Impedire l'accesso ai bucket Amazon S3 tra ambienti - AWS Elastic Beanstalk
Esempio di autorizzazioni limitate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impedire l'accesso ai bucket Amazon S3 tra ambienti

Elastic Beanstalk fornisce policy gestite per AWS gestire le risorse richieste dagli ambienti Elastic Beanstalk del tuo account. AWS Le autorizzazioni fornite di default a un'applicazione del tuo AWS account hanno accesso alle risorse S3 che appartengono ad altre applicazioni dello stesso account. AWS

Se il tuo AWS account esegue più applicazioni Beanstalk, puoi limitare la sicurezza delle tue policy creando una policy personalizzata da allegare al tuo ruolo di servizio o profilo di istanza per ogni ambiente. Puoi quindi limitare le autorizzazioni S3 nella tua policy personalizzata a un ambiente specifico.

Nota

Tieni presente che sei responsabile del mantenimento della tua politica personalizzata. Se una policy gestita da Elastic Beanstalk su cui si basa la policy personalizzata cambia, dovrai modificare la policy personalizzata con le rispettive modifiche alla policy di base. Per una cronologia delle modifiche delle policy gestite da Elastic Beanstalk, consulta. Elastic AWS Beanstalk: aggiornamenti alle policy gestite

Esempio di autorizzazioni limitate

L'esempio seguente si basa sulla politica AWSElasticBeanstalkWebTiergestita.

La politica predefinita include le seguenti righe per le autorizzazioni ai bucket S3. Questa politica predefinita non limita le azioni del bucket S3 a ambienti o applicazioni specifici.

{
   "Sid" : "BucketAccess", 
   "Action" : [ 
      "s3:Get*",
      "s3:List*", 
      "s3:PutObject"
     ], 
   "Effect" : "Allow",
   "Resource" : [ 
      "arn:aws:s3:::elasticbeanstalk-*", 
      "arn:aws:s3:::elasticbeanstalk-*/*" 
     ] 
}

È possibile limitare l'accesso qualificando risorse specifiche per un ruolo di servizio specificato come a. Principal L'esempio seguente fornisce le aws-elasticbeanstalk-ec2-role-my-example-env autorizzazioni personalizzate per i ruoli di servizio ai bucket S3 nell'ambiente con id. my-example-env-ID

Esempio Concedi le autorizzazioni solo ai bucket S3 di un ambiente specifico
{
   "Sid": "BucketAccess",
   "Action": [
      "s3:Get*",
      "s3:List*",
      "s3:PutObject"
    ],
   "Effect": "Allow",
   "Principal": {
      "AWS": "arn:aws:iam::...:role/aws-elasticbeanstalk-ec2-role-my-example-env"
     },
   "Resource": [
      "arn:aws:s3:::elasticbeanstalk-my-region-account-id-12345",
      "arn:aws:s3:::elasticbeanstalk-my-region-account-id-12345/resources/environments/my-example-env-ID/*"
    ]
}
Nota

L'ARN della risorsa deve includere l'ID dell'ambiente Elastic Beanstalk (non il nome dell'ambiente). Puoi ottenere l'id dell'ambiente dalla console Elastic Beanstalk nella pagina di panoramica dell'ambiente. Puoi anche usare il comando AWS CLI describe-environments per ottenere queste informazioni.

Per ulteriori informazioni su come aggiornare le autorizzazioni dei bucket S3 per gli ambienti Elastic Beanstalk, consulta le seguenti risorse: