Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Configurare l'accesso ai bucket Amazon S3

Modalità Focus
Configurare l'accesso ai bucket Amazon S3 - Amazon Bedrock

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Diverse funzionalità di Amazon Bedrock richiedono l'accesso ai dati archiviati nei bucket Amazon S3. Per accedere a questi dati, devi configurare le seguenti autorizzazioni:

Caso d'uso Autorizzazioni
Autorizzazioni per recuperare dati dal bucket S3 s3: GetObject

s3: ListBucket

Autorizzazioni per scrivere dati nel bucket S3 s3: PutObject
Autorizzazioni per decrittografare la chiave KMS che ha crittografato il bucket S3 kms:Decrypt

kms:DescribeKey

Le identità o le risorse a cui è necessario associare le autorizzazioni di cui sopra dipendono dai seguenti fattori:

Di seguito viene descritto come determinare dove è necessario allegare le autorizzazioni necessarie per accedere ai dati S3:

  • Autorizzazioni di identità IAM

    • Se puoi creare automaticamente un ruolo di servizio nella console, le autorizzazioni verranno configurate per il ruolo di servizio, quindi non devi configurarlo tu stesso.

    • Se preferisci utilizzare un ruolo di servizio personalizzato o l'identità che richiede l'accesso non è un ruolo di servizio, vai alla pagina per scoprire come creare una policy basata sull'identità con le autorizzazioni appropriate.

  • Autorizzazioni basate su risorse

    • Se l'identità richiede l'accesso ai dati S3 nello stesso account, non è necessario allegare una policy sui bucket S3 al bucket contenente i dati.

    • Se l'identità richiede l'accesso ai dati S3 in un account diverso, vai alla pagina per scoprire come creare una policy sui bucket S3 con le autorizzazioni appropriate.

      Importante

      La creazione automatica di un ruolo di servizio in assegna AWS Management Console le autorizzazioni appropriate basate sull'identità al ruolo, ma devi comunque configurare la policy del bucket S3 se l'identità che richiede l'accesso si trova in un'altra. Account AWS

Per ulteriori informazioni, consulta i collegamenti seguenti:

Esamina gli argomenti relativi al tuo caso d'uso:

Associa le autorizzazioni a un'identità IAM per consentirle di accedere a un bucket Amazon S3

Questo argomento fornisce un modello per una policy da collegare a un'identità IAM. La policy include le seguenti istruzioni che definiscono le autorizzazioni per concedere a un'identità IAM l'accesso a un bucket S3:

  1. Autorizzazioni per recuperare dati da un bucket S3. Questa istruzione include anche una condizione che utilizza il tasto s3:prefix condition per limitare l'accesso a una cartella specifica nel bucket. Per ulteriori informazioni su questa condizione, consulta la sezione Politica dell'utente nell'Esempio 2: Ottenere un elenco di oggetti in un bucket con un prefisso specifico.

  2. (Se devi scrivere dati in una posizione S3) Autorizzazioni per scrivere dati in un bucket S3. Questa dichiarazione include anche una condizione che utilizza la chiave aws:ResourceAccount condition per limitare l'accesso alle richieste inviate da una persona specifica. Account AWS

  3. (Se il bucket S3 è crittografato con una chiave KMS) Autorizzazioni per descrivere e decrittografare la chiave KMS che ha crittografato il bucket S3.

Aggiungi, modifica e rimuovi le istruzioni, le risorse e le condizioni nella seguente politica e sostituiscile se necessario: ${values}

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadS3Bucket", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::${S3Bucket}", "arn:aws:s3:::${S3Bucket}/*" ] }, { "Sid": "WriteToS3Bucket", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::${S3Bucket}", "arn:aws:s3:::${S3Bucket}/*" ] }, { "Sid": "DecryptKMSKey", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:${Region}:${AccountId}:key/${KMSKeyId}" } ] }

Dopo aver modificato la policy in base al tuo caso d'uso, collegala al ruolo di servizio (o identità IAM) che richiede l'accesso al bucket S3. Per informazioni su come associare le autorizzazioni a un'identità IAM, consulta Aggiungere e rimuovere le autorizzazioni di identità IAM.

Associa una policy bucket a un bucket Amazon S3 per consentire a un altro account di accedervi

Questo argomento fornisce un modello per una policy basata sulle risorse da collegare a un bucket S3 per consentire a un'identità IAM di accedere ai dati nel bucket. La policy include le seguenti istruzioni che definiscono le autorizzazioni per l'accesso di un'identità al bucket:

  1. Autorizzazioni per recuperare dati da un bucket S3.

  2. (Se devi scrivere dati in una posizione S3) Autorizzazioni per scrivere dati in un bucket S3.

  3. (Se il bucket S3 è crittografato con una chiave KMS) Autorizzazioni per descrivere e decrittografare la chiave KMS che ha crittografato il bucket S3.

Le autorizzazioni sono simili alle autorizzazioni basate sull'identità descritte in. Associa le autorizzazioni a un'identità IAM per consentirle di accedere a un bucket Amazon S3 Tuttavia, ogni istruzione richiede anche di specificare l'identità per la quale concedere le autorizzazioni alla risorsa presente nel campo. Principal Specificare l'identità (con la maggior parte delle funzionalità di Amazon Bedrock, questo è il ruolo di servizio) nel Principal campo. Aggiungi, modifica e rimuovi le istruzioni, le risorse e le condizioni nella seguente politica e ${values} sostituiscile se necessario:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadS3Bucket", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${AccountId}:role/${ServiceRole}" }, "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::${S3Bucket}", "arn:aws:s3:::${S3Bucket}/*" ] }, { "Sid": "WriteToS3Bucket", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${AccountId}:role/${ServiceRole}" }, "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::${S3Bucket}", "arn:aws:s3:::${S3Bucket}/*" ] }, { "Sid": "DecryptKMSKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${AccountId}:role/${ServiceRole}" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:${Region}:${AccountId}:key/${KMSKeyId}" } ] }

Dopo aver modificato la policy in base al tuo caso d'uso, collegala al bucket S3. Per informazioni su come collegare una bucket policy a un bucket S3, consulta Aggiungere una bucket policy utilizzando la console Amazon S3.

(Opzione di sicurezza avanzata) Includi le condizioni in una dichiarazione per un accesso più dettagliato

Per un maggiore controllo sulle identità che possono accedere alle risorse, è possibile includere delle condizioni in una dichiarazione politica. La politica in questo argomento fornisce un esempio che utilizza le seguenti chiavi di condizione:

  • s3:prefix— Una chiave di condizione S3 che limita l'accesso a una cartella specifica in un bucket S3. Per ulteriori informazioni su questa chiave di condizione, consulta la sezione Politica dell'utente nell'Esempio 2: Ottenere un elenco di oggetti in un bucket con un prefisso specifico.

  • aws:ResourceAccount— Una chiave di condizione globale che limita l'accesso alle richieste provenienti da uno specifico. Account AWS

La seguente politica limita l'accesso in lettura alla my-folder cartella nel bucket amzn-s3-demo-bucket S3 e limita l'accesso in scrittura per il bucket amzn-s3-demo-destination-bucket S3 alle richieste provenienti da utenti con l'ID: Account AWS 111122223333

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadS3Bucket", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition" : { "StringEquals" : { "s3:prefix": "my-folder" } } }, { "Sid": "WriteToS3Bucket", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-destination-bucket", "arn:aws:s3:::amzn-s3-demo-destination-bucket/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "111122223333" } } } ] }

Per saperne di più sulle condizioni e sui codici di condizione, consulta i seguenti link:

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.