Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione ACLs
Questa sezione spiega come gestire le autorizzazioni di accesso per i bucket e gli oggetti S3 utilizzando gli elenchi di controllo degli accessi (). ACLs Puoi aggiungere sovvenzioni alla tua risorsa ACL utilizzando AWS Management Console, AWS Command Line Interface (CLI), o. REST API AWS SDKs
Le autorizzazioni per il bucket e gli oggetti sono indipendenti l'una dall'altra. Un oggetto non eredita le autorizzazioni dal bucket a cui appartiene. Se ad esempio si crea un bucket e si concede l'accesso in scrittura a un utente, non sarà possibile accedere agli oggetti di tale utente a meno che questi non conceda esplicitamente l'accesso.
Puoi concedere autorizzazioni ad altri Account AWS utenti o a gruppi predefiniti. L'utente o il gruppo a cui si concedono le autorizzazioni è denominato assegnatario. Per impostazione predefinita, il proprietario, che è colui Account AWS che ha creato il bucket, dispone delle autorizzazioni complete.
Ogni autorizzazione concessa a un utente o a un gruppo aggiunge una voce associata al bucket. ACL Gli ACL elenchi delle concessioni, che identificano il beneficiario e l'autorizzazione concessa.
S3 Object Ownership è un'impostazione a livello di bucket di Amazon S3 che puoi utilizzare sia per controllare la proprietà degli oggetti caricati nel tuo bucket sia per disabilitarli o abilitarli. ACLs Per impostazione predefinita, Object Ownership è impostata sull'impostazione imposta dal proprietario del Bucket e tutti sono disabilitati. ACLs Quando ACLs sono disabilitati, il proprietario del bucket possiede tutti gli oggetti nel bucket e ne gestisce l'accesso esclusivamente utilizzando le politiche di gestione degli accessi.
La maggior parte dei casi d'uso moderni in Amazon S3 non richiede più l'uso di. ACLs Ti consigliamo di rimanere ACLs disabilitato, tranne in circostanze insolite in cui devi controllare l'accesso per ogni oggetto singolarmente. ACLsDisabilitando, puoi utilizzare le policy per controllare l'accesso a tutti gli oggetti nel tuo bucket, indipendentemente da chi ha caricato gli oggetti nel tuo bucket. Per ulteriori informazioni, consulta Controllo della proprietà degli oggetti e disattivazione ACLs del bucket.
Importante
Se il bucket utilizza l'impostazione Proprietario del bucket applicato per Proprietà dell'oggetto S3, è necessario utilizzare le policy per concedere l'accesso al bucket e agli oggetti in esso contenuti. Con l'impostazione forzata del proprietario del Bucket abilitata, le richieste di impostazione degli elenchi di controllo degli accessi (ACLs) o di aggiornamento hanno ACLs esito negativo e restituiscono il codice di errore. AccessControlListNotSupported
Le richieste di lettura ACLs sono ancora supportate.
avvertimento
Si consiglia vivamente di evitare di concedere l'accesso in scrittura ai gruppi Everyone (accesso pubblico) o Authenticated Users (tutti gli utenti AWS autenticati). Per maggiori informazioni sugli effetti della concessione dell'accesso in scrittura a questi gruppi, consulta Gruppi predefiniti di Amazon S3.
La console visualizza le concessioni di accesso combinate per gli assegnatari duplicati. Per visualizzare l'elenco completo diACLs, usa Amazon S3 REST API AWS CLI, o. AWS SDKs
La tabella seguente mostra le ACL autorizzazioni che puoi configurare per i bucket nella console Amazon S3.
Autorizzazione console | ACLautorizzazione | Accesso |
---|---|---|
Oggetti – Elenco | READ |
Consente all'assegnatario di elencare gli oggetti del bucket. |
Oggetti - Scrittura | WRITE |
Consente all'assegnatario di creare nuovi oggetti del bucket. Per i proprietari di bucket e oggetti di oggetti esistenti, consente anche di eliminare e sovrascrivere tali oggetti. |
Bucket ACL - Leggi | READ_ACP |
Consente al beneficiario di leggere il bucket. ACL |
Bucket - Scrivi ACL | WRITE_ACP |
Consente al beneficiario di scrivere il file ACL per il bucket applicabile. |
Everyone (Tutti) (accesso pubblico): Oggetti - Elenco | READ |
Concede l'accesso pubblico in lettura per gli oggetti nel bucket. Quando si concede l'accesso all'elenco a Everyone (Tutti) (accesso pubblico), chiunque al mondo può accedere agli oggetti nel bucket. |
Tutti (accesso pubblico): Bucket - Read ACL | READ_ACP |
Garantisce l'accesso pubblico alla lettura del bucket. ACL Quando concedi l'accesso in lettura a Everyone (accesso pubblico), chiunque nel mondo può accedere al bucket. ACL |
Per ulteriori informazioni sulle ACL autorizzazioni, consulta. Panoramica della lista di controllo degli accessi (ACL)
Importante
Se il bucket utilizza l'impostazione Proprietario del bucket applicato per Proprietà dell'oggetto S3, è necessario utilizzare le policy per concedere l'accesso al bucket e agli oggetti in esso contenuti. Con l'impostazione forzata del proprietario di Bucket abilitata, le richieste di impostazione degli elenchi di controllo di accesso (ACLs) o di aggiornamento hanno ACLs esito negativo e restituiscono il AccessControlListNotSupported
codice di errore. Le richieste di lettura ACLs sono ancora supportate.
Per impostare ACL le autorizzazioni per un bucket
Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/
-
Nell'elenco Buckets (Bucket) scegliere il nome del bucket per cui impostare le autorizzazioni.
-
Seleziona Autorizzazioni.
-
In Lista di controllo degli accessi (ACL), seleziona Modifica.
Puoi modificare le seguenti ACL autorizzazioni per il bucket:
Oggetti
-
List: consente all'assegnatario di elencare gli oggetti nel bucket.
-
Scrittura – Consente all'assegnatario di creare nuovi oggetti nel bucket. Per i proprietari di bucket e oggetti di oggetti esistenti, consente anche di eliminare e sovrascrivere tali oggetti.
Nella console S3, puoi concedere l'accesso in scrittura solo al gruppo di consegna dei log S3 e al proprietario del bucket (il tuo). Account AWS Ti consigliamo vivamente di non concedere l'accesso in scrittura ad altri utenti. Tuttavia, se devi concedere l'accesso in scrittura, puoi usare AWS CLI AWS SDKs, o il. REST API
Secchio ACL
-
Leggi: consente al beneficiario di leggere il bucket. ACL
-
Scrittura: consente al beneficiario di scrivere il file per il ACL bucket applicabile.
-
-
Per modificare le autorizzazioni del proprietario del bucket, oltre a Proprietario del bucket (tuo Account AWS), deseleziona o seleziona una delle seguenti autorizzazioni: ACL
-
Oggetti – Elenco o scrittura
-
Bucket ACL : leggi o scrivi
Il proprietario si riferisce a Utente root dell'account AWS, non a un AWS Identity and Access Management IAM utente. Per ulteriori informazioni sull'utente root, vedere The Utente root dell'account AWS in the IAM User Guide.
-
-
Per concedere o annullare le autorizzazioni per il pubblico generale (tutti gli utenti di Internet), accanto a Tutti (accesso pubblico), deseleziona o seleziona una delle seguenti ACL autorizzazioni:
-
Oggetti – Elenco
-
Bucket — Leggi ACL
avvertimento
Prestare attenzione nel concedere l'accesso pubblico al bucket S3 al gruppo Everyone (Tutti). Quando si concede l'accesso a questo gruppo, qualsiasi persona al mondo può accedere al bucket. Si consiglia di non concedere mai alcun tipo di accesso in scrittura pubblico al bucket S3.
-
-
Per concedere o annullare le autorizzazioni a chiunque disponga di un gruppo Account AWS, oltre al gruppo Authenticated Users (chiunque disponga di un Account AWS), deseleziona o seleziona una delle seguenti autorizzazioni: ACL
-
Oggetti – Elenco
-
ACLBucket — Leggi
-
-
Per concedere o annullare le autorizzazioni ad Amazon S3 per scrivere i log di accesso al server nel bucket, nel gruppo di consegna dei log S3, deseleziona o seleziona una delle seguenti autorizzazioni: ACL
-
Oggetti – Elenco o scrittura
-
Bucket: lettura o scrittura ACL
Se un bucket è configurato come bucket target per la ricezione dei log di accesso, le autorizzazioni del bucket devono permettere al gruppo Log Delivery (Distribuzione log) l'accesso in scrittura al bucket. Quando si abilita la registrazione degli accessi al server in un bucket, la console di Amazon S3 concede l'accesso in scrittura al gruppo Log Delivery (Distribuzione log) per il bucket di destinazione scelto per la ricezione dei log. Per ulteriori informazioni sulla registrazione degli accessi al server, consulta Abilitazione della registrazione degli accessi al server Amazon S3.
-
-
Per concedere l'accesso a un altro utente Account AWS, procedi come segue:
-
Scegli Aggiungi assegnatario.
-
Nella casella Assegnatario, inserisci l'ID canonico dell'altro Account AWS.
-
Seleziona una delle seguenti ACL autorizzazioni:
-
Oggetti – Elenco o scrittura
-
Bucket ACL: lettura o scrittura
-
avvertimento
Quando concedi ad altri Account AWS l'accesso alle tue risorse, tieni presente che Account AWS possono delegare le proprie autorizzazioni agli utenti tramite i rispettivi account. Questa operazione è nota con il nome di accesso multiaccount. Per informazioni sull'utilizzo dell'accesso su più account, consulta Creazione di un ruolo per delegare le autorizzazioni a un IAM utente nella Guida per l'utente. IAM
-
-
Per rimuovere l'accesso a un altro utente Account AWS, in Accesso per altri Account AWS, scegli Rimuovi.
-
Per salvare le modifiche, scegliere Save changes (Salva modifiche).
La console visualizza le concessioni di accesso combinate per gli assegnatari duplicati. Per visualizzare l'elenco completo diACLs, usa Amazon S3 REST API AWS CLI, o. AWS SDKs La tabella seguente mostra le ACL autorizzazioni che puoi configurare per gli oggetti nella console Amazon S3.
Autorizzazione console | ACLautorizzazione | Accesso |
---|---|---|
Oggetto - Lettura | READ |
Consente all'assegnatario di leggere i dati dell'oggetto e i relativi metadati. |
OggettoACL: leggi | READ_ACP |
Consente al beneficiario di leggere l'oggetto. ACL |
OggettoACL: scrittura | WRITE_ACP |
Consente al beneficiario di scrivere ACL per l'oggetto applicabile |
Per ulteriori informazioni sulle ACL autorizzazioni, vedere. Panoramica della lista di controllo degli accessi (ACL)
Importante
Se il bucket utilizza l'impostazione Proprietario del bucket applicato per Proprietà dell'oggetto S3, è necessario utilizzare le policy per concedere l'accesso al bucket e agli oggetti in esso contenuti. Con l'impostazione forzata del proprietario di Bucket abilitata, le richieste di impostazione degli elenchi di controllo di accesso (ACLs) o di aggiornamento hanno ACLs esito negativo e restituiscono il AccessControlListNotSupported
codice di errore. Le richieste di lettura ACLs sono ancora supportate.
Per impostare ACL le autorizzazioni per un oggetto
Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/
-
Nell'elenco Buckets (Bucket) scegliere il nome del bucket contenente l'oggetto.
-
Nell'elenco Oggetti, scegli il nome dell'oggetto per il quale si desidera impostare le autorizzazioni.
-
Seleziona Autorizzazioni.
-
In Elenco di controllo degli accessi (ACL), scegli Modifica.
È possibile modificare le seguenti ACL autorizzazioni per l'oggetto:
Oggetto
-
Read: consente all'assegnatario di leggere i dati dell'oggetto e i relativi metadati.
Oggetto ACL
-
Leggi: consente al beneficiario di leggere l'oggetto. ACL
-
Scrittura: consente al beneficiario di scrivere ACL per l'oggetto applicabile. Nella console S3, puoi concedere l'accesso in scrittura solo al proprietario del bucket (il tuo). Account AWS Ti consigliamo vivamente di non concedere l'accesso in scrittura ad altri utenti. Tuttavia, se devi concedere l'accesso in scrittura, puoi utilizzare il AWS CLI AWS SDKs, o il. REST API
-
-
È possibile gestire le autorizzazioni di accesso all'oggetto per i seguenti tipi di accesso:
-
Accesso per il proprietario dell'oggetto
Il proprietario si riferisce al Utente root dell'account AWS e non a un AWS Identity and Access Management IAM utente. Per ulteriori informazioni sull'utente root, vedere The Utente root dell'account AWS in the IAM User Guide.
Per modificare le autorizzazioni di accesso agli oggetti del proprietario, in Accesso per il proprietario dell'oggetto, scegli Il tuo AWS account (proprietario).
Selezionare le caselle di controllo per le autorizzazioni da modificare, quindi selezionare Save (Salva).
-
Accesso per altri Account AWS
Per concedere le autorizzazioni a un AWS utente di un altro utente Account AWS, in Accesso per altri Account AWS, scegli Aggiungi account. Nel campo Inserisci un ID, inserisci l'ID canonico dell' AWS utente a cui desideri concedere le autorizzazioni relative all'oggetto. Per informazioni sulla ricerca di un ID canonico, consulta I tuoi identificatori nel. Account AWSRiferimenti generali di Amazon Web Services È possibile aggiungere fino a 99 utenti.
Selezionare le caselle di controllo relative alle autorizzazioni da concedere all'utente, quindi selezionare Save (Salva). Per visualizzare informazioni sulle autorizzazioni, scegliere le icone della Guida in linea.
-
Accesso pubblico
Per concedere al pubblico (chiunque al mondo) l'accesso all'oggetto, in Public access (Accesso pubblico) scegliere Everyone (Tutti). La concessione delle autorizzazioni di accesso pubblico consente a chiunque di accedere all'oggetto.
Selezionare le caselle di controllo per le autorizzazioni da concedere, quindi selezionare Save (Salva).
avvertimento
-
Prestare attenzione quando si concede al gruppo Everyone (Tutti) l'accesso anonimo agli oggetti Amazon S3. Quando si concede l'accesso a questo gruppo, qualsiasi persona al mondo può accedere all'oggetto. Se è necessario concedere l'accesso a chiunque, è vivamente consigliato farlo solo per autorizzazioni di tipo Read objects (Leggi oggetti).
-
È vivamente sconsigliato autorizzare il gruppo Everyone (Tutti) alla scrittura dell'oggetto, In questo modo chiunque può sovrascrivere le ACL autorizzazioni per l'oggetto.
-
-
Questa sezione fornisce esempi di come configurare le concessioni di access control list (ACL) su bucket e oggetti.
Importante
Se il bucket utilizza l'impostazione Proprietario del bucket applicato per Proprietà dell'oggetto S3, è necessario utilizzare le policy per concedere l'accesso al bucket e agli oggetti in esso contenuti. Con l'impostazione forzata del proprietario di Bucket abilitata, le richieste di impostazione degli elenchi di controllo degli accessi (ACLs) o di aggiornamento hanno ACLs esito negativo e restituiscono il codice di errore. AccessControlListNotSupported
Le richieste di lettura ACLs sono ancora supportate.
Amazon S3 ti APIs consente di impostare un ACL quando crei un bucket o un oggetto. Amazon S3 consente inoltre API di impostare un oggetto ACL o un bucket esistente. Questi APIs forniscono i seguenti metodi per impostare un: ACL
-
Imposta ACL utilizzando le intestazioni di richiesta: quando invii una richiesta per creare una risorsa (bucket o oggetto), ne imposti una ACL utilizzando le intestazioni della richiesta. Utilizzando queste intestazioni, è possibile specificare una concessione predefinita o specificare in modo esplicito (identificando in ACL modo esplicito il beneficiario e le autorizzazioni).
-
Imposta ACL utilizzando il corpo della richiesta: quando invii una richiesta per impostare una ACL risorsa esistente, puoi impostarla nell'intestazione ACL o nel corpo della richiesta.
Per informazioni sul REST API supporto per la gestioneACLs, consulta le seguenti sezioni in Amazon Simple Storage Service API Reference:
Importante
Se il bucket utilizza l'impostazione Proprietario del bucket applicato per Proprietà dell'oggetto S3, è necessario utilizzare le policy per concedere l'accesso al bucket e agli oggetti in esso contenuti. Con l'impostazione forzata del proprietario di Bucket abilitata, le richieste di impostazione degli elenchi di controllo degli accessi (ACLs) o di aggiornamento hanno ACLs esito negativo e restituiscono il codice AccessControlListNotSupported
di errore. Le richieste di lettura ACLs sono ancora supportate.
Intestazioni di richiesta specifiche di Access Control List (ACL)
È possibile utilizzare le intestazioni per concedere autorizzazioni basate sulla lista di controllo degli accessi (ACL). Per impostazione predefinita, tutti gli oggetti sono privati. Solo il proprietario ha il controllo completo dell'accesso. Quando aggiungi un nuovo oggetto, puoi concedere autorizzazioni a singoli Account AWS o a gruppi predefiniti definiti da Amazon S3. Queste autorizzazioni vengono quindi aggiunte all'Access Control List (ACL) sull'oggetto. Per ulteriori informazioni, consulta Panoramica della lista di controllo degli accessi (ACL).
Con questa operazione, puoi concedere le autorizzazioni di accesso utilizzando uno dei due metodi seguenti:
-
In scatola ACL (
x-amz-acl
): Amazon S3 supporta un set di impostazioni ACLs predefinite, note come in scatola. ACLs Ogni dispositivo in scatola ACL ha un set predefinito di concessionari e autorizzazioni. Per ulteriori informazioni, consulta In scatola ACL. -
Autorizzazioni di accesso — Per concedere esplicitamente le autorizzazioni di accesso a specifici Account AWS o gruppi, utilizza le seguenti intestazioni. Ogni intestazione è mappata a autorizzazioni specifiche supportate da Amazon S3 in un file. ACL Per ulteriori informazioni, consulta Panoramica della lista di controllo degli accessi (ACL). Nell'intestazione, specifica un elenco di assegnatari che ottengono l'autorizzazione specifica.
-
x-amz-grant-read
-
x-amz-grant-write
-
x-amz-grant-read-acp
-
x-amz-grant-write-acp
-
x-amz-grant-full-controllo
-
Per ulteriori informazioni sulla gestione dell'ACLsutilizzo di AWS CLI, vedere put-bucket-acl
Importante
Se il bucket utilizza l'impostazione Proprietario del bucket applicato per Proprietà dell'oggetto S3, è necessario utilizzare le policy per concedere l'accesso al bucket e agli oggetti in esso contenuti. Con l'impostazione forzata del proprietario di Bucket abilitata, le richieste di impostazione degli elenchi di controllo di accesso (ACLs) o di aggiornamento hanno ACLs esito negativo e restituiscono il codice AccessControlListNotSupported
di errore. Le richieste di lettura ACLs sono ancora supportate.