Concessione dell'accesso a un bucket Amazon S3 - AWS Storage Gateway

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concessione dell'accesso a un bucket Amazon S3

Quando crei una condivisione di file, il tuo File Gateway richiede l'accesso per caricare i file nel tuo bucket Amazon S3 e per eseguire azioni su qualsiasi punto di accesso o endpoint del cloud privato virtuale (VPC) che utilizza per connettersi al bucket. Per concedere questo accesso, il File Gateway assume un ruolo AWS Identity and Access Management (IAM) associato a una policy IAM che concede tale accesso.

Il ruolo richiede questa policy IAM e una relazione di trust Security Token Service (STS) per la policy. La policy determina quali operazioni può eseguire il ruolo. Inoltre, il bucket S3 e tutti gli access point o endpoint VPC associati devono disporre di una policy di accesso che consenta al ruolo IAM di accedervi.

Puoi creare tu stesso il ruolo e la policy di accesso oppure il File Gateway può crearli per te. Se il tuo File Gateway crea la policy per te, la policy contiene un elenco di azioni S3. Per informazioni su ruoli e autorizzazioni, consulta Creating a role to delegate permissions to a un utente Servizio AWS nella IAM User Guide.

L'esempio seguente è una policy di fiducia che consente a File Gateway di assumere un ruolo IAM.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "storagegateway.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
Importante

Storage Gateway può assumere ruoli di servizio esistenti che vengono passati utilizzando l'azione delle iam:PassRole policy, ma non supporta le policy IAM che utilizzano la chiave di iam:PassedToService contesto per limitare l'azione a servizi specifici.

Per ulteriori informazioni, consulta gli argomenti seguenti nella Guida per l'utente AWS Identity and Access Management :

Se non desideri che File Gateway crei una policy per tuo conto, puoi creare una policy personalizzata e allegarla alla condivisione di file. Per ulteriori informazioni su come effettuare tale operazione, consulta Creazione di una condivisione file.

La seguente policy di esempio consente a File Gateway di eseguire tutte le azioni di Amazon S3 elencate nella policy. La prima parte dell'istruzione permette l'esecuzione nel bucket S3 denominato amzn-s3-demo-bucket di tutte le operazioni elencate. La seconda parte permette le operazioni elencate su tutti gli oggetti in amzn-s3-demo-bucket.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetAccelerateConfiguration",
                "s3:GetBucketLocation",
                "s3:GetBucketVersioning",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Effect": "Allow"
        }
    ]
}

La seguente policy di esempio è simile alla precedente, ma consente a File Gateway di eseguire le azioni necessarie per accedere a un bucket tramite un punto di accesso.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:us-east-1:111122223333:accesspoint/TestAccessPointName/*",
            "Effect": "Allow"
        }
    ]
}
Nota

Se devi connettere la tua condivisione di file a un bucket S3 tramite un endpoint VPC, consulta le politiche degli endpoint per Amazon S3 nella Guida per l'utente.AWS PrivateLink

Nota

Per i bucket crittografati, il fileshare deve utilizzare la chiave nell'account bucket S3 di destinazione.