Gestione degli accessi

Amazon S3 offre una serie di strumenti di gestione degli accessi. Di seguito è riportato un elenco di queste funzioni e strumenti. Non è necessario disporre di tutti questi strumenti di gestione degli accessi, ma è necessario utilizzarne uno o più per concedere l'accesso ai bucket Amazon S3, agli oggetti e ad altri Risorse S3. L'applicazione corretta di questi strumenti può aiutare a garantire che le risorse siano accessibili solo agli utenti previsti.

Lo strumento di gestione degli accessi più comunemente utilizzato è una policy di accesso. Una policy di accesso può essere una policy basata sulle risorse, collegata a una risorsa AWS, come una policy di bucket per un bucket. Un policy di accesso può anche essere una policy basata sull'identità, collegata a un'identità AWS Identity and Access Management (IAM), come un utente, un gruppo o un ruolo IAM. Una policy di accesso descrive chi ha accesso a quali cose. Scrivi una policy di accesso per concedere a utenti, gruppi e ruoli Account AWS e IAM il permesso di eseguire operazioni su una risorsa. Ad esempio, si può concedere l'autorizzazione PUT Object a un altro account Account AWS, in modo che quest'ultimo possa caricare oggetti nel proprio bucket.

Di seguito sono elencati gli strumenti di gestione degli accessi disponibili in Amazon S3. Per una guida più completa sul controllo degli accessi ad Amazon S3, consulta Controllo degli accessi in Amazon S3.

Policy del bucket

Una policy del bucket Amazon S3 è una policy basata sulle risorse AWS Identity and Access Management (IAM) in formato JSON, collegata a un particolare bucket. Utilizza le policy di bucket per concedere ad altri Account AWS o alle identità IAM le autorizzazioni per il bucket e gli oggetti in esso contenuti. Molti casi d'uso della gestione degli accessi S3 possono essere soddisfatti utilizzando una policy di bucket. Con le policy di bucket, è possibile personalizzare l'accesso ai bucket per assicurarsi che solo le identità approvate possano accedere alle risorse ed eseguire azioni al loro interno. Per ulteriori informazioni, consulta Policy dei bucket per Amazon S3.

Policy basata su identità

Una policy utente basata sull'identità o IAM è un tipo di policy AWS Identity and Access Management (IAM). Una policy basata sull'identità è una policy in formato JSON collegata a utenti, gruppi o ruoli IAM nell'account AWS. È possibile utilizzare le policy basate sull'identità per concedere a un'identità IAM l'accesso ai bucket o agli oggetti. È possibile creare utenti, gruppi e ruoli IAM nel proprio account e associare ad essi le policy di accesso. È quindi possibile concedere l'accesso alle risorse di AWS, comprese quelle di Amazon S3. Per ulteriori informazioni, consulta Policy basate sull'identità per Amazon S3.

S3 Access Grants

Utilizza S3 Access Grants per creare i permessi di accesso ai dati di Amazon S3 sia per le identità nelle directory di identità aziendali, come Active Directory, sia per le identità AWS Identity and Access Management (IAM). S3 Access Grants aiuta a gestire le autorizzazioni dei dati su scala. Inoltre, S3 Access Grants registra l'identità dell'utente finale e l'applicazione utilizzata per accedere ai dati S3 in AWS CloudTrail. Questo fornisce una cronologia di audit dettagliata fino all'identità dell'utente finale per tutti gli accessi ai dati nei bucket S3. Per ulteriori informazioni, consulta Gestione dell'accesso con S3 Access Grants.

Punti di accesso

Punti di accesso Amazon S3 semplifica la gestione dell'accesso ai dati su scala per le applicazioni che utilizzano set di dati condivisi su S3. I punti di accesso sono endpoint di rete denominati e collegati a un bucket. È possibile utilizzare i punti di accesso per eseguire operazioni sugli oggetti S3 in scala, come il caricamento e il recupero di oggetti. A un bucket possono essere collegati fino a 10.000 punti di accesso e per ogni punto di accesso è possibile applicare autorizzazioni e controlli di rete distinti per avere un controllo dettagliato sull'accesso agli oggetti S3. I punti di accesso S3 possono essere associati a bucket dello stesso account o di un altro account attendibile. Le policy dei punti di accesso sono policy basate sulle risorse che vengono valutate insieme alla policy di bucket sottostante. Per ulteriori informazioni, consulta Gestione dell'accesso a set di dati condivisi con punti di accesso.

Lista di controllo degli accessi (ACL)

Una ACL è un elenco di concessioni che identifica il beneficiario e l'autorizzazione concessa. Le ACL concedono permessi di base di lettura o scrittura ad altri Account AWS. Le liste ACL utilizzano uno schema XML specifico di Amazon S3. Una ACL è un tipo di policy AWS Identity and Access Management (IAM). Una ACL per oggetti viene utilizzata per gestire l'accesso a un oggetto e una ACL per bucket viene utilizzata per gestire l'accesso a un bucket. Con le policy di bucket, esiste una singola policy per l'intero bucket, ma le ACL degli oggetti sono specificate per ciascun oggetto. È consigliabile mantenere le ACL disattivate, tranne in circostanze in cui è necessario controllare individualmente l’accesso per ciascun oggetto. Per ulteriori informazioni sulle ACL, consulta Controllo della proprietà degli oggetti e disabilitazione degli ACL per il bucket.

avvertimento

La maggior parte dei casi d'uso moderni di Amazon S3 non richiede l'uso di ACL.

Proprietà dell'oggetto

Per gestire l'accesso ai propri oggetti, è necessario essere il proprietario dell'oggetto. È possibile utilizzare l'impostazione Proprietà oggetto a livello di bucket per controllare la proprietà degli oggetti caricati nel bucket. Inoltre, utilizzare la proprietà dell'oggetto per attivare le ACL. Per impostazione predefinita, la proprietà dell'oggetto è impostata sul proprietario del bucket e tutte le ACL sono disattivate. Quando le ACL sono disattivate, il proprietario del bucket possiede tutti gli oggetti del bucket e gestisce esclusivamente l'accesso ai dati. Per gestire l'accesso, il proprietario del bucket utilizza le policy o un altro strumento di gestione degli accessi, escluse le ACL. Per ulteriori informazioni, consulta Controllo della proprietà degli oggetti e disabilitazione degli ACL per il bucket.

Per una guida più completa sul controllo degli accessi ad Amazon S3 e per ulteriori best practice, consulta Controllo degli accessi in Amazon S3.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Analisi della configurazione e delle vulnerabilità

Inventario dei dati Amazon S3