Impostazione di Object Ownership quando si crea un bucket - Amazon Simple Storage Service

Impostazione di Object Ownership quando si crea un bucket

Quando crei un bucket, puoi configurare S3 Object Ownership. Per impostare Object Ownership per un bucket esistente, consultare Impostazione di Object Ownership su un bucket esistente.

S3 Object Ownership è un'impostazione a livello di bucket di Amazon S3 che puoi utilizzare per disabilitare le liste di controllo accessi (ACL) e assumere la proprietà di ogni oggetto nel tuo bucket, semplificando la gestione degli accessi per i dati archiviati in Amazon S3. Si consiglia di disabilitare le ACL a meno che non sia necessario controllare gli accessi a livello di singolo oggetto.

Object Ownership ha tre impostazioni che è possibile utilizzare per controllare la proprietà degli oggetti caricati nel bucket e disabilitare o abilitare le ACL:

ACL disabilitate
  • Proprietario del bucket applicato (consigliato) – Le ACL sono disabilitate e il proprietario del bucket possiede automaticamente e ha il pieno controllo su ogni oggetto nel bucket. Le ACL non influiscono più sulle autorizzazioni per i dati nel bucket S3. Il bucket utilizza le policy per definire il controllo degli accessi.

ACL abilitate
  • Proprietario del bucket preferito – Il proprietario del bucket possiede e ha il pieno controllo sui nuovi oggetti che altri account scrivono nel bucket con l'ACL predefinita bucket-owner-full-control.

  • Object writer (predefinito) – L'Account AWS che carica un oggetto lo possiede, ne ha il pieno controllo e può concedere ad altri utenti l'accesso tramite ACL.

Autorizzazioni: per creare un bucket e selezionare un'impostazione per Object Ownership, è necessario disporre di entrambe le autorizzazioni s3:CreateBucket e s3:PutBucketOwnershipControls. Per ulteriori informazioni sulle autorizzazioni di Amazon S3, consulta la sezione Operazioni, risorse e chiavi di condizione per Amazon S3.

  1. Accedi alla AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

  2. Scegliere Create bucket (Crea bucket).

    Si apre la procedura guidata Create bucket (Crea bucket).

  3. In Bucket name (Nome bucket), immettere un nome conforme a DNS per il bucket.

    Il nome del bucket deve:

    • Essere univoco in tutto Amazon S3.

    • Deve contenere da 3 a 63 caratteri

    • Non contiene caratteri maiuscoli.

    • Iniziare con una lettera minuscola o un numero.

    Una volta creato il bucket, non è possibile modificarne il nome. Per ulteriori informazioni sulla denominazione dei bucket, consulta la sezione Regole di denominazione dei bucket.

    Importante

    Evitare di includere informazioni riservate, ad esempio numeri di account, nel nome del bucket. Il nome bucket è visibile nell'URL che punta agli oggetti nel bucket.

  4. In Regione scegli la regione Regione AWS in cui desideri che il bucket risieda.

    Scegliere una regione nelle vicinanze per ridurre al minimo la latenza e i costi o rispondere a requisiti normativi. Gli oggetti archiviati in una regione non la lasciano mai a meno che non vengano trasferiti esplicitamente in un'altra regione. Per un elenco di Regioni AWS di Amazon S3, consulta la sezione Endpoint del servizio AWS nei riferimenti generali su Amazon Web Services.

  5. Alla voce Proprietà oggetto, per disabilitare o abilitare le ACL e controllare la proprietà degli oggetti caricati nel bucket, scegliere una delle seguenti impostazioni:

    ACL disabilitate
    • Proprietario del bucket applicato – Le ACL sono disabilitate e il proprietario del bucket possiede automaticamente e ha il pieno controllo su ogni oggetto nel bucket. Le ACL non influiscono più sulle autorizzazioni per i dati nel bucket S3. Il bucket utilizza le policy per definire il controllo degli accessi.

      Per richiedere che tutti i nuovi bucket vengano creati con le ACL disabilitate utilizzando IAM o le policy AWS Organizations, consulta Disabilitazione degli ACL per tutti i nuovi bucket (proprietario del bucket applicato).

    ACL abilitate
    • Proprietario del bucket preferito – Il proprietario del bucket possiede e ha il pieno controllo sui nuovi oggetti che altri account scrivono nel bucket con l'ACL predefinita bucket-owner-full-control.

      Se applichi l'impostazione preferita per il proprietario del bucket per richiedere che tutti i caricamenti di Amazon S3 includano l'ACL predefinita bucket-owner-full-control, puoi aggiungere una policy del bucket che consenta solo il caricamento di oggetti che utilizzano questo ACL.

    • Object writer – L'Account AWS che carica un oggetto lo possiede, ne ha il pieno controllo e può concedere ad altri utenti l'accesso tramite ACL.

    Nota

    Per eseguire l'impostazione Proprietario del bucket applicato o l'impostazione proprietario del bucket scelto, bisogna disporre della seguente autorizzazione: s3:CreateBucket e s3:PutBucketOwnershipControls.

  6. In Bucket settings for Block Public Access (Impostazioni bucket per blocco dell'accesso pubblico), scegliere le impostazioni del blocco dell'accesso pubblico che si desidera applicare al bucket.

    Si consiglia di lasciare tutte le impostazioni abilitate, a meno che non si sappia che è necessario disattivarne una o più per il caso d'uso, ad esempio per ospitare un sito Web pubblico. Le impostazioni di blocco dell'accesso pubblico abilitate per il bucket saranno abilitate anche per tutti i punti di accesso creati nel bucket. Per ulteriori informazioni sul blocco dell'accesso pubblico, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

  7. (Facoltativo) In Bucket Versioning (Controllo delle versioni bucket), puoi scegliere se conservare varianti degli oggetti nel bucket. Per ulteriori informazioni sulla funzione Controllo delle versioni, consulta Utilizzo della funzione Controllo delle versioni nei bucket S3.

    Per disabilitare o abilitare il controllo delle versioni nel bucket, scegli Disable (Disabilita) o Enable (Abilita).

  8. (Facoltativo) In Tags (Tag), puoi scegliere di aggiungere tag al bucket. I tag sono coppie chiave-valore utilizzate per classificare lo spazio di archiviazione.

    Per aggiungere un tag al bucket, inserisci un valore in Key (Chiave) e facoltativamente un valore in Value (Valore), quindi scegli Add Tag (Aggiungi tag).

  9. (Facoltativo) In Default encryption (Crittografia predefinita), puoi decidere di configurare il bucket per utilizzare la crittografia lato server con le chiavi gestite da Amazon S3 (SSE-S3) o AWS KMS keys archiviate in AWS Key Management Service (AWS KMS) (SSE-KMS). Per ulteriori informazioni, consulta Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3.

    Per abilitare o disabilitare la crittografia, scegli Enable (Abilita) o Disable (Disabilita).

  10. (Facoltativo) Se si desidera abilitare il blocco oggetti S3, effettua le seguenti operazioni:

    1. Scegliere Advanced settings (Impostazioni avanzate).

      Importante

      È solo possibile abilitare il blocco di oggetti per un bucket quando lo si crea, ma non è possibile disabilitarlo in un secondo momento. L'abilitazione del blocco oggetti consente anche la funzione Controllo delle versioni del bucket. Dopo averlo abilitato, per il blocco di oggetti è necessario configurare le impostazioni predefinite di conservazione e di blocco di carattere legale per proteggere i nuovi oggetti dall'eliminazione o dalla sovrascrittura.

    2. Se desideri abilitare il blocco degli oggetti, scegli Enable (Abilita), leggi l'avviso visualizzato e confermalo.

    Per ulteriori informazioni, consulta Utilizzo del blocco oggetti S3.

    Nota

    Per creare un bucket abilitato per il blocco degli oggetti, devi disporre delle seguenti autorizzazioni: s3:CreateBucket, s3:PutBucketVersioning e s3:PutBucketObjectLockConfiguration.

  11. Scegliere Create bucket (Crea bucket).

Per impostare Object Ownership quando si crea un nuovo bucket, utilizzare il comando create-bucket della AWS CLI con il parametro --object-ownership.

In questo esempio viene eseguita l'impostazione proprietario del bucket applicato per un nuovo bucket utilizzando la AWS CLI:

aws s3api create-bucket --bucket DOC-EXAMPLE-BUCKET --region us-east-1 --object-ownership BucketOwnerEnforced

In questo esempio viene messa a punto l'impostazione proprietario del bucket applicato per un nuovo bucket utilizzando AWS SDK for Java:

// Build the ObjectOwnership for CreateBucket CreateBucketRequest createBucketRequest = CreateBucketRequest.builder() .bucket(bucketName) .objectOwnership(ObjectOwnership.BucketOwnerEnforced) .build() // Send the request to S3 s3client.createBucket(createBucketRequest);

Per utilizzare la risorsa AWS::S3::Bucket AWS CloudFormation per impostare Object Ownership quando si crea un nuovo bucket, consulta OwnershipControls all'interno di AWS::S3::Bucket nella Guida per l'utente di AWS CloudFormation.

Per eseguire l'impostazione proprietario del bucket applicato per S3 Object Ownership, utilizzare l'operazione API CreateBucket con l'intestazione della richiesta x-amz-object-ownership impostata su BucketOwnerEnforced. Per esempi e ulteriori informazioni, consulta CreateBucket nella Documentazione di riferimento delle API di Amazon Simple Storage Service.

Fasi successive: Dopo aver eseguito le impostazioni proprietario del bucket applicato o proprietario del bucket preferito per Object Ownership, sarà possibile compiere i seguenti passaggi:

  • Proprietario del bucket applicato – Richiedi che tutti i nuovi bucket vengano creati con ACL disabilitate utilizzando le policy IAM o di Organizations.

  • Proprietario del bucket preferito – Aggiungi una policy di bucket S3 per richiedere l'ACL predefinita bucket-owner-full-control per tutti gli oggetti caricati nel tuo bucket.