Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Utilizzo di tag con i bucket di directory S3
<a name="directory-buckets-tagging"></a>

Un AWS tag è una coppia chiave-valore che contiene i metadati relativi alle risorse, in questo caso i bucket di directory Amazon S3. È possibile applicare i tag ai bucket di directory S3 al momento della creazione o gestire i tag sui bucket di directory esistenti. Per informazioni generali sui tag, consulta [Tagging per l’allocazione dei costi o il controllo degli accessi basato su attributi (ABAC)](tagging.md).

**Nota**  
Non sono previsti costi aggiuntivi per l’utilizzo dei tag sui bucket di directory oltre alle tariffe di richiesta API S3 standard. Per ulteriori informazioni, consulta [Prezzi di Amazon S3](https://aws.amazon.com/s3/pricing/).

## Metodi comuni per utilizzare i tag con i bucket di directory
<a name="common-ways-to-use-tags-directory-bucket"></a>

Si utilizzano i tag nei bucket di directory S3 per:

1. **Allocazione dei costi**: monitorare i costi di archiviazione in base al tag del bucket in Gestione dei costi e fatturazione AWS. Per ulteriori informazioni, consultare [Utilizzo dei tag per l’allocazione dei costi](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-cost-allocation).

1. **Controllo degli accessi basato su attributi (ABAC)**: scalare le autorizzazioni di accesso e fornire l’accesso ai bucket di directory S3 in base ai loro tag. Per ulteriori informazioni, consulta [Utilizzo dei tag per ABAC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-abac).

**Nota**  
È possibile utilizzare gli stessi tag sia per l’allocazione dei costi che per il controllo degli accessi.

### ABAC per bucket di directory S3
<a name="abac-for-directory-buckets"></a>

I bucket di directory Amazon S3 supportano il controllo degli accessi basato su attributi (ABAC) con tag. Utilizza le chiavi di condizione basate su tag nelle policy dei bucket di directory della tua AWS organizzazione, di IAM e di S3 Directory. Per le aziende, ABAC in Amazon S3 supporta l'autorizzazione su più AWS account. 

Nelle policy IAM, è possibile controllare l’accesso ai bucket di directory S3 in base ai tag del bucket utilizzando le seguenti [chiavi di condizione globali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys):
+ `aws:ResourceTag/key-name`
  + Utilizzare questa chiave per confrontare la coppia chiave-valore del tag specificata nella policy con la coppia chiave-valore associata alla risorsa. Ad esempio, puoi richiedere che l'accesso a una risorsa sia consentito solo se la risorsa dispone di una chiave di tag `Dept` collegata al valore `Marketing`. Per ulteriori informazioni, consulta [Controllo dell'accesso alle AWS risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources).
+ `aws:RequestTag/key-name`
  + Utilizzare questa chiave per confrontare la coppia chiave-valore del tag passata nella richiesta con la coppia del tag specificata nella policy. Ad esempio, è possibile controllare che la richiesta includa la chiave del tag `Dept` e che abbia il valore `Accounting`. Per ulteriori informazioni, vedere [Controllo dell'accesso durante AWS le richieste](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests). È possibile utilizzare questa chiave di condizione per limitare quali coppie chiave-valore di tag possono essere passate durante le operazioni API `TagResource` e `CreateBucket`.
+ `aws:TagKeys`
  + Utilizzare questa chiave per confrontare le chiavi dei tag in una richiesta con quelle specificate nella policy. Nell'utilizzo delle policy per controllare gli accessi tramite tag, è consigliabile utilizzare la chiave di condizione `aws:TagKeys` per definire le chiavi di tag ammesse. Per esempi di policy e ulteriori informazioni, consulta [Controllo dell’accesso in base alle chiavi di tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys). È possibile creare un bucket di directory S3 con tag. Per consentire il tagging durante l’operazione API `CreateBucket`, è necessario creare una policy che comprende entrambe le azioni `s3express:TagResource` e `s3express:CreateBucket`. È quindi possibile utilizzare la chiave di condizione `aws:TagKeys` per implementare nella richiesta `CreateBucket` specifici tag.
+ `s3express:BucketTag/tag-key`
  + Utilizzare questa chiave di condizione per fornire le autorizzazioni a dati specifici in bucket di directory con tag. Quando si accede a un bucket di directory utilizzando un punto di accesso, questa chiave di condizione fa riferimento ai tag del bucket di directory durante l’autorizzazione del punto di accesso e del bucket di directory, mentre `aws:ResourceTag/tag-key` fa riferimento solo ai tag della risorsa per cui viene autorizzata. 

### Esempi di policy ABAC per bucket di directory
<a name="example-directory-buckets-abac-policies"></a>

Di seguito sono riportati esempi di policy ABAC per i bucket di directory Amazon S3.

#### 1.1 - Policy IAM per creare o modificare bucket con tag specifici
<a name="example-user-policy-request-tag"></a>

In questa policy IAM, gli utenti o i ruoli con questa policy possono creare bucket di directory S3 solo se applicano ai bucket i tag con la chiave di tag `project` e il valore di tag `Trinity` nella richiesta di creazione del bucket. Possono anche aggiungere o modificare i tag sui bucket di directory S3 esistenti, purché la richiesta `TagResource` includa la coppia chiave-valore `project:Trinity` del tag. Questa policy non fornisce autorizzazioni di lettura, scrittura o eliminazione sui bucket o sui relativi oggetti. 

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "CreateBucketWithTags",
      "Effect": "Allow",
      "Action": [
        "s3express:CreateBucket",
        "s3express:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "{{Trinity}}"
          ]
        }
      }
    }
  ]
}
```

#### 1.2 - Policy di bucket per limitare le operazioni sul bucket con tag
<a name="example-user-policy-resource-tag"></a>

In questa policy di bucket, i principali IAM (utenti e ruoli) possono eseguire operazioni utilizzando l’azione `CreateSession` sul bucket solo se il valore del tag `project` del bucket corrisponde al valore del tag `project` del principale.

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowObjectOperations",
      "Effect": "Allow",
      "Principal": {
        "AWS": "{{111122223333}}"
      },
      "Action": "s3express:CreateSession",
      "Resource": "arn:aws::s3express:{{us-west-2}}:{{111122223333}}:bucket/{{{{amzn-s3-demo-bucket--usw2-az1--x-s3}}}}",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        }
      }
    }
  ]
}
```

#### 1.3 - Policy IAM per modificare i tag sulle risorse esistenti mantenendo la governance dei tag
<a name="example-user-policy-tag-keys"></a>

In questa policy IAM, i principali IAM (utenti o ruoli) possono modificare i tag su un bucket solo se il valore del tag `project` del bucket corrisponde al valore del tag `project` del principale. Solo i quattro tag `project`, `environment`, `owner` e `cost-center` specificati nelle chiavi di condizione `aws:TagKeys` sono consentiti per questi bucket di directory. Ciò aiuta a rafforzare la governance dei tag, impedisce modifiche non autorizzate dei tag e mantiene lo schema di tagging coerente tra i bucket.

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3express:TagResource"
      ],
      "Resource": "arn:aws::s3express:{{us-west-2}}:{{111122223333}}:bucket/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "{{project}}",
            "{{environment}}",
            "{{owner}}",
            "{{cost-center}}"
          ]
        }
      }
    }
  ]
}
```

#### 1.4 - Uso di s3express: chiave condizionale BucketTag
<a name="example-policy-bucket-tag"></a>

In questa policy IAM, l’istruzione di condizione consente l’accesso ai dati del bucket solo se il bucket ha la chiave di tag `Environment` e il valore di tag `Production`. 

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessToSpecificAccessPoint",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws::s3express:{{us-west-2}}:{{111122223333}}:accesspoint/*",
      "Condition": {
        "StringEquals": {
          "s3express:BucketTag/Environment": "Production"
        }
      }
    }
  ]
}
```

## Gestione dei tag per bucket di directory
<a name="working-with-tags"></a>

Puoi aggiungere o gestire tag per i bucket di directory S3 utilizzando la console Amazon S3, AWS l'interfaccia a riga di comando (CLI), AWS SDKs o utilizzando S3:, e. APIs [TagResource[UntagResource[ListTagsForResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html)](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html)](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html) Per ulteriori informazioni, consulta:

**Topics**
+ [Metodi comuni per utilizzare i tag con i bucket di directory](#common-ways-to-use-tags-directory-bucket)
+ [Gestione dei tag per bucket di directory](#working-with-tags)
+ [Creazione di bucket di directory con tag](directory-bucket-create-tag.md)
+ [Aggiunta di un tag a un bucket di directory](directory-bucket-tag-add.md)
+ [Visualizzazione dei tag di bucket di directory](directory-bucket-tag-view.md)
+ [Eliminazione di un tag da un bucket di directory](directory-bucket-tag-delete.md)