Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controllo dell'accesso con AWS Identity and Access Management
Con AWS Identity and Access Management (IAM), puoi creare utenti IAM per controllare chi ha accesso a quali risorse del tuo Account AWS. Puoi utilizzare IAM con AWS CloudFormation per controllare cosa possono fare gli utenti AWS CloudFormation, ad esempio se possono visualizzare modelli di stack, creare stack o eliminare stack.
Oltre alle AWS CloudFormation azioni, puoi gestire i AWS servizi e le risorse disponibili per ogni utente. In questo modo, puoi controllare a quali risorse gli utenti possono accedere quando le utilizzano AWS CloudFormation. Ad esempio, puoi specificare quali utenti possono creare istanze Amazon EC2, terminare le istanze database oppure aggiornare i VPC. Le stesse autorizzazioni vengono applicate ogni volta che vengono utilizzate AWS CloudFormation per eseguire tali azioni.
Per ulteriori informazioni su tutti i servizi di cui è possibile controllare l'accesso, consulta la pagina relativa ai servizi AWS che supportano IAM nella Guida per l'utente di IAM.
Argomenti
- AWS CloudFormation azioni
- AWS CloudFormation risorse
- AWS CloudFormation condizioni
- Riconoscimento delle risorse IAM nei modelli AWS CloudFormation
- Gestione delle credenziali per le applicazioni in esecuzione su istanze Amazon EC2
- Concessione di un accesso temporaneo (accesso federato)
- AWS CloudFormation ruolo di servizio
AWS CloudFormation azioni
Quando crei un gruppo o un utente nel tuo Account AWS, puoi associare una policy IAM a quel gruppo o utente, che specifica le autorizzazioni che desideri concedere. Ad esempio, immagina di disporre di un gruppo di sviluppatori non esperti. Puoi creare un gruppo Junior
application developers che comprenda tutti gli sviluppatori non esperti. Quindi, associ una policy a quel gruppo che consente agli utenti di visualizzare AWS CloudFormation solo gli stack. In questo scenario, è possibile disporre di una policy quale:
Esempio Una policy di esempio che consenta di visualizzare le autorizzazioni dello stack
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Action":[ "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResource", "cloudformation:DescribeStackResources" ], "Resource":"*" }] }
La policy concede autorizzazioni a tutte le azioni API DescribeStack elencati nell'elemento Action.
Importante
Se non specifichi un nome o ID stack nella dichiarazione, devi anche concedere l'autorizzazione a utilizzare tutte le risorse per l'azione utilizzando il carattere jolly * per l'elemento Resource.
Oltre alle AWS CloudFormation azioni, gli utenti che creano o eliminano gli stack richiedono autorizzazioni aggiuntive che dipendono dai modelli di stack. Ad esempio, se disponi di un modello che descrive una coda Amazon SQS, l'utente deve disporre delle autorizzazioni corrispondenti per le operazioni Amazon SQS per poter creare lo stack, come indicato nella seguente policy di esempio:
Esempio Un esempio di policy che consente di creare e visualizzare le operazioni relative allo stack e tutte le operazioni per Amazon SQS
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Action":[ "sqs:*", "cloudformation:CreateStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResources", "cloudformation:GetTemplate", "cloudformation:ValidateTemplate" ], "Resource":"*" }] }
AWS CloudFormation azioni specifiche della console
Gli utenti che utilizzano la AWS CloudFormation console richiedono autorizzazioni aggiuntive che non sono necessarie per l'utilizzo delle AWS Command Line Interface API or. AWS CloudFormation Rispetto all'API AWS CLI and, la console offre funzionalità aggiuntive che richiedono autorizzazioni aggiuntive, come il caricamento di modelli su bucket Amazon S3 ed elenchi a discesa per tipi di parametri specifici.AWS
Per tutte le seguenti operazioni, concedi le autorizzazioni a tutte le risorse e non limitare le azioni a stack o bucket specifici.
La seguente azione richiesta viene utilizzata solo dalla AWS CloudFormation console e non è documentata nel riferimento all'API. L'operazione consente agli utenti di caricare i modelli nei bucket Amazon S3.
cloudformation:CreateUploadBucket
Quando gli utenti caricano i modelli, devono disporre delle seguenti autorizzazioni Amazon S3:
s3:PutObject s3:ListBucket s3:GetObject s3:CreateBucket
Per i modelli con tipi di parametri specifici per AWS, gli utenti devono disporre di autorizzazioni per effettuare le chiamate API Describe corrispondenti. Ad esempio, se un modello comprende il tipo di parametro AWS::EC2::KeyPair::KeyName, gli utenti necessitano dell'autorizzazione per chiamare l'azione DescribeKeyPairs EC2 (questo è il modo in cui la console ottiene i valori per l'elenco a discesa dei parametri). Nei seguenti esempi sono indicate le operazioni che gli utenti devono eseguire per altri tipi di parametri:
ec2:DescribeSecurityGroups (for the AWS::EC2::SecurityGroup::Id parameter type) ec2:DescribeSubnets (for the Subnet::Id parameter type) ec2:DescribeVpcs (for the AWS::EC2::VPC::Id parameter type)
AWS CloudFormation risorse
AWS CloudFormation supporta le autorizzazioni a livello di risorsa, quindi puoi specificare azioni per uno stack specifico, come illustrato nella seguente politica:
Esempio Un esempio di policy che nega le azioni di eliminazione e aggiornamento dello stack per MyProductionStack
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Deny", "Action":[ "cloudformation:DeleteStack", "cloudformation:UpdateStack" ], "Resource":"arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/*" }] }
La policy sopra riportata utilizza un carattere jolly alla fine del nome dello stack in modo da impedire l'eliminazione e l'aggiornamento per l'ID stack completo (ad esempio arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/abc9dbf0-43c2-11e3-a6e8-50fa526be49c) e per il nome dello stack (ad esempio MyProductionStack).
Per consentire che le trasformazioni AWS::Serverless creino un set di modifiche, la policy deve includere l'autorizzazione a livello di risorsa arn:aws:cloudformation:<region>:aws:transform/Serverless-2016-10-31, come indicato nella seguente policy:
Esempio Un esempio di policy che consente di creare un set di modifiche per la trasformazione
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "cloudformation:CreateChangeSet" ], "Resource": "arn:aws:cloudformation:us-west-2:aws:transform/Serverless-2016-10-31" }] }
Policy di esempio che concede autorizzazioni del set di stack gestito dal servizio
Di seguito è riportata una policy IAM di esempio che concede le autorizzazioni del set di stack gestito dal servizio a un'entità principale (utente, ruolo o gruppo). Un utente con questa policy può eseguire operazioni solo sui set di stack con modelli contenenti tipi di risorse Amazon S3 (AWS::S3::*) o il tipo di risorsa AWS::SES::ConfigurationSet. Se ha effettuato l'accesso all'account di gestione dell'organizzazione con ID 123456789012, l'utente può eseguire operazioni solo sui set di stack destinati all'unità organizzativa con ID ou-1fsfsrsdsfrewr e sul set di stack con ID stack-set-id destinato all' Account AWS con ID 987654321012.
Le operazioni sul set di stack hanno esito negativo se il modello del set di stack contiene tipi di risorse diversi da quelli specificati nella policy o se le destinazioni di implementazione sono unità organizzative o ID account diversi da quelli specificati nella policy per gli account di gestione e i set di stack corrispondenti.
Queste restrizioni di policy si applicano solo quando le operazioni sul set di stack sono destinate alle Regioni us-east-1, us-west-2 o eu-west-2 Regioni AWS.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*" ], "Resource": [ "arn:aws:cloudformation:*:*:stackset/*", "arn:aws:cloudformation:*:*:type/resource/AWS-S3-*", "arn:aws:cloudformation:us-west-2::type/resource/AWS-SES-ConfigurationSet", "arn:aws:cloudformation:*:123456789012:stackset-target/*/ou-1fsfsrsdsfrewr", "arn:aws:cloudformation:*:123456789012:stackset-target/stack-set-id/987654321012" ], "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudformation:TargetRegion": [ "us-east-1", "us-west-2", "eu-west-1" ] } } } ] }
AWS CloudFormation condizioni
In una policy IAM, puoi specificare facoltativamente le condizioni che controllano la validità della policy. Ad esempio, puoi definire una policy che consenta agli utenti di creare uno stack solo quando specificano un determinato URL del modello. È possibile definire condizioni AWS CloudFormation-specifiche e AWS-wide, ad esempioDateLessThan, che specificano quando una policy smette di avere effetto. Per ulteriori informazioni e un elenco di condizioni AWS-wide, consulta Condition in IAM Policy Elements di riferimento nella IAM User Guide.
Nota
Non utilizzare la condizione aws:SourceIp AWS-wide. AWS CloudFormation effettua il provisioning delle risorse utilizzando il proprio indirizzo IP, non l'indirizzo IP della richiesta di origine. Ad esempio, quando crei uno stack, AWS CloudFormation effettua richieste dal suo indirizzo IP per avviare un'istanza Amazon EC2 o per creare un bucket Amazon S3, non dall'CreateStackindirizzo IP della chiamata o del comando. aws cloudformation create-stack
L'elenco seguente descrive le condizioni specifiche. AWS CloudFormation Queste condizioni si applicano solo quando gli utenti creano o aggiornano gli stack:
cloudformation:ChangeSetName-
Un nome di set di AWS CloudFormation modifiche che si desidera associare a una politica. Utilizza questa condizione per controllare quali set di modifiche gli utenti possono eseguire o eliminare.
cloudformation:ImportResourceTypes-
I tipi di risorse del modello che desideri associare a una policy, ad esempio
AWS::EC2::Instance. Utilizza questa condizione per controllare i tipi di risorse che gli utenti possono utilizzare quando importano risorse in uno stack. Questa condizione viene verificata rispetto ai tipi di risorse dichiarati dagli utenti nelResourcesToImportparametro, che attualmente è supportato solo per AWS CLI le richieste API. Quando si utilizza questo parametro, è necessario specificare tutti i tipi di risorse che si desidera far controllare agli utenti durante le operazioni di importazione. Per ulteriori informazioni sulResourcesToImportparametro, consulta l'CreateChangeSetazione nell'AWS CloudFormation API Reference.Per un elenco di possibili
ResourcesToImport, consulta Risorse che supportano le operazioni di importazione.Utilizza la convenzione di denominazione delle risorse in tre parti per specificare i tipi di risorse con cui gli utenti possono lavorare, da tutte le risorse di un'organizzazione fino a un singolo tipo di risorsa.
organization::*-
Specifica tutti i tipi di risorse per una determinata organizzazione.
organization::service_name-
Specifica tutti i tipi di risorse per il servizio specificato all'interno di una determinata organizzazione.
organization::service_nameresource_type-
Specifica un determinato tipo di risorsa.
Per esempio:
AWS::*-
Specificate tutti i tipi di AWS risorse supportati.
AWS::service_name::*-
Specificare tutte le risorse supportate per un AWS servizio specifico.
AWS::service_name::resource_type-
Specificate un tipo di AWS risorsa specifico, ad esempio
AWS::EC2::Instance(tutte le istanze EC2).
cloudformation:ResourceTypes-
I tipi di risorse del modello, ad esempio
AWS::EC2::Instance, che vuoi associare a una policy. Utilizza questa condizione per controllare i tipi di risorse che gli utenti possono utilizzare quando creano o aggiornano uno stack. Questa condizione viene verificata rispetto ai tipi di risorse dichiarati dagli utenti nelResourceTypesparametro, che attualmente è supportato solo per AWS CLI le richieste API. Quando si utilizza questo parametro, gli utenti devono specificare tutti i tipi di risorse disponibili nel modello. Per ulteriori informazioni sulResourceTypesparametro, consulta l'CreateStackazione nell'AWS CloudFormation API Reference.Per un elenco dei tipi di risorse, consulta AWS riferimento ai tipi di risorse e proprietà.
Utilizza la convenzione di denominazione delle risorse in tre parti per specificare i tipi di risorse con cui gli utenti possono lavorare, da tutte le risorse di un'organizzazione fino a un singolo tipo di risorsa.
organization::*-
Specifica tutti i tipi di risorse per una determinata organizzazione.
organization::service_name-
Specifica tutti i tipi di risorse per il servizio specificato all'interno di una determinata organizzazione.
organization::service_nameresource_type-
Specifica un determinato tipo di risorsa.
Per esempio:
AWS::*-
Specificate tutti i tipi di AWS risorse supportati.
AWS::service_name::*-
Specificare tutte le risorse supportate per un AWS servizio specifico.
AWS::service_name::resource_type-
Specificate un tipo di AWS risorsa specifico, ad esempio
AWS::EC2::Instance(tutte le istanze EC2). Alexa::ASK::*-
Specifica tutti i tipi di risorse in Alexa Skill Kit.
Alexa::ASK::Skill-
Specifica il singolo tipo di risorsa Skill.
Custom::*-
Specifica tutte le risorse personalizzate.
Per ulteriori informazioni sulle risorse personalizzate, consulta Risorse personalizzate.
Custom::resource_type-
Specificare un tipo specifico di risorsa personalizzata.
Per ulteriori informazioni sulle risorse personalizzate, consulta Risorse personalizzate.
cloudformation:RoleARN-
L'Amazon Resource Name (ARN) di un ruolo del servizio IAM da associare a una policy. Utilizza questa condizione per controllare quale ruolo del può essere usato dagli utenti quando lavorano con gli stack o i set di modifiche.
cloudformation:StackPolicyUrl-
L'URL della policy di uno stack Amazon S3 da associare a una policy. Utilizza questa condizione per controllare quali policy di stack gli utenti possono associare a uno stack durante la creazione o l'aggiornamento di un'operazione dello stack. Per ulteriori informazioni sulle policy degli stack, consulta Impedire gli aggiornamenti delle risorse stack.
Nota
Per essere certi che gli utenti possano creare o aggiornare gli stack con le policy di stack caricate, imposta il bucket S3 su
read onlyper tali utenti. cloudformation:TemplateUrl-
L'URL del modello Amazon S3 da associare a una policy. Utilizza questa condizione per controllare quali modelli gli utenti possono usare quando creano o aggiornano gli stack.
Nota
Per essere certi che gli utenti possano creare o aggiornare gli stack con i modelli caricati, imposta il bucket S3 su
read onlyper tali utenti.Nota
Le seguenti condizioni AWS CloudFormation specifiche si applicano ai parametri API con lo stesso nome:
-
cloudformation:ChangeSetName -
cloudformation:RoleARN -
cloudformation:StackPolicyUrl -
cloudformation:TemplateUrl
Ad esempio,
cloudformation:TemplateUrlsi applica solo al parametroTemplateUrlperCreateStack,UpdateStacke le APICreateChangeSet. -
Esempi
Nel seguente esempio la policy consente agli utenti di utilizzare solo l'URL del modello https://s3.amazonaws.com/testbucket/test.template per creare o aggiornare uno stack.
Esempio Condizione dell'URL del modello
{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack", "cloudformation:UpdateStack" ], "Resource" : "*", "Condition" : { "StringEquals" : { "cloudformation:TemplateUrl" : [ "https://s3.amazonaws.com/testbucket/test.template" ] } } } ] }
La seguente politica di esempio consente agli utenti di completare tutte le AWS CloudFormation operazioni tranne le operazioni di importazione.
Esempio Condizione dei tipi di risorse di importazione
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllStackOperations", "Effect": "Allow", "Action": "cloudformation:*", "Resource": "*" }, { "Sid": "DenyImport", "Effect": "Deny", "Action": "cloudformation:*", "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "cloudformation:ImportResourceTypes": [ "*" ] } } } ] }
La policy di esempio seguente consente tutte le operazioni di stack, oltre alle operazioni di importazione solo su risorse specificate (in questo esempio, AWS::S3::Bucket).
Esempio Condizione dei tipi di risorse di importazione
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowImport", "Effect": "Allow", "Action": "cloudformation:*", "Resource": "*" "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudformation:ImportResourceTypes": [ "AWS::S3::Bucket" ] } } } ] }
Nel seguente esempio la policy consente agli utenti di creare stack ma rifiuta le richieste se il modello dello stack include risorse del servizio IAM. Inoltre, in base a questa policy gli utenti devono anche specificare il parametro ResourceTypes, disponibile solo per la AWS CLI e per le richieste API. Questa policy usa istruzioni di rifiuto esplicito, pertanto se altre policy concedono autorizzazioni aggiuntive, questa policy resta sempre valida (un'istruzione di rifiuto esplicito ha sempre la precedenza su un'istruzione di consenso esplicito).
Esempio Condizione del tipo di risorsa
{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*" }, { "Effect" : "Deny", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*", "Condition" : { "ForAnyValue:StringLikeIfExists" : { "cloudformation:ResourceTypes" : [ "AWS::IAM::*" ] } } }, { "Effect": "Deny", "Action" : [ "cloudformation:CreateStack" ], "Resource": "*", "Condition": { "Null": { "cloudformation:ResourceTypes": "true" } } } ] }
Il seguente esempio di policy è simile a quello precedente. La policy consente agli utenti di creare uno stack, a meno che il modello dello stack includa risorse del servizio IAM. Richiede inoltre agli utenti di specificare il ResourceTypes parametro, che è disponibile solo per AWS CLI le richieste API. Questa policy è più semplice, ma non utilizza istruzioni di rifiuto esplicito. Altre policy, che concedono autorizzazioni aggiuntive, potrebbe sostituire questa policy.
Esempio Condizione del tipo di risorsa
{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*", "Condition" : { "ForAllValues:StringNotLikeIfExists" : { "cloudformation:ResourceTypes" : [ "AWS::IAM::*" ] }, "Null":{ "cloudformation:ResourceTypes": "false" } } } ] }
Riconoscimento delle risorse IAM nei modelli AWS CloudFormation
Prima di poter creare uno stack, AWS CloudFormation convalida il modello. Durante la convalida, AWS CloudFormation verifica nel modello la presenza di risorse IAM che potrebbe creare. Le risorse IAM, ad esempio un utente con accesso completo, possono accedere e modificare tutte le risorse nell' Account AWS. Pertanto, ti consigliamo di esaminare le autorizzazioni associate a ogni risorsa IAM prima di continuare, in modo da non creare inavvertitamente le risorse con autorizzazioni di escalation. Per assicurarti di averlo fatto, devi riconoscere che il modello contiene tali risorse e fornisce AWS CloudFormation le funzionalità specificate prima di creare lo stack.
Puoi riconoscere le funzionalità dei AWS CloudFormation modelli utilizzando la AWS CloudFormation console, AWS Command Line Interface (AWS CLI) o l'API:
-
Nella AWS CloudFormation console, nella pagina di revisione delle procedure guidate Create Stack o Update Stack, scegli Riconosco che questo modello può creare risorse IAM.
-
In AWS CLI, quando usi
aws cloudformation update-stacki comandiaws cloudformation create-stackand, specifica ilCAPABILITY_NAMED_IAMvaloreCAPABILITY_IAMo per il parametro.--capabilitiesSe il modello comprende risorse IAM, è possibile specificare qualsiasi funzionalità. Se il modello comprende nomi personalizzati per le risorse IAM, occorre specificareCAPABILITY_NAMED_IAM. -
Nell'API, quando utilizzate le
UpdateStackazioniCreateStackand, specificateCapabilities.member.1=CAPABILITY_IAMoCapabilities.member.1=CAPABILITY_NAMED_IAM. Se il modello comprende risorse IAM, è possibile specificare qualsiasi funzionalità. Se il modello comprende nomi personalizzati per le risorse IAM, occorre specificareCAPABILITY_NAMED_IAM.
Importante
Se il modello contiene risorse IAM con nomi personalizzati, non occorre creare più stack che riutilizzino lo stesso modello. Le risorse IAM devono essere univoche a livello globale nell'account. Se utilizzi lo stesso modello per creare più stack in Regioni diverse, gli stack potrebbero condividere le stesse risorse IAM anziché avere ognuno una risorsa univoca. Le risorse condivise tra stack possono avere conseguenze indesiderate irreversibili. Ad esempio, se si eliminano o si aggiornano risorse IAM condivise all'interno di uno stack, si potrebbero involontariamente modificare le risorse di altri stack.
Gestione delle credenziali per le applicazioni in esecuzione su istanze Amazon EC2
Se hai un'applicazione che viene eseguita su un'istanza Amazon EC2 e devi effettuare richieste a AWS risorse come i bucket Amazon S3 o una tabella DynamoDB, l'applicazione richiede credenziali di sicurezza. AWS Tuttavia, la distribuzione e l'incorporamento delle credenziali di sicurezza a lungo termine in ogni istanza avviata è una sfida nonché un potenziale rischio per la sicurezza. Invece di utilizzare credenziali di lungo termine, ad esempio le credenziali utente IAM, è consigliabile creare un ruolo IAM associato a un'istanza Amazon EC2 all'avvio dell'istanza. Un'applicazione può quindi ottenere le credenziali di sicurezza temporanee dall'istanza Amazon EC2. Non è necessario incorporare le credenziali a lungo termine nell'istanza. Inoltre, per semplificare la gestione delle credenziali, è possibile specificare un solo ruolo per più istanze Amazon EC2. In tal modo non dovrai creare credenziali univoche per ogni istanza.
Per un frammento di modello che mostra come avviare un'istanza con un ruolo, consulta Esempi di modello per i ruoli IAM.
Nota
Le applicazioni che si basano sulle istanze che utilizzano credenziali di sicurezza temporanee possono chiamare qualsiasi azione AWS CloudFormation . Tuttavia, poiché AWS CloudFormation interagisce con molti altri AWS servizi, devi verificare che tutti i servizi che desideri utilizzare supportino credenziali di sicurezza temporanee. Per ulteriori informazioni, consulta AWS Servizi che supportano AWS STS.
Concessione di un accesso temporaneo (accesso federato)
In alcuni casi, potresti voler concedere agli utenti senza AWS credenziali l'accesso temporaneo al tuo Account AWS. Invece di creare ed eliminare credenziali a lungo termine ogni volta che desideri concedere un accesso temporaneo, usa AWS Security Token Service ().AWS STS Ad esempio, puoi utilizzare i ruoli IAM. Da un ruolo IAM, è possibile creare e distribuire in modo programmatico molte credenziali di sicurezza temporanee (che includono una chiave di accesso, una chiave di accesso segreta e un token di sicurezza). Queste credenziali hanno una durata limitata, quindi non possono essere utilizzate per accedere alle tue credenziali Account AWS dopo la loro scadenza. Puoi anche creare più ruoli IAM per concedere ai singoli utenti livelli di autorizzazioni diversi. I ruoli IAM sono utili per scenari quali le identità federate e i Single Sign-On (SSO).
Un'identità federata è un'identità distinta che puoi utilizzare in più sistemi. Per gli utenti enterprise con un sistema di identità locale (ad esempio LDAP o Active Directory), è possibile gestire tutte le autenticazioni con il sistema di identità locale. Dopo l'autenticazione dell'utente, è necessario fornire le credenziali di sicurezza temporanee dell'utente o ruolo IAM corrispondente. Ad esempio, puoi creare un administrators ruolo e un developers ruolo, in cui gli amministratori abbiano pieno accesso all' AWS
account e gli sviluppatori abbiano le autorizzazioni per lavorare solo con gli stack. AWS CloudFormation Dopo l'autenticazione, un amministratore è autorizzato a ottenere le credenziali di sicurezza temporanee dal ruolo administrators. Tuttavia, gli sviluppatori, possono ottenere le credenziali di sicurezza temporanee solo dal ruolo developers.
Puoi anche concedere agli utenti federati l'accesso a. AWS Management Console Dopo l'autenticazione degli utenti con il sistema di identità locale, è possibile creare un URL temporaneo a livello di codice che offra un accesso diretto a AWS Management Console. Quando gli utenti utilizzano l'URL temporaneo, non avranno bisogno di accedere AWS perché sono già stati autenticati (single sign-on). Inoltre, poiché l'URL viene creato in base alle credenziali di sicurezza temporanee degli utenti, le autorizzazioni disponibili con tali credenziali definiscono le autorizzazioni degli utenti in AWS Management Console.
Puoi utilizzare diverse AWS STS API per generare credenziali di sicurezza temporanee. Per ulteriori informazioni sulle API da usare, consulta la sezione su come ottenere le credenziali di sicurezza temporanee nella Utilizzo di credenziali di sicurezza temporanee.
Importante
Non è possibile lavorare con IAM quando si utilizzano credenziali di sicurezza temporanee generati dall'API GetFederationToken. Al contrario, se è necessario utilizzare IAM, usare le credenziali di sicurezza temporanee di un ruolo.
AWS CloudFormation interagisce con molti altri servizi. AWS Quando utilizzi credenziali di sicurezza temporanee con AWS CloudFormation, verifica che tutti i servizi che desideri utilizzare supportino credenziali di sicurezza temporanee. Per ulteriori informazioni, consulta AWS i servizi che supportano AWS STS.
Per ulteriori informazioni, consulta le risorse correlate nella Utilizzo di credenziali di sicurezza temporanee:
