Creazione dei ruoli e collegamento delle policy (console) - AWS Identity and Access Management
Esempio 1: configurazione di un utente come amministratore di database (console)Esempio 2: configurazione di un utente come amministratore di rete (console)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione dei ruoli e collegamento delle policy (console)

Molte delle politiche elencate in precedenza garantiscono la possibilità di configurare AWS servizi con ruoli che consentono a tali servizi di eseguire operazioni per tuo conto. Le policy della funzione lavorativa specificano i nomi di ruolo esatti che è necessario utilizzare o almeno includono un prefisso che specifica la prima parte del nome che può essere utilizzato. Per creare uno di questi ruoli, eseguire le operazioni descritte nella procedura seguente.

Creare un ruolo per una Servizio AWS (IAMconsole)

  1. Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione della IAM console, scegli Ruoli, quindi scegli Crea ruolo.

  3. Per Trusted entity type (Tipo di entità attendibile), scegli Servizio AWS.

  4. Per Servizio o caso d'uso, scegli un servizio, quindi scegli il caso d'uso. I casi d'uso sono definiti dal servizio in modo da includere la policy di attendibilità richiesta dal servizio.

  5. Scegli Next (Successivo).

  6. Per i criteri di autorizzazione, le opzioni dipendono dal caso d'uso selezionato:

    • Se il servizio definisce le autorizzazioni per il ruolo, non è possibile selezionare le politiche di autorizzazione.

    • Seleziona da un set limitato di politiche di autorizzazione.

    • Seleziona tra tutte le politiche di autorizzazione.

    • Seleziona nessuna politica di autorizzazione, crea le politiche dopo la creazione del ruolo e quindi associa le politiche al ruolo.

  7. (Facoltativo) Impostare un limite delle autorizzazioni. Questa è una caratteristica avanzata disponibile per i ruoli di servizio, ma non per i ruoli collegati ai servizi.

    1. Apri la sezione Imposta i limiti delle autorizzazioni, quindi scegli Usa un limite di autorizzazioni per controllare il numero massimo di autorizzazioni per il ruolo.

      IAMinclude un elenco delle politiche AWS gestite e gestite dal cliente nel tuo account.

    2. Selezionare la policy da utilizzare per il limite delle autorizzazioni.

  8. Scegli Next (Successivo).

  9. Per Role name, le opzioni dipendono dal servizio:

    • Se il servizio definisce il nome del ruolo, non è possibile modificare il nome del ruolo.

    • Se il servizio definisce un prefisso per il nome del ruolo, è possibile inserire un suffisso opzionale.

    • Se il servizio non definisce il nome del ruolo, puoi assegnare un nome al ruolo.

      Importante

      Quando assegnate un nome a un ruolo, tenete presente quanto segue:

      • I nomi dei ruoli devono essere univoci all'interno del tuo Account AWS account e non possono essere resi unici per caso.

        Ad esempio, non creare ruoli denominati entrambi PRODROLE eprodrole. Quando un nome di ruolo viene utilizzato in una policy o come parte di unaARN, il nome del ruolo fa distinzione tra maiuscole e minuscole, tuttavia quando un nome di ruolo viene visualizzato dai clienti nella console, ad esempio durante il processo di accesso, il nome del ruolo non fa distinzione tra maiuscole e minuscole.

      • Non è possibile modificare il nome del ruolo dopo la sua creazione perché altre entità potrebbero fare riferimento al ruolo.

  10. (Facoltativo) In Descrizione, inserisci una descrizione per il ruolo.

  11. (Facoltativo) Per modificare i casi d'uso e le autorizzazioni per il ruolo, nelle sezioni Passo 1: Seleziona entità attendibili o Passaggio 2: Aggiungi autorizzazioni, scegli Modifica.

  12. (Facoltativo) Per facilitare l'identificazione, l'organizzazione o la ricerca del ruolo, aggiungi tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo dei tag inIAM, consulta Tag per AWS Identity and Access Management le risorse nella Guida per l'IAMutente.

  13. Verificare il ruolo e quindi scegliere Create role (Crea ruolo).

Esempio 1: configurazione di un utente come amministratore di database (console)

Questo esempio mostra i passaggi necessari per configurare Alice, un IAM utente, come amministratore del database. Utilizzi le informazioni nella prima riga della tabella in quella sezione e consenti all'utente di abilitare il RDS monitoraggio di Amazon. Alleghi la DatabaseAdministratorpolicy all'IAMutente di Alice in modo che possa gestire i servizi di database Amazon. Tale politica consente inoltre ad Alice di trasferire un ruolo chiamato rds-monitoring-role al RDS servizio Amazon che consente al servizio di monitorare i RDS database Amazon per suo conto.

  1. Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Scegli Policy e inserisci database nella casella di ricerca, quindi premi Invio.

  3. Seleziona il pulsante di opzione relativo alla DatabaseAdministratorpolitica, scegli Azioni, quindi scegli Allega.

  4. Nell'elenco di entità, seleziona Alice, quindi scegli Collega policy. Alice ora può amministrare AWS i database. Tuttavia, per consentire ad Alice di monitorare tali database, è necessario configurare il ruolo di servizio.

  5. Nel riquadro di navigazione della IAM console, scegli Ruoli, quindi scegli Crea ruolo.

  6. Scegli il tipo di ruolo AWS Service, quindi scegli Amazon RDS.

  7. Scegli lo use case Amazon RDS Role for Enhanced Monitoring.

  8. Amazon RDS definisce le autorizzazioni per il tuo ruolo. Selezionare Next: Review (Successivo: esamina) per continuare.

  9. Il nome del ruolo deve essere uno di quelli specificati dalla DatabaseAdministrator politica di cui dispone ora Alice. Uno di questi è rds-monitoring-role. Inseriscilo in Role name (Nome ruolo).

  10. (Facoltativo) In Descrizione ruolo, immettere una descrizione per il nuovo ruolo.

  11. Dopo aver revisionato i dettagli, selezionare Create role (Crea ruolo).

  12. Alice ora può abilitare RDSEnhanced Monitoring nella sezione Monitoraggio della RDS console Amazon. Ad esempio, può eseguire questa operazione quando crea un'istanza database, crea una replica di lettura o modifica un'istanza di database. Devono inserire il nome del ruolo che hanno creato (rds-monitoring-role) nella casella Ruolo di monitoraggio quando impostano Enhanced Monitoring su .

Esempio 2: configurazione di un utente come amministratore di rete (console)

Questo esempio mostra i passaggi necessari per configurare Jorge, un IAM utente, come amministratore di rete. Utilizza le informazioni contenute nella tabella in quella sezione per consentire a Jorge di monitorare il traffico IP in entrata e in uscita da un. VPC Consente inoltre a Jorge di acquisire tali informazioni nei registri in Logs. CloudWatch Alleghi la NetworkAdministratorpolicy all'IAMutente di Jorge in modo che possa configurare le risorse di rete. AWS Questa politica consente inoltre a Jorge di trasferire un ruolo il cui nome inizia con flow-logs* Amazon EC2 quando crei un log di flusso. In questo scenario, diversamente dall'esempio 1, non è disponibile un tipo di ruolo di servizio predefinito, è necessario eseguire pochi passaggi in maniera diversa.

  1. Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Policy e inserisci network nella casella di ricerca, quindi premi Invio.

  3. Seleziona il pulsante di opzione accanto alla NetworkAdministratorpolitica, scegli Azioni, quindi scegli Allega.

  4. Nell'elenco degli utenti, seleziona la casella di controllo accanto a Jorge e scegli Attach policy (Collega policy). Jorge ora può amministrare le risorse di AWS rete. Tuttavia, per abilitare il monitoraggio del traffico IP nell'utenteVPC, è necessario configurare il ruolo di servizio.

  5. Poiché il ruolo del servizio che bisogna creare non dispone di una policy gestita predefinita, è necessario prima crearlo. Nel riquadro di navigazione, selezionare Policies (Policy) e Create Policy (Crea policy).

  6. Nella sezione Policy editor, scegli l'JSONopzione e copia il testo dal seguente documento di JSON policy. Incolla questo testo nella casella JSONdi testo. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  7. Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la convalida delle policy, quindi scegli Next (Successivo).

    Nota

    Puoi passare dall'opzione Visual a quella JSONdell'editor in qualsiasi momento. Tuttavia, se apporti modifiche o scegli Avanti nell'editor visuale, IAM potresti ristrutturare la tua politica per ottimizzarla per l'editor visuale. Per ulteriori informazioni, consulta Modifica della struttura delle policy.

  8. Nella pagina Verifica e crea, digita vpc-flow-logs-policy-for-service-role come nome della policy. Rivedi il campo Autorizzazioni definite in questa policy per visualizzare le autorizzazioni concesse dalla policy, quindi seleziona Crea policy per salvare il lavoro.

    La nuova policy appare nell'elenco delle policy gestite ed è pronta a collegare.

  9. Nel riquadro di navigazione della IAM console, scegli Ruoli, quindi scegli Crea ruolo.

  10. Scegli il tipo di ruolo AWS Service, quindi scegli Amazon EC2.

  11. Scegli il caso EC2 d'uso di Amazon.

  12. Nella pagina Allega politiche di autorizzazione, scegli la politica che hai creato in precedenza, vpc-flow-logs-policy- for-service-role, quindi scegli Avanti: revisione.

  13. Il nome del ruolo deve essere consentito dalla NetworkAdministrator politica attuale di Jorge. Qualsiasi nome che inizia con flow-logs- è consentito. Per questo esempio, inserisci flow-logs-for-jorge come Role name (Nome del ruolo).

  14. (Facoltativo) In Descrizione ruolo, immettere una descrizione per il nuovo ruolo.

  15. Dopo aver revisionato i dettagli, selezionare Create role (Crea ruolo).

  16. Ora è possibile configurare la policy attendibilità necessaria per questo scenario. Nella pagina Ruoli, scegli il flow-logs-for-jorgeruolo (il nome, non la casella di controllo). Nella pagina dei dettagli per il nuovo ruolo, selezionare la scheda Trust relationships (Relazioni di trust) e selezionare Edit trust relationship (Modifica relazione di trust).

  17. Modificare la riga "Servizio" come segue, sostituendo la voce per ec2.amazonaws.com:

            "Service": "vpc-flow-logs.amazonaws.com"

  18. Jorge può ora creare log di flusso per una sottorete VPC o nella console Amazon. EC2 Quando crei il log di flusso, specifica il ruolo. flow-logs-for-jorge Quel ruolo dispone delle autorizzazioni per creare il log e scriverci dati.