Inoltro delle sessioni di accesso - AWS Identity and Access Management
Richieste FAS e condizioni delle policy IAMEsempio: consentire ad Amazon S3 l'accesso da un VPC o tramite FAS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Inoltro delle sessioni di accesso

L'Inoltro delle sessioni di accesso (FAS) è una tecnologia IAM utilizzata dai servizi AWS per passare l'identità, le autorizzazioni e gli attributi di sessione quando un servizio AWS esegue una richiesta per tuo conto. La tecnologia FAS utilizza le autorizzazioni dell'identità che effettua la chiamata a un servizio AWS, combinate con l'identità del servizio AWS, per effettuare richieste a servizi downstream. Le richieste FAS vengono inviate ai servizi AWS per conto di un principale IAM solo dopo che un servizio ha ricevuto una richiesta che necessita di interazioni con altri servizi o risorse AWS per essere completata. Quando viene effettuata una richiesta FAS:

  • Il servizio che riceve la richiesta iniziale da un principale IAM controlla le autorizzazioni di tale principale IAM.

  • Anche il servizio che riceve la conseguente richiesta FAS controlla le autorizzazioni dello stesso principale IAM.

Ad esempio, Amazon S3 utilizza la tecnologia FAS per effettuare chiamate a AWS Key Management Service per effettuare la decrittografia di un oggetto crittografato con SSE-KMS. Durante il download di un oggetto crittografato con SSE-KMS, un ruolo denominato data-reader effettua una chiamata GetObject per l'oggetto su Amazon S3 e non effettua la chiamata direttamente a AWS KMS. Dopo aver ricevuto la richiesta GetObject e aver autorizzato data-reader, Amazon S3 effettua quindi una richiesta FAS a AWS KMS per effettuare la decrittografia dell'oggetto Amazon S3. Quando KMS riceve la richiesta FAS, controlla le autorizzazioni del ruolo e autorizza la richiesta di decrittografia solamente se data-reader dispone delle autorizzazioni corrette sulla chiave KMS. Le richieste ad Amazon S3 e a AWS KMS vengono autorizzate utilizzando le autorizzazioni del ruolo e hanno esito positivo solo se data-reader dispone delle autorizzazioni sia per l'oggetto Amazon S3 che per la chiave AWS KMS.

Un diagramma di flusso di un ruolo IAM passato come principale prima ad Amazon S3 e poi a AWS KMS.
Nota

I servizi che hanno ricevuto una richiesta FAS possono a loro volta effettuare richieste FAS aggiuntive. In questi casi, il principale che esegue la richiesta deve disporre delle autorizzazioni per tutti i servizi chiamati da FAS.

Richieste FAS e condizioni delle policy IAM

Quando vengono effettuate richieste FAS, le chiavi di condizione leggi: CalledVia, aws: CalledViaFirst e leggi: CalledViaLast vengono compilate con il principale di servizio del servizio che ha avviato la chiamata FAS. Il valore della chiave di condizione AWS: v iaAWSService viene impostato su true ogni volta che viene effettuata una richiesta FAS. Nel seguente diagramma, la richiesta diretta a CloudFormation non ha chiavi di condizione aws:CalledVia o aws:ViaAWSService impostate. Quando CloudFormation e DynamoDB effettuano richieste FAS downstream per conto del ruolo, i valori di tali chiavi di condizione vengono compilati.

Un diagramma di flusso del passaggio di un ruolo IAM come principale a CloudFormation e il successivo passaggio dei valori della chiave della condizione a DynamoDB e AWS KMS.

Per consentire l'esecuzione di una richiesta FAS che altrimenti verrebbe negata da un'istruzione di una policy di rifiuto con una chiave di condizione che verifica gli indirizzi IP o i VPC di origine, è necessario utilizzare le chiavi di condizione per impostare un'eccezione per le richieste FAS nella policy di rifiuto. Questa operazione può essere eseguita per tutte le richieste FAS utilizzando la chiave di condizione aws:ViaAWSService. Per consentire solo a servizi AWS specifici di effettuare richieste FAS, utilizza la chiave aws:CalledVia.

Importante

Quando viene effettuata una richiesta FAS in seguito a una richiesta iniziale effettuata tramite un endpoint VPC, i valori delle chiavi di condizione per leggi: SourceVpce, leggi: SourceVpc e leggi: VpcSourceIp della richiesta iniziale non vengono utilizzati nelle richieste FAS. Quando si scrivono policy utilizzando aws:VPCSourceIP o aws:SourceVPCE per concedere l'accesso in modo condizionale, è inoltre necessario utilizzare aws:ViaAWSService o aws:CalledVia per consentire le richieste FAS. Quando viene effettuata una richiesta FAS in seguito a una richiesta iniziale ricevuta da un endpoint di un servizio AWS pubblico, le richieste FAS successive verranno effettuate con lo stesso valore della chiave di condizione aws:SourceIP.

Esempio: consentire ad Amazon S3 l'accesso da un VPC o tramite FAS

Nel seguente esempio di policy IAM, le richieste Amazon S3 GetObject e Athena sono consentite solo se provengono da endpoint VPC collegati a example_vpc o se si tratta di richieste FAS effettuate da Athena.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "OnlyAllowMyIPs",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject*",
        "athena:StartQueryExecution",
        "athena:GetQueryResults",
        "athena:GetWorkGroup",
        "athena:StopQueryExecution",
        "athena:GetQueryExecution"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceVPC": [
            "example_vpc"
          ]
        }
      }
    },
    {
      "Sid": "OnlyAllowFAS",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject*"
      ],
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": "athena.amazonaws.com"
        }
      }
    }
  ]
}

Per ulteriori esempi di utilizzo delle chiavi di condizione per consentire l'accesso FAS, consulta il repository di esempi di policy per implementare un perimetro di dati.