Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlla CloudFormation l'accesso con AWS Identity and Access Management
Con AWS Identity and Access Management (IAM), puoi creare IAM utenti per controllare chi ha accesso a quali risorse del tuo Account AWS. Puoi usare IAM with AWS CloudFormation per controllare cosa possono fare gli utenti CloudFormation, ad esempio se possono visualizzare modelli di stack, creare pile o eliminare pile.
Oltre alle CloudFormation azioni, puoi gestire i AWS servizi e le risorse disponibili per ogni utente. In questo modo, puoi controllare a quali risorse gli utenti possono accedere quando le utilizzano CloudFormation. Ad esempio, puoi specificare quali utenti possono creare istanze Amazon, terminare EC2 istanze di database o effettuare aggiornamenti. VPCs Le stesse autorizzazioni vengono applicate ogni volta che si utilizza CloudFormation per eseguire tali operazioni.
Per ulteriori informazioni su tutti i servizi a cui puoi controllare l'accesso, consulta AWS i servizi che supportano IAM nella IAM Guida per l'utente.
Argomenti
- CloudFormation azioni
- CloudFormation risorse
- CloudFormation condizioni
- Accettazione delle risorse IAM nei modelli CloudFormation
- Gestisci le credenziali per le applicazioni in esecuzione su istanze Amazon EC2
- Concessione di un accesso temporaneo (accesso federato)
- AWS CloudFormation ruolo di servizio
- Prevenzione del problema "confused deputy" tra servizi
CloudFormation azioni
Quando crei un gruppo o un utente nel tuo Account AWS, puoi associare una IAM politica a quel gruppo o utente, che specifica le autorizzazioni che desideri concedere. Ad esempio, immagina di disporre di un gruppo di sviluppatori non esperti. È possibile creare un gruppo di sviluppatori di applicazioni junior che includa tutti gli sviluppatori di livello base. Quindi, associ una politica a quel gruppo che consente agli utenti di visualizzare CloudFormation solo gli stack. In questo scenario, è possibile disporre di una policy quale:
Esempio Una policy di esempio che consenta di visualizzare le autorizzazioni dello stack
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Action":[ "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResource", "cloudformation:DescribeStackResources" ], "Resource":"*" }] }
La policy concede le autorizzazioni per tutte le DescribeStack
API azioni elencate nell'elemento. Action
Importante
Se non specifichi un nome o ID stack nella dichiarazione, devi anche concedere l'autorizzazione a utilizzare tutte le risorse per l'azione utilizzando il carattere jolly *
per l'elemento Resource
.
Oltre alle CloudFormation azioni, gli utenti che creano o eliminano gli stack richiedono autorizzazioni aggiuntive che dipendono dai modelli di stack. Ad esempio, se disponi di un modello che descrive un Amazon SQS Queue, l'utente deve disporre delle autorizzazioni corrispondenti per SQS le azioni Amazon per creare correttamente lo stack, come mostrato nella seguente politica di esempio:
Esempio Un esempio di policy che consente di creare e visualizzare le azioni dello stack e tutte le azioni di Amazon SQS
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Action":[ "sqs:*", "cloudformation:CreateStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResources", "cloudformation:GetTemplate", "cloudformation:ValidateTemplate" ], "Resource":"*" }] }
CloudFormation azioni specifiche della console
Gli utenti che utilizzano la CloudFormation console richiedono autorizzazioni aggiuntive che non sono necessarie per l'utilizzo di or. AWS Command Line Interface CloudFormation APIs Rispetto a AWS CLI andAPI, la console offre funzionalità aggiuntive che richiedono autorizzazioni aggiuntive, come il caricamento di modelli su bucket Amazon S3 ed elenchi a discesa per tipi di parametri specifici. AWS
Per tutte le seguenti operazioni, concedi le autorizzazioni a tutte le risorse e non limitare le azioni a stack o bucket specifici.
La seguente azione richiesta viene utilizzata solo dalla CloudFormation console e non è documentata nel riferimento. API L'operazione consente agli utenti di caricare i modelli nei bucket Amazon S3.
cloudformation:CreateUploadBucket
Quando gli utenti caricano i modelli, devono disporre delle seguenti autorizzazioni Amazon S3:
s3:PutObject s3:ListBucket s3:GetObject s3:CreateBucket
Per i modelli con tipi AWS di parametri specifici, gli utenti necessitano delle autorizzazioni per effettuare le chiamate di descrizione corrispondenti. API Ad esempio, se un modello include il tipo di AWS::EC2::KeyPair::KeyName
parametro, gli utenti devono essere autorizzati a richiamare l'EC2DescribeKeyPairs
azione (questo è il modo in cui la console ottiene i valori per l'elenco a discesa dei parametri). Nei seguenti esempi sono indicate le operazioni che gli utenti devono eseguire per altri tipi di parametri:
ec2:DescribeSecurityGroups (for the AWS::EC2::SecurityGroup::Id parameter type) ec2:DescribeSubnets (for the Subnet::Id parameter type) ec2:DescribeVpcs (for the AWS::EC2::VPC::Id parameter type)
CloudFormation risorse
CloudFormation supporta le autorizzazioni a livello di risorsa, quindi puoi specificare azioni per uno stack specifico, come illustrato nella seguente politica:
Esempio Un esempio di policy che nega le azioni di eliminazione e aggiornamento dello stack per MyProductionStack
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Deny", "Action":[ "cloudformation:DeleteStack", "cloudformation:UpdateStack" ], "Resource":"arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/*" }] }
La policy sopra riportata utilizza un carattere jolly alla fine del nome dello stack in modo da impedire l'eliminazione e l'aggiornamento per l'ID stack completo (ad esempio arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/abc9dbf0-43c2-11e3-a6e8-50fa526be49c
) e per il nome dello stack (ad esempio MyProductionStack
).
Per consentire che le trasformazioni AWS::Serverless
creino un set di modifiche, la policy deve includere l'autorizzazione a livello di risorsa arn:aws:cloudformation:<region>:aws:transform/Serverless-2016-10-31
, come indicato nella seguente policy:
Esempio Un esempio di policy che consente di creare un set di modifiche per la trasformazione
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "cloudformation:CreateChangeSet" ], "Resource": "arn:aws:cloudformation:us-west-2:aws:transform/Serverless-2016-10-31" }] }
Policy di esempio che concede autorizzazioni del set di stack gestito dal servizio
Di seguito è riportata una policy IAM di esempio che concede le autorizzazioni del set di stack gestito dal servizio a un'entità principale (utente, ruolo o gruppo). Un utente con questa policy può eseguire operazioni solo sui set di stack con modelli contenenti tipi di risorse Amazon S3 (AWS::S3::*
) o il tipo di risorsa AWS::SES::ConfigurationSet
. Se ha effettuato l'accesso all'account di gestione dell'organizzazione con ID123456789012
, l'utente può anche eseguire operazioni solo su set di stack destinati all'unità organizzativa con ID ou-1fsfsrsdsfrewr
e può eseguire operazioni solo sullo stack impostato con ID stack-set-id
che ha come destinazione l'with ID. Account AWS 987654321012
Le operazioni di stack set hanno esito negativo se il modello di stack set contiene tipi di risorse diversi da quelli specificati nella policy o se gli obiettivi di distribuzione sono unità organizzative o account IDs diversi da quelli specificati nella politica per gli account di gestione e i set di stack corrispondenti.
Queste restrizioni di policy si applicano solo quando le operazioni sul set di stack sono destinate alle Regioni us-east-1
, us-west-2
o eu-west-2
Regioni AWS.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*" ], "Resource": [ "arn:aws:cloudformation:*:*:stackset/*", "arn:aws:cloudformation:*:*:type/resource/
AWS-S3
-*", "arn:aws:cloudformation:us-west-2::type/resource/AWS-SES-ConfigurationSet
", "arn:aws:cloudformation:*:123456789012
:stackset-target/*/ou-1fsfsrsdsfrewr
", "arn:aws:cloudformation:*:123456789012
:stackset-target/stack-set-id
/987654321012
" ], "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudformation:TargetRegion": [ "us-east-1
", "us-west-2
", "eu-west-1
" ] } } } ] }
CloudFormation condizioni
In una policy IAM, puoi specificare facoltativamente le condizioni che controllano la validità della policy. Ad esempio, è possibile definire una politica che consenta agli utenti di creare uno stack solo quando specificano un determinato modelloURL. È possibile definire condizioni CloudFormation specifiche e AWS condizioni generali, ad esempioDateLessThan
, che specificano quando una policy smette di avere effetto. Per ulteriori informazioni e un elenco delle condizioni AWS-wide, vedere Condition nel riferimento agli elementi della IAM politica nella Guida per l'utente. IAM
Nota
Non utilizzare la condizione aws:SourceIp
AWS-wide. CloudFormation effettua il provisioning delle risorse utilizzando il proprio indirizzo IP, non l'indirizzo IP della richiesta di origine. Ad esempio, quando crei uno stack, CloudFormation effettua richieste dal suo indirizzo IP per avviare un'EC2istanza Amazon o per creare un bucket Amazon S3, non dall'indirizzo IP della chiamata o CreateStack
del comando. create-stack
L'elenco seguente descrive le condizioni specifiche. CloudFormation Queste condizioni si applicano solo quando gli utenti creano o aggiornano gli stack:
cloudformation:ChangeSetName
-
Un nome di set di CloudFormation modifiche che si desidera associare a una politica. Utilizza questa condizione per controllare quali set di modifiche gli utenti possono eseguire o eliminare.
cloudformation:ImportResourceTypes
-
I tipi di risorse del modello che desideri associare a una policy, ad esempio
AWS::EC2::Instance
. Utilizza questa condizione per controllare i tipi di risorse che gli utenti possono utilizzare quando importano risorse in uno stack. Questa condizione viene verificata rispetto ai tipi di risorse dichiarati dagli utenti nelResourcesToImport
parametro, che attualmente è supportato solo per API richieste AWS CLI e richieste. Quando si utilizza questo parametro, è necessario specificare tutti i tipi di risorse che si desidera far controllare agli utenti durante le operazioni di importazione. Per ulteriori informazioni sulResourcesToImport
parametro, vedere CreateChangeSetazione nel AWS CloudFormation APIReference.Per un elenco dei possibili
ResourcesToImport
, vedereSupporto per tipi di risorse.Utilizza la convenzione di denominazione delle risorse in tre parti per specificare i tipi di risorse con cui gli utenti possono lavorare, da tutte le risorse di un'organizzazione fino a un singolo tipo di risorsa.
organization
::*-
Specifica tutti i tipi di risorse per una determinata organizzazione.
organization
::
::*service_name
-
Specifica tutti i tipi di risorse per il servizio specificato all'interno di una determinata organizzazione.
organization
::
::service_name
resource_type
-
Specifica un determinato tipo di risorsa.
Per esempio:
AWS::*
-
Specificare tutti i tipi di AWS risorse supportati.
AWS::
service_name
::*-
Specificare tutte le risorse supportate per un AWS servizio specifico.
AWS::
service_name
::resource_type
-
Specificare un tipo di AWS risorsa specifico, ad esempio
AWS::EC2::Instance
(tutte le EC2 istanze).
cloudformation:ResourceTypes
-
I tipi di risorse del modello, ad esempio
AWS::EC2::Instance
, che vuoi associare a una policy. Utilizza questa condizione per controllare i tipi di risorse che gli utenti possono utilizzare quando creano o aggiornano uno stack. Questa condizione viene verificata rispetto ai tipi di risorse dichiarati dagli utenti nelResourceTypes
parametro, che attualmente è supportato solo per le richieste AWS CLI eAPI. Quando si utilizza questo parametro, gli utenti devono specificare tutti i tipi di risorse disponibili nel modello. Per ulteriori informazioni sulResourceTypes
parametro, vedere CreateStackazione nel AWS CloudFormation APIReference.Per un elenco dei tipi di risorse, consulta AWS riferimento ai tipi di risorse e proprietà.
Utilizza la convenzione di denominazione delle risorse in tre parti per specificare i tipi di risorse con cui gli utenti possono lavorare, da tutte le risorse di un'organizzazione fino a un singolo tipo di risorsa.
organization
::*-
Specifica tutti i tipi di risorse per una determinata organizzazione.
organization
::
::*service_name
-
Specifica tutti i tipi di risorse per il servizio specificato all'interno di una determinata organizzazione.
organization
::
::service_name
resource_type
-
Specifica un determinato tipo di risorsa.
Per esempio:
AWS::*
-
Specificare tutti i tipi di AWS risorse supportati.
AWS::
service_name
::*-
Specificare tutte le risorse supportate per un AWS servizio specifico.
AWS::
service_name
::resource_type
-
Specificare un tipo di AWS risorsa specifico, ad esempio
AWS::EC2::Instance
(tutte le EC2 istanze). Alexa::ASK::*
-
Specifica tutti i tipi di risorse in Alexa Skill Kit.
Alexa::ASK::Skill
-
Specificate il tipo di risorsa Alexa::ASK: :Skill individuale.
Custom::*
-
Specifica tutte le risorse personalizzate.
Per ulteriori informazioni, consulta Crea una logica di provisioning personalizzata con risorse personalizzate.
Custom::
resource_type
-
Specificare un tipo specifico di risorsa personalizzata.
Per ulteriori informazioni, consulta Crea una logica di provisioning personalizzata con risorse personalizzate.
cloudformation:RoleARN
-
L'Amazon Resource Name (ARN) di un ruolo di IAM servizio che desideri associare a una policy. Utilizza questa condizione per controllare quale ruolo del può essere usato dagli utenti quando lavorano con gli stack o i set di modifiche.
cloudformation:StackPolicyUrl
-
Una policy di stack Amazon S3 URL che desideri associare a una policy. Utilizza questa condizione per controllare quali policy di stack gli utenti possono associare a uno stack durante la creazione o l'aggiornamento di un'operazione dello stack. Per ulteriori informazioni sulle policy degli stack, consulta Impedire gli aggiornamenti delle risorse stack.
Nota
Per garantire che gli utenti possano creare o aggiornare gli stack solo con le policy di stack che hai caricato, imposta il bucket S3 in modo che sia di sola lettura per quegli utenti.
cloudformation:TemplateUrl
-
Un modello Amazon S3 URL da associare a una policy. Utilizza questa condizione per controllare quali modelli gli utenti possono usare quando creano o aggiornano gli stack.
Nota
Per garantire che gli utenti possano creare o aggiornare gli stack solo con i modelli che hai caricato, imposta il bucket S3 in modo che sia di sola lettura per quegli utenti.
Nota
Le seguenti condizioni CloudFormation specifiche si applicano ai API parametri con lo stesso nome:
-
cloudformation:ChangeSetName
-
cloudformation:RoleARN
-
cloudformation:StackPolicyUrl
-
cloudformation:TemplateUrl
Ad esempio, si applica
cloudformation:TemplateUrl
solo alTemplateUrl
parametro forCreateStack
UpdateStack
, eCreateChangeSet
APIs. -
Esempi
La seguente politica di esempio consente agli utenti di utilizzare solo il
modello URL per creare o aggiornare uno stack.https://s3.amazonaws.com/amzn-s3-demo-bucket/test.template
Esempio Condizione del modello URL
{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack", "cloudformation:UpdateStack" ], "Resource" : "*", "Condition" : { "StringEquals" : { "cloudformation:TemplateUrl" : [ "
https://s3.amazonaws.com/amzn-s3-demo-bucket/test.template"
] } } } ] }
La seguente politica di esempio consente agli utenti di completare tutte le CloudFormation operazioni tranne le operazioni di importazione.
Esempio Condizione dei tipi di risorse di importazione
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllStackOperations", "Effect": "Allow", "Action": "cloudformation:*", "Resource": "*" }, { "Sid": "DenyImport", "Effect": "Deny", "Action": "cloudformation:*", "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "cloudformation:ImportResourceTypes": [ "*" ] } } } ] }
La policy di esempio seguente consente tutte le operazioni di stack, oltre alle operazioni di importazione solo su risorse specificate (in questo esempio, AWS::S3::Bucket
).
Esempio Condizione dei tipi di risorse di importazione
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowImport", "Effect": "Allow", "Action": "cloudformation:*", "Resource": "*" "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudformation:ImportResourceTypes": [ "AWS::S3::Bucket" ] } } } ] }
Nel seguente esempio la policy consente agli utenti di creare stack ma rifiuta le richieste se il modello dello stack include risorse del servizio IAM. La politica richiede inoltre agli utenti di specificare il ResourceTypes
parametro, che è disponibile solo per API le richieste AWS CLI e. Questa policy usa istruzioni di rifiuto esplicito, pertanto se altre policy concedono autorizzazioni aggiuntive, questa policy resta sempre valida (un'istruzione di rifiuto esplicito ha sempre la precedenza su un'istruzione di consenso esplicito).
Esempio Condizione del tipo di risorsa
{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*" }, { "Effect" : "Deny", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*", "Condition" : { "ForAnyValue:StringLikeIfExists" : { "cloudformation:ResourceTypes" : [ "AWS::IAM::*" ] } } }, { "Effect": "Deny", "Action" : [ "cloudformation:CreateStack" ], "Resource": "*", "Condition": { "Null": { "cloudformation:ResourceTypes": "true" } } } ] }
Il seguente esempio di policy è simile a quello precedente. La policy consente agli utenti di creare uno stack, a meno che il modello dello stack includa risorse del servizio IAM. Richiede inoltre agli utenti di specificare il ResourceTypes
parametro, che è disponibile solo per API richieste AWS CLI e richieste. Questa policy è più semplice, ma non utilizza istruzioni di rifiuto esplicito. Altre policy, che concedono autorizzazioni aggiuntive, potrebbe sostituire questa policy.
Esempio Condizione del tipo di risorsa
{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*", "Condition" : { "ForAllValues:StringNotLikeIfExists" : { "cloudformation:ResourceTypes" : [ "AWS::IAM::*" ] }, "Null":{ "cloudformation:ResourceTypes": "false" } } } ] }
Accettazione delle risorse IAM nei modelli CloudFormation
Prima di poter creare uno stack, CloudFormation convalida il modello. Durante la convalida, CloudFormation verifica la presenza di IAM risorse che il modello potrebbe creare. IAMle risorse, ad esempio un utente con accesso completo, possono accedere e modificare qualsiasi risorsa del tuo Account AWS. Pertanto, ti consigliamo di rivedere le autorizzazioni associate a ciascuna IAM risorsa prima di procedere, in modo da non creare involontariamente risorse con autorizzazioni avanzate. Per assicurarti di averlo fatto, devi riconoscere che il modello contiene tali risorse e fornisce le funzionalità specificate prima di creare CloudFormation lo stack.
Puoi riconoscere le funzionalità dei CloudFormation modelli utilizzando la CloudFormation console, AWS Command Line Interface (AWS CLI) oAPI:
-
Nella CloudFormation console, nella pagina Configura le opzioni dello stack delle procedure guidate Create Stack o Update Stack, scegli Riconosco che questo modello può creare risorse. IAM
-
Nel, quando si AWS CLI utilizza il create-stack e update-stackcomandi, specificate il
CAPABILITY_NAMED_IAM
valoreCAPABILITY_IAM
o per l'--capabilities
opzione. Se il modello comprende risorse IAM, è possibile specificare qualsiasi funzionalità. Se il modello comprende nomi personalizzati per le risorse IAM, occorre specificareCAPABILITY_NAMED_IAM
. -
NelAPI, quando si utilizza il CreateStack e UpdateStackazioni, specificare
Capabilities.member.1=CAPABILITY_IAM
oCapabilities.member.1=CAPABILITY_NAMED_IAM
. Se il modello comprende risorse IAM, è possibile specificare qualsiasi funzionalità. Se il modello comprende nomi personalizzati per le risorse IAM, occorre specificareCAPABILITY_NAMED_IAM
.
Importante
Se il modello contiene risorse IAM con nomi personalizzati, non occorre creare più stack che riutilizzino lo stesso modello. Le risorse IAM devono essere univoche a livello globale nell'account. Se utilizzi lo stesso modello per creare più stack in regioni diverse, gli stack potrebbero condividere le stesse IAM risorse, anziché averne ciascuno una unica. Le risorse condivise tra stack possono avere conseguenze indesiderate irreversibili. Ad esempio, se si eliminano o si aggiornano risorse IAM condivise all'interno di uno stack, si potrebbero involontariamente modificare le risorse di altri stack.
Gestisci le credenziali per le applicazioni in esecuzione su istanze Amazon EC2
Se hai un'applicazione che viene eseguita su un'EC2istanza Amazon e devi effettuare richieste a AWS risorse come i bucket Amazon S3 o una tabella DynamoDB, l'applicazione richiede credenziali di sicurezza. AWS Tuttavia, la distribuzione e l'incorporamento delle credenziali di sicurezza a lungo termine in ogni istanza avviata è una sfida nonché un potenziale rischio per la sicurezza. Invece di utilizzare credenziali a lungo termine, come le credenziali IAM utente, ti consigliamo di creare un IAM ruolo associato a un'EC2istanza Amazon all'avvio dell'istanza. Un'applicazione può quindi ottenere credenziali di sicurezza temporanee dall'EC2istanza Amazon. Non è necessario incorporare le credenziali a lungo termine nell'istanza. Inoltre, per semplificare la gestione delle credenziali, puoi specificare un solo ruolo per più EC2 istanze Amazon; non devi creare credenziali uniche per ogni istanza.
Per un frammento di modello che mostra come avviare un'istanza con un ruolo, consulta IAMesempi di modelli di ruolo.
Nota
Le applicazioni che si basano sulle istanze che utilizzano credenziali di sicurezza temporanee possono chiamare qualsiasi azione CloudFormation . Tuttavia, poiché CloudFormation interagisce con molti altri AWS servizi, devi verificare che tutti i servizi che desideri utilizzare supportino credenziali di sicurezza temporanee. Per un elenco dei servizi che accettano credenziali di sicurezza temporanee, consulta AWS i servizi che funzionano con IAM nella Guida per l'IAMutente.
Concessione di un accesso temporaneo (accesso federato)
In alcuni casi, potresti voler concedere agli utenti senza AWS credenziali l'accesso temporaneo al tuo. Account AWS Invece di creare ed eliminare credenziali a lungo termine ogni volta che desideri concedere un accesso temporaneo, usa AWS Security Token Service ().AWS STS Ad esempio, puoi utilizzare i ruoli IAM. Da un ruolo IAM, è possibile creare e distribuire in modo programmatico molte credenziali di sicurezza temporanee (che includono una chiave di accesso, una chiave di accesso segreta e un token di sicurezza). Queste credenziali hanno una durata limitata, quindi non possono essere utilizzate per accedere alle tue credenziali Account AWS dopo la loro scadenza. Puoi anche creare più ruoli IAM per concedere ai singoli utenti diversi livelli di autorizzazioni. I ruoli IAM sono utili per scenari quali le identità federate e i Single Sign-On (SSO).
Un'identità federata è un'identità distinta che puoi utilizzare in più sistemi. Per gli utenti aziendali con un sistema di identità locale consolidato (come LDAP Active Directory), è possibile gestire tutta l'autenticazione con il sistema di identità locale. Dopo l'autenticazione dell'utente, è necessario fornire le credenziali di sicurezza temporanee dell'utente o ruolo IAM corrispondente. Ad esempio, puoi creare un ruolo di amministratore e un ruolo di sviluppatore, in cui gli amministratori abbiano pieno accesso all' AWS account e gli sviluppatori abbiano le autorizzazioni per lavorare solo con gli stack. CloudFormation Dopo l'autenticazione, l'amministratore è autorizzato a ottenere credenziali di sicurezza temporanee dal ruolo di amministratore. Tuttavia, gli sviluppatori possono ottenere credenziali di sicurezza temporanee solo dal ruolo di sviluppatore.
È inoltre possibile concedere agli utenti federati l'accesso a. AWS Management Console Dopo che gli utenti si sono autenticati con il sistema di identità locale, puoi creare a livello di codice un file temporaneo URL che dia accesso diretto a. AWS Management Console Quando gli utenti utilizzano il sistema temporaneoURL, non avranno bisogno di accedere AWS perché sono già stati autenticati (single sign-on). Inoltre, poiché URL è basato sulle credenziali di sicurezza temporanee degli utenti, le autorizzazioni disponibili con tali credenziali determinano le autorizzazioni di cui dispongono gli utenti in. AWS Management Console
È possibile utilizzarne diverse per generare credenziali di sicurezza AWS STS APIs temporanee. Per ulteriori informazioni su quali API utilizzare, consulta Confronta AWS STS le credenziali nella Guida per l'IAMutente.
Importante
Non è possibile utilizzare IAM quando si utilizzano credenziali di sicurezza temporanee generate da. GetFederationToken
API Al contrario, se è necessario utilizzare IAM, usare le credenziali di sicurezza temporanee di un ruolo.
CloudFormation interagisce con molti altri AWS servizi. Quando utilizzi credenziali di sicurezza temporanee con CloudFormation, verifica che tutti i servizi che desideri utilizzare supportino credenziali di sicurezza temporanee. Per un elenco dei servizi che accettano credenziali di sicurezza temporanee, consulta AWS i servizi con cui funziona IAM nella Guida per l'IAMutente.
Per ulteriori informazioni, consulta le seguenti risorse correlate nella Guida per l'IAMutente: