Utilizzo di tag con bucket S3 per uso generico - Amazon Simple Storage Service
Metodi comuni per utilizzare i tag con i bucketGestione dei tag per i bucket per uso generico

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di tag con bucket S3 per uso generico

Un AWS tag è una coppia chiave-valore che contiene i metadati relativi alle risorse, in questo caso i bucket generici di Amazon S3. Puoi taggare i bucket S3 quando li crei o gestire i tag sui bucket esistenti. Per informazioni generali sui tag, consulta Tagging per l’allocazione dei costi o il controllo degli accessi basato su attributi (ABAC).

Nota

Non sono previsti costi aggiuntivi per l'utilizzo dei tag sui bucket oltre alle tariffe di richiesta dell'API S3 standard. Per ulteriori informazioni, consulta Prezzi di Amazon S3.

Metodi comuni per utilizzare i tag con i bucket

Usa i tag sui tuoi bucket S3 per:

  1. Allocazione dei costi: monitorare i costi di archiviazione in base al tag del bucket in Gestione dei costi e fatturazione AWS. Per ulteriori informazioni, consultare Utilizzo dei tag per l’allocazione dei costi.

  2. Controllo degli accessi basato sugli attributi (ABAC): ridimensiona le autorizzazioni di accesso e concedi l'accesso ai bucket S3 in base ai relativi tag. Per ulteriori informazioni, consulta Utilizzo dei tag per ABAC.

    Nota

    Per i bucket generici, ABAC non è abilitato per impostazione predefinita. Per abilitare ABAC per i bucket generici, vedere. Abilitazione di ABAC in bucket per uso generico Per le risorse Amazon S3 come punti di accesso e bucket di directory, ABAC è abilitato per impostazione predefinita. È possibile utilizzare gli stessi tag sia per l’allocazione dei costi che per il controllo degli accessi.

Bucket per uso generico ABAC per S3

I bucket generici Amazon S3 supportano il controllo degli accessi basato sugli attributi (ABAC) tramite tag. Utilizza le chiavi di condizione basate su tag nelle policy aziendali, IAM e AWS S3 bucket. Per le aziende, ABAC in Amazon S3 supporta l'autorizzazione su più AWS account.

Nelle tue politiche IAM, puoi controllare l'accesso ai bucket S3 in base ai tag del bucket utilizzando le seguenti chiavi di condizione globali:

  • aws:ResourceTag/key-name

    • Usa questa chiave di condizione per confrontare la coppia chiave-valore del tag specificata nella policy con la coppia chiave-valore associata alla risorsa. S3 valuta questa chiave di condizione solo dopo aver abilitato ABAC sul bucket. Ad esempio, puoi richiedere che l'accesso a una risorsa sia consentito solo se la risorsa dispone di una chiave di tag Dept collegata al valore Marketing. Per ulteriori informazioni, consulta Controllo dell'accesso alle risorse. AWS

  • aws:RequestTag/key-name

    • Utilizzate questa chiave di condizione per confrontare la coppia chiave-valore del tag passata nella richiesta con la coppia di tag specificata nella politica. Ad esempio, è possibile controllare che la richiesta includa la chiave del tag Dept e che abbia il valore Accounting. Per ulteriori informazioni, vedere Controllo dell'accesso durante AWS le richieste. È possibile utilizzare questa chiave di condizione per limitare quali coppie chiave-valore di tag possono essere passate durante le operazioni API TagResource e CreateBucket.

  • aws:TagKeys

    • Utilizzate questa chiave di condizione per confrontare le chiavi dei tag in una richiesta con le chiavi specificate nella politica. Nell'utilizzo delle policy per controllare gli accessi tramite tag, è consigliabile utilizzare la chiave di condizione aws:TagKeys per definire le chiavi di tag ammesse. Per esempi di policy e ulteriori informazioni, consulta Controllo dell’accesso in base alle chiavi di tag.

  • s3:BucketTag/tag-key

    • Usa questa chiave di condizione per concedere autorizzazioni a dati specifici nei bucket utilizzando i tag. Questa chiave condizionale è applicabile solo dopo che ABAC è stato abilitato nel bucket. Quando si accede a un bucket utilizzando un punto di accesso, la chiave di aws:ResourceTag/tag-key condizione fa riferimento ai tag sul bucket sia durante l'autorizzazione relativa al punto di accesso che al bucket. s3:BucketTag/tag-keyFarà riferimento ai tag solo del bucket per il quale è autorizzato.

Nota

Quando crei bucket con tag, tieni presente che le condizioni basate sui tag per accedere al tuo bucket utilizzando le chiavi aws: ResourceTag e s3: BucketTag condition sono applicabili solo dopo aver abilitato ABAC sul bucket. Per ulteriori informazioni, consulta Abilitazione di ABAC in bucket per uso generico.

Esempi di politiche ABAC per i bucket

Vedi i seguenti esempi di politiche ABAC per i bucket Amazon S3.

1.1 - Policy IAM per creare o modificare bucket con tag specifici

In questa policy IAM, gli utenti o i ruoli con questa policy possono creare bucket S3 solo se etichettano il bucket con la chiave del tag project e il valore Trinity del tag nella richiesta di creazione del bucket. Possono anche aggiungere o modificare tag su bucket S3 esistenti purché la TagResource richiesta includa la coppia chiave-valore del tag. project:Trinity Questa policy non fornisce autorizzazioni di lettura, scrittura o eliminazione sui bucket o sui relativi oggetti. 

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "CreateBucketWithTags",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "Trinity"
          ]
        }
      }
    }
  ]
}

1.2 - Politica sui bucket per limitare le operazioni

In questa policy sui bucket, i principi IAM (utenti e ruoli) vengono s3:ListBucket negati e s3:PutObject le azioni sul bucket solo se il valore del project tag sul bucket corrisponde al valore del tag sul project bucket. s3:GetObject

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenyObjectOperations",
            "Effect": "Deny",
            "Principal": "*",
            "Action": ["s3:ListBucket",
                       "s3:GetObject",
                       "s3:PutObject"],
            "Resource": "arn:aws:s3:::aws-s3-demo/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
                }
            }
        }
    ]
}

1.3 - Politica IAM per modificare i tag sulle risorse esistenti

In questa policy IAM, i principali IAM (utenti o ruoli) possono modificare i tag su un bucket solo se il valore del tag project del bucket corrisponde al valore del tag project del principale. Solo i quattro tag project e quelli cost-center specificati nelle chiavi di aws:TagKeys condizione sono consentiti per questi bucket. environment owner Ciò aiuta a rafforzare la governance dei tag, impedisce modifiche non autorizzate dei tag e mantiene lo schema di tagging coerente tra i bucket.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3:TagResource",
        "s3:CreateBucket"
      ],
      "Resource": "*",
      "Condition": {
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "project",
            "environment",
            "owner",
            "cost-center"
          ]
        }
      }
    }
  ]
}

1.4 - Utilizzo della chiave di condizione s3: BucketTag

In questa policy IAM, l'istruzione condition consente l'accesso ai dati del aws-s3-demo bucket solo se il bucket ha la chiave del tag Environment e il valore del tag. Production

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessViaSpecificBucket",
      "Effect": "Allow",
      "Action": "*",
      "Resource": ["arn:aws:s3:::aws-s3-demo","arn:aws:s3:::aws-s3-demo/*"],
      "Condition": {
        "StringEquals": {
          "s3:BucketTag/Environment": "Production"
        }
      }
    }
  ]
}

Gestione dei tag per i bucket per uso generico

Puoi aggiungere o gestire tag per i bucket S3 utilizzando la console Amazon S3, AWS l'interfaccia a riga di comando (CLI) o utilizzando S3:, e. AWS SDKs APIs TagResourceUntagResourceListTagsForResource Per ulteriori informazioni, consulta:

Argomenti