Configurazione delle policy IAM per i punti di accesso Lambda per oggetti - Amazon Simple Storage Service
Abilitazione delle autorizzazioni per i ruoli di esecuzione LambdaUtilizzo delle chiavi di contesto con i punti di accesso Lambda per oggetti

Configurazione delle policy IAM per i punti di accesso Lambda per oggetti

Nota

A partire dal 7 novembre 2025, Lambda per oggetti S3 sarà disponibile solo per i clienti esistenti che attualmente utilizzano il servizio e per alcuni partner della Rete dei partner AWS (APN). Se desideri utilizzare il servizio, registrati prima del 7 novembre 2025. Per funzionalità simili a Lambda per oggetti S3, consulta Modifica della disponibilità di Lambda per oggetti Amazon S3.

I punti di accesso Amazon S3 supportano le policy delle risorse AWS Identity and Access Management (IAM) che consentono di controllare l'utilizzo del punto di accesso per risorsa, utente o altre condizioni. È possibile controllare l'accesso tramite una policy di risorse opzionale sul punto di accesso Lambda per oggetti o una policy di risorse sul punto di accesso di supporto. Per esempi dettagliati, consulta le sezioni Tutorial: trasformazione dei dati per l'applicazione con S3 Object Lambda e Tutorial: rilevamento e oscuramento dei dati PII con S3 Object Lambda e Amazon Comprehend.

Per utilizzare i punti di accesso Lambda per oggetti, le seguenti quattro risorse devono disporre delle seguenti autorizzazioni:

  • L'identità IAM, ad esempio un utente o un ruolo. Per ulteriori informazioni sulle identità IAM e sulle best practice, consulta Identità IAM (utenti, gruppi di utenti e ruoli) nella Guida per l'utente di IAM.

  • Il punto di accesso standard collegato a un’origine dati sottostante come un bucket S3 o un volume Amazon FSx per OpenZFS. Quando utilizzi i punti di accesso Lambda per oggetti, questo punto di accesso standard è noto come punto di accesso di supporto.

  • Il punto di accesso Lambda per oggetti.

  • La funzione AWS Lambda.

Importante

Prima di salvare la policy, assicurati di risolvere gli avvisi di sicurezza, gli errori, gli avvisi generali e i suggerimenti da AWS Identity and Access Management Access Analyzer. IAM Access Analyzer esegue controlli sulle policy per convalidare le policy rispetto alla grammatica delle policy IAM e alle best practice. Questi controlli generano risultati e forniscono raccomandazioni attuabili per aiutarti a creare policy funzionali e conformi alle best practice di sicurezza.

Per ulteriori informazioni sulla convalida delle policy tramite IAM Access Analyzer, consulta Convalida delle policy di IAM Access Analyzer nella Guida per l'utente di IAM. Per visualizzare un elenco delle avvertenze, degli errori e dei suggerimenti restituiti da IAM Access Analyzer, consulta il Riferimento al controllo delle policy di IAM Access Analyzer.

In questi esempi di policy si presuppone di disporre delle seguenti risorse:

  • Un bucket Amazon S3 con il seguente nome della risorsa Amazon (ARN):

    arn:aws:s3:::amzn-s3-demo-bucket1

  • Un punto di accesso standard Amazon S3 su questo bucket con il seguente ARN:

    arn:aws:s3:us-east-1:111122223333:accesspoint/my-access-point

  • Un punto di accesso Lambda per oggetti con il seguente ARN:

    arn:aws:s3-object-lambda:us-east-1:111122223333:accesspoint/my-object-lambda-ap

  • Una funzione AWS Lambda con il seguente ARN:

    arn:aws:lambda:us-east-1:111122223333:function:MyObjectLambdaFunction

Nota

Se si utilizza una funzione Lambda del proprio account, è necessario includere la versione specifica della funzione nell'istruzione della policy. Nell'esempio di ARN seguente, la versione è indicata con 1:

arn:aws:lambda:us-east-1:111122223333:function:MyObjectLambdaFunction:1

Lambda non supporta l'aggiunta di policy IAM alla versione $LATEST. Per ulteriori informazioni sulle versioni delle funzioni Lambda, consulta Versioni delle funzioni Lambda nella Guida per gli sviluppatori di AWS Lambda.

Esempio : policy di bucket che delega il controllo degli accessi ai punti di accesso standard

Il seguente esempio di policy di bucket S3 delega il controllo degli accessi di un bucket ai relativi punti di accesso standard. Questa policy consente l'accesso completo a tutti i punti di accesso di proprietà dell'account del proprietario del bucket. Pertanto, tutto l'accesso a questo bucket è controllato dalle policy associate ai punti di accesso. Gli utenti possono eseguire la lettura dal bucket solo mediante un punto di accesso; ciò significa che le operazioni possono essere richiamate solo tramite i punti di accesso. Per ulteriori informazioni, consulta Delegazione del controllo di accesso agli access point.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
    {
        "Effect": "Allow",
        "Principal" : { "AWS":"account-ARN"},
        "Action" : "*",
        "Resource" : [
            "arn:aws:s3:::amzn-s3-demo-bucket", 
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ],
        "Condition": {
            "StringEquals" : { "s3:DataAccessPointAccount" : "Bucket owner's account ID" }
        }
    }]
}
Esempio - Policy IAM che concede a un utente le autorizzazioni necessarie per utilizzare un punto di accesso Lambda per oggetti

La seguente policy IAM concede a un utente le autorizzazioni per la funzione Lambda, il punto di accesso standard e il punto di accesso Lambda per oggetti.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowLambdaInvocation",
      "Action": [
        "lambda:InvokeFunction"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:lambda:us-east-1:111122223333:function:MyObjectLambdaFunction:1",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": [
            "s3-object-lambda.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "AllowStandardAccessPointAccess",
      "Action": [
        "s3:Get*",
        "s3:List*"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-access-point/*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": [
            "s3-object-lambda.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "AllowObjectLambdaAccess",
      "Action": [
        "s3-object-lambda:Get*",
        "s3-object-lambda:List*"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3-object-lambda:us-east-1:111122223333:accesspoint/my-object-lambda-ap"
    }
  ]
}

Abilitazione delle autorizzazioni per i ruoli di esecuzione Lambda

Quando vengono effettuate richieste GET a un punto di accesso Lambda per oggetti, la funzione Lambda deve essere autorizzata a inviare dati al punto di accesso Lambda per oggetti S3. Per fornire questa autorizzazione, abilita l'autorizzazione s3-object-lambda:WriteGetObjectResponse sul ruolo di esecuzione della funzione Lambda. Puoi creare un nuovo ruolo di esecuzione o aggiornare un ruolo esistente.

Nota

La funzione richiede l'autorizzazione s3-object-lambda:WriteGetObjectResponse solo se stai effettuando una richiesta GET.

Per creare un ruolo di esecuzione nella console IAM

  1. Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione a sinistra, seleziona Ruoli.

  3. Scegli Crea ruolo.

  4. In Common use cases (Casi di utilizzo comuni), scegliere Lambda.

  5. Scegli Next (Successivo).

  6. Nella pagina Add permissions (Aggiungi autorizzazioni), cerca la policy gestita AWS AmazonS3ObjectLambdaExecutionRolePolicy, quindi seleziona la casella di controllo accanto al nome della policy.

    Questa politica dovrebbe contenere l'operazione s3-object-lambda:WriteGetObjectResponse.

  7. Scegli Next (Successivo).

  8. Nella pagina Name, review, and create (Denomina, rivedi e crea), in Role name (Nome ruolo) immetti s3-object-lambda-role.

  9. (Facoltativo) Aggiungi una descrizione e i tag per questo ruolo.

  10. Scegli Crea ruolo.

  11. Applica il nuovo s3-object-lambda-role quale ruolo di esecuzione della funzione Lambda. Questa operazione può essere eseguita durante o dopo la creazione della funzione Lambda nella console Lambda.

Per ulteriori informazioni sui ruoli di esecuzione, consulta la sezione Ruolo di esecuzione Lambda nella Guida per gli sviluppatori di AWS Lambda.

Utilizzo delle chiavi di contesto con i punti di accesso Lambda per oggetti

S3 Object Lambda valuterà le chiavi di contesto come s3-object-lambda:TlsVersion o s3-object-lambda:AuthType in base alla connessione o alla firma della richiesta. Tutte le altre chiavi di contesto, ad esempio s3:prefix, vengono valutate da Amazon S3.