Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Concessione dell'accesso e delle autorizzazioni per le condivisioni di file e i bucket
Dopo l'attivazione e l'esecuzione di S3 File Gateway, puoi aggiungere ulteriori condivisioni di file e concedere l'accesso ai bucket Amazon S3, inclusi i bucket Account AWS diversi dai gateway e dalle condivisioni di file. Le seguenti sezioni descrivono come utilizzare i ruoli IAM per fornire al gateway le autorizzazioni di accesso per i bucket Amazon S3 e gli endpoint VPC, prevenire determinati problemi di sicurezza e connettere le condivisioni di file ai bucket tra loro. Account AWS
Per informazioni su come creare una nuova condivisione di file, consulta. [Creazione di una condivisione file](GettingStartedCreateFileShare.md)
Questa sezione contiene i seguenti argomenti, che forniscono informazioni aggiuntive su come concedere l'accesso e le autorizzazioni per le condivisioni di file e i bucket Amazon S3:
**Argomenti**
+ [Concessione dell'accesso a un bucket Amazon S3](grant-access-s3.md)- Scopri come concedere l'accesso al tuo File Gateway per caricare file nel tuo bucket Amazon S3 ed eseguire azioni su qualsiasi punto di accesso o endpoint Amazon Virtual Private Cloud (Amazon VPC) che utilizza per connettersi al bucket.
+ [Prevenzione del problema "confused deputy" tra servizi](cross-service-confused-deputy-prevention.md)- Scopri come prevenire un problema di sicurezza comune in cui un'entità che non dispone dell'autorizzazione per eseguire un'azione può costringere un'entità con più privilegi a eseguire l'azione.
+ [Utilizzo di una condivisione di file per l'accesso a più account](cross-account-access.md)- Scopri come concedere l'accesso a un account Amazon Web Services e agli utenti di quell'account accedere a risorse che appartengono a un altro account Amazon Web Services.
# Concessione dell'accesso a un bucket Amazon S3
Quando crei una condivisione di file, il tuo File Gateway richiede l'accesso per caricare i file nel tuo bucket Amazon S3 e per eseguire azioni su qualsiasi punto di accesso o endpoint del cloud privato virtuale (VPC) che utilizza per connettersi al bucket. Per concedere questo accesso, il File Gateway assume un ruolo AWS Identity and Access Management (IAM) associato a una policy IAM che concede tale accesso.
Il ruolo richiede questa policy IAM e una relazione di trust Security Token Service (STS) per la policy. La policy determina quali operazioni può eseguire il ruolo. Inoltre, il bucket S3 e tutti gli access point o endpoint VPC associati devono disporre di una policy di accesso che consenta al ruolo IAM di accedervi.
Puoi creare tu stesso il ruolo e la policy di accesso oppure il File Gateway può crearli per te. Se il tuo File Gateway crea la policy per te, la policy contiene un elenco di azioni S3. *Per informazioni su ruoli e autorizzazioni, consulta [Creating a role to delegate permissions to a un utente Servizio AWS nella IAM User](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) Guide.*
L'esempio seguente è una policy di fiducia che consente a File Gateway di assumere un ruolo IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "storagegateway.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
**Importante**
Storage Gateway può assumere ruoli di servizio esistenti che vengono passati utilizzando l'azione delle `iam:PassRole` policy, ma non supporta le policy IAM che utilizzano la chiave di `iam:PassedToService` contesto per limitare l'azione a servizi specifici.
Per ulteriori informazioni, consulta gli argomenti seguenti nella *Guida per l'utente AWS Identity and Access Management *:
[IAM: passa un ruolo IAM a un AWS servizio specifico](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam-passrole-service.html)
[Concessione a un utente delle autorizzazioni per trasferire un ruolo a un servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)
[Chiavi disponibili per IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_PassedToService)
Se non desideri che File Gateway crei una policy per tuo conto, puoi creare una policy personalizzata e allegarla alla condivisione di file. Per ulteriori informazioni su come effettuare tale operazione, consulta [Creazione di una condivisione file](GettingStartedCreateFileShare.md).
La seguente policy di esempio consente a File Gateway di eseguire tutte le azioni di Amazon S3 elencate nella policy. La prima parte dell'istruzione permette l'esecuzione nel bucket S3 denominato `amzn-s3-demo-bucket` di tutte le operazioni elencate. La seconda parte permette le operazioni elencate su tutti gli oggetti in `amzn-s3-demo-bucket`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetAccelerateConfiguration",
"s3:GetBucketLocation",
"s3:GetBucketVersioning",
"s3:ListBucket",
"s3:ListBucketVersions",
"s3:ListBucketMultipartUploads"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Effect": "Allow"
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectVersion",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Effect": "Allow"
}
]
}
```
------
La seguente policy di esempio è simile alla precedente, ma consente a File Gateway di eseguire le azioni necessarie per accedere a un bucket tramite un punto di accesso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectVersion",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:us-east-1:111122223333:accesspoint/TestAccessPointName/*",
"Effect": "Allow"
}
]
}
```
------
**Nota**
*Se devi connettere la tua condivisione di file a un bucket S3 tramite un endpoint VPC, consulta [le politiche degli endpoint per Amazon S3 nella Guida per l'](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#vpc-endpoints-policies-s3)utente.AWS PrivateLink *
**Nota**
Per i bucket crittografati, il fileshare deve utilizzare la chiave nell'account bucket S3 di destinazione.
**Nota**
***Se il tuo File Gateway utilizza SSE-KMS o DSSE-KMS per la crittografia, assicurati che il ruolo IAM associato alla condivisione di file includa le autorizzazioni *KMS:Encrypt, KMS:Decrypt, kms: \$1**, kms*: e kms:. ReEncrypt GenerateDataKey DescribeKey*** Per ulteriori informazioni, consulta [Using Identity-Based Policies (IAM Policies) for Storage Gateway](https://docs.aws.amazon.com/filegateway/latest/files3/using-identity-based-policies.html).
# Prevenzione del problema "confused deputy" tra servizi
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione tra servizi può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse dell’account.
Si consiglia di utilizzare [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)le chiavi di contesto della condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale nelle politiche delle risorse per limitare le autorizzazioni che Gateway di archiviazione AWS forniscono un altro servizio alla risorsa. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, il valore `aws:SourceAccount` e l'account nel valore `aws:SourceArn` devono utilizzare lo stesso ID account nella stessa istruzione di policy.
Il valore di `aws:SourceArn` deve essere l'ARN dello Storage Gateway a cui è associata la condivisione di file.
Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale `aws:SourceArn` con l’ARN completo della risorsa. Se non si conosce l’ARN completo della risorsa o si scelgono più risorse, è necessario utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con caratteri jolly (`*`) per le parti sconosciute dell’ARN. Ad esempio, `arn:aws:servicename::123456789012:*`.
L'esempio seguente mostra come utilizzare le chiavi di contesto `aws:SourceArn` e `aws:SourceAccount` global condition in Storage Gateway per evitare il confuso problema del vice.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "storagegateway.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "444455556666"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:storagegateway:us-east-1:444455556666:gateway/sgw-123456DA"
}
}
}
]
}
```
------
# Utilizzo di una condivisione di file per l'accesso a più account
L'accesso *tra account* avviene quando un account Amazon Web Services e gli utenti di tale account ottengono l'accesso a risorse che appartengono a un altro account Amazon Web Services. Con File Gateways, puoi utilizzare una condivisione di file in un account Amazon Web Services per accedere agli oggetti in un bucket Amazon S3 che appartiene a un altro account Amazon Web Services.
**Utilizzare una condivisione di file di proprietà di un account Amazon Web Services per accedere a un bucket S3 in un altro account Amazon Web Services**
1. Assicurati che il proprietario del bucket S3 abbia concesso al tuo account Amazon Web Services l'accesso al bucket S3 a cui devi accedere e agli oggetti in quel bucket. Per informazioni su come concedere questo accesso, consulta l'[Esempio 2: Il proprietario del bucket concede le autorizzazioni per i bucket tra account](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html) nella Guida per l'utente di *Amazon Simple* Storage Service. Per un elenco delle autorizzazioni richieste, consulta [Concessione dell'accesso a un bucket Amazon S3](grant-access-s3.md).
1. Accertare che il ruolo IAM utilizzato dalla condivisione file per accedere al bucket S3 includa le autorizzazioni per operazioni quali `s3:GetObjectAcl` e `s3:PutObjectAcl`. Inoltre, verificare che il ruolo IAM includa una policy di attendibilità che consente all'account di assumere quel ruolo IAM. Per un esempio di policy di attendibilità, consulta [Concessione dell'accesso a un bucket Amazon S3](grant-access-s3.md).
Se la condivisione file utilizza un ruolo esistente per accedere al bucket S3, è necessario includere le autorizzazioni per le operazioni `s3:GetObjectAc`l e `s3:PutObjectAcl`. Il ruolo richiede inoltre una policy di attendibilità che consente all'account di assumere questo ruolo. Per un esempio di policy di attendibilità, consulta [Concessione dell'accesso a un bucket Amazon S3](grant-access-s3.md).
1. [Scegli **i file Gateway accessibili al proprietario del bucket S3** quando crei la condivisione di file o modifichi le impostazioni di condivisione dei file nella home page. https://console.aws.amazon.com/storagegateway/](https://console.aws.amazon.com/storagegateway/)
Una volta creata o aggiornata la condivisione del file per un accesso tra account e una volta caricata la condivisione file in un ambiente locale, è consigliabile testare la configurazione. È possibile eseguire questa operazione elencando contenuti directory o scrivendo file di test e accertando che i file siano visualizzati come oggetti nel bucket S3.
**Importante**
Accertarsi di configurare le policy correttamente per concedere l'accesso a più account all'account utilizzato dalla condivisione file. In caso contrario, gli aggiornamenti ai file tramite le applicazioni locali non si propagano al bucket Amazon S3 con cui stai lavorando.
## Resources
Per ulteriori informazioni sulle policy d'accesso e sulle liste di controllo accessi, consulta quanto segue:
[Linee guida per l'utilizzo delle opzioni di policy di accesso disponibili](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-policy-alternatives-guidelines.html) nella *Guida per l'utente di Amazon Simple Storage Service*
[Panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html) nella *Guida per l'utente di Amazon Simple Storage Service*