Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Trusted Cloud di S3NS. Per ulteriori dettagli, consulta la sezione Differenze rispetto a Google Cloud.

Questa pagina è stata tradotta dall'API Cloud Translation.

Best practice di controllo dell'accesso

Questa pagina descrive le best practice per l'utilizzo di Identity and Access Management (IAM) e degli elenchi di controllo degli accessi (ACL) per gestire l'accesso ai tuoi dati.

Per essere efficaci, i criteri IAM e gli ACL richiedono una gestione attiva. Prima di rendere accessibile un bucket o un oggetto ad altri utenti, assicurati di sapere con chi vuoi condividere il bucket o l'oggetto e quali ruoli vuoi assegnare a ciascuna di queste persone. Nel tempo, le modifiche alla gestione dei progetti, ai pattern di utilizzo e alla proprietà dell'organizzazione potrebbero richiedere la modifica delle impostazioni IAM o ACL su bucket e progetti, soprattutto se gestisci Cloud Storage in un'organizzazione di grandi dimensioni o per un gruppo numeroso di utenti. Quando valuti e pianifichi le impostazioni di controllo dell'accesso#39;accesso, tieni presente le seguenti best practice:

Utilizza il principio del privilegio minimo quando concedi l'accesso ai tuoi bucket o oggetti.

Il principio del privilegio minimo è una linea guida per la sicurezza per la concessione dell'accesso alle tue risorse. Quando concedi l'accesso in base al principio del privilegio minimo, concedi l'autorizzazione minima necessaria a un utente per svolgere l'attività assegnata. Ad esempio, se vuoi condividere file con qualcuno, devi concedergli il ruolo IAM storage.objectViewer o l'autorizzazione ACL READER e non il ruolo IAM storage.admin o l'autorizzazione ACL OWNER.
Evita di concedere ruoli IAM con l'autorizzazione setIamPolicy o di concedere l'autorizzazione ACL OWNER a persone che non conosci.

La concessione dell'autorizzazione IAM setIamPolicy o dell'autorizzazione ACL OWNER consente a un utente di modificare le autorizzazioni e assumere il controllo dei dati. Devi utilizzare i ruoli con queste autorizzazioni solo quando vuoi delegare il controllo amministrativo su oggetti e bucket.
Prestare attenzione a come vengono concesse le autorizzazioni agli utenti anonimi.

I tipi di entità allUsers e allAuthenticatedUsers devono essere utilizzati solo quando è accettabile che chiunque su internet legga e analizzi i tuoi dati. Sebbene questi ambiti siano utili per alcune applicazioni e scenari, in genere non è una buona idea concedere a tutti gli utenti determinate autorizzazioni, come le autorizzazioni IAM setIamPolicy, update, create o delete o l'autorizzazione ACL OWNER.
Assicurati di delegare il controllo amministrativo dei tuoi bucket.

Devi assicurarti che le tue risorse possano comunque essere gestite da altri membri del team nel caso in cui un utente con accesso amministrativo esca dal gruppo.

Per evitare che le risorse diventino inaccessibili, puoi procedere in uno dei seguenti modi:
- Concedi il ruolo IAM Amministratore archiviazione per il tuo progetto a un gruppo anziché a un singolo utente.
- Concedi il ruolo IAM Amministratore archiviazione per il tuo progetto ad almeno due persone.
- Concedi l'autorizzazione ACL OWNER per il tuo bucket ad almeno due persone
Tieni presente il comportamento interoperabile di Cloud Storage.

Quando utilizzi l'API XML per l'accesso interoperabile con altri servizi di archiviazione, come Amazon S3, l'identificatore della firma determina la sintassi ACL. Ad esempio, se lo strumento o la libreria che utilizzi effettua una richiesta a Cloud Storage per recuperare gli ACL e la richiesta utilizza l'identificatore della firma di un altro fornitore di spazio di archiviazione, Cloud Storage restituisce un documento XML che utilizza la sintassi ACL del fornitore di spazio di archiviazione corrispondente. Se lo strumento o la libreria che utilizzi effettua una richiesta a Cloud Storage per applicare ACL e la richiesta utilizza l'identificatore della firma di un altro provider di archiviazione, Cloud Storage prevede di ricevere un documento XML che utilizza la sintassi ACL del provider di archiviazione corrispondente.

Per ulteriori informazioni sull'utilizzo dell'API XML per l'interoperabilità con Amazon S3, consulta Migrazione semplice da Amazon S3 a Cloud Storage.

Best practice di controllo dell'accesso

Passaggi successivi