View a markdown version of this page

Policy IAM basate sull'identità per i bucket di directory - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Policy IAM basate sull'identità per i bucket di directory

Prima di poter creare i bucket di directory, è necessario concedere le autorizzazioni necessarie al ruolo o agli utenti di AWS Identity and Access Management (IAM). Questa policy di esempio consente l'accesso all'operazione API CreateSession (per l'utilizzo con le operazioni API [a livello di oggetto] degli endpoint zonali) e a tutte le operazioni API (a livello di bucket) degli endpoint regionali. Questa policy consente l'operazione API CreateSession per l'utilizzo con tutti i bucket di directory, ma le operazioni API degli endpoint regionali sono consentite solo per l'utilizzo con il bucket di directory specificato. Per utilizzare questa policy di esempio, sostituisci user input placeholders con le tue informazioni.

Nota

Come best practice, concedi solo le autorizzazioni necessarie per eseguire un'attività (privilegio minimo). Rimuovi da questa politica tutte le azioni che non sono necessarie per il tuo caso d'uso. Per un elenco completo delle azioni di S3 Express One Zone, consulta Azioni, risorse e chiavi di condizione per S3 Express One Zone nel Service Authorization Reference.

Esempio— Identity-based politica per l'accesso ai bucket di directory
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRegionalEndpointAPIs", "Effect": "Allow", "Action": [ "s3express:CreateBucket", "s3express:DeleteBucket", "s3express:DeleteBucketPolicy", "s3express:GetBucketPolicy", "s3express:PutBucketPolicy", "s3express:GetEncryptionConfiguration", "s3express:PutEncryptionConfiguration", "s3express:GetLifecycleConfiguration", "s3express:PutLifecycleConfiguration", "s3express:GetInventoryConfiguration", "s3express:PutInventoryConfiguration", "s3express:GetMetricsConfiguration", "s3express:PutMetricsConfiguration" ], "Resource": "arn:aws:s3express:region:account-id:bucket/bucket-base-name--zone-id--x-s3" }, { "Sid": "AllowListAndCreateSession", "Effect": "Allow", "Action": [ "s3express:ListAllMyDirectoryBuckets", "s3express:CreateSession" ], "Resource": "*" } ] }

Questa politica ha due dichiarazioni:

  • La prima istruzione concede le autorizzazioni per le operazioni API degli endpoint regionali (a livello di bucket) su un bucket di directory specifico. Puoi rimuovere le azioni che non ti servono per il tuo caso d'uso.

  • La seconda istruzione concede le autorizzazioni per ListAllMyDirectoryBuckets e. CreateSession Queste azioni non supportano le autorizzazioni a livello di risorsa, quindi lo sono. Resource "*" L'CreateSessionautorizzazione abilita tutte le operazioni API Zonal Endpoint (a livello di oggetto), come, e. PutObject GetObject DeleteObject