Scegli tra policy gestite e policy in linea - AWS Identity and Access Management
Inizia con le politiche gestiteUtilizzo delle policy inline

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scegli tra policy gestite e policy in linea

Al momento di scegliere tra policy gestite e policy inline, prendi in considerazione i casi d'uso. Nella maggior parte dei casi, si consiglia di usare le policy gestite anziché le policy inline.

Nota

È possibile utilizzare insieme le policy gestite e policy inline per definire autorizzazioni comuni e univoche per un'entità principale.

Le policy gestite offrono le seguenti caratteristiche:

Riutilizzo

Una singola policy gestita può essere collegata a più entità principali (utenti, gruppi e ruoli). È possibile creare una libreria di politiche che definiscono le autorizzazioni utili per l'utente Account AWS e quindi allegarle alle entità principali in base alle esigenze.

Gestione centralizzata delle modifiche

Quando si modifica una policy gestita, la modifica viene applicata a tutte le entità principali a cui la policy è collegata. Ad esempio, se si desidera aggiungere l'autorizzazione per una nuova politica AWS API, è possibile aggiornare una politica gestita dai clienti o associare una politica AWS gestita per aggiungere l'autorizzazione. Se utilizzi una politica AWS gestita, AWS aggiorna la politica. Quando una politica gestita viene aggiornata, le modifiche vengono applicate a tutte le principali entità a cui è associata la politica gestita. Al contrario, per modificare una politica in linea, è necessario modificare singolarmente ogni identità che contiene la politica in linea. Ad esempio, se un gruppo e un ruolo contengono la stessa policy inline, è necessario modificare individualmente entrambe le entità principali per modificare tale policy.

Controllo delle versioni e rollback

Quando si modifica una policy gestita dal cliente, la policy modificata non sovrascriverà la policy esistente. IAMCrea invece una nuova versione della policy gestita. IAMmemorizza fino a cinque versioni delle policy gestite dai clienti. È possibile utilizzare le versioni della policy per ripristinare una policy a una versione precedente, se necessario.

Nota

Una versione di policy è diversa da un elemento Version della policy. L'elemento di policy Version viene utilizzato all'interno di una policy e definisce la versione del linguaggio di policy. Per ulteriori informazioni sulle versioni di policy, consultare Funzione Versioni multiple di policy IAM. Per ulteriori informazioni sull'elemento di policy Version, consultare IAMJSONelementi politici: Version.

Delega della gestione delle autorizzazioni

Puoi consentire agli utenti del tuo account Account AWS di allegare e scollegare le policy mantenendo il controllo sulle autorizzazioni definite in tali politiche. A tale scopo, è possibile designare alcuni utenti come amministratori completi, ossia amministratori che possono creare, aggiornare ed eliminare le policy. È quindi possibile designare altri utenti come amministratori limitati. Tali amministratori limitati possono collegare delle policy ad altre entità principali, ma solo nel caso delle policy per le quali sono stati autorizzati.

Per ulteriori informazioni sulla delega della gestione delle autorizzazioni, consultare Controllo dell'accesso alle policy.

Limiti di caratteri per le policy più grandi

Il limite massimo di dimensione dei caratteri per le politiche gestite è maggiore del limite di caratteri per le politiche in linea di gruppo. Se raggiungi il limite di dimensione dei caratteri della politica in linea, puoi creare più IAM gruppi e allegare la politica gestita al gruppo.

Per ulteriori informazioni su quote e limiti, consulta IAMe AWS STS quote.

Aggiornamenti automatici per le politiche AWS gestite

AWS mantiene le politiche AWS gestite e le aggiorna quando necessario, ad esempio per aggiungere autorizzazioni per nuovi AWS servizi, senza che l'utente debba apportare modifiche. Gli aggiornamenti vengono applicati automaticamente alle principali entità a cui è stata allegata la politica AWS gestita.

Inizia con le politiche gestite

Consigliamo di utilizzare le policy che concedono il privilegio minimo o che concedono solo le autorizzazioni richieste per eseguire un processo. Il modo più sicuro per concedere il privilegio minimo consiste nello scrivere una policy gestita dal cliente solo con le autorizzazioni necessarie al team. È necessario creare un processo per consentire al team di richiedere ulteriori autorizzazioni quando necessario. Ci vogliono tempo ed esperienza per creare politiche gestite dai IAM clienti che forniscano al tuo team solo le autorizzazioni di cui ha bisogno.

Per iniziare ad aggiungere autorizzazioni alle tue IAM identità (utenti, gruppi di utenti e ruoli), puoi utilizzare. AWS politiche gestite AWS le politiche gestite non concedono i permessi con il privilegio minimo. Considera il rischio per la sicurezza di concedere ai principali più autorizzazioni di quelle necessarie per svolgere il proprio lavoro.

È possibile allegare politiche AWS gestite, incluse le funzioni lavorative, a qualsiasi IAM identità. Per ulteriori informazioni, consulta Aggiungere e rimuovere le autorizzazioni di IAM identità.

Per passare alle autorizzazioni con privilegi minimi, puoi eseguire AWS Identity and Access Management Access Analyzer per monitorare i principali con policy gestite. AWS Dopo aver appreso quali autorizzazioni stanno utilizzando, puoi scrivere o generare una policy gestita dal cliente che contenga soltanto le autorizzazioni richieste per il team. È meno sicuro, ma offre maggiore flessibilità man mano che impari a utilizzare il tuo team. AWS Per ulteriori informazioni, consulta IAMGenerazione di policy di Access Analyzer.

AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni. Per ulteriori informazioni sulle politiche AWS gestite progettate per funzioni lavorative specifiche, vedereAWS politiche gestite per le funzioni lavorative.

Per un elenco delle politiche AWS gestite, consulta la AWS Managed Policy Reference Guide.

Utilizzo delle policy inline

Le policy in linea sono utili se si desidera mantenere una stretta one-to-one relazione tra una policy e l'identità a cui viene applicata. Ad esempio, se si desidera essere certi che le autorizzazioni di una policy non vengano inavvertitamente assegnate a un'identità diversa da quella per la quale sono state concepite. Quando si utilizza una policy inline, le autorizzazioni della policy non possono essere collegate inavvertitamente a un'identità errata. Inoltre, quando si utilizza il AWS Management Console per eliminare tale identità, vengono eliminate anche le politiche incorporate nell'identità perché fanno parte dell'entità principale.