Scegliere tra policy gestite e policy in linea - AWS Identity and Access Management
Nozioni di base sulle policy gestiteUtilizzo delle policy inline

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scegliere tra policy gestite e policy in linea

Al momento di scegliere tra policy gestite e policy inline, prendi in considerazione i casi d'uso. Nella maggior parte dei casi, si consiglia di usare le policy gestite anziché le policy inline.

Nota

È possibile utilizzare insieme le policy gestite e policy inline per definire autorizzazioni comuni e univoche per un'entità principale.

Le policy gestite offrono le seguenti caratteristiche:

Riutilizzo

Una singola policy gestita può essere collegata a più entità principali (utenti, gruppi e ruoli). È possibile creare una libreria di policy che definiscono le autorizzazioni utili per il proprio Account AWS, quindi collegare tali policy alle entità principali secondo necessità.

Gestione centralizzata delle modifiche

Quando si modifica una policy gestita, la modifica viene applicata a tutte le entità principali a cui la policy è collegata. Ad esempio, se si desidera aggiungere le autorizzazioni per una nuova API AWS, è possibile aggiornare una policy gestita dal cliente o associare una policy gestita da AWS per aggiungere l'autorizzazione. Se utilizzi una policy gestita da AWS, la policy viene aggiornata da AWS. Quando una policy gestita viene aggiornata, le modifiche vengono applicate a tutte le entità principali a cui è collegata la policy gestita. Al contrario, per modificare una policy in linea, è necessario modificare singolarmente ciascuna identità che contiene la policy in linea. Ad esempio, se un gruppo e un ruolo contengono la stessa policy inline, è necessario modificare individualmente entrambe le entità principali per modificare tale policy.

Controllo delle versioni e rollback

Quando si modifica una policy gestita dal cliente, la policy modificata non sovrascriverà la policy esistente. IAM crea invece una nuova versione della policy gestita. IAM memorizza fino a cinque versioni di una policy gestita dal cliente. È possibile utilizzare le versioni della policy per ripristinare una policy a una versione precedente, se necessario.

Nota

Una versione di policy è diversa da un elemento Version della policy. L'elemento di policy Version viene utilizzato all'interno di una policy e definisce la versione del linguaggio di policy. Per ulteriori informazioni sulle versioni di policy, consultare Controllo delle versioni delle policy IAM. Per ulteriori informazioni sull'elemento di policy Version, consultare Elementi delle policy JSON IAM: Version.

Delega della gestione delle autorizzazioni

È possibile permettere agli utenti del proprio Account AWS di collegare e distaccare le policy, mantenendo il controllo sulle autorizzazioni definite in tali policy. A tale scopo, è possibile designare alcuni utenti come amministratori completi, ossia amministratori che possono creare, aggiornare ed eliminare le policy. È quindi possibile designare altri utenti come amministratori limitati. Tali amministratori limitati possono collegare delle policy ad altre entità principali, ma solo nel caso delle policy per le quali sono stati autorizzati.

Per ulteriori informazioni sulla delega della gestione delle autorizzazioni, consultare Controllo dell'accesso alle policy.

Limiti di caratteri per le policy più grandi

Il limite massimo di caratteri per le policy gestite è maggiore del limite di caratteri per le policy in linea del gruppo. Se raggiungi il limite di dimensione dei caratteri della policy in linea, puoi creare altri gruppi IAM e collegare la policy gestita al gruppo.

Per ulteriori informazioni su quote e limiti, consulta IAMe AWS STS quote.

Aggiornamenti automatici delle policy AWS gestite.

AWS amministra le policy gestite da AWS e le aggiorna quando necessario, ad esempio per aggiungere autorizzazioni per i nuovi servizi AWS, senza che l'utente debba apportare modifiche. Gli aggiornamenti vengono applicati automaticamente alle entità principali a cui è stata collegata la policy gestita da AWS.

Nozioni di base sulle policy gestite

Consigliamo di utilizzare le policy che concedono il privilegio minimo o che concedono solo le autorizzazioni richieste per eseguire un processo. Il modo più sicuro per concedere il privilegio minimo consiste nello scrivere una policy gestita dal cliente solo con le autorizzazioni necessarie al team. È necessario creare un processo per consentire al team di richiedere ulteriori autorizzazioni quando necessario. Creare policy gestite dal cliente IAM per fornire al tuo team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza.

Per iniziare ad aggiungere autorizzazioni alle identità IAM (utenti, gruppi di utenti e ruoli), è possibile utilizzare AWS politiche gestite. Le policy gestite AWS non concedono autorizzazioni dei privilegi minimi. Considera il rischio per la sicurezza di concedere ai principali più autorizzazioni di quelle necessarie per svolgere il proprio lavoro.

È possibile collegare policy gestite AWS, incluse le funzioni di processo, a qualsiasi identità IAM. Per ulteriori informazioni, consulta Aggiunta e rimozione di autorizzazioni per identità IAM.

Per passare alle autorizzazioni con privilegio minimo, è possibile eseguire AWS Identity and Access Management e il Sistema di analisi degli accessi per monitorare i principali con le policy gestite da AWS. Dopo aver appreso quali autorizzazioni stanno utilizzando, puoi scrivere o generare una policy gestita dal cliente che contenga soltanto le autorizzazioni richieste per il team. Questo metodo è meno sicuro, ma offre una maggiore flessibilità man mano che capisci il modo in cui il tuo team utilizza AWS. Per ulteriori informazioni, consulta Generazione di policy per Sistema di analisi degli accessi IAM.

Le policy gestite da AWS sono progettate per fornire autorizzazioni per molti casi d'uso comuni. Per ulteriori informazioni sulle policy gestite da AWS progettate per funzioni di lavoro specifiche, consulta AWS politiche gestite per le funzioni lavorative.

Per un elenco delle policy gestite da AWS, consulta la Guida di riferimento sulle policy gestite da AWS.

Utilizzo delle policy inline

Le policy inline sono utili per mantenere una stretta relazione uno a uno tra una policy e l'identità a cui si applica. Ad esempio, se si desidera essere certi che le autorizzazioni di una policy non vengano inavvertitamente assegnate a un'identità diversa da quella per la quale sono state concepite. Quando si utilizza una policy inline, le autorizzazioni della policy non possono essere collegate inavvertitamente a un'identità errata. Inoltre, quando si utilizza la AWS Management Console per eliminare tale identità, vengono eliminate anche le policy incorporate nell'identità perché fanno parte dell'entità principale.