Esempio 3: il proprietario del bucket concede autorizzazioni per gli oggetti che non sono di sua proprietà - Amazon Simple Storage Service
Fase 0: preparazione della procedura guidataFase 1: esecuzione delle attività per l'Account AFase 2: esecuzione delle attività per l'Account BFase 3: testare le autorizzazioni Fase 4: pulizia

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempio 3: il proprietario del bucket concede autorizzazioni per gli oggetti che non sono di sua proprietà

Importante

Concedere le autorizzazioni ai ruoli IAM è una pratica migliore rispetto alla concessione delle autorizzazioni ai singoli utenti. Per informazioni su come effettuare questa operazione, consulta Comprensione delle autorizzazioni tra account e utilizzo dei ruoli IAM.

Lo scenario di questo esempio è che il proprietario del bucket desidera concedere l'autorizzazione per accedere agli oggetti, ma il proprietario del bucket non possiede tutti gli oggetti nel bucket. In questo esempio, il proprietario del bucket tenta di concedere autorizzazioni agli utenti nel proprio account.

Il proprietario di un bucket può consentire ad altri Account AWS di caricare oggetti. Per impostazione predefinita, il proprietario del bucket non possiede oggetti scritti su un bucket da un altro Account AWS. Gli oggetti sono di proprietà degli account che li scrivono in un bucket S3. Se il proprietario del bucket non possiede oggetti nel bucket, deve prima concedere l'autorizzazione al proprietario del bucket utilizzando una lista di controllo dell'accesso agli oggetti (ACL). Quindi, il proprietario del bucket può concedere le autorizzazioni a un oggetto di cui non è proprietario. Per ulteriori informazioni, consulta Proprietà di bucket e oggetti di Amazon S3.

Se il proprietario del bucket esegue l'impostazione proprietario del bucket applicato per S3 Object Ownership per il bucket, il proprietario del bucket possiederà tutti gli oggetti nel bucket, inclusi gli oggetti scritti da un altro Account AWS. Questo approccio risolve il problema che gli oggetti non sono di proprietà del proprietario del bucket. Quindi, puoi delegare le autorizzazioni agli utenti nel tuo account o ad altri Account AWS.

Nota

S3 Proprietà dell'oggetto è un'impostazione a livello di bucket Amazon S3 che è possibile utilizzare per controllare la proprietà degli oggetti caricati nel bucket e per disabilitare o abilitare le liste di controllo degli accessi (ACL). Per impostazione predefinita, Proprietà dell'oggetto è impostata su Proprietario del bucket applicato e tutte le liste di controllo degli accessi (ACL) sono disabilitate. Quando le ACL sono disabilitate, il proprietario del bucket dispone di tutti gli oggetti nel bucket e gestisce l'accesso ad essi in maniera esclusiva utilizzando policy di gestione dell'accesso.

La maggior parte degli attuali casi d'uso in Amazon S3 non richiede più l'uso delle ACL. È consigliabile mantenere le ACL disabilitate, tranne nelle circostanze in cui è necessario controllare individualmente l'accesso per ciascun oggetto. Con le ACL disabilitate, puoi utilizzare le policy per controllare l'accesso a tutti gli oggetti nel bucket, a prescindere da chi ha caricato gli oggetti nel bucket. Per ulteriori informazioni, consulta Controllo della proprietà degli oggetti e disabilitazione degli ACL per il bucket.

In questo esempio supponiamo che il proprietario del bucket non abbia applicato l'impostazione proprietario del bucket applicato per Object Ownership. Il proprietario del bucket delega queste autorizzazioni agli utenti nel suo account. Di seguito è riportato un riepilogo dei passaggi dettagliati:

Il proprietario di un bucket concede autorizzazioni a oggetti di cui non è proprietario.

  1. L'utente amministratore dell'Account A collega una policy di bucket con due istruzioni.

    • Concedere all'Account B autorizzazioni multiaccount per caricare oggetti.

    • Consentire a un utente nel proprio account di accedere agli oggetti nel bucket.

  2. L'utente amministratore dell'account B carica gli oggetti nel bucket di proprietà dell'Account A.

  3. L'amministratore dell'Account B aggiorna l'ACL dell'oggetto e concede al proprietario del bucket l'autorizzazione al controllo completo sull'oggetto.

  4. L'utente dell'Account A fa una verifica accedendo agli oggetti nel bucket, indipendentemente da chi ne ha la proprietà.

Per questo utente, sono necessari due account. La tabella seguente mostra come viene fatto riferimento a questi account e agli utenti amministratori degli account: In questa spiegazione passo per passo, non si utilizzano le credenziali dell'utente root dell'account, in base a quanto riportato nelle linee guida IAM consigliate. Per ulteriori informazioni, consulta Informazioni sull'uso di un utente amministratore per creare risorse e concedere autorizzazioni. Viene invece creato un utente amministratore in ciascun account e le credenziali vengono utilizzate per la creazione di risorse e per concedere autorizzazioni a tali risorse

Account AWS ID Account denominato Amministratore nell'account

1111-1111-1111

Account A

AccountAadmin

2222-2222-2222

Account B

AccountBadmin

Tutte le attività di creazione degli utenti e assegnazione delle autorizzazioni vengono effettuate nella AWS Management Console. Per verificare le autorizzazioni, la procedura dettagliata utilizza gli strumenti della riga di comando, AWS Command Line Interface (AWS CLI) e AWS Tools for Windows PowerShell quindi non è necessario scrivere alcun codice.

Fase 0: preparazione della procedura guidata

  1. Assicurati di averne due Account AWS e che ogni account abbia un amministratore, come mostrato nella tabella nella sezione precedente.

    1. Iscriviti a un Account AWS, se necessario.

    2. Utilizzando le credenziali dell'Account A, accedi alla console IAM e procedi come segue per creare un utente amministratore:

      • Crea utente AccountAadmin e annota le credenziali di sicurezza dell'utente. Per ulteriori informazioni sull'aggiunta di utenti, consulta Creazione di un utente IAM nell' Account AWS nella Guida per l'utente di IAM.

      • Concedi le autorizzazioni di amministratore AccountAadminallegando una politica utente che dia accesso completo. Per le istruzioni, consulta Gestione di policy IAM nella Guida per l'utente di IAM.

      • Nella dashboard della console IAM, annota l'URL di accesso utente IAM. Gli utenti di questo account devono utilizzare questo URL per accedere alla AWS Management Console. Per ulteriori informazioni, consulta In che modo gli utenti effettuano l'accesso al tuo account nella Guida per l'utente IAM.

    3. Ripeti il passaggio precedente utilizzando le credenziali dell'account B e crea l'utente amministratore. AccountBadmin

  2. Configura AWS CLI o gli strumenti per Windows. PowerShell Assicurati di salvare le credenziali di amministratore nel modo seguente:

    • Se usi il AWS CLI, crea due profili AccountAadmin eAccountBadmin, nel file di configurazione.

    • Se utilizzi gli Strumenti per Windows PowerShell, assicurati di memorizzare le credenziali per la sessione come AccountAadmin e. AccountBadmin

    Per istruzioni, consulta Configurazione degli strumenti per le procedure dettagliate.

Fase 1: esecuzione delle attività per l'Account A

Esegui le operazioni riportate di seguito per l'Account A:

Fase 1.1: Accesso alla console

Utilizzando l'URL di accesso utente IAM per l'account A, accedi all'utente AWS Management Console asAccountAadmin. L'utente creerà un bucket e allegherà ad esso una policy.

Fase 1.2: Creazione di un bucket e di un utente e aggiunta di una policy di bucket che concede le autorizzazioni utente

  1. Nella console di Amazon S3 creare un bucket. Questo esercizio presuppone che il bucket sia stato creato negli Stati Uniti orientali (Virginia settentrionale) Regione AWS e che il nome sia. example-s3-bucket1

    Per istruzioni, consulta Creazione di un bucket.

  2. Nella console IAM, crea un utente. Dave

    Per step-by-step istruzioni, consulta Creazione di utenti IAM (console) nella Guida per l'utente IAM.

  3. Prendi nota delle credenziali dell'utente Dave.

  4. Nella console di Amazon S3 collegare la seguente policy del bucket a example-s3-bucket1. Per istruzioni, consulta Aggiunta di una policy di bucket utilizzando la console di Amazon S3. Seguire le fasi per l'aggiunta di una policy di bucket. Per informazioni su come trovare gli ID degli account, vedi Ricerca del tuo Account AWS ID.

    La policy concede all'Account B le autorizzazioni s3:PutObject e s3:ListBucket. La politica concede inoltre l's3:GetObjectautorizzazione Dave all'utente. 

    {
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "Statement1",
         "Effect": "Allow",
         "Principal": {
            "AWS": "arn:aws:iam::AccountB-ID:root"
         },
         "Action": [
            "s3:PutObject",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::example-s3-bucket1/*",
            "arn:aws:s3:::example-s3-bucket1"
         ]
      },
      {
         "Sid": "Statement3",
         "Effect": "Allow",
         "Principal": {
            "AWS": "arn:aws:iam::AccountA-ID:user/Dave"
         },
         "Action": [
            "s3:GetObject"
         ],
         "Resource": [
            "arn:aws:s3:::example-s3-bucket1/*"
         ]
      }  
   ]
}

Fase 2: esecuzione delle attività per l'Account B

Ora che l'Account B dispone delle autorizzazioni per eseguire operazioni sul bucket dell'Account A, l'amministratore dell'Account B esegue le seguenti operazioni:

  • Carica un oggetto nel bucket dell'Account A

  • Aggiunge una concessione nell'ACL dell'oggetto per consentire all'account A, il proprietario del bucket, il pieno controllo

Utilizzando il AWS CLI

  1. Utilizzando il put-object AWS CLI comando, caricate un oggetto. Il parametro --body nel comando identifica il file di origine da caricare. Ad esempio, se il file si trova sull'C:unità di una Windows macchina, specificatec:\HappyFace.jpg. Il parametro --key fornisce il nome della chiave dell'oggetto. 

    aws s3api put-object --bucket example-s3-bucket1 --key HappyFace.jpg --body HappyFace.jpg --profile AccountBadmin

  2. Aggiungere un'autorizzazione nell'ACL dell'oggetto per concedere controllo completo dell'oggetto al proprietario del bucket. Per informazioni su come trovare un ID utente canonico, consulta Trova l'ID utente canonico per te Account AWS nella AWS Account Management Reference Guide.

    aws s3api put-object-acl --bucket example-s3-bucket1 --key HappyFace.jpg --grant-full-control id="AccountA-CanonicalUserID" --profile AccountBadmin
Utilizzo degli strumenti per Windows PowerShell

  1. Utilizzando il Write-S3Object comando, caricate un oggetto. 

    Write-S3Object -BucketName example-s3-bucket1 -key HappyFace.jpg -file HappyFace.jpg -StoredCredentials AccountBadmin

  2. Aggiungere un'autorizzazione nell'ACL dell'oggetto per concedere controllo completo dell'oggetto al proprietario del bucket.

    Set-S3ACL -BucketName example-s3-bucket1 -Key HappyFace.jpg -CannedACLName "bucket-owner-full-control" -StoredCreden

Fase 3: testare le autorizzazioni

A questo punto, verifica se l'utente Dave nell'Account A ha accesso all'oggetto di proprietà dell'Account B.

Usando il AWS CLI

  1. Aggiungi le credenziali dell'utente Dave al file di AWS CLI configurazione e crea un nuovo profilo,. UserDaveAccountA Per ulteriori informazioni, consulta Configurazione degli strumenti per le procedure dettagliate.

    [profile UserDaveAccountA]
aws_access_key_id = access-key
aws_secret_access_key = secret-access-key
region = us-east-1

  2. Esegui il comando della CLI di get-object per scaricare HappyFace.jpg e salvarlo in locale. Le credenziali dell'utente Dave vengono fornite aggiungendo il parametro --profile.

    aws s3api get-object --bucket example-s3-bucket1 --key HappyFace.jpg Outputfile.jpg --profile UserDaveAccountA
Utilizzo degli strumenti per Windows PowerShell

  1. Archivia AWS le credenziali dell'utente Dave, comeUserDaveAccountA, nell'archivio persistente. 

    Set-AWSCredentials -AccessKey UserDave-AccessKey -SecretKey UserDave-SecretAccessKey -storeas UserDaveAccountA

  2. Esegui il comando Read-S3Object per scaricare l'oggetto HappyFace.jpg e salvarlo in locale. Le credenziali dell'utente Dave vengono fornite aggiungendo il parametro -StoredCredentials. 

    Read-S3Object -BucketName example-s3-bucket1 -Key HappyFace.jpg -file HappyFace.jpg  -StoredCredentials UserDaveAccountA

Fase 4: pulizia

  1. Dopo aver terminato il test, puoi effettuare le seguenti operazioni per ripulire:

    1. Accedi alla AWS Management Console utilizzando le credenziali dell'Account A e procedere come di seguito:

      • Nella console Amazon S3, rimuovi la policy bucket allegata a example-s3-bucket1. Nella sezione Properties (Proprietà) del bucket, eliminare la policy nella sezione Permissions (Autorizzazioni).

      • Se il bucket è stato creato per questo esercizio, nella console di Amazon S3 eliminare gli oggetti e quindi il bucket.

      • Nella console IAM, rimuovi l'utente. AccountAadmin Per step-by-step istruzioni, consulta Eliminazione di un utente IAM nella Guida per l'utente IAM.

  2. Accedere alla AWS Management Console tramite le credenziali dell'Account B. Nella console IAM, elimina l'utente AccountBadmin.