Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazione delle operazioni API dell'endpoint regionale con IAM
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta gli amministratori a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere autenticato (accesso effettuato) e autorizzato (dotato di autorizzazioni) a utilizzare le risorse Amazon S3 in S3 Express One Zone. Puoi utilizzare IAM senza alcun costo aggiuntivo.
Per impostazione predefinita, gli utenti non dispongono delle autorizzazioni per i bucket di directory e le operazioni S3 Express One Zone. Per concedere le autorizzazioni di accesso per i bucket di directory, puoi utilizzare IAM per creare utenti, gruppi o ruoli e collegare le autorizzazioni a tali identità. Per ulteriori informazioni su IAM, consulta Best Practice per la sicurezza in IAM nella Guida per l'utente di IAM.
Per fornire l'accesso, puoi aggiungere autorizzazioni a utenti, gruppi o ruoli tramite i mezzi seguenti:
-
Utenti e gruppi in AWS IAM Identity Center: crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
-
Utenti gestiti in IAM tramite un provider di identità: crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Creating a role for a third-party identity provider (federation) (Creazione di un ruolo per un provider di identità di terze parti [federazione]) nella Guida per l'utente di IAM.
-
Ruoli e utenti IAM: crea un ruolo che l'utente è in grado di assumere. Segui le istruzioni in Creazione di un ruolo per delegare le autorizzazioni a un utente IAM nella Guida per l'utente di IAM.
Per ulteriori informazioni su IAM per S3 Express One Zone, consulta i seguenti argomenti.
Argomenti
Principali
Quando si crea una policy basata sulle risorse per concedere l'accesso ai bucket, è necessario utilizzare l'elemento Principal per specificare la persona o l'applicazione che può effettuare una richiesta per un'azione o un'operazione su tale risorsa. Per le policy dei bucket di directory, puoi utilizzare i seguenti principali:
-
Un AWS account
-
Un utente IAM
-
Un ruolo IAM:
-
Un utente federato
Per ulteriori informazioni, consulta la sezione Principal nella Guida per l'utente di IAM.
Risorse
Amazon Resource Names (ARNs) per i bucket di directory contiene lo spazio dei s3express nomi Regione AWS, l'ID dell' AWS account e il nome del bucket di directory, che include l'ID della zona di disponibilità. Per accedere ed eseguire azioni sul bucket di directory, è necessario utilizzare il seguente formato ARN:
arn:aws:s3express:region:account-id:bucket/base-bucket-name--zone-id--x-s3
Per ulteriori informazioni in merito ARNs, consulta la IAM User Amazon Resource Names (ARNs)Guide. Per ulteriori informazioni sulle risorse, consulta Elementi delle policy JSON IAM: Resource nella Guida per l'utente di IAM.
Azioni per i bucket della directory
In una policy IAM basata sull'identità o una policy basata sulle risorse, vengono definite quali azioni S3 sono consentite o negate. Le azioni corrispondono a specifiche operazioni API. Quando si utilizzano i bucket di directory, è possibile utilizzare lo spazio dei nomi S3 Express One Zone per concedere le autorizzazioni. Questo spazio dei nomi è s3express.
Quando si concede l'autorizzazione s3express:CreateSession, l'operazione API CreateSession è in grado di recuperare i token di sessione durante l'accesso alle operazioni API (o a livello di oggetto) degli endpoint zonali. Questi token di sessione restituiscono le credenziali utilizzate per concedere l'accesso a tutte le altre operazioni API degli endpoint zonali. Di conseguenza, non è necessario concedere le autorizzazioni di accesso alle operazioni API zonali utilizzando le policy IAM. Invece, il token di sessione consente l'accesso. Per l'elenco delle operazioni e delle autorizzazioni dell'API degli endpoint di zona, consulta Autenticazione e autorizzazione delle richieste.
Per ulteriori informazioni sulle operazioni API degli endpoint zonali e regionali, consulta Collegamento in rete per i bucket di directory. Per ulteriori informazioni sulle operazioni API CreateSession, consulta CreateSession nella Documentazione di riferimento delle API Amazon Simple Storage Service.
Puoi specificare le seguenti operazioni nell'elemento Action di un'istruzione di policy IAM. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando si utilizza un'azione in una policy, in genere si consente o si nega l'accesso all'operazione API con lo stesso nome. Tuttavia, in alcuni casi, una singola azione controlla l'accesso a più operazioni API. L'accesso alle azioni a livello di bucket può essere concesso solo nelle policy basate sulle identità IAM (utente o ruolo) e non nelle policy dei bucket.
Nota
Se desideri utilizzare i punti di accesso per i bucket di directory per controllare l'accesso alle operazioni sui bucket o sugli oggetti, tieni presente quanto segue:
-
Per l'utilizzo dei punti di accesso per controllare l'accesso alle operazioni del bucket, consulta Operazioni con i bucket nelle politiche per i punti di accesso per i bucket di directory.
-
Per l'utilizzo dei punti di accesso per controllare l'accesso alle operazioni sugli oggetti, consulta Operazioni sugli oggetti nelle politiche per i punti di accesso per i bucket di directory.
Per ulteriori informazioni su come configurare le policy dei punti di accesso, consulta Configurazione delle politiche IAM per l'utilizzo dei punti di accesso per i bucket di directory.
La tabella seguente mostra le azioni e le chiavi di condizione.
| Azione | API | Descrizione | Livello di accesso | Chiavi di condizione |
|---|---|---|---|---|
s3express:CreateBucket
|
CreateBucket |
Concede l'autorizzazione per creare un nuovo bucket. |
Scrittura |
|
s3express:CreateSession |
Operazioni API dell'endpoint di zona |
Concede l'autorizzazione a creare un token di sessione, utilizzato per concedere l'accesso a tutte le operazioni API di zona (a livello di oggetto), come |
Scrittura |
|
s3express:DeleteBucket |
DeleteBucket |
Concede l'autorizzazione per eliminare il bucket denominato nell'URI. |
Scrittura |
|
s3express:DeleteBucketPolicy |
DeleteBucketPolicy |
Concede l'autorizzazione per eliminare la policy su un bucket specificato. |
Gestione delle autorizzazioni |
|
s3express:GetBucketPolicy |
GetBucketPolicy |
Concede l'autorizzazione per restituire la policy del bucket specificato. |
Lettura |
|
s3express:GetEncryptionConfiguration |
GetBucketEncryption |
Conferisce l'autorizzazione a restituire la configurazione di crittografia predefinita di un bucket di directory. |
Lettura |
|
s3express:ListAllMyDirectoryBuckets |
ListDirectoryBuckets |
Concede l'autorizzazione per elencare tutti i bucket di directory di proprietà del mittente autenticato della richiesta. |
Elenco |
|
s3express:PutBucketPolicy |
PutBucketPolicy |
Concede l'autorizzazione per aggiungere o sostituire una policy del bucket in un bucket. |
Gestione delle autorizzazioni |
|
s3express:PutBucketPolicy |
PutBucketPolicy |
Concede l'autorizzazione per aggiungere o sostituire una policy del bucket in un bucket. |
Gestione delle autorizzazioni |
|
s3express:PutEncryptionConfiguration |
PutBucketEncryption o DeleteBucketEncryption |
Permette di impostare la configurazione della crittografia per un bucket di directory |
Scrittura |
|
|
|
|
Concede l'autorizzazione a creare un punto di accesso associato a un bucket di directory. |
Scrittura |
s3express: DataAccessPointAccount s3 express: DataAccessPointArn s3 express: AccessPointNetworkOrigin s3 express: tipo di autenticazione s3 express: LocationName s3 express: ResourceAccount s3 express: versione della firma s3 express: TlsVersion s3 express: 256 x-amz-content-sha |
|
|
|
Concede l'autorizzazione a elencare i punti di accesso. |
Elenco |
S3 Express: AuthType s3 express: ResourceAccount s3 express: versione della firma s3 express: TlsVersion s3 express: 256 x-amz-content-sha |
|
|
|
Concede l'autorizzazione a restituire informazioni di configurazione sul punto di accesso specificato. |
Lettura |
s3express: DataAccessPointAccount s3 express: DataAccessPointAccount s3 express: DataAccessPointArn s3 express: AccessPointNetworkOrigin s3 express: tipo di autenticazione s3 express: ResourceAccount s3 express: versione della firma s3 express: TlsVersion s3 express: 256 x-amz-content-sha |
|
|
Concede il permesso di eliminare il punto di accesso indicato nell'URI. |
Scrittura |
s3express: DataAccessPointAccount s3 express: DataAccessPointAccount s3 express: DataAccessPointArn s3 express: AccessPointNetworkOrigin s3 express: tipo di autenticazione s3 express: ResourceAccount s3 express: versione della firma s3 express: TlsVersion s3 express: 256 x-amz-content-sha |
|
|
Concede l'accesso per eliminare la politica su un punto di accesso specificato. |
Gestione delle autorizzazioni |
s3express: DataAccessPointAccount s3 express: DataAccessPointArn s3 express: AccessPointNetworkOrigin s3 express: tipo di autenticazione s3 express: ResourceAccount s3 express: versione della firma s3 express: TlsVersion s3 express: 256 x-amz-content-sha |
|
|
|
Concede l'autorizzazione a restituire la politica del punto di accesso associata al punto di accesso specificato. |
Lettura |
s3express: DataAccessPointAccount s3 express: DataAccessPointAccount s3 express: DataAccessPointArn s3 express: AccessPointNetworkOrigin s3 express: tipo di autenticazione s3 express: ResourceAccount s3 express: versione della firma s3 express: TlsVersion s3 express: 256 x-amz-content-sha |
|
|
|
Concede l'autorizzazione ad associare una politica del punto di accesso a un punto di accesso specificato. |
Gestione delle autorizzazioni |
s3express: DataAccessPointAccount s3 express: DataAccessPointArn s3 express: AccessPointNetworkOrigin s3 express: tipo di autenticazione s3 express: ResourceAccount s3 express: versione della firma s3 express: TlsVersion s3 express: 256 x-amz-content-sha |
|
|
|
Concede l'autorizzazione a eliminare la configurazione dell'ambito su un punto di accesso specificato. |
Gestione delle autorizzazioni |
s3express: DataAccessPointAccount s3 express: DataAccessPointArn s3 express: AccessPointNetworkOrigin s3 express: tipo di autenticazione s3 express: ResourceAccount s3 express: versione della firma s3 express: TlsVersion s3 express: 256 x-amz-content-sha |
|
|
|
Concede l'autorizzazione a restituire la configurazione dell'ambito associata al punto di accesso specificato. |
Lettura |
s3express: DataAccessPointAccount s3 express: DataAccessPointArn s3 express: AccessPointNetworkOrigin s3 express: tipo di autenticazione s3 express: ResourceAccount s3 express: versione della firma s3 express: TlsVersion s3 express: 256 x-amz-content-sha |
|
|
|
Concede l'autorizzazione ad associare un punto di accesso a una configurazione dell'ambito del punto di accesso specificata. |
Gestione delle autorizzazioni |
s3express: DataAccessPointAccount s3 express: DataAccessPointArn s3 express: AccessPointNetworkOrigin s3 express: tipo di autenticazione s3 express: ResourceAccount s3 express: versione della firma s3 express: TlsVersion s3 express: 256 x-amz-content-sha |
Chiavi di condizione per i bucket di directory
Le seguenti sono chiavi di condizione che possono essere utilizzate nell'elemento Condition di una policy IAM. Puoi utilizzare queste chiavi per perfezionare ulteriormente le condizioni in base alle quali si applica l'istruzione di policy.
| Chiave di condizione | Descrizione | Tipi |
|---|---|---|
s3express:authType |
Filtra l'accesso in base al metodo di autenticazione. Per limitare le richieste in arrivo all'utilizzo di un metodo di autenticazione specifico, puoi utilizzare questa chiave di condizione opzionale. Ad esempio, puoi utilizzare questa chiave di condizione per consentire solo l'intestazione Valori validi: |
Stringa |
s3express:LocationName |
Filtra l'accesso all'operazione API Valore di esempio: |
Stringa |
s3express:ResourceAccount |
Filtra l'accesso in base all'ID del proprietario della Account AWS risorsa. Per limitare l'accesso di utenti, ruoli o applicazioni ai bucket di directory di proprietà di un Account AWS ID specifico, puoi utilizzare la chiave di Valore di esempio: |
Stringa |
s3express:SessionMode |
Filtra l'accesso in base all'autorizzazione richiesta dall'operazione API Valori validi: |
Stringa |
s3express:signatureAge |
Filtra l'accesso in base all'età in millisecondi della firma della richiesta. Questa condizione funziona solo per i predefiniti. URLs Nella versione 4 di AWS Signature, la chiave di firma è valida per un massimo di sette giorni. Pertanto, anche le firme sono valide per un massimo di sette giorni. Per ulteriori informazioni, consulta Introduzione alla firma delle richieste nella Documentazione di riferimento delle API di Amazon Simple Storage Service. Puoi utilizzare questa condizione per limitare ulteriormente la durata della firma. Valore di esempio: |
Numerico |
s3express:signatureversion |
Identifica la versione di AWS Signature che desideri supportare per le richieste autenticate. Per le richieste autenticate, è supportata la versione 4 della firma. Valore valido: |
Stringa |
s3express:TlsVersion |
Filtra l'accesso in base alla versione TLS utilizzata dal client. È possibile utilizzare la chiave di condizione Valore di esempio: |
Numerico |
s3express:x-amz-content-sha256 |
Filtra l'accesso in base ai contenuti non firmati nel bucket. Questa chiave di condizione può essere utilizzata per non consentire contenuti non firmati nel bucket. Quando si utilizza Signature Version 4, per le richieste che utilizzano l'intestazione Puoi utilizzare questa chiave di condizione nella policy del bucket per rifiutare qualsiasi caricamento in cui i payload non sono firmati. Per esempio:
Valore valido: |
Stringa |
s3express:x-amz-server-side-encryption |
Filtra l'accesso tramite crittografia lato server Valori validi: |
Stringa |
s3express:x-amz-server-side-encryption-aws-kms-key-id |
Filtra l'accesso in base alla chiave gestita dal AWS KMS cliente per la crittografia lato server Valore di esempio: |
ARN |
