Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS politiche gestite per le funzioni lavorative
Consigliamo di utilizzare le policy che concedono il privilegio minimo o che concedono solo le autorizzazioni richieste per eseguire un processo. Il modo più sicuro per concedere il privilegio minimo consiste nello scrivere una policy personalizzata con solo le autorizzazioni necessarie al team. È necessario creare un processo per consentire al team di richiedere ulteriori autorizzazioni quando necessario. Ci vogliono tempo ed esperienza per creare politiche gestite dai IAM clienti che forniscano al team solo le autorizzazioni di cui ha bisogno.
Per iniziare ad aggiungere autorizzazioni alle tue IAM identità (utenti, gruppi di utenti e ruoli), puoi utilizzare. AWS politiche gestite AWS le politiche gestite coprono casi d'uso comuni e sono disponibili in. Account AWS AWS le politiche gestite non concedono i permessi con il privilegio minimo. Considera il rischio per la sicurezza di concedere ai principali più autorizzazioni di quelle necessarie per svolgere il proprio lavoro.
È possibile allegare politiche AWS gestite, incluse le funzioni lavorative, a qualsiasi IAM identità. Per passare alle autorizzazioni con privilegi minimi, è possibile eseguire AWS Identity and Access Management Access Analyzer per monitorare i responsabili con policy gestite. AWS Dopo aver appreso quali autorizzazioni stanno utilizzando, puoi scrivere una policy personalizzata o generare una policy con solo le autorizzazioni richieste per il team. È meno sicuro, ma offre maggiore flessibilità man mano che impari a utilizzare il tuo team. AWS
AWS le politiche gestite per le funzioni lavorative sono progettate per allinearsi strettamente alle funzioni lavorative comuni nel settore IT. È possibile utilizzare queste policy per concedere le autorizzazioni necessarie per eseguire le attività che ci si aspetta da qualcuno in una determinata funzione lavorativa. Queste policy consolidano le autorizzazioni per molti servizi in un'unica policy con la quale è più semplice collaborare rispetto ad avere le autorizzazioni disperse in molte policy.
Utilizzare i ruoli per combinare i servizi
Alcune politiche utilizzano i ruoli di IAM servizio per aiutarti a sfruttare le funzionalità disponibili in altri AWS servizi. Queste politiche concedono l'accesso aiam:passrole, il che consente a un utente con la policy di trasferire un ruolo a un AWS servizio. Questo ruolo delega IAM le autorizzazioni al AWS servizio per eseguire azioni per conto dell'utente.
È necessario creare ruoli in base alle proprie esigenze. Ad esempio, la politica dell'amministratore di rete consente a un utente con la policy di passare un ruolo denominato flow-logs-vpc "" al CloudWatch servizio Amazon. CloudWatch utilizza quel ruolo per registrare e acquisire il traffico IP VPCs creato dall'utente.
Per seguire le best practice di sicurezza, le policy per le funzioni lavorative includono filtri che limitano i nomi dei ruoli validi che possono essere passati. In questo modo è possibile evitare di concedere autorizzazioni non necessarie. Se gli utenti richiedono i ruoli di servizio opzionali, è necessario creare un ruolo che segue la convenzione di denominazione specificata nella policy. È possibile concedere le autorizzazioni al ruolo. Una volta completata questa operazione, l'utente può configurare il servizio per utilizzare il ruolo, concedendogli tutte le autorizzazioni che il ruolo fornisce.
Nelle seguenti sezioni, ogni nome di policy è un collegamento alla pagina dei dettagli della policy nella AWS Management Console. Qui è possibile visualizzare il documento della policy e riconsultare le autorizzazioni che concede.
Funzione processo dell'amministratore
AWS nome della politica gestita: AdministratorAccess
Caso d'uso: questo utente ha accesso completo e può delegare le autorizzazioni per ogni servizio e risorsa in AWS.
Aggiornamenti della politica: AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa politica, visualizza la politica nella IAM console, quindi seleziona la scheda Versioni della politica. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle politiche AWS gestite per le funzioni lavorative.
Descrizione della politica: questa politica concede tutte le azioni per tutti i AWS servizi e per tutte le risorse dell'account. Per ulteriori informazioni sulla policy gestita, consulta AdministratorAccessla AWS Managed Policy Reference Guide.
Nota
Prima che un IAM utente o un ruolo possa accedere alla AWS Billing and Cost Management console con le autorizzazioni previste da questa politica, è necessario innanzitutto attivare IAM l'accesso di utenti e ruoli. A tale scopo, segui le istruzioni in Concedere l'accesso alla console di fatturazione per delegare l'accesso alla console di fatturazione.
Funzione di processo di fatturazione
AWS nome della politica gestita: Billing
Caso d'uso: questo utente deve visualizzare i dati di fatturazione, impostare i pagamenti e autorizzarli. L'utente può monitorare i costi accumulati per l'intero AWS servizio.
Aggiornamenti della politica: AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa politica, visualizza la politica nella IAM console, quindi seleziona la scheda Versioni della politica. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle politiche AWS gestite per le funzioni lavorative.
Descrizione policy: questa policy concede le autorizzazioni complete per gestire fatturazione, costi, metodi di pagamento, budget e report. Per ulteriori esempi di politiche di gestione dei costi, consulta gli esempi di AWS Billing policy nella Guida AWS Billing and Cost Management per l'utente. Per ulteriori informazioni sulla politica gestita, consulta la Guida di riferimento alla fatturazione nella AWS Managed Policy.
Nota
Prima che un IAM utente o un ruolo possa accedere alla AWS Billing and Cost Management console con le autorizzazioni previste da questa politica, devi prima attivare IAM l'accesso per utenti e ruoli. A tale scopo, segui le istruzioni in Concedere l'accesso alla console di fatturazione per delegare l'accesso alla console di fatturazione.
Funzione di processo dell'amministratore di database
AWS nome della politica gestita: DatabaseAdministrator
Caso d'uso: questo utente configura, configura e gestisce i database nel AWS cloud.
Aggiornamenti delle politiche: AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa politica, visualizza la politica nella IAM console, quindi seleziona la scheda Versioni della politica. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle politiche AWS gestite per le funzioni lavorative.
Descrizione policy: questa policy concede le autorizzazioni per creare, configurare e gestire i database. Include l'accesso a servizi di AWS database, come Amazon DynamoDB, Amazon Relational Database RDS Service () e Amazon Redshift. Visualizza la policy per l'elenco completo di servizi di database supportati dalla policy. Per ulteriori informazioni sulla policy gestita, consulta la Managed Policy Reference DatabaseAdministratorGuide AWS .
Questa politica sulle funzioni lavorative supporta la possibilità di trasferire ruoli ai AWS servizi. La policy consente l'operazione iam:PassRole solo per i ruoli denominati nella tabella seguente. Per ulteriori informazioni, consulta Creazione dei ruoli e collegamento delle policy (console) più avanti in questo argomento.
| Caso d'uso | Nome ruolo (* è un carattere jolly) | Tipo di ruolo di servizio da selezionare | Seleziona questa politica AWS gestita |
|---|---|---|---|
| Consenti all'utente di monitorare RDS i database | rds-monitoring-role | RDSRuolo di Amazon per un monitoraggio avanzato | Un mazonRDSEnhanced MonitoringRole |
| Consenti AWS Lambda di monitorare il tuo database e accedere a database esterni | rdbms-lambda-access |
Amazon EC2 | AWSLambda_FullAccess |
| Consentire a Lambda di caricare file su Amazon S3 e su cluster Amazon Redshift con DynamoDB | lambda_exec_role |
AWS Lambda | Creare una nuova policy gestita secondo quanto definito in AWS Big Data Blog |
| Consentire alle funzioni Lambda di agire come trigger per le tabelle DynamoDB | lambda-dynamodb-* | AWS Lambda | AWSLambdaDynamoDBExecutionRole |
| Consenti alle funzioni Lambda di accedere ad Amazon RDS in un VPC | lambda-vpc-execution-role | Creazione di un ruolo con una policy di attendibilità secondo quanto definito nella Guida per gli sviluppatori di AWS Lambda | AWSLambdaVPCAccessExecutionRole |
| Consenti AWS Data Pipeline l'accesso alle tue risorse AWS | DataPipelineDefaultRole | Creazione di un ruolo con una policy di attendibilità secondo quanto definito nella Guida per gli sviluppatori di AWS Data Pipeline | La AWS Data Pipeline documentazione elenca le autorizzazioni richieste per questo caso d'uso. Vedi i IAMruoli per AWS Data Pipeline |
| Consenti alle tue applicazioni in esecuzione su EC2 istanze Amazon di accedere alle tue risorse AWS | DataPipelineDefaultResourceRole | Creazione di un ruolo con una policy di attendibilità secondo quanto definito nella Guida per gli sviluppatori di AWS Data Pipeline | Amazon EC2RoleforDataPipelineRole |
Funzione di processo per data scientist
AWS nome della politica gestita: DataScientist
Caso d'uso: questo utente esegue attività e query Hadoop. L'utente, inoltre accede e analizza le informazioni per l'analisi dei dati e di business intelligence.
Aggiornamenti della politica: AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa politica, visualizza la politica nella IAM console, quindi seleziona la scheda Versioni della politica. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle politiche AWS gestite per le funzioni lavorative.
Descrizione della politica: questa politica concede le autorizzazioni per creare, gestire ed eseguire query su un EMR cluster Amazon ed eseguire analisi dei dati con strumenti come Amazon. QuickSight La policy include l'accesso a servizi di data scientist aggiuntivi, come Amazon AWS Data Pipeline EC2, Amazon Kinesis, Amazon Machine Learning e. SageMaker Visualizza la policy per l'elenco completo dei servizi scientifici dei dati supportati dalla policy. Per ulteriori informazioni sulla policy gestita, consulta DataScientistla AWS Managed Policy Reference Guide.
Questa politica sulle funzioni lavorative supporta la possibilità di trasferire ruoli ai AWS servizi. Un'istruzione consente di passare qualsiasi ruolo a SageMaker. Un'altra istruzione consente l'operazione iam:PassRole solo per i ruoli denominati nella tabella seguente. Per ulteriori informazioni, consulta Creazione dei ruoli e collegamento delle policy (console) più avanti in questo argomento.
| Caso d'uso | Nome ruolo (* è un carattere jolly) | Tipo di ruolo di servizio da selezionare | AWS politica gestita da selezionare |
|---|---|---|---|
| Consenti alle EC2 istanze Amazon di accedere a servizi e risorse adatti ai cluster | EMR-EC2_DefaultRole | Amazon EMR per EC2 | AmazonElasticMapReduceforEC2Role |
| Consenti EMR ad Amazon Access di accedere al EC2 servizio e alle risorse Amazon per i cluster | EMR_DefaultRole | Amazon EMR | Una mazonEMRService policy_v2 |
| Consenti a Kinesis Managed Service per Apache Flink di accedere alle origini dati in streaming | kinesis-* |
Creare un ruolo con una policy di affidabilità secondo quanto definito in AWS Big Data Blog |
Consultare AWS Big Data Blog |
| Consenti l'accesso alle tue risorse AWS Data Pipeline AWS | DataPipelineDefaultRole | Creazione di un ruolo con una policy di attendibilità secondo quanto definito nella Guida per gli sviluppatori di AWS Data Pipeline | La AWS Data Pipeline documentazione elenca le autorizzazioni richieste per questo caso d'uso. Vedi i IAMruoli per AWS Data Pipeline |
| Consenti alle tue applicazioni in esecuzione su EC2 istanze Amazon di accedere alle tue risorse AWS | DataPipelineDefaultResourceRole | Creazione di un ruolo con una policy di attendibilità secondo quanto definito nella Guida per gli sviluppatori di AWS Data Pipeline | Amazon EC2RoleforDataPipelineRole |
Funzione di processo per l'utente avanzato sviluppatore
AWS nome della politica gestita: PowerUserAccess
Caso d'uso: questo utente esegue attività di sviluppo di applicazioni e può creare e configurare risorse e servizi che supportano lo sviluppo di applicazioni AWS consapevoli.
Aggiornamenti delle politiche: AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa politica, visualizza la politica nella IAM console, quindi seleziona la scheda Versioni della politica. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle politiche AWS gestite per le funzioni lavorative.
Descrizione della politica: la prima dichiarazione di questa politica utilizza l'NotActionelemento per consentire tutte le azioni per tutti i AWS servizi e per tutte le risorse tranne AWS Identity and Access Management AWS Organizations, e AWS Account Management. La seconda istruzione concede IAM le autorizzazioni per creare un ruolo collegato al servizio. Questo è obbligatorio per alcuni servizi che devono accedere alle risorse di un altro servizio, ad esempio un bucket Amazon S3. Concede inoltre le autorizzazioni di Organizations per visualizzare le informazioni relative all'organizzazione dell'utente, tra cui l'e-mail dell'account di gestione e le limitazioni dell'organizzazione. Sebbene questa politica limitiIAM, Organizations, consente all'utente di eseguire tutte le azioni dell'IAMIdentity Center se IAM Identity Center è abilitato. Concede inoltre le autorizzazioni di gestione dell'account per visualizzare quali AWS regioni sono abilitate o disabilitate per l'account.
Funzione di processo per l'amministratore di rete
AWS nome della politica gestita: NetworkAdministrator
Caso d'uso: questo utente ha il compito di configurare e gestire le risorse AWS di rete.
Aggiornamenti delle politiche: AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa politica, visualizza la politica nella IAM console, quindi seleziona la scheda Versioni della politica. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle politiche AWS gestite per le funzioni lavorative.
Descrizione della politica: questa politica concede le autorizzazioni per creare e gestire risorse di rete in Auto Scaling, EC2 AWS Direct Connect Amazon, Route 53, CloudFront Amazon, Elastic Load Balancing, Amazon AWS Elastic Beanstalk, CloudWatch Logs, SNS CloudWatch Amazon S3 IAM e Amazon Virtual Private Cloud. Per ulteriori informazioni sulla policy gestita, consulta la Managed Policy Reference Guide NetworkAdministrator.AWS
Questa funzione lavorativa richiede la capacità di trasferire ruoli ai AWS servizi. La policy concede iam:GetRole e iam:PassRole solo per quei ruoli denominati nella tabella seguente. Per ulteriori informazioni, consulta Creazione dei ruoli e collegamento delle policy (console) più avanti in questo argomento.
| Caso d'uso | Nome ruolo (* è un carattere jolly) | Tipo di ruolo di servizio da selezionare | AWS politica gestita da selezionare |
|---|---|---|---|
| Consente VPC ad Amazon di creare e gestire i log in CloudWatch Logs per conto dell'utente per monitorare il traffico IP in entrata e in uscita dal tuo VPC | flow-logs-* | Crea un ruolo con una politica di fiducia come definita nella Amazon VPC User Guide | Questo caso d'uso non prevede una policy AWS gestita esistente, ma la documentazione elenca le autorizzazioni richieste. Consulta la Guida VPC per l'utente di Amazon. |
Accesso in sola lettura
AWS nome della politica gestita: ReadOnlyAccess
Caso d'uso: questo utente richiede l'accesso in sola lettura a tutte le risorse in un Account AWS.
Aggiornamenti della politica: AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa politica, visualizza la politica nella IAM console, quindi seleziona la scheda Versioni della politica. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle politiche AWS gestite per le funzioni lavorative.
Descrizione della policy: questa policy concede le autorizzazioni per elencare, ottenere, descrivere e visualizzare in altro modo le risorse e i relativi attributi. Non include funzioni mutanti come create o delete. Questa politica include l'accesso in sola lettura ai AWS servizi relativi alla sicurezza, come e. AWS Identity and Access Management AWS Billing and Cost Management Visualizza la policy per l'elenco completo di servizi e operazioni supportati dalla policy.
Funzione di processo del revisore sicurezza
AWS nome della politica gestita: SecurityAudit
Caso d'uso: questo utente monitora gli account per la conformità ai requisiti di sicurezza. Questo utente può accedere ai log e agli eventi per analizzare potenziali violazioni alla sicurezza o potenziale attività non autorizzata.
Aggiornamenti della politica: AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa politica, visualizza la politica nella IAM console, quindi seleziona la scheda Versioni della politica. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle politiche AWS gestite per le funzioni lavorative.
Descrizione della politica: questa politica concede le autorizzazioni per visualizzare i dati di configurazione per molti AWS servizi e per rivederne i registri. Per ulteriori informazioni sulla policy gestita, vedere la Managed Policy SecurityAuditReference AWS Guide.
Funzione di processo dell'utente di Support
AWS nome della politica gestita: SupportUser
Caso d'uso: questo utente contatta l' AWS assistenza, crea casi di supporto e visualizza lo stato dei casi esistenti.
Aggiornamenti delle politiche: AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa politica, visualizza la politica nella IAM console, quindi seleziona la scheda Versioni della politica. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle politiche AWS gestite per le funzioni lavorative.
Descrizione della politica: questa politica concede le autorizzazioni per creare e aggiornare AWS Support i casi. Per ulteriori informazioni sulla policy gestita, consulta SupportUserla Managed Policy Reference Guide.AWS
Funzione di processo dell'amministratore di sistema
AWS nome della politica gestita: SystemAdministrator
Caso d'uso: questo utente imposta e gestisce le risorse per le operazioni di sviluppo.
Aggiornamenti della politica: AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa politica, visualizza la politica nella IAM console, quindi seleziona la scheda Versioni della politica. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle politiche AWS gestite per le funzioni lavorative.
Descrizione della politica: questa politica concede le autorizzazioni per creare e gestire risorse per un'ampia varietà di AWS servizi, tra cui AWS CloudTrail Amazon CloudWatch AWS CodeCommit AWS CodeDeploy, AWS Config,, AWS Directory Service EC2, AWS Identity and Access Management, AWS Lambda Amazon AWS Key Management Service,RDS, Route 53, Amazon S3, SES Amazon, Amazon e SQS AWS Trusted Advisor Amazon. VPC Per ulteriori informazioni sulla policy gestita, consulta la Managed Policy SystemAdministratorReference AWS Guide.
Questa funzione lavorativa richiede la capacità di trasferire ruoli ai AWS servizi. La policy concede iam:GetRole e iam:PassRole solo per quei ruoli denominati nella tabella seguente. Per ulteriori informazioni, consulta Creazione dei ruoli e collegamento delle policy (console) più avanti in questo argomento. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle politiche AWS gestite per le funzioni lavorative.
| Caso d'uso | Nome ruolo (* è un carattere jolly) | Tipo di ruolo di servizio da selezionare | AWS politica gestita da selezionare |
|---|---|---|---|
| Consenti alle app in esecuzione in EC2 istanze in un ECS cluster Amazon di accedere ad Amazon ECS | ecr-sysadmin-* | EC2Ruolo di Amazon per EC2 Container Service | Amazon EC2ContainerServiceforEC2Role |
| Consentire a un utente di monitorare i database | rds-monitoring-role | RDSRuolo di Amazon per un monitoraggio avanzato | Un mazonRDSEnhanced MonitoringRole |
| Consenti alle app in esecuzione in EC2 istanze di accedere alle AWS risorse. | ec2-sysadmin-* | Amazon EC2 | Policy di esempio per il ruolo che concede l'accesso a un bucket S3 come mostrato nella Amazon EC2 User Guide; personalizzala secondo necessità |
| Consenti a Lambda di leggere i flussi DynamoDB e scrivere nei log CloudWatch | lambda-sysadmin-* | AWS Lambda | AWSLambdaDynamoDBExecutionRole |
Funzione di processo per utente con sola visualizzazione
AWS nome della politica gestita: ViewOnlyAccess
Caso d'uso: questo utente può visualizzare un elenco di AWS risorse e metadati di base nell'account per tutti i servizi. L'utente non può leggere i contenuti o i metadati delle risorse che superano la quota ed elencare informazioni per le risorse.
Aggiornamenti delle politiche: AWS mantiene e aggiorna questa politica. Per una cronologia delle modifiche apportate a questa politica, visualizza la politica nella IAM console, quindi seleziona la scheda Versioni della politica. Per ulteriori informazioni sugli aggiornamenti delle policy della funzione di processo, consulta Aggiornamenti alle politiche AWS gestite per le funzioni lavorative.
Descrizione della politica: questa politica concedeList*,, Describe* Get*View*, e Lookup* l'accesso alle risorse per AWS i servizi. Per vedere quali azioni include questa politica per ogni servizio, consulta ViewOnlyAccess
Aggiornamenti alle politiche AWS gestite per le funzioni lavorative
Queste politiche sono tutte gestite AWS e aggiornate per includere il supporto per nuovi servizi e nuove funzionalità man mano che vengono aggiunte dai AWS servizi. Queste policy non possono essere modificate dai clienti. È possibile creare una copia della politica e quindi modificarla, ma tale copia non viene aggiornata automaticamente quando vengono AWS introdotti nuovi servizi e API operazioni.
Per una policy relativa alla funzione lavorativa, puoi visualizzare la cronologia delle versioni e l'ora e la data di ogni aggiornamento nella IAM console. A tale scopo, utilizza i collegamenti presenti in questa pagina per visualizzare i dettagli delle policy. Quindi scegli la scheda Versioni di policy per visualizzare le versioni. Questa pagina mostra le ultime 25 versioni di una policy. Per visualizzare tutte le versioni di una policy, chiama il get-policy-version AWS CLI comando o l'GetPolicyVersionAPIoperazione.
Nota
È possibile avere fino a cinque versioni di una policy gestita dal cliente, ma AWS conserva la cronologia completa delle versioni delle politiche AWS gestite.
