Abilitazione di ABAC in bucket per uso generico - Amazon Simple Storage Service
Esecuzione di audit sulle policy prima dell’abilitazione dell’ABAC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione di ABAC in bucket per uso generico

Il controllo degli accessi basato sugli attributi (ABAC) è una strategia di autorizzazione che usi per definire le autorizzazioni in base agli attributi, ad esempio ai tag. Per impostazione predefinita, ABAC è disabilitato per tutti i bucket generici Amazon S3. Per utilizzare ABAC per bucket generici, devi abilitarlo.

Prima di abilitare ABAC per un bucket generico, si consiglia di completare innanzitutto le attività descritte nei seguenti argomenti:

Esecuzione di audit sulle policy prima dell’abilitazione dell’ABAC

Prima di abilitare ABAC per il tuo bucket, se il bucket contiene tag, controlla le tue politiche di controllo degli accessi per verificare se le condizioni basate sui tag fanno riferimento a uno qualsiasi dei tag esistenti nei bucket. In caso affermativo, conferma che queste policy siano configurate come previsto e che l'abilitazione del controllo degli accessi basato su tag non crei modifiche involontarie delle autorizzazioni ai flussi di lavoro di Amazon S3. In questo modo potrai garantire che le tue policy funzionino come previsto dopo aver abilitato ABAC nei tuoi bucket. Per esempi di utilizzo di condizioni basate sugli attributi con i tag, consulta. Utilizzo di tag con bucket S3 per uso generico

Inclusione delle autorizzazioni richieste nelle policy IAM

Sono necessarie le seguenti autorizzazioni Amazon S3 per abilitare ABAC per il tuo bucket:

  • s3:PutBucketAbac— Aggiorna lo stato ABAC per il tuo bucket generico.

  • s3:GetBucketAbac— Visualizza lo stato ABAC del tuo bucket per uso generico

Dopo aver abilitato ABAC, le autorizzazioni utilizzate in precedenza per aggiungere tag a un bucket o eliminare tag da un bucket, PutBucketTagging oppureDeleteBucketTagging, non funzioneranno più. Utilizzate invece TagResource e per eseguire queste operazioni UntagResource APIs .

Ti consigliamo di utilizzare TagResource e UntagResource APIs gestire i tag prima di abilitare ABAC sui tuoi bucket. La console Amazon S3 e CloudFormation ora utilizzano e per impostazione TagResource predefinita UntagResource APIs . Puoi anche disabilitare ABAC sul tuo bucket utilizzando l'API. PutBucketAbac Puoi usarla GetBucketTagging per elencare i tag nei tuoi bucket. Questa API continuerà a funzionare dopo aver abilitato ABAC per i tuoi bucket. In alternativa, puoi anche usarla ListTagsForResource per elencare tutti i tag nei tuoi bucket.

Avrai bisogno delle seguenti autorizzazioni per applicare i tag e rimuoverli dai bucket generici.

  • s3:TagResource- Aggiungi tag a una AWS risorsa, ad esempio un bucket generico Amazon S3.

  • s3:UntagResource- Rimuovi i tag da una AWS risorsa, ad esempio un bucket generico Amazon S3.

  • s3:ListTagsForResource- Visualizza i tag applicati a una AWS risorsa, ad esempio un bucket generico Amazon S3.

La seguente politica IAM concede l'autorizzazione per abilitare ABAC e visualizzarne lo stato per il tuo bucket.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutBucketAbac",
        "s3:GetBucketAbac"
      ],
      "Resource": "arn:aws:s3:::my-s3-bucket/*"
    }
  ]
}

Per ulteriori informazioni sull'etichettatura di bucket generici ed esempi di politiche ABAC per bucket generici, consulta. Utilizzo di tag con bucket S3 per uso generico

Fasi

Se disponi s3:PutBucketAbac dell'autorizzazione per un bucket generico, puoi abilitare ABAC per il bucket utilizzando la console Amazon S3, l'interfaccia a AWS riga di comando (CLI AWS ), l'API REST di Amazon S3 e. AWS SDKs

Per abilitare ABAC per un bucket generico utilizzando la console Amazon S3:

  1. Accedi alla console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nel riquadro di navigazione a sinistra, scegli i bucket.

  3. Scegliere il nome del bucket.

  4. Scegliere la scheda Properties (Proprietà).

  5. Nel pannello Bucket ABAC, scegliete Modifica.

  6. Scegliete l'interruttore Abilita.

  7. Rivedi e conferma le autorizzazioni necessarie per gestire i tag dopo aver abilitato ABAC:TagResource, e. UntagResource ListTagsForResource

  8. Scegli Save changes (Salva modifiche).

SDK for Java 2.x

Questo esempio mostra come aggiungere l'abilitazione ABAC per un bucket generico utilizzando. AWS SDK for Java 2.x Per utilizzare il comando, sostituiscilo user input placeholders con le tue informazioni. 

import software.amazon.awssdk.services.s3.S3Client;
import software.amazon.awssdk.services.s3.model.AbacStatus;
import software.amazon.awssdk.services.s3.model.GetBucketAbacRequest;
import software.amazon.awssdk.services.s3.model.GetBucketAbacResponse;
import software.amazon.awssdk.services.s3.model.PutBucketAbacRequest;
import software.amazon.awssdk.services.s3.model.PutBucketAbacResponse;
import software.amazon.awssdk.regions.Region; 

public class BucketAbac {
    public static void main(String[] args) {
        Region region = Region.US_EAST_1;
        S3Client s3 = S3Client.builder()
            .region(region)
            .build();

        putBucketAbac(s3, "amzn-s3-demo-bucket", "Enabled");
        getBucketAbac(s3, "amzn-s3-demo-bucket");

        putBucketAbac(s3, "amzn-s3-demo-bucket", "Disabled");
        getBucketAbac(s3, "amzn-s3-demo-bucket");
    }

    /**
     * Sets the ABAC (Attribute-Based Access Control) status for a specified S3 bucket.
     * 
     * @param s3 The S3Client instance to use for the API call
     * @param bucketName The name of the S3 bucket to update
     * @param status The desired ABAC status ("Enabled" or "Disabled")
    */
    public static void putBucketAbac(S3Client s3, String bucketName, String status) {
       try {
            AbacStatus abacStatus = AbacStatus.builder()
                .abacStatus(status)
                .build();
            PutBucketAbacReqquest request = PutBucketAbacRequest.builder()
                .bucket(bucketName)
                .abacStatus(abacStatus)
                .build();
            s3.putBucketAbac(request);
        } catch (S3Exception e) {
            System.err.println(e.awsErrorDetails().errorMessage());
            System.exit(1);
        }
    }
    
    /**
     * Retrieves the current ABAC (Attribute-Based Access Control) status for a specified S3 bucket.
     * 
     * @param s3 The S3Client instance to use for the API call
     * @param bucketName The name of the S3 bucket to query
    */
    public static void getBucketAbac(S3Client s3, String bucketName) {
       try {
            GetBucketAbacReqquest request = GetBucketAbacRequest.builder()
                .bucket(bucketName)
                .build();
            GetBucketAbacResponse response = s3.getBucketAbac(request);
        } catch (S3Exception e) {
            System.err.println(e.awsErrorDetails().errorMessage());
            System.exit(1);
        }
    }
}

Questo esempio mostra come aggiungere l'abilitazione ABAC per un bucket generico utilizzando l' AWS SDK for Java 2.x. Per utilizzare il comando, sostituiscilo user input placeholders con le tue informazioni.

Per informazioni sul supporto dell'API REST di Amazon S3 per l'aggiunta di tag a un bucket generico, consulta la sezione seguente nel riferimento all'API di riferimento di Amazon Simple Storage Service:

Per installare la AWS CLI, consulta Installazione della AWS CLI nella Guida per l'utente.AWS Command Line Interface

Il seguente esempio di CLI mostra come abilitare ABAC per un bucket generico utilizzando. AWS CLI Per utilizzare il comando, sostituiscilo user input placeholders con le tue informazioni.

Richiesta:

# Enable ABAC on a general purpose bucket

aws s3api put-bucket-abac --bucket amzn-s3-demo-bucket --abac-status Status=Enabled --region us-east-2

# Disable ABAC on a general purpose bucket

aws s3api put-bucket-abac --bucket amzn-s3-demo-bucket --abac-status Status=Disabled --region us-east-2

# Get ABAC status on a general purpose bucket

aws s3api get-bucket-abac --bucket amzn-s3-demo-bucket --region us-east-2