Gestione dell'accesso ai punti di accesso - FSx per ONTAP
Identità e autorizzazione dell'utente del file systemAutorizzazione della richiesta API S3Blocco dell'accesso pubblico di S3Politiche dei punti di accesso IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione dell'accesso ai punti di accesso

Puoi configurare ogni punto di accesso S3 con autorizzazioni e controlli di rete distinti che S3 applica per qualsiasi richiesta effettuata utilizzando quel punto di accesso. I punti di accesso S3 supportano le policy relative alle risorse AWS Identity and Access Management (IAM) che puoi utilizzare per controllare l'uso del punto di accesso in base alla risorsa, all'utente o ad altre condizioni. Affinché un'applicazione o un utente possa accedere ai file tramite un punto di accesso, sia il punto di accesso che il volume sottostante devono consentire la richiesta. Per ulteriori informazioni, consulta Politiche dei punti di accesso IAM.

I punti di accesso Amazon S3 FSx per ONTAP utilizzano un modello di autorizzazione a doppio livello che combina le autorizzazioni AWS IAM con le autorizzazioni a livello di file system. Questo approccio garantisce che le richieste di accesso ai dati siano autorizzate correttamente sia a livello di AWS servizio che a livello di file system sottostante.

Affinché un'applicazione o un utente possa accedere correttamente ai dati tramite un punto di accesso, sia la policy del punto di accesso S3 che il volume sottostante FSx per ONTAP devono consentire la richiesta.

Identità e autorizzazione dell'utente del file system

Quando crei un punto di accesso S3 per un volume FSx for ONTAP, specifichi un'identità del file system che verrà utilizzata per autorizzare tutte le richieste di file system effettuate tramite quel punto di accesso. Questa identità del file system determina il livello di accesso concesso ai file e alle directory sottostanti in base al modello di autorizzazione del file system. L'utente del file system è un account utente sul FSx file system Amazon sottostante. Se l'utente del file system ha accesso in sola lettura, vengono autorizzate solo le richieste di lettura effettuate utilizzando il punto di accesso e le richieste di scrittura vengono bloccate. Se l'utente del file system dispone di accesso in lettura/scrittura, sono autorizzate sia le richieste di lettura che quelle di scrittura al volume allegato effettuate utilizzando il punto di accesso.

L'identità del file system può essere di due tipi:

  • Identità UNIX: utilizzate un'identità UNIX (nome utente) per accedere ai volumi con lo stile di sicurezza UNIX

  • Identità Windows: utilizza un'identità Windows (dominio e nome utente) per accedere ai volumi con lo stile di sicurezza NTFS.

Quando specifichi un'identità UNIX o Windows, tutte le operazioni dell'API S3 eseguite tramite il punto di accesso sono autorizzate utilizzando le autorizzazioni dell'utente sul file system.

L'identità del file system associata al punto di accesso determina il livello di accesso a file e directory. Ad esempio, se si associa il punto di accesso all'identità UNIX radice (UID 0), che in genere dispone di autorizzazioni complete di accesso ai file sul file system, tutte le operazioni sui file sarebbero autorizzate. Al contrario, se si associa il punto di accesso a un'identità utente limitata, le operazioni sui file sarebbero limitate a ciò a cui l'utente può accedere in base al modello di autorizzazione del file system.

È necessario utilizzare il tipo di identità del file system UNIX per i volumi con stile di sicurezza UNIX e il tipo di identità Windows per i volumi con stile di sicurezza NTFS. Questo allineamento garantisce che il modello di autorizzazione corrisponda alla configurazione di sicurezza del volume.

Per i volumi in stile di sicurezza UNIX, il file system utilizza i bit di modalità o per controllare l'accesso. NFSv4 ACLs Per i volumi in stile di sicurezza NTFS, il file system utilizza Windows per controllare l'accesso. ACLs

Importante

Il collegamento di un punto di accesso S3 a un volume FSx for ONTAP non modifica il comportamento del volume quando si accede direttamente al volume tramite NFS o SMB. Tutte le operazioni esistenti sul volume continueranno a funzionare come prima. Le restrizioni incluse in una policy sui punti di accesso S3 si applicano solo alle richieste effettuate utilizzando il punto di accesso.

Autorizzazione della richiesta API S3

Quando effettui una richiesta API S3 tramite un punto di accesso collegato a un volume FSx for NetApp ONTAP, Amazon S3 valuta le autorizzazioni IAM del principale chiamante rispetto alla policy delle risorse IAM del punto di accesso. Il chiamante principale IAM deve disporre delle autorizzazioni necessarie concesse tramite le proprie politiche basate sull'identità e la politica delle risorse del punto di accesso deve inoltre consentire l'azione richiesta.

Amazon S3 valuta tutte le policy pertinenti, incluse le policy degli utenti, le policy dei punti di accesso, le policy degli endpoint VPC e le politiche di controllo del servizio, per determinare se autorizzare la richiesta.

Puoi anche configurare un punto di accesso S3 per accettare solo le richieste da uno specifico cloud privato virtuale (VPC) per limitare l'accesso ai dati. Per ulteriori informazioni, consulta Creazione di access point limitati a un cloud privato virtuale.

Blocco dell'accesso pubblico di S3

I punti di accesso Amazon S3 collegati a un volume FSx for ONTAP vengono configurati automaticamente con l'accesso pubblico a blocchi abilitato, che non è possibile modificare.

Politiche dei punti di accesso IAM

I punti di accesso Amazon S3 supportano politiche di risorse AWS Identity and Access Management (IAM) che consentono di controllare l'uso del punto di accesso in base alla risorsa, all'utente o ad altre condizioni. Affinché un'applicazione o un utente possano accedere agli oggetti tramite un punto di accesso, sia il punto di accesso che l'origine dati sottostante devono consentire la richiesta.

L's3:PutAccessPointPolicyautorizzazione è necessaria per creare una policy opzionale per i punti di accesso.

Dopo aver collegato un access point S3 a un FSx volume Amazon, tutte le operazioni esistenti sul volume continueranno a funzionare come prima. Le limitazioni incluse in una policy di access point si applicano solo alle richieste effettuate tramite quell'access point. Per maggiori informazioni, consulta Configurazione delle policy IAM per l'utilizzo dei punti di accesso nella Guida per l'utente di Amazon Simple Storage Service.

Puoi configurare una policy per i punti di accesso quando crei un punto di accesso collegato a un volume FSx for ONTAP utilizzando la FSx console Amazon. Per aggiungere, modificare o eliminare una politica del punto di accesso su un punto di accesso S3 esistente, puoi utilizzare la console S3, la CLI o l'API.