Identity and Access Management in Amazon S3 - Amazon Simple Storage Service

Identity and Access Management in Amazon S3

Per impostazione predefinita, tutte le risorse Amazon S3, ossia bucket, oggetti e risorse secondarie correlate (ad esempio, configurazione del lifecycle e configurazione del website) sono private. Solo il proprietario della risorsa, l'Account AWS che l'ha creata, può accedere alla risorsa. A sua discrezione, il proprietario può concedere ad altri le autorizzazioni per accedere scrivendo una policy d'accesso.

Amazon S3 offre policy d'accesso predefinite suddivise in due grandi categorie: policy basate su risorse e policy utente. Le policy d'accesso collegate alle risorse (bucket e oggetti) sono definite policy basate su risorse. Ad esempio, le policy dei bucket e le policy dei punti di accesso sono policy basate sulle risorse. È anche possibile collegare policy d'accesso agli utenti del proprio account: in questo caso, si parla di policy utente. Per gestire le autorizzazioni per le risorse Amazon S3 è possibile scegliere di usare policy basate su risorse, policy utente o una combinazione di entrambe. Le liste di controllo accessi (ACL) possono essere utilizzate per concedere autorizzazioni base di lettura/scrittura ad altri account Account AWS.

Per impostazione predefinita, quando un altro Account AWS carica un oggetto nel bucket S3, tale account (l'object writer) possiede l'oggetto, ne ha accesso e può concedere ad altri utenti l'accesso tramite ACL. È possibile utilizzare Object Ownership per modificare questo comportamento di default in modo che le ACL siano disabilitate e che tu, in qualità di proprietario del bucket, possieda automaticamente ogni oggetto nel tuo bucket. Di conseguenza, il controllo degli accessi per i tuoi dati è basato su policy, come policy IAM, policy bucket S3, policy endpoint del cloud privato virtuale (VPC) e policy di controllo dei servizi (SCP) di AWS Organizations.

La maggior parte dei casi d'uso moderni in Amazon S3 non richiede più l'uso di ACL ed è consigliabile disabilitarle tranne in circostanze straordinarie in cui è necessario controllare l'accesso individualmente per ciascun oggetto. Con Object Ownership, è possibile disabilitare le ACL e fare affidamento sulle policy per il controllo degli accessi. Quando si disabilitano le ACL, è possibile mantenere facilmente un bucket con oggetti caricati da diversi Account AWS. In qualità di proprietario del bucket, possiedi tutti gli oggetti nel bucket e puoi gestirne l'accesso utilizzando le policy. Per ulteriori informazioni, consulta Controllo della proprietà degli oggetti e disabilitazione degli ACL per il bucket.

Per maggiori informazioni sulla gestione dell'accesso ai tuoi oggetti e bucket Amazon S3, consulta gli argomenti riportati di seguito.