Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Puoi utilizzare le API di IAM Access Analyzer per visualizzare in anteprima l'accesso multi-account e pubblico per i tuoi bucket Amazon S3, le chiavi AWS KMS, i ruoli IAM, le code Amazon SQS e segreti di Secrets Manager. È possibile visualizzare in anteprima l'accesso fornendo le autorizzazioni proposte per una risorsa esistente di cui si è proprietari o per una nuova risorsa che si desidera implementare.
Per visualizzare in anteprima l'accesso esterno alla risorsa, è necessario disporre di un analizzatore account attivo per l'account e la regione della risorsa. Devi inoltre disporre delle autorizzazioni necessarie per utilizzare IAM Access Analyzer e l'accesso in anteprima. Per ulteriori informazioni sull'abilitazione di IAM Access Analyzer e sulle autorizzazioni richieste, consulta Nozioni di base su AWS Identity and Access Management Access Analyzer.
Per visualizzare in anteprima l'accesso a una risorsa, è possibile utilizzare l'operazione CreateAccessPreview e fornire l'ARN dell'analizzatore e la configurazione del controllo degli accessi per la risorsa. Il servizio restituisce l'ID univoco per l'anteprima di accesso che è possibile utilizzare per verificare lo stato dell'anteprima di accesso con l'operazione GetAccessPreview. Quando lo stato è Completed, è possibile utilizzare l'operazione ListAccessPreviewFindings per recuperare i risultati generati per l'anteprima dell'accesso. Le operazioni GetAccessPreview e ListAccessPreviewFindings recupereranno le anteprime di accesso e i risultati creati entro circa 24 ore.
Ogni risultato recuperato contiene i dettagli del risultato che descrivono l'accesso. Uno stato di anteprima del risultato che descrive se il risultato sarebbe Active, Archived oppure Resolved dopo l'implementazione delle autorizzazioni e un changeType. Il changeType fornisce un contesto sul modo in cui il risultato dell'anteprima di accesso viene confrontato con l'accesso esistente identificato in IAM Access Analyzer.
-
Novità: il risultato riguarda l'accesso appena introdotto.
-
Invariato: il risultato dell'anteprima è un risultato esistente che rimarrebbe invariato.
-
Modificato: il risultato dell'anteprima è un risultato esistente con un cambiamento di stato.
Le operazioni status e changeType consentono di capire come la configurazione delle risorse modificherebbe l'accesso delle risorse esistenti. Se changeType è Unchanged o Modificato, il risultato conterrà anche l'ID e lo stato del risultato esistenti in IAM Access Analyzer. Ad esempio, un risultato Changed con stato di anteprima Resolved e stato esistente Active indica che il risultato Active esistente per la risorsa diventerebbe Resolved in seguito alla modifica delle autorizzazioni proposta.
È possibile utilizzare l'operazione ListAccessPreviews per recuperare un elenco di anteprime di accesso per l'analizzatore specificato. Questa operazione recupererà le informazioni sull'anteprima di accesso creata in un'ora circa.
In generale, se l'anteprima di accesso è per una risorsa esistente e si lascia un'opzione di configurazione non specificata, l'anteprima di accesso utilizzerà la configurazione della risorsa esistente per impostazione predefinita. Se l'anteprima di accesso è relativa a una nuova risorsa e si lascia un'opzione di configurazione non specificata, l'anteprima di accesso utilizzerà il valore predefinito in base al tipo di risorsa. Per i casi di configurazione per ciascun tipo di risorsa, consultare gli argomenti di seguito.
Visualizzazione in anteprima dell'accesso al bucket Amazon S3
Per creare un'anteprima di accesso per un nuovo bucket Amazon S3 o per un proprio bucket Amazon S3 esistente, è possibile proporre una configurazione del bucket specificando la policy del bucket di Amazon S3, gli ACL del bucket, le impostazioni del BPA del bucket e i punti di accesso Amazon S3, inclusi i punti di accesso multi-regione, collegati al bucket.
Nota
Prima di provare a creare un'anteprima di accesso per un nuovo bucket, si consiglia di chiamare l'operazione HeadBucket di Amazon S3 per verificare se il bucket denominato esiste già. Questa operazione è utile per determinare se esiste un bucket e si dispone dell'autorizzazione per accedervi.
Policy del bucket: se la configurazione è per un bucket Amazon S3 esistente e non si specifica la policy del bucket Amazon S3, l'anteprima di accesso utilizza la policy esistente allegata al bucket. Se l'anteprima di accesso riguarda una nuova risorsa e non si specifica la policy del bucket di Amazon S3, l'anteprima di accesso presuppone un bucket senza policy. Per proporre l'eliminazione di una policy del bucket esistente, è possibile specificare una stringa vuota. Per ulteriori informazioni sui limiti delle policy del bucket supportati, consultare Esempi di policy di bucket.
Concessioni ACL del bucket: è possibile proporre fino a 100 concessioni ACL per bucket. Se la configurazione di concessione proposta è per un bucket esistente, l'anteprima dell'accesso utilizza l'elenco proposto di configurazioni di concessioni al posto delle concessioni esistenti. In caso contrario, utilizzerà le concessioni esistenti per il bucket.
Punti di accesso del bucket: l'analisi supporta fino a 100 punti di accesso, inclusi i punti di accesso multi-regione, per bucket, con un massimo di dieci nuovi punti di accesso che è possibile proporre per bucket. Se la configurazione dei punti di accesso di Amazon S3 proposta è per un bucket esistente, l'anteprima dell'accesso utilizza la configurazione dei punti di accessi proposta al posto dei punti di accesso esistenti. Per proporre un punto di accesso senza una policy, è possibile fornire una stringa vuota come policy del punto di accesso. Per ulteriori informazioni sui limiti delle policy dei punti di accesso, consultare Restrizioni e limitazioni dei punti di accesso.
Configurazione dell'accesso pubblico ai blocchi: se la configurazione proposta è per un bucket Amazon S3 esistente e non si specifica la configurazione, l'anteprima dell'accesso utilizza l'impostazione esistente. Se la configurazione proposta riguarda un nuovo bucket e non si specifica la configurazione BPA del bucket, l'anteprima dell'accesso utilizza false. Se la configurazione proposta si riferisce a un nuovo punto di accesso o a un punto di accesso multi-regione e non si specifica la configurazione BPA del punto di accesso, l'anteprima dell'accesso utilizza true.
Visualizzazione in anteprima dell'accesso alla chiave AWS KMS
Per creare un'anteprima di accesso per una nuova chiave AWS KMS o una chiave AWS KMS esistente, è possibile proporre una configurazione della chiave AWS KMS specificando la policy della chiave e la configurazione della concessione AWS KMS.
Policy delle chiavi AWS KMS: se la configurazione è per una chiave esistente e non si specifica la policy della chiave, l'anteprima di accesso utilizza la policy esistente per la chiave. Se l'anteprima di accesso è relativa a una nuova risorsa e non si specifica la policy della chiave, l'anteprima di accesso utilizza la policy della chiave predefinita. La chiave della policy proposta non può essere una stringa vuota.
Concessioni AWS KMS: l'analisi supporta fino a 100 concessioni KMS per configurazione*.* Se la configurazione di concessione proposta riguarda una chiave esistente, l'anteprima dell'accesso utilizza l'elenco proposto delle configurazioni di concessioni al posto delle concessioni esistenti. In caso contrario, utilizzerà le concessioni esistenti per la chiave.
Anteprima dell'accesso al ruolo IAM
Per creare un'anteprima di accesso per un nuovo ruolo IAM o un ruolo IAM esistente, puoi proporre una configurazione del ruolo IAM specificando la policy di attendibilità.
Policy di attendibilità del ruolo: se la configurazione riguarda un nuovo ruolo IAM, è necessario specificare la policy di attendibilità. Se la configurazione riguarda un ruolo IAM esistente di cui si è proprietari e non propone la policy di attendibilità, l'anteprima di accesso utilizza la policy di attendibilità esistente per il ruolo. La policy proposta non può essere una stringa vuota.
Anteprima dell'accesso alla coda Amazon SQS
Per creare un'anteprima di accesso per una nuova coda Amazon SQS o una coda Amazon SQS esistente di proprietà, è possibile proporre una configurazione di coda Amazon SQS specificando la policy di Amazon SQS per la coda.
Policy della coda Amazon SQS: se la configurazione è per una coda Amazon SQS esistente e non si specifica la policy di Amazon SQS, l'anteprima degli accessi utilizza la policy di Amazon SQS esistente per la coda. Se l'anteprima di accesso riguarda una nuova risorsa e non specifichi la policy, l'anteprima di accesso presuppone una coda Amazon SQS senza policy. Per proporre l'eliminazione di una policy di coda Amazon SQS esistente, è possibile specificare una stringa vuota per la policy di Amazon SQS.
Anteprima dell'accesso al segreto di Secrets Manager
Per creare un'anteprima di accesso per un nuovo segreto di Secrets Manager o per un segreto di Secrets Manager esistente, è possibile proporre una configurazione del segreto di Secrets Manager specificando la policy del segreto e la chiave di crittografia AWS KMS opzionale.
Policy del segreto: se la configurazione è per un segreto esistente e non specifichi la policy del segreto, l'anteprima di accesso utilizza la policy esistente per il segreto. Se l'anteprima di accesso riguarda una nuova risorsa e non specifichi la policy, l'anteprima di accesso presuppone un segreto senza policy. Per proporre l'eliminazione di una policy esistente, puoi specificare una stringa vuota.
Chiave di crittografia AWS KMS: se la configurazione proposta è per un nuovo segreto e non si specifica l'ID chiave AWS KMS, l'anteprima di accesso utilizza la chiave KMS predefinita dell'account AWS. Se si specifica una stringa vuota per l'ID chiave AWS KMS, l'anteprima di accesso utilizza la chiave KMS predefinita dell'account AWS.
