Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlla CloudFormation l'accesso con AWS Identity and Access Management
Con AWS Identity and Access Management (IAM), puoi creare IAM utenti per controllare chi ha accesso a quali risorse del tuo Account AWS. Puoi usare IAM with AWS CloudFormation per controllare cosa possono fare gli utenti CloudFormation, ad esempio se possono visualizzare modelli di stack, creare pile o eliminare pile.
Oltre alle CloudFormation azioni, puoi gestire i AWS servizi e le risorse disponibili per ogni utente. In questo modo, puoi controllare a quali risorse gli utenti possono accedere quando le utilizzano CloudFormation. Ad esempio, puoi specificare quali utenti possono creare istanze Amazon, terminare EC2 istanze di database o effettuare aggiornamenti. VPCs Le stesse autorizzazioni vengono applicate ogni volta che vengono utilizzate CloudFormation per eseguire tali azioni.
Per ulteriori informazioni su tutti i servizi a cui puoi controllare l'accesso, consulta AWS i servizi supportati IAM nella Guida per IAMl'utente.
Argomenti
- CloudFormation azioni
- CloudFormation risorse
- CloudFormation condizioni
- Accettazione delle risorse IAM nei modelli CloudFormation
- Gestisci le credenziali per le applicazioni in esecuzione su istanze Amazon EC2
- Concessione di un accesso temporaneo (accesso federato)
- AWS CloudFormation ruolo di servizio
- Prevenzione del problema "confused deputy" tra servizi
CloudFormation azioni
Quando crei un gruppo o un utente nel tuo Account AWS, puoi associare una IAM politica a quel gruppo o utente, che specifica le autorizzazioni che desideri concedere. Ad esempio, immagina di disporre di un gruppo di sviluppatori non esperti. È possibile creare un gruppo di sviluppatori di applicazioni junior che includa tutti gli sviluppatori di livello base. Quindi, associ una politica a quel gruppo che consente agli utenti di visualizzare CloudFormation solo gli stack. In questo scenario, è possibile disporre di una policy quale:
Esempio Una policy di esempio che consenta di visualizzare le autorizzazioni dello stack
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Action":[ "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResource", "cloudformation:DescribeStackResources" ], "Resource":"*" }] }
La policy concede le autorizzazioni per tutte le DescribeStack API azioni elencate nell'elemento. Action
Importante
Se non specifichi un nome o ID stack nella dichiarazione, devi anche concedere l'autorizzazione a utilizzare tutte le risorse per l'azione utilizzando il carattere jolly * per l'elemento Resource.
Oltre alle CloudFormation azioni, gli utenti che creano o eliminano gli stack richiedono autorizzazioni aggiuntive che dipendono dai modelli di stack. Ad esempio, se disponi di un modello che descrive un Amazon SQS Queue, l'utente deve disporre delle autorizzazioni corrispondenti per SQS le azioni Amazon per creare correttamente lo stack, come mostrato nella seguente politica di esempio:
Esempio Un esempio di policy che consente di creare e visualizzare le azioni dello stack e tutte le azioni Amazon SQS
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Action":[ "sqs:*", "cloudformation:CreateStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResources", "cloudformation:GetTemplate", "cloudformation:ValidateTemplate" ], "Resource":"*" }] }
CloudFormation azioni specifiche della console
Gli utenti che utilizzano la CloudFormation console richiedono autorizzazioni aggiuntive che non sono necessarie per l'utilizzo di or. AWS Command Line Interface CloudFormation APIs Rispetto a AWS CLI andAPI, la console offre funzionalità aggiuntive che richiedono autorizzazioni aggiuntive, come il caricamento di modelli su bucket Amazon S3 ed elenchi a discesa per tipi di parametri specifici. AWS
Per tutte le seguenti operazioni, concedi le autorizzazioni a tutte le risorse e non limitare le azioni a stack o bucket specifici.
La seguente azione richiesta viene utilizzata solo dalla CloudFormation console e non è documentata nel riferimento. API L'operazione consente agli utenti di caricare i modelli nei bucket Amazon S3.
cloudformation:CreateUploadBucket
Quando gli utenti caricano i modelli, devono disporre delle seguenti autorizzazioni Amazon S3:
s3:PutObject s3:ListBucket s3:GetObject s3:CreateBucket
Per i modelli con tipi AWS di parametri specifici, gli utenti necessitano delle autorizzazioni per effettuare le chiamate di descrizione corrispondenti. API Ad esempio, se un modello include il tipo di AWS::EC2::KeyPair::KeyName parametro, gli utenti devono essere autorizzati a richiamare l'EC2DescribeKeyPairsazione (questo è il modo in cui la console ottiene i valori per l'elenco a discesa dei parametri). Nei seguenti esempi sono indicate le operazioni che gli utenti devono eseguire per altri tipi di parametri:
ec2:DescribeSecurityGroups (for the AWS::EC2::SecurityGroup::Id parameter type) ec2:DescribeSubnets (for the Subnet::Id parameter type) ec2:DescribeVpcs (for the AWS::EC2::VPC::Id parameter type)
CloudFormation risorse
CloudFormation supporta le autorizzazioni a livello di risorsa, quindi puoi specificare azioni per uno stack specifico, come illustrato nella seguente politica:
Esempio Un esempio di policy che nega le azioni di eliminazione e aggiornamento dello stack per MyProductionStack
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Deny", "Action":[ "cloudformation:DeleteStack", "cloudformation:UpdateStack" ], "Resource":"arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/*" }] }
La policy sopra riportata utilizza un carattere jolly alla fine del nome dello stack in modo da impedire l'eliminazione e l'aggiornamento per l'ID stack completo (ad esempio arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/abc9dbf0-43c2-11e3-a6e8-50fa526be49c) e per il nome dello stack (ad esempio MyProductionStack).
Per consentire che le trasformazioni AWS::Serverless creino un set di modifiche, la policy deve includere l'autorizzazione a livello di risorsa arn:aws:cloudformation:<region>:aws:transform/Serverless-2016-10-31, come indicato nella seguente policy:
Esempio Un esempio di policy che consente di creare un set di modifiche per la trasformazione
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "cloudformation:CreateChangeSet" ], "Resource": "arn:aws:cloudformation:us-west-2:aws:transform/Serverless-2016-10-31" }] }
Policy di esempio che concede autorizzazioni del set di stack gestito dal servizio
Di seguito è riportato un esempio di IAM policy che concede le autorizzazioni per set di stack gestiti dai servizi a un'entità principale (utente, ruolo o gruppo). Un utente con questa policy può eseguire operazioni solo sui set di stack con modelli contenenti tipi di risorse Amazon S3 (AWS::S3::*) o il tipo di risorsa AWS::SES::ConfigurationSet. Se ha effettuato l'accesso all'account di gestione dell'organizzazione con ID123456789012, l'utente può anche eseguire operazioni solo su set di stack destinati all'unità organizzativa con ID ou-1fsfsrsdsfrewr, e può eseguire solo operazioni sullo stack impostato con ID stack-set-id destinato al Account AWS with ID 987654321012.
Le operazioni di stack set hanno esito negativo se il modello di stack set contiene tipi di risorse diversi da quelli specificati nella policy o se gli obiettivi di distribuzione sono unità organizzative o account IDs diversi da quelli specificati nella politica per gli account di gestione e i set di stack corrispondenti.
Queste restrizioni di policy si applicano solo quando le operazioni sul set di stack sono destinate alle Regioni us-east-1, us-west-2 o eu-west-2 Regioni AWS.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*" ], "Resource": [ "arn:aws:cloudformation:*:*:stackset/*", "arn:aws:cloudformation:*:*:type/resource/AWS-S3-*", "arn:aws:cloudformation:us-west-2::type/resource/AWS-SES-ConfigurationSet", "arn:aws:cloudformation:*:123456789012:stackset-target/*/ou-1fsfsrsdsfrewr", "arn:aws:cloudformation:*:123456789012:stackset-target/stack-set-id/987654321012" ], "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudformation:TargetRegion": [ "us-east-1", "us-west-2", "eu-west-1" ] } } } ] }
CloudFormation condizioni
In una IAM politica, è possibile specificare facoltativamente le condizioni che determinano l'entrata in vigore di una politica. Ad esempio, è possibile definire una policy che consenta agli utenti di creare uno stack solo quando specificano un determinato modello. URL È possibile definire condizioni CloudFormation specifiche e AWS condizioni generali, ad esempioDateLessThan, che specificano quando una policy smette di avere effetto. Per ulteriori informazioni e un elenco delle condizioni AWS-wide, vedere Condition nel riferimento agli elementi della IAM politica nella Guida per l'utente. IAM
Nota
Non utilizzare la condizione aws:SourceIp AWS-wide. CloudFormation fornisce risorse utilizzando il proprio indirizzo IP, non l'indirizzo IP della richiesta di origine. Ad esempio, quando crei uno stack, CloudFormation effettua richieste dal suo indirizzo IP per avviare un'EC2istanza Amazon o per creare un bucket Amazon S3, non dall'indirizzo IP della chiamata o CreateStack del comando. create-stack
L'elenco seguente descrive le condizioni specifiche. CloudFormation Queste condizioni si applicano solo quando gli utenti creano o aggiornano gli stack:
cloudformation:ChangeSetName-
Un nome di set di CloudFormation modifiche che si desidera associare a una politica. Utilizza questa condizione per controllare quali set di modifiche gli utenti possono eseguire o eliminare.
cloudformation:ImportResourceTypes-
I tipi di risorse del modello che desideri associare a una policy, ad esempio
AWS::EC2::Instance. Utilizza questa condizione per controllare i tipi di risorse che gli utenti possono utilizzare quando importano risorse in uno stack. Questa condizione viene verificata rispetto ai tipi di risorse dichiarati dagli utenti nelResourcesToImportparametro, che attualmente è supportato solo per API richieste AWS CLI e richieste. Quando si utilizza questo parametro, è necessario specificare tutti i tipi di risorse che si desidera far controllare agli utenti durante le operazioni di importazione. Per ulteriori informazioni sulResourcesToImportparametro, vedere CreateChangeSetazione nel AWS CloudFormation APIriferimento.Per un elenco dei possibili
ResourcesToImport, vedereSupporto per tipi di risorse.Utilizza la convenzione di denominazione delle risorse in tre parti per specificare i tipi di risorse con cui gli utenti possono lavorare, da tutte le risorse di un'organizzazione fino a un singolo tipo di risorsa.
organization::*-
Specifica tutti i tipi di risorse per una determinata organizzazione.
organization::service_name-
Specifica tutti i tipi di risorse per il servizio specificato all'interno di una determinata organizzazione.
organization::service_nameresource_type-
Specifica un determinato tipo di risorsa.
Per esempio:
AWS::*-
Specificare tutti i tipi di AWS risorse supportati.
AWS::service_name::*-
Specificare tutte le risorse supportate per un AWS servizio specifico.
AWS::service_name::resource_type-
Specificare un tipo di AWS risorsa specifico, ad esempio
AWS::EC2::Instance(tutte le EC2 istanze).
cloudformation:ResourceTypes-
I tipi di risorse del modello, ad esempio
AWS::EC2::Instance, che vuoi associare a una policy. Utilizza questa condizione per controllare i tipi di risorse che gli utenti possono utilizzare quando creano o aggiornano uno stack. Questa condizione viene verificata rispetto ai tipi di risorse dichiarati dagli utenti nelResourceTypesparametro, che attualmente è supportato solo per le richieste AWS CLI eAPI. Quando si utilizza questo parametro, gli utenti devono specificare tutti i tipi di risorse disponibili nel modello. Per ulteriori informazioni sulResourceTypesparametro, vedere CreateStackazione nel AWS CloudFormation APIriferimento.Per un elenco dei tipi di risorse, consulta AWS riferimento ai tipi di risorse e proprietà.
Utilizza la convenzione di denominazione delle risorse in tre parti per specificare i tipi di risorse con cui gli utenti possono lavorare, da tutte le risorse di un'organizzazione fino a un singolo tipo di risorsa.
organization::*-
Specifica tutti i tipi di risorse per una determinata organizzazione.
organization::service_name-
Specifica tutti i tipi di risorse per il servizio specificato all'interno di una determinata organizzazione.
organization::service_nameresource_type-
Specifica un determinato tipo di risorsa.
Per esempio:
AWS::*-
Specificare tutti i tipi di AWS risorse supportati.
AWS::service_name::*-
Specificare tutte le risorse supportate per un AWS servizio specifico.
AWS::service_name::resource_type-
Specificare un tipo di AWS risorsa specifico, ad esempio
AWS::EC2::Instance(tutte le EC2 istanze). Alexa::ASK::*-
Specifica tutti i tipi di risorse in Alexa Skill Kit.
Alexa::ASK::Skill-
Specificate il tipo di risorsa Alexa::ASK: :Skill individuale.
Custom::*-
Specifica tutte le risorse personalizzate.
Per ulteriori informazioni, consulta Crea una logica di provisioning personalizzata con risorse personalizzate.
Custom::resource_type-
Specificare un tipo specifico di risorsa personalizzata.
Per ulteriori informazioni, consulta Crea una logica di provisioning personalizzata con risorse personalizzate.
cloudformation:RoleARN-
L'Amazon Resource Name (ARN) di un ruolo di IAM servizio che desideri associare a una policy. Utilizza questa condizione per controllare quale ruolo del può essere usato dagli utenti quando lavorano con gli stack o i set di modifiche.
cloudformation:StackPolicyUrl-
Una policy di stack Amazon S3 URL che desideri associare a una policy. Utilizza questa condizione per controllare quali policy di stack gli utenti possono associare a uno stack durante la creazione o l'aggiornamento di un'operazione dello stack. Per ulteriori informazioni sulle policy degli stack, consulta Impedire gli aggiornamenti delle risorse stack.
Nota
Per garantire che gli utenti possano creare o aggiornare gli stack solo con le policy di stack che hai caricato, imposta il bucket S3 in modo che sia di sola lettura per quegli utenti.
cloudformation:TemplateUrl-
Un modello Amazon S3 URL da associare a una policy. Utilizza questa condizione per controllare quali modelli gli utenti possono usare quando creano o aggiornano gli stack.
Nota
Per garantire che gli utenti possano creare o aggiornare gli stack solo con i modelli che hai caricato, imposta il bucket S3 in modo che sia di sola lettura per quegli utenti.
Nota
Le seguenti condizioni CloudFormation specifiche si applicano ai API parametri con lo stesso nome:
-
cloudformation:ChangeSetName -
cloudformation:RoleARN -
cloudformation:StackPolicyUrl -
cloudformation:TemplateUrl
Ad esempio, si applica
cloudformation:TemplateUrlsolo alTemplateUrlparametro forCreateStackUpdateStack, eCreateChangeSetAPIs. -
Esempi
La seguente politica di esempio consente agli utenti di utilizzare solo il https://s3.amazonaws.com/amzn-s3-demo-bucket/test.template
Esempio Condizione del modello URL
{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack", "cloudformation:UpdateStack" ], "Resource" : "*", "Condition" : { "StringEquals" : { "cloudformation:TemplateUrl" : [ "https://s3.amazonaws.com/amzn-s3-demo-bucket/test.template"] } } } ] }
La seguente politica di esempio consente agli utenti di completare tutte le CloudFormation operazioni tranne le operazioni di importazione.
Esempio Condizione dei tipi di risorse di importazione
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllStackOperations", "Effect": "Allow", "Action": "cloudformation:*", "Resource": "*" }, { "Sid": "DenyImport", "Effect": "Deny", "Action": "cloudformation:*", "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "cloudformation:ImportResourceTypes": [ "*" ] } } } ] }
La policy di esempio seguente consente tutte le operazioni di stack, oltre alle operazioni di importazione solo su risorse specificate (in questo esempio, AWS::S3::Bucket).
Esempio Condizione dei tipi di risorse di importazione
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowImport", "Effect": "Allow", "Action": "cloudformation:*", "Resource": "*" "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudformation:ImportResourceTypes": [ "AWS::S3::Bucket" ] } } } ] }
La seguente politica di esempio consente agli utenti di creare stack ma nega le richieste se il modello dello stack include una risorsa del servizio. IAM La policy richiede inoltre agli utenti di specificare il ResourceTypes parametro, che è disponibile solo per AWS CLI richieste e richieste. API Questa policy usa istruzioni di rifiuto esplicito, pertanto se altre policy concedono autorizzazioni aggiuntive, questa policy resta sempre valida (un'istruzione di rifiuto esplicito ha sempre la precedenza su un'istruzione di consenso esplicito).
Esempio Condizione del tipo di risorsa
{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*" }, { "Effect" : "Deny", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*", "Condition" : { "ForAnyValue:StringLikeIfExists" : { "cloudformation:ResourceTypes" : [ "AWS::IAM::*" ] } } }, { "Effect": "Deny", "Action" : [ "cloudformation:CreateStack" ], "Resource": "*", "Condition": { "Null": { "cloudformation:ResourceTypes": "true" } } } ] }
Il seguente esempio di policy è simile a quello precedente. La policy consente agli utenti di creare uno stack a meno che il modello dello stack non includa risorse del IAM servizio. Richiede inoltre agli utenti di specificare il ResourceTypes parametro, che è disponibile solo per richieste AWS CLI e API richieste. Questa policy è più semplice, ma non utilizza istruzioni di rifiuto esplicito. Altre policy, che concedono autorizzazioni aggiuntive, potrebbe sostituire questa policy.
Esempio Condizione del tipo di risorsa
{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*", "Condition" : { "ForAllValues:StringNotLikeIfExists" : { "cloudformation:ResourceTypes" : [ "AWS::IAM::*" ] }, "Null":{ "cloudformation:ResourceTypes": "false" } } } ] }
Accettazione delle risorse IAM nei modelli CloudFormation
Prima di creare uno stack, CloudFormation convalida il modello. Durante la convalida, CloudFormation verifica la presenza di IAM risorse che il modello potrebbe creare. IAMle risorse, ad esempio un utente con accesso completo, possono accedere e modificare qualsiasi risorsa del tuo Account AWS. Pertanto, ti consigliamo di rivedere le autorizzazioni associate a ciascuna IAM risorsa prima di procedere, in modo da non creare involontariamente risorse con autorizzazioni avanzate. Per assicurarti di averlo fatto, devi riconoscere che il modello contiene tali risorse e fornisce le funzionalità specificate prima di creare CloudFormation lo stack.
Puoi riconoscere le funzionalità dei CloudFormation modelli utilizzando la CloudFormation console, AWS Command Line Interface (AWS CLI) oAPI:
-
Nella CloudFormation console, nella pagina Configura le opzioni dello stack delle procedure guidate Create Stack o Update Stack, scegli Riconosco che questo modello può creare risorse. IAM
-
Nel, quando si AWS CLI utilizza il create-stack e update-stackcomandi, specificate il
CAPABILITY_NAMED_IAMvaloreCAPABILITY_IAMo per l'--capabilitiesopzione. Se il modello include IAM risorse, è possibile specificare entrambe le funzionalità. Se il modello include nomi personalizzati per IAM le risorse, è necessario specificareCAPABILITY_NAMED_IAM. -
NelAPI, quando si utilizza il CreateStack e UpdateStackazioni, specificare
Capabilities.member.1=CAPABILITY_IAMoCapabilities.member.1=CAPABILITY_NAMED_IAM. Se il modello include IAM risorse, è possibile specificare entrambe le funzionalità. Se il modello include nomi personalizzati per IAM le risorse, è necessario specificareCAPABILITY_NAMED_IAM.
Importante
Se il modello contiene IAM risorse con nome personalizzato, non creare più stack riutilizzando lo stesso modello. IAMle risorse devono essere uniche a livello globale all'interno del tuo account. Se utilizzi lo stesso modello per creare più stack in regioni diverse, i tuoi stack potrebbero condividere le stesse IAM risorse, anziché averne ciascuno una unica. Le risorse condivise tra stack possono avere conseguenze indesiderate irreversibili. Ad esempio, se elimini o aggiorni IAM risorse condivise in uno stack, modificherai involontariamente le risorse di altri stack.
Gestisci le credenziali per le applicazioni in esecuzione su istanze Amazon EC2
Se hai un'applicazione che viene eseguita su un'EC2istanza Amazon e devi effettuare richieste a AWS risorse come i bucket Amazon S3 o una tabella DynamoDB, l'applicazione richiede credenziali di sicurezza. AWS Tuttavia, la distribuzione e l'incorporamento delle credenziali di sicurezza a lungo termine in ogni istanza avviata è una sfida nonché un potenziale rischio per la sicurezza. Invece di utilizzare credenziali a lungo termine, come le credenziali IAM utente, ti consigliamo di creare un IAM ruolo associato a un'EC2istanza Amazon all'avvio dell'istanza. Un'applicazione può quindi ottenere credenziali di sicurezza temporanee dall'EC2istanza Amazon. Non è necessario incorporare le credenziali a lungo termine nell'istanza. Inoltre, per semplificare la gestione delle credenziali, puoi specificare un solo ruolo per più EC2 istanze Amazon; non devi creare credenziali uniche per ogni istanza.
Per un frammento di modello che mostra come avviare un'istanza con un ruolo, consulta IAMesempi di modelli di ruolo.
Nota
Le applicazioni su istanze che utilizzano credenziali di sicurezza temporanee possono eseguire qualsiasi azione. CloudFormation Tuttavia, poiché CloudFormation interagisce con molti altri AWS servizi, è necessario verificare che tutti i servizi che si desidera utilizzare supportino credenziali di sicurezza temporanee. Per un elenco dei servizi che accettano credenziali di sicurezza temporanee, consulta AWS i servizi con cui funziona IAM nella Guida per l'IAMutente.
Concessione di un accesso temporaneo (accesso federato)
In alcuni casi, potresti voler concedere agli utenti senza AWS credenziali l'accesso temporaneo al tuo. Account AWS Invece di creare ed eliminare credenziali a lungo termine ogni volta che desideri concedere un accesso temporaneo, usa AWS Security Token Service ().AWS STS Ad esempio, puoi usare IAM i ruoli. Da un IAM ruolo, è possibile creare e quindi distribuire a livello di codice molte credenziali di sicurezza temporanee (tra cui una chiave di accesso, una chiave di accesso segreta e un token di sicurezza). Queste credenziali hanno una durata limitata, quindi non possono essere utilizzate per accedere alle tue Account AWS credenziali dopo la loro scadenza. Puoi anche creare più IAM ruoli per concedere ai singoli utenti diversi livelli di autorizzazioni. IAMi ruoli sono utili per scenari come le identità federate e il single sign-on.
Un'identità federata è un'identità distinta che puoi utilizzare in più sistemi. Per gli utenti aziendali con un sistema di identità locale consolidato (come LDAP Active Directory), è possibile gestire tutte le autenticazioni con il sistema di identità locale. Dopo l'autenticazione di un utente, fornisci le credenziali di sicurezza temporanee dell'utente o del ruolo appropriatoIAM. Ad esempio, puoi creare un ruolo di amministratore e un ruolo di sviluppatore, in cui gli amministratori abbiano pieno accesso all' AWS account e gli sviluppatori abbiano le autorizzazioni per lavorare solo con gli stack. CloudFormation Dopo l'autenticazione, l'amministratore è autorizzato a ottenere credenziali di sicurezza temporanee dal ruolo di amministratore. Tuttavia, gli sviluppatori possono ottenere credenziali di sicurezza temporanee solo dal ruolo di sviluppatore.
È inoltre possibile concedere agli utenti federati l'accesso a. AWS Management Console Dopo che gli utenti si sono autenticati con il sistema di identità locale, puoi creare a livello di codice un file temporaneo URL che dia accesso diretto a. AWS Management Console Quando gli utenti utilizzano il sistema temporaneoURL, non avranno bisogno di accedere AWS perché sono già stati autenticati (single sign-on). Inoltre, poiché URL è basato sulle credenziali di sicurezza temporanee degli utenti, le autorizzazioni disponibili con tali credenziali determinano le autorizzazioni di cui dispongono gli utenti in. AWS Management Console
È possibile utilizzarne diverse per generare credenziali di sicurezza AWS STS APIs temporanee. Per ulteriori informazioni su quali API utilizzare, consulta Confronta AWS STS le credenziali nella Guida per l'IAMutente.
Importante
Non è possibile utilizzare IAM quando si utilizzano credenziali di sicurezza temporanee generate da. GetFederationToken API Se invece hai bisogno di lavorare conIAM, usa le credenziali di sicurezza temporanee di un ruolo.
CloudFormation interagisce con molti altri AWS servizi. Quando utilizzi credenziali di sicurezza temporanee con CloudFormation, verifica che tutti i servizi che desideri utilizzare supportino credenziali di sicurezza temporanee. Per un elenco dei servizi che accettano credenziali di sicurezza temporanee, consulta AWS i servizi con cui funziona IAM nella Guida per l'IAMutente.
Per ulteriori informazioni, consulta le seguenti risorse correlate nella Guida per l'IAMutente:
