Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Concessione dell'accesso a un bucket Amazon S3 Quando crei una condivisione di file, il tuo File Gateway richiede l'accesso per caricare i file nel tuo bucket Amazon S3 e per eseguire azioni su qualsiasi punto di accesso o endpoint del cloud privato virtuale (VPC) che utilizza per connettersi al bucket. Per concedere questo accesso, il File Gateway assume un ruolo AWS Identity and Access Management (IAM) associato a una policy IAM che concede tale accesso. Il ruolo richiede questa policy IAM e una relazione di trust Security Token Service (STS) per la policy. La policy determina quali operazioni può eseguire il ruolo. Inoltre, il bucket S3 e tutti gli access point o endpoint VPC associati devono disporre di una policy di accesso che consenta al ruolo IAM di accedervi. Puoi creare tu stesso il ruolo e la policy di accesso oppure il File Gateway può crearli per te. Se il tuo File Gateway crea la policy per te, la policy contiene un elenco di azioni S3. *Per informazioni su ruoli e autorizzazioni, consulta [Creating a role to delegate permissions to a un utente Servizio AWS nella IAM User](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) Guide.* L'esempio seguente è una policy di fiducia che consente a File Gateway di assumere un ruolo IAM. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "storagegateway.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } ``` ------ **Importante** Storage Gateway può assumere ruoli di servizio esistenti che vengono passati utilizzando l'azione delle `iam:PassRole` policy, ma non supporta le policy IAM che utilizzano la chiave di `iam:PassedToService` contesto per limitare l'azione a servizi specifici. Per ulteriori informazioni, consulta gli argomenti seguenti nella *Guida per l'utente AWS Identity and Access Management *: [IAM: passa un ruolo IAM a un AWS servizio specifico](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam-passrole-service.html) [Concessione a un utente delle autorizzazioni per trasferire un ruolo a un servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) [Chiavi disponibili per IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_PassedToService) Se non desideri che File Gateway crei una policy per tuo conto, puoi creare una policy personalizzata e allegarla alla condivisione di file. Per ulteriori informazioni su come effettuare tale operazione, consulta [Creazione di una condivisione file](GettingStartedCreateFileShare.md). La seguente policy di esempio consente a File Gateway di eseguire tutte le azioni di Amazon S3 elencate nella policy. La prima parte dell'istruzione permette l'esecuzione nel bucket S3 denominato `amzn-s3-demo-bucket` di tutte le operazioni elencate. La seconda parte permette le operazioni elencate su tutti gli oggetti in `amzn-s3-demo-bucket`. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "s3:GetAccelerateConfiguration", "s3:GetBucketLocation", "s3:GetBucketVersioning", "s3:ListBucket", "s3:ListBucketVersions", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Effect": "Allow" }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectVersion", "s3:ListMultipartUploadParts", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Effect": "Allow" } ] } ``` ------ La seguente policy di esempio è simile alla precedente, ma consente a File Gateway di eseguire le azioni necessarie per accedere a un bucket tramite un punto di accesso. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectVersion", "s3:ListMultipartUploadParts", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:us-east-1:111122223333:accesspoint/TestAccessPointName/*", "Effect": "Allow" } ] } ``` ------ **Nota** *Se devi connettere la tua condivisione di file a un bucket S3 tramite un endpoint VPC, consulta [le politiche degli endpoint per Amazon S3 nella Guida per l'](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#vpc-endpoints-policies-s3)utente.AWS PrivateLink * **Nota** Per i bucket crittografati, il fileshare deve utilizzare la chiave nell'account bucket S3 di destinazione.