Procedure guidate di esempio: gestione dell'accesso alle risorse di Amazon S3 - Amazon Simple Storage Service

Procedure guidate di esempio: gestione dell'accesso alle risorse di Amazon S3

Questo argomento contiene i seguenti esempi di procedure guidate introduttive per concedere l'accesso alle risorse di Amazon S3. In questi esempi viene utilizzata la AWS Management Console per creare risorse (bucket, oggetti, utenti) e concedere loro le autorizzazioni. Gli esempi mostrano quindi come verificare le autorizzazioni utilizzando gli strumenti a riga di comando per evitare di scrivere il codice. Forniamo comandi usando sia la AWS Command Line Interface (CLI) che AWS Tools for Windows PowerShell.

  • Esempio 1: il proprietario del bucket concede agli utenti le autorizzazioni per il bucket

    Per default, gli utenti IAM creati nell'account non dispongono delle autorizzazioni. In questo esercizio agli utenti verrà concessa un'autorizzazione per eseguire le operazioni sui bucket e sugli oggetti.

  • Esempio 2: il proprietario del bucket concede autorizzazioni per il bucket multiaccount

    In questo esercizio un proprietario del bucket, Account A, concede le autorizzazioni multiaccount a un altro Account AWS, Account B, che delega quindi queste autorizzazioni agli utenti nel suo account.

  • Gestione delle autorizzazioni per l'oggetto quando il proprietario dell'oggetto non corrisponde al proprietario del bucket

    Gli scenari di esempio in questo caso riguardano un proprietario del bucket che concede ad altri le autorizzazioni per l'oggetto, sebbene non tutti gli oggetti nel bucket siano di sua proprietà. Di quali autorizzazioni ha bisogno il proprietario del bucket e come può delegare tali autorizzazioni?

    L'Account AWS che crea un bucket è denominato proprietario del bucket. Il proprietario può concedere ad altri Account AWS l'autorizzazione per caricare gli oggetti. Gli oggetti sono di proprietà degli Account AWS che li hanno creati. Il proprietario del bucket non dispone delle autorizzazioni per gli oggetti creati dagli altri Account AWS. Se il proprietario del bucket scrive una policy di bucket per concedere l'accesso agli oggetti, tale policy non si applica agli oggetti di proprietà di altri account.

    In questo caso il proprietario dell'oggetto deve in primo luogo concedere le autorizzazioni al proprietario del bucket utilizzando un'ACL dell'oggetto. Il proprietario del bucket può quindi delegare queste autorizzazioni per l'oggetto ad altri, agli utenti nel proprio account o a un altro Account AWS, come mostrano gli esempi riportati di seguito.

Prima di provare le procedure guidate di esempio

In questi esempi viene utilizzata la AWS Management Console per creare risorse e concedere autorizzazioni. Per testare le autorizzazioni, negli esempi vengono utilizzati gli strumenti a riga di comando, AWS Command Line Interface (CLI) e AWS Tools for Windows PowerShell, pertanto non è necessario scrivere alcun codice. Per testare le autorizzazioni, sarà necessario impostare uno di questi strumenti. Per ulteriori informazioni, consulta Configurazione degli strumenti per le procedure guidate di esempio.

Inoltre, quando si creano risorse, negli esempi non vengono utilizzate le credenziali root di un Account AWS. ma viene creato un utente amministratore in questi account per eseguire queste attività.

Informazioni sull'uso di un utente amministratore per creare risorse e concedere autorizzazioni

AWS Identity and Access Management (IAM) sconsiglia di utilizzare le credenziali root dell'Account AWS per effettuare richieste. Invece, crea un utente IAM, concedi a tale utente l'accesso completo, quindi utilizza le credenziali dell'utente per fare richieste. Questo utente viene definito utente amministratore. Per ulteriori informazioni, consulta la sezione Credenziali dell'account root e credenziali dell'utente IAM nei riferimenti generali su AWS e la sezione Best practice di IAM nella Guida per l'utente di IAM.

In tutte le procedure guidate di esempio riportate in questa sezione vengono utilizzate le credenziali dell'utente amministratore. Se non è stato ancora creato un utente amministratore per l'Account AWS, negli argomenti di questa sezione viene illustrato come crearlo.

Si noti che, per accedere alla AWS Management Console utilizzando le proprie credenziali, è necessario utilizzare l'URL di accesso dell'utente IAM. Si tratta dell'URL fornito dalla console IAM per l'Account AWS. Negli argomenti di questa sezione viene illustrato come ottenere l'URL.