Creazione dei ruoli e collegamento delle policy (console) - AWS Identity and Access Management
Esempio 1: configurazione di un utente come amministratore di database (console)Esempio 2: configurazione di un utente come amministratore di rete (console)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione dei ruoli e collegamento delle policy (console)

Diverse delle policy elencate in precedenza concedono la possibilità di configurare servizi AWS con ruoli che abilitano questi servizi per eseguire operazioni per proprio conto. Le policy della funzione lavorativa specificano i nomi di ruolo esatti che è necessario utilizzare o almeno includono un prefisso che specifica la prima parte del nome che può essere utilizzato. Per creare uno di questi ruoli, eseguire le operazioni descritte nella procedura seguente.

Creare un ruolo per un servizio Servizio AWS (console IAM)

  1. Accedi a AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione della console IAM, scegliere Ruoli e quindi Crea ruolo.

  3. Per Trusted entity type (Tipo di entità attendibile), scegli Servizio AWS.

  4. Per Servizio o caso d'uso, scegli un servizio, quindi scegli il caso d'uso. I casi d'uso sono definiti dal servizio in modo da includere la policy di attendibilità richiesta dal servizio.

  5. Seleziona Next (Successivo).

  6. Per Policy di autorizzazione, le opzioni dipendono dal caso d'uso selezionato:

    • Se il servizio definisce le autorizzazioni per il ruolo, le policy di autorizzazioni non possono essere selezionate.

    • Seleziona una policy da un set limitato di policy di autorizzazione.

    • Seleziona una policy tra tutte le policy di autorizzazione.

    • Non selezionare policy di autorizzazioni, crea le policy dopo la creazione del ruolo e quindi collegale al ruolo.

  7. (Facoltativo) Impostare un limite delle autorizzazioni. Questa è una caratteristica avanzata disponibile per i ruoli di servizio, ma non per i ruoli collegati ai servizi.

    1. Apri la sezione Imposta limite delle autorizzazioni e seleziona Usa un limite delle autorizzazioni per controllare il numero massimo di autorizzazioni del ruolo.

      IAM include un elenco delle policy gestite da AWS e delle policy gestite dal cliente nel tuo account.

    2. Selezionare la policy da utilizzare per il limite delle autorizzazioni.

  8. Seleziona Next (Successivo).

  9. Per Nome del ruolo, le opzioni dipendono dal servizio:

    • Se il servizio definisce il nome del ruolo, non puoi modificarlo.

    • Se il servizio definisce un prefisso per il nome del ruolo, puoi inserire un suffisso facoltativo.

    • Se il servizio non definisce il nome del ruolo, puoi assegnare un nome al ruolo.

      Importante

      Quando assegni un nome a un ruolo, tieni presente quanto segue:

      • I nomi dei ruoli devono essere univoci all'interno dell'Account AWS e non possono essere resi univoci per il caso.

        Ad esempio, non creare ruoli denominati PRODROLE e prodrole. Quando il nome di un ruolo viene utilizzato in una policy o come parte di un ARN, il nome del ruolo fa distinzione tra maiuscole e minuscole, tuttavia quando un nome di ruolo viene visualizzato ai clienti nella console, ad esempio durante il processo di accesso, il nome del ruolo non fa distinzione tra maiuscole e minuscole.

      • Non è possibile modificare il nome del ruolo dopo averlo creato, in quanto altre entità possono fare riferimento al ruolo.

  10. (Facoltativo) In Descrizione, inserisci una descrizione per il ruolo.

  11. (Facoltativo) Per modificare i casi d'uso e le autorizzazioni per il ruolo, in Fase 1: seleziona le entità attendibili o Fase 2: aggiungi autorizzazioni seleziona Modifica.

  12. (Facoltativo) Per facilitare l'identificazione, l'organizzazione o la ricerca del ruolo, aggiungi i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo di tag in IAM, consulta Tagging delle risorse AWS Identity and Access Management nella Guida per l'utente di IAM.

  13. Verificare il ruolo e quindi scegliere Create role (Crea ruolo).

Esempio 1: configurazione di un utente come amministratore di database (console)

Questo esempio illustra i passaggi necessari per configurare Alice, un utente IAM, come Amministratore del database. Utilizza le informazioni nella prima riga della tabella nella sezione e consenti all'utente di abilitare il monitoraggio Amazon RDS. Collega la policy DatabaseAdministrator all'utente IAM di Alice in modo che possa gestire i servizi di database di Amazon. Questa policy, inoltre, consente ad Alice di passare un ruolo denominato rds-monitoring-role al servizio Amazon RDS, che consente al servizio di monitorare i database Amazon RDS per suo conto.

  1. Accedi a AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Scegli Policy e inserisci database nella casella di ricerca, quindi premi Invio.

  3. Seleziona il pulsante di opzione per la policy DatabaseAdministrator, seleziona Operazioni, quindi Collega.

  4. Nell'elenco di entità, seleziona Alice, quindi scegli Collega policy. Alice ora può amministrare i database AWS. Tuttavia, per consentire ad Alice di monitorare tali database, è necessario configurare il ruolo di servizio.

  5. Nel pannello di navigazione della console IAM, scegliere Ruoli e quindi Crea ruolo.

  6. Seleziona il tipo di ruolo Servizio AWS, quindi scegli Amazon RDS.

  7. Seleziona il caso d'uso Ruolo Amazon RDS per il monitoraggio avanzato.

  8. Amazon RDS definisce le autorizzazioni per il ruolo. Selezionare Next: Review (Successivo: esamina) per continuare.

  9. Il nome del ruolo deve essere uno di quelli specificati dalla policy del DatabaseAdministrator della quale dispone Alice. Uno di questi è rds-monitoring-role. Inseriscilo in Role name (Nome ruolo).

  10. (Facoltativo) In Descrizione ruolo, immettere una descrizione per il nuovo ruolo.

  11. Dopo aver revisionato i dettagli, selezionare Create role (Crea ruolo).

  12. Alice ora può abilitare Monitoraggio avanzato RDS nella sezione Monitoraggio della console Amazon RDS. Ad esempio, può eseguire questa operazione quando crea un'istanza database, crea una replica di lettura o modifica un'istanza di database. Deve inserire il nome di ruolo che ha creato (rds-monitoring-role) nella casella Monitoring Role (Ruolo di monitoraggio) quando imposta Enable Enhanced Monitoring (Abilita monitoraggio avanzato) su Yes (Sì).

Esempio 2: configurazione di un utente come amministratore di rete (console)

Questo esempio illustra i passaggi necessari per configurare Jorge, un utente IAM, come Amministratore di rete. Utilizza le informazioni nella tabella in tale sezione per consentire a Jorge di monitorare il traffico IP in uscita e in entrata da VPC. Inoltre, consente a Jorge di acquisire tali informazioni nei registri in CloudWatch Logs. Collega la policy NetworkAdministrator all'utente IAM di Jorge, in modo che possa configurare le risorse di rete di AWS. Inoltre, tale policy consente a Jorge di passare un ruolo il cui nome inizia con flow-logs* ad Amazon EC2 al momento della creazione del log di flusso. In questo scenario, diversamente dall'esempio 1, non è disponibile un tipo di ruolo di servizio predefinito, è necessario eseguire pochi passaggi in maniera diversa.

  1. Accedi a AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Policy e inserisci network nella casella di ricerca, quindi premi Invio.

  3. Seleziona il pulsante di opzione accanto alla policy NetworkAdministrator, seleziona Operazioni, quindi Collega.

  4. Nell'elenco degli utenti, seleziona la casella di controllo accanto a Jorge e scegli Collega policy. Jorge ora può gestire le risorse di rete AWS. Tuttavia, per consentire il monitoraggio di traffico IP nel VPC, è necessario configurare il ruolo del servizio.

  5. Poiché il ruolo del servizio che bisogna creare non dispone di una policy gestita predefinita, è necessario prima crearlo. Nel riquadro di navigazione, selezionare Policies (Policy) e Create Policy (Crea policy).

  6. Nella sezione Editor di policy, seleziona l'opzione JSON e copia il testo dal seguente documento della policy JSON. Incolla il testo nella casella di testo JSON. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  7. Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la convalida delle policy, quindi scegli Next (Successivo).

    Nota

    È possibile alternare le opzioni dell'editor Visivo e JSON in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona Successivo nell'editor Visivo, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta Modifica della struttura delle policy.

  8. Nella pagina Verifica e crea, digita vpc-flow-logs-policy-for-service-role come nome della policy. Rivedi il campo Autorizzazioni definite in questa policy per visualizzare le autorizzazioni concesse dalla policy, quindi seleziona Crea policy per salvare il lavoro.

    La nuova policy appare nell'elenco delle policy gestite ed è pronta a collegare.

  9. Nel pannello di navigazione della console IAM, scegliere Ruoli e quindi Crea ruolo.

  10. Seleziona il tipo di ruolo Servizio AWS, quindi scegli Amazon EC2.

  11. Seleziona il caso d'uso Amazon EC2.

  12. Nella pagina Attach permissions policies (Collega policy delle autorizzazioni), selezionare la policy creata in precedenza, vpc-flow-logs-policy-for-service-role, e selezionare Next: Review (Successivo: esamina).

  13. Il nome del ruolo deve essere consentito dalla policy NetworkAdministrator di cui Jorge ora dispone. Qualsiasi nome che inizia con flow-logs- è consentito. Per questo esempio, inserisci flow-logs-for-jorge come Role name (Nome del ruolo).

  14. (Facoltativo) In Descrizione ruolo, immettere una descrizione per il nuovo ruolo.

  15. Dopo aver revisionato i dettagli, selezionare Create role (Crea ruolo).

  16. Ora è possibile configurare la policy attendibilità necessaria per questo scenario. Nella pagina Ruoli, scegli il ruolo flow-logs-for-jorge (il nome, non la casella di controllo). Nella pagina dei dettagli per il nuovo ruolo, selezionare la scheda Trust relationships (Relazioni di trust) e selezionare Edit trust relationship (Modifica relazione di trust).

  17. Modificare la riga "Servizio" come segue, sostituendo la voce per ec2.amazonaws.com:

            "Service": "vpc-flow-logs.amazonaws.com"

  18. Jorge può ora creare log di flusso da un VPC o una sottorete nella console Amazon EC2. Quando crei il log di flusso, specifica il ruolo flow-logs-for-jorge. Quel ruolo dispone delle autorizzazioni per creare il log e scriverci dati.