Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazione delle operazioni API dell'endpoint regionale con IAM
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta gli amministratori a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere autenticato (effettuato l'accesso) e autorizzato (dispone delle autorizzazioni) a utilizzare le risorse Amazon S3 nei bucket di directory e nelle operazioni S3 Express One Zone. Puoi utilizzare IAM senza alcun costo aggiuntivo.
Per impostazione predefinita, gli utenti non hanno i permessi per i bucket di directory. Per concedere le autorizzazioni di accesso per i bucket di directory, puoi utilizzare IAM per creare utenti, gruppi o ruoli e collegare le autorizzazioni a tali identità. Per ulteriori informazioni su IAM, consulta Best Practice per la sicurezza in IAM nella Guida per l'utente di IAM.
Per fornire l'accesso, puoi aggiungere autorizzazioni a utenti, gruppi o ruoli tramite i mezzi seguenti:
-
Utenti e gruppi in: crea un set di autorizzazioni. AWS IAM Identity Center Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
-
Utenti gestiti in IAM tramite un provider di identità: crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Creating a role for a third-party identity provider (federation) (Creazione di un ruolo per un provider di identità di terze parti [federazione]) nella Guida per l'utente di IAM.
-
Ruoli e utenti IAM: crea un ruolo che l'utente è in grado di assumere. Segui le istruzioni in Creazione di un ruolo per delegare le autorizzazioni a un utente IAM nella Guida per l'utente di IAM.
Per ulteriori informazioni su IAM per S3 Express One Zone, consulta i seguenti argomenti.
Argomenti
Principali
Quando si crea una policy basata sulle risorse per concedere l'accesso ai bucket, è necessario utilizzare l'elemento Principal per specificare la persona o l'applicazione che può effettuare una richiesta per un'azione o un'operazione su tale risorsa. Per le policy dei bucket di directory, puoi utilizzare i seguenti principali:
-
Un AWS account
-
Un utente IAM
-
Un ruolo IAM:
-
Un utente federato
Per ulteriori informazioni, consulta la sezione Principal nella Guida per l'utente di IAM.
Risorse
Amazon Resource Names (ARNs) per i bucket di directory contiene lo spazio dei s3express nomi Regione AWS, l'ID dell' AWS account e il nome del bucket di directory, che include l'ID della zona. AWS (una zona di disponibilità o un ID di zona locale).
Per accedere ed eseguire azioni sul bucket di directory, è necessario utilizzare il seguente formato ARN:
arn:aws:s3express:region:account-id:bucket/base-bucket-name--zone-id--x-s3
Per accedere ed eseguire azioni sul punto di accesso per un bucket di directory, è necessario utilizzare il seguente formato ARN:
arn:aws::s3express:region:account-id:accesspoint/accesspoint-basename--zone-id--xa-s3
Per ulteriori informazioni Amazon Resource Names (ARNs)in merito ARNs, consulta la IAM User Guide. Per ulteriori informazioni sulle risorse, consulta Elementi delle policy JSON IAM: Resource nella Guida per l'utente di IAM.
Azioni per i bucket della directory
In una policy IAM basata sull'identità o una policy basata sulle risorse, vengono definite quali azioni S3 sono consentite o negate. Le azioni corrispondono a specifiche operazioni API. Con i bucket di directory, è necessario utilizzare lo spazio dei nomi S3 Express One Zone per concedere le autorizzazioni, chiamate. s3express
Quando concedi l's3express:CreateSessionautorizzazione, l'operazione CreateSession API recupera un token di sessione temporaneo per tutte le operazioni dell'API degli endpoint Zonal (a livello di oggetto). Il token di sessione restituisce le credenziali utilizzate per tutte le altre operazioni dell'API degli endpoint Zonal. Di conseguenza, non concedi le autorizzazioni di accesso alle operazioni dell'API Zonal con le politiche IAM. Al contrario, CreateSession consente l'accesso a tutte le operazioni a livello di oggetto. Per l'elenco delle operazioni e delle autorizzazioni dell'API zonale, consulta Autenticazione e autorizzazione delle richieste.
Per ulteriori informazioni sulle operazioni API CreateSession, consulta CreateSession nella Documentazione di riferimento delle API Amazon Simple Storage Service.
Puoi specificare le seguenti operazioni nell'elemento Action di un'istruzione di policy IAM. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando si utilizza un'azione in una policy, in genere si consente o si nega l'accesso all'operazione API con lo stesso nome. Tuttavia, in alcuni casi, una singola azione controlla l'accesso a più operazioni API. L'accesso alle azioni a livello di bucket può essere concesso solo nelle policy basate sulle identità IAM (utente o ruolo) e non nelle policy dei bucket.
Per ulteriori informazioni su come configurare le policy dei punti di accesso, consulta Configurazione delle politiche IAM per l'utilizzo dei punti di accesso per i bucket di directory.
Per ulteriori informazioni, consulta Azioni, risorse e chiavi di condizione per Amazon S3 Express.
