Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS Identity and Access Management (IAM) è un servizio Web che consente di controllare in modo sicuro l'accesso alle risorse AWS. Quando un principale invia una richiesta in AWS, il codice di attuazione AWS verifica se il principale è autenticato (ha eseguito l'accesso) e autorizzato (dispone di autorizzazioni). Per gestire l'accesso ad AWS è possibile creare delle policy e collegarle a identità IAM o risorse AWS. Le policy sono documenti JSON in AWS che, quando collegati a un'identità o risorsa, definiscono le relative autorizzazioni. Per ulteriori informazioni sui tipi di policy e i relativi utilizzi, consulta Policy e autorizzazioni in AWS Identity and Access Management.
Per ulteriori informazioni sul resto del processo di autenticazione e autorizzazione, consultare Funzionamento di IAM.
Durante l'autorizzazione, il codice di attuazione AWS utilizza i valori dal contesto della richiesta per controllare le policy corrispondenti e determinare se consentire o negare la richiesta.
AWS controlla ogni policy applicabile al contesto della richiesta. Se una sola policy rifiuta la richiesta, AWS rifiuta l'intera richiesta e smette di valutare le policy. Questa azione si chiama rifiuto esplicito. Poiché le richieste vengono rifiutate per impostazione predefinita, IAM autorizza la richiesta solo se ogni parte di essa è autorizzata dalle policy applicabili. La logica di valutazione per una richiesta all'interno di un singolo account segue queste regole:
-
Per impostazione predefinita, tutte le richieste vengono negate implicitamente (in alternativa, per impostazione predefinita, l'Utente root dell'account AWS ha accesso completo).
-
Un'autorizzazione esplicita in una policy basata su identità o basata su risorse sostituisce questa impostazione predefinita.
-
Se è presente un limite delle autorizzazioni, una SCP di Organizations oppure una policy di sessione, potrebbe sovrascrivere l'autorizzazione con un rifiuto implicito.
-
Un rifiuto esplicito in una policy sostituisce qualsiasi permesso.
Dopo che la tua richiesta è stata autenticata e autorizzata, AWS approva la richiesta. Se hai bisogno di effettuare una richiesta in un altro account, una policy nell'altro account deve consentire l'accesso alla risorsa. Inoltre, l'entità IAM utilizzata per effettuare la richiesta deve avere una policy basata su identità che consente la richiesta.
Accesso alle risorse di gestione
Per ulteriori informazioni sulle autorizzazioni e sulla creazione di policy, consultare le seguenti risorse:
Le seguenti voci nel blog sulla sicurezza di AWS riguardano modi comuni di scrivere policy per l'accesso a bucket e oggetti Amazon S3.
