Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Policy IAM basate sull'identità per i bucket di directory
Prima di poter creare i bucket di directory, è necessario concedere le autorizzazioni necessarie al ruolo o agli utenti di AWS Identity and Access Management (IAM). Questa policy di esempio consente l'accesso all'operazione API CreateSession (per l'utilizzo con le operazioni API [a livello di oggetto] degli endpoint zonali) e a tutte le operazioni API (a livello di bucket) degli endpoint regionali. Questa policy consente l'operazione API CreateSession per l'utilizzo con tutti i bucket di directory, ma le operazioni API degli endpoint regionali sono consentite solo per l'utilizzo con il bucket di directory specificato. Per utilizzare questa policy di esempio, sostituisci con le tue informazioni.user input
placeholders
Nota
Come best practice, concedi solo le autorizzazioni necessarie per eseguire un'attività (privilegio minimo). Rimuovi da questa politica tutte le azioni che non sono necessarie per il tuo caso d'uso. Per un elenco completo delle azioni di S3 Express One Zone, consulta Azioni, risorse e chiavi di condizione per S3 Express One Zone nel Service Authorization Reference.
Esempio— Identity-based politica per l'accesso ai bucket di directory
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRegionalEndpointAPIs", "Effect": "Allow", "Action": [ "s3express:CreateBucket", "s3express:DeleteBucket", "s3express:DeleteBucketPolicy", "s3express:GetBucketPolicy", "s3express:PutBucketPolicy", "s3express:GetEncryptionConfiguration", "s3express:PutEncryptionConfiguration", "s3express:GetLifecycleConfiguration", "s3express:PutLifecycleConfiguration", "s3express:GetInventoryConfiguration", "s3express:PutInventoryConfiguration", "s3express:GetMetricsConfiguration", "s3express:PutMetricsConfiguration" ], "Resource": "arn:aws:s3express:region:account-id:bucket/bucket-base-name--zone-id--x-s3" }, { "Sid": "AllowListAndCreateSession", "Effect": "Allow", "Action": [ "s3express:ListAllMyDirectoryBuckets", "s3express:CreateSession" ], "Resource": "*" } ] }
Questa politica ha due dichiarazioni:
La prima istruzione concede le autorizzazioni per le operazioni API degli endpoint regionali (a livello di bucket) su un bucket di directory specifico. Puoi rimuovere le azioni che non ti servono per il tuo caso d'uso.
La seconda istruzione concede le autorizzazioni per
ListAllMyDirectoryBucketse.CreateSessionQueste azioni non supportano le autorizzazioni a livello di risorsa, quindi lo sono.Resource"*"L'CreateSessionautorizzazione abilita tutte le operazioni API Zonal Endpoint (a livello di oggetto), come, e.PutObjectGetObjectDeleteObject