Autorizzazione delle operazioni API dell'endpoint regionale con IAM
AWS Identity and Access Management (IAM) è un Servizio AWS che consente agli amministratori di controllare in modo sicuro l'accesso alle risorse AWS. Gli amministratori IAM controllano chi può essere autenticato (accesso effettuato) e autorizzato (dotato di autorizzazioni) a utilizzare le risorse Amazon S3 nelle operazioni di bucket di directory e S3 Express One Zone. Puoi utilizzare IAM senza alcun costo aggiuntivo.
Per impostazione predefinita, gli utenti non hanno i permessi per i bucket di directory. Per concedere le autorizzazioni di accesso per i bucket di directory, puoi utilizzare IAM per creare utenti, gruppi o ruoli e collegare le autorizzazioni a tali identità. Per ulteriori informazioni su IAM, consulta Best Practice per la sicurezza in IAM nella Guida per l'utente di IAM.
Per fornire l'accesso, puoi aggiungere autorizzazioni a utenti, gruppi o ruoli tramite i mezzi seguenti:
-
Utenti e gruppi in AWS IAM Identity Center: crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center.
-
Utenti gestiti in IAM tramite un provider di identità: crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Creazione di un ruolo per un provider di identità di terze parti (federazione) nella Guida per l'utente di IAM.
-
Ruoli e utenti IAM: crea un ruolo che l'utente è in grado di assumere. Segui le istruzioni in Creazione di un ruolo per delegare le autorizzazioni a un utente IAM nella Guida per l'utente di IAM.
Per ulteriori informazioni su IAM per S3 Express One Zone, consulta i seguenti argomenti.
Argomenti
Principali
Quando si crea una policy basata sulle risorse per concedere l'accesso ai bucket, è necessario utilizzare l'elemento Principal per specificare la persona o l'applicazione che può effettuare una richiesta per un'azione o un'operazione su tale risorsa. Per le policy dei bucket di directory, puoi utilizzare i seguenti principali:
-
Un account AWS
-
Un utente IAM
-
Un ruolo IAM:
-
Un utente federato
Per ulteriori informazioni, consulta la sezione Principal nella Guida per l'utente di IAM.
Risorse
I nomi della risorsa Amazon (ARN) per i bucket di directory contengono il namespace s3express, la Regione AWS, l’ID dell’account AWS e il nome del bucket di directory, che include l’ID della zona AWS (di disponibilità o locale).
Per accedere ed eseguire azioni sul bucket di directory, è necessario utilizzare il seguente formato ARN:
arn:aws:s3express:region:account-id:bucket/base-bucket-name--zone-id--x-s3
Per accedere ed eseguire azioni sul punto di accesso di un bucket di directory, è necessario utilizzare il seguente formato ARN:
arn:aws::s3express:region:account-id:accesspoint/accesspoint-basename--zone-id--xa-s3
Per ulteriori informazioni sugli ARN, consulta Amazon Resource Names (ARNs) nella Guida per l'utente di IAM. Per ulteriori informazioni sulle risorse, consulta Elementi delle policy JSON IAM: Resource nella Guida per l'utente di IAM.
Azioni per i bucket della directory
In una policy IAM basata sull'identità o una policy basata sulle risorse, vengono definite quali azioni S3 sono consentite o negate. Le azioni corrispondono a specifiche operazioni API. Per fornire le autorizzazioni con i bucket di directory, è necessario utilizzare il namespace S3 Express One Zone, denominato s3express.
Quando si fornisce l’autorizzazione s3express:CreateSession, l’operazione API CreateSession recupera un token di sessione temporaneo per le operazioni API (a livello di oggetto) degli endpoint di zona. Il token di sessione restituisce le credenziali utilizzate per tutte le altre operazioni API degli endpoint di zona. Di conseguenza, non è necessario fornire le autorizzazioni di accesso alle operazioni API di zona utilizzando le policy IAM. CreateSession abilita l’accesso a tutte le operazioni a livello di oggetto. Per l’elenco delle autorizzazioni e delle operazioni API di zona, consulta Autenticazione e autorizzazione delle richieste.
Per ulteriori informazioni sulle operazioni API CreateSession, consulta CreateSession nella Documentazione di riferimento delle API Amazon Simple Storage Service.
Puoi specificare le seguenti operazioni nell'elemento Action di un'istruzione di policy IAM. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando si utilizza un'azione in una policy, in genere si consente o si nega l'accesso all'operazione API con lo stesso nome. Tuttavia, in alcuni casi, una singola azione controlla l'accesso a più operazioni API. L'accesso alle azioni a livello di bucket può essere concesso solo nelle policy basate sulle identità IAM (utente o ruolo) e non nelle policy dei bucket.
Per ulteriori informazioni su come configurare le policy dei punti di accesso, consulta Configurazione delle policy IAM per l’utilizzo dei punti di accesso per i bucket di directory.
Per ulteriori informazioni, consulta Operazioni, risorse e chiavi di condizione per Amazon S3 Express.
