Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Diverse funzionalità di Amazon Bedrock richiedono l'accesso ai dati archiviati nei bucket Amazon S3. Per accedere a questi dati, devi configurare le seguenti autorizzazioni:
Caso d'uso | Autorizzazioni |
---|---|
Autorizzazioni per recuperare dati dal bucket S3 | s3: GetObject s3: ListBucket |
Autorizzazioni per scrivere dati nel bucket S3 | s3: PutObject |
Autorizzazioni per decrittografare la chiave KMS che ha crittografato il bucket S3 | kms:Decrypt kms:DescribeKey |
Le identità o le risorse a cui è necessario associare le autorizzazioni di cui sopra dipendono dai seguenti fattori:
-
Diverse funzionalità di Amazon Bedrock utilizzano ruoli di servizio. Se una funzionalità utilizza un ruolo di servizio, devi configurare le autorizzazioni in modo che il ruolo di servizio, anziché l'identità IAM dell'utente, abbia accesso ai dati S3. Alcune funzionalità di Amazon Bedrock possono creare automaticamente un ruolo di servizio per te e associare le autorizzazioni basate sull'identità richieste al ruolo di servizio, se utilizzi il. AWS Management Console
-
Alcune funzionalità di Amazon Bedrock consentono a un'identità di accedere a un bucket S3 in un account diverso. Se è necessario accedere ai dati S3 da un altro account, il proprietario del bucket deve includere le suddette autorizzazioni basate sulle risorse in una policy relativa ai bucket S3 allegata al bucket S3.
Di seguito viene descritto come determinare dove è necessario allegare le autorizzazioni necessarie per accedere ai dati S3:
-
Autorizzazioni di identità IAM
-
Se puoi creare automaticamente un ruolo di servizio nella console, le autorizzazioni verranno configurate per il ruolo di servizio, quindi non devi configurarlo tu stesso.
-
Se preferisci utilizzare un ruolo di servizio personalizzato o l'identità che richiede l'accesso non è un ruolo di servizio, vai alla pagina per scoprire come creare una policy basata sull'identità con le autorizzazioni appropriate.
-
-
Autorizzazioni basate su risorse
-
Se l'identità richiede l'accesso ai dati S3 nello stesso account, non è necessario allegare una policy sui bucket S3 al bucket contenente i dati.
-
Se l'identità richiede l'accesso ai dati S3 in un account diverso, vai alla pagina per scoprire come creare una policy sui bucket S3 con le autorizzazioni appropriate.
Importante
La creazione automatica di un ruolo di servizio in assegna AWS Management Console le autorizzazioni appropriate basate sull'identità al ruolo, ma devi comunque configurare la policy del bucket S3 se l'identità che richiede l'accesso si trova in un'altra. Account AWS
-
Per ulteriori informazioni, consulta i collegamenti seguenti:
-
Per ulteriori informazioni sul controllo dell'accesso ai dati in Amazon S3, consulta Controllo degli accessi in Amazon S3.
-
Per ulteriori informazioni sulle autorizzazioni di Amazon S3, consulta Azioni definite da Amazon S3.
Esamina gli argomenti relativi al tuo caso d'uso:
Argomenti
Associa le autorizzazioni a un'identità IAM per consentirle di accedere a un bucket Amazon S3
Questo argomento fornisce un modello per una policy da collegare a un'identità IAM. La policy include le seguenti istruzioni che definiscono le autorizzazioni per concedere a un'identità IAM l'accesso a un bucket S3:
-
Autorizzazioni per recuperare dati da un bucket S3. Questa istruzione include anche una condizione che utilizza il tasto
s3:prefix
condition per limitare l'accesso a una cartella specifica nel bucket. Per ulteriori informazioni su questa condizione, consulta la sezione Politica dell'utente nell'Esempio 2: Ottenere un elenco di oggetti in un bucket con un prefisso specifico. -
(Se devi scrivere dati in una posizione S3) Autorizzazioni per scrivere dati in un bucket S3. Questa dichiarazione include anche una condizione che utilizza la chiave
aws:ResourceAccount
condition per limitare l'accesso alle richieste inviate da una persona specifica. Account AWS -
(Se il bucket S3 è crittografato con una chiave KMS) Autorizzazioni per descrivere e decrittografare la chiave KMS che ha crittografato il bucket S3.
Aggiungi, modifica e rimuovi le istruzioni, le risorse e le condizioni nella seguente politica e sostituiscile se necessario: ${values}
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ReadS3Bucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::${S3Bucket}
",
"arn:aws:s3:::${S3Bucket}
/*"
]
},
{
"Sid": "WriteToS3Bucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::${S3Bucket}
",
"arn:aws:s3:::${S3Bucket}
/*"
]
},
{
"Sid": "DecryptKMSKey",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:${Region}
:${AccountId}
:key/${KMSKeyId}
"
}
]
}
Dopo aver modificato la policy in base al tuo caso d'uso, collegala al ruolo di servizio (o identità IAM) che richiede l'accesso al bucket S3. Per informazioni su come associare le autorizzazioni a un'identità IAM, consulta Aggiungere e rimuovere le autorizzazioni di identità IAM.
Associa una policy bucket a un bucket Amazon S3 per consentire a un altro account di accedervi
Questo argomento fornisce un modello per una policy basata sulle risorse da collegare a un bucket S3 per consentire a un'identità IAM di accedere ai dati nel bucket. La policy include le seguenti istruzioni che definiscono le autorizzazioni per l'accesso di un'identità al bucket:
-
Autorizzazioni per recuperare dati da un bucket S3.
-
(Se devi scrivere dati in una posizione S3) Autorizzazioni per scrivere dati in un bucket S3.
-
(Se il bucket S3 è crittografato con una chiave KMS) Autorizzazioni per descrivere e decrittografare la chiave KMS che ha crittografato il bucket S3.
Le autorizzazioni sono simili alle autorizzazioni basate sull'identità descritte in. Associa le autorizzazioni a un'identità IAM per consentirle di accedere a un bucket Amazon S3 Tuttavia, ogni istruzione richiede anche di specificare l'identità per la quale concedere le autorizzazioni alla risorsa presente nel campo. Principal
Specificare l'identità (con la maggior parte delle funzionalità di Amazon Bedrock, questo è il ruolo di servizio) nel Principal
campo. Aggiungi, modifica e rimuovi le istruzioni, le risorse e le condizioni nella seguente politica e ${values}
sostituiscile se necessario:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ReadS3Bucket",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::${AccountId}
:role/${ServiceRole}
"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::${S3Bucket}
",
"arn:aws:s3:::${S3Bucket}
/*"
]
},
{
"Sid": "WriteToS3Bucket",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::${AccountId}
:role/${ServiceRole}
"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::${S3Bucket}
",
"arn:aws:s3:::${S3Bucket}
/*"
]
},
{
"Sid": "DecryptKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::${AccountId}
:role/${ServiceRole}
"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:${Region}
:${AccountId}
:key/${KMSKeyId}
"
}
]
}
Dopo aver modificato la policy in base al tuo caso d'uso, collegala al bucket S3. Per informazioni su come collegare una bucket policy a un bucket S3, consulta Aggiungere una bucket policy utilizzando la console Amazon S3.
(Opzione di sicurezza avanzata) Includi le condizioni in una dichiarazione per un accesso più dettagliato
Per un maggiore controllo sulle identità che possono accedere alle risorse, è possibile includere delle condizioni in una dichiarazione politica. La politica in questo argomento fornisce un esempio che utilizza le seguenti chiavi di condizione:
-
s3:prefix
— Una chiave di condizione S3 che limita l'accesso a una cartella specifica in un bucket S3. Per ulteriori informazioni su questa chiave di condizione, consulta la sezione Politica dell'utente nell'Esempio 2: Ottenere un elenco di oggetti in un bucket con un prefisso specifico. -
aws:ResourceAccount
— Una chiave di condizione globale che limita l'accesso alle richieste provenienti da uno specifico. Account AWS
La seguente politica limita l'accesso in lettura alla my-folder
cartella nel bucket amzn-s3-demo-bucket
S3 e limita l'accesso in scrittura per il bucket amzn-s3-demo-destination-bucket
S3 alle richieste provenienti da utenti con l'ID: Account AWS 111122223333
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ReadS3Bucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket
",
"arn:aws:s3:::amzn-s3-demo-bucket
/*"
],
"Condition" : {
"StringEquals" : {
"s3:prefix": "my-folder
"
}
}
},
{
"Sid": "WriteToS3Bucket",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket
",
"arn:aws:s3:::amzn-s3-demo-destination-bucket
/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333
"
}
}
}
]
}
Per saperne di più sulle condizioni e sui codici di condizione, consulta i seguenti link:
-
Per ulteriori informazioni sulle condizioni, consulta IAM JSON Policy elements: Condition nella IAM User Guide.
-
Per ulteriori informazioni sulle chiavi di condizione specifiche di S3, consulta Condition keys for Amazon S3 nel Service Authorization Reference.
-
Per ulteriori informazioni sulle chiavi di condizione globali utilizzate in tutti Servizi AWS, consulta le chiavi di contesto delle condizioni AWS globali.