali oggetti possono essere gestite solo tramite le ACL degli oggetti dall'Account AWS proprietario degli oggetti stessi.

Per impostazione predefinita, quando un altro Account AWS carica un oggetto nel bucket S3, tale account (l'object writer) possiede l'oggetto, ne ha accesso e può concedere ad altri utenti l'accesso tramite ACL. È possibile utilizzare Object Ownership per modificare questo comportamento di default in modo che le ACL siano disabilitate e che tu, in qualità di proprietario del bucket, possieda automaticamente ogni oggetto nel tuo bucket. Di conseguenza, il controllo degli accessi per i tuoi dati è basato su policy, come policy IAM, policy bucket S3, policy endpoint del cloud privato virtuale (VPC) e policy di controllo dei servizi (SCP) di AWS Organizations.

La maggior parte dei casi d'uso moderni in Amazon S3 non richiede più l'uso di ACL ed è consigliabile disabilitarle tranne in circostanze straordinarie in cui è necessario controllare l'accesso individualmente per ciascun oggetto. Con Object Ownership, è possibile disabilitare le ACL e fare affidamento sulle policy per il controllo degli accessi. Quando si disabilitano le ACL, è possibile mantenere facilmente un bucket con oggetti caricati da diversi Account AWS. In qualità di proprietario del bucket, possiedi tutti gli oggetti nel bucket e puoi gestirne l'accesso utilizzando le policy. Per ulteriori informazioni, consulta Controllo della proprietà degli oggetti e disabilitazione degli ACL per il bucket.

Importante

Se il bucket utilizza l'impostazione proprietario del bucket applicato per S3 Object Ownership, è necessario utilizzare le policy per concedere l'accesso al bucket e agli oggetti in esso contenuti. Le richieste di configurazione o di aggiornamento delle ACL sono respinte e restituiscono il codice di errore AccessControlListNotSupported. Le richieste di lettura delle ACL sono ancora supportate.

Per ulteriori informazioni sugli ACL, consulta i seguenti argomenti: