Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione degli accessi AWS alle risorse
AWS Identity and Access Management (IAM) è un servizio web che consente di controllare in modo sicuro l'accesso alle AWS risorse. Quando un principale effettua una richiesta di ingresso AWS, il codice di AWS applicazione verifica se il principale è autenticato (registrato) e autorizzato (dispone delle autorizzazioni). Puoi gestire l'accesso AWS creando policy e collegandole a IAM identità o risorse. AWS Le politiche sono JSON documenti AWS che, se allegati a un'identità o a una risorsa, ne definiscono le autorizzazioni. Per ulteriori informazioni sui tipi di policy e i relativi utilizzi, consulta Politiche e autorizzazioni in AWS Identity and Access Management.
Per ulteriori informazioni sul resto del processo di autenticazione e autorizzazione, consultare Come IAM funziona.
Durante l'autorizzazione, il codice di AWS applicazione utilizza i valori del contesto della richiesta per verificare le politiche corrispondenti e determinare se consentire o rifiutare la richiesta.
AWS controlla ogni politica che si applica al contesto della richiesta. Se una singola politica nega la richiesta, AWS nega l'intera richiesta e interrompe la valutazione delle politiche. Questa azione si chiama rifiuto esplicito. Poiché le richieste vengono rifiutate per impostazione predefinita, IAM autorizza la richiesta solo se ogni parte della richiesta è consentita dalle politiche applicabili. La logica di valutazione per una richiesta all'interno di un singolo account segue queste regole:
-
Per impostazione predefinita, tutte le richieste vengono negate implicitamente (in alternativa, per impostazione predefinita, l' Utente root dell'account AWS ha accesso completo).
-
Un'autorizzazione esplicita in una policy basata su identità o basata su risorse sostituisce questa impostazione predefinita.
-
Se è presente un limite di autorizzazioniSCP, Organizations o un criterio di sessione, potrebbe sovrascrivere l'autorizzazione con una negazione implicita.
-
Un rifiuto esplicito in una policy sostituisce qualsiasi permesso.
Dopo che la richiesta è stata autenticata e autorizzata, approva la richiesta. AWS Se hai bisogno di effettuare una richiesta in un altro account, una policy nell'altro account deve consentire l'accesso alla risorsa. Inoltre, l'IAMentità utilizzata per effettuare la richiesta deve disporre di una politica basata sull'identità che consenta la richiesta.
Accesso alle risorse di gestione
Per ulteriori informazioni sulle autorizzazioni e sulla creazione di policy, consultare le seguenti risorse:
Le seguenti voci del AWS Security Blog descrivono i modi più comuni per scrivere politiche per l'accesso a bucket e oggetti Amazon S3.
-
IAMPolicy di scrittura: come concedere l'accesso a un bucket Amazon S3
-
IAMPolicy di scrittura: concedi l'accesso a cartelle specifiche dell'utente in un bucket Amazon S3
-
IAMPolitiche e politiche Bucket e! ACLs Oh My! (Controllo dell'accesso alle risorse S3)
-
Un'introduzione alle autorizzazioni a livello RDS di risorsa
-
EC2Demistificazione delle autorizzazioni a livello di risorsa
