Test delle policy IAM con il simulatore di policy IAM - AWS Identity and Access Management
Come funziona il simulatore di policy IAMAutorizzazioni necessarie per l'utilizzo del simulatore di policy IAMUtilizzo del simulatore di policy IAM (console)Utilizzo del simulatore di policy IAM (e dell'API)AWS CLIAWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Test delle policy IAM con il simulatore di policy IAM

Per ulteriori informazioni su come è perché utilizzare le policy IAM, consulta Politiche e autorizzazioni in IAM.

È possibile accedere alla console del simulatore di policy di IAM all'indirizzo https://policysim.aws.amazon.com/

Importante

I risultati del simulatore di policy possono differire dal tuo AWS ambiente reale. Ti consigliamo di verificare le tue politiche rispetto AWS all'ambiente reale dopo averle testate utilizzando il simulatore di policy per confermare di avere i risultati desiderati. Per ulteriori informazioni, consulta Come funziona il simulatore di policy IAM.

Con il simulatore di policy IAM è possibile testare e risolvere i problemi relativi a policy basate sulle identità e limiti delle autorizzazioni IAM. Di seguito sono elencate alcune operazioni comuni che è possibile eseguire con il simulatore di criteri:

  • Esegui il test delle policy collegate a utenti, gruppi di utenti o ruoli IAM nell' Account AWS. Se più di una policy è collegata all'utente, al gruppo di utenti o al ruolo, è possibile testare tutte le policy oppure selezionare le policy individuali da testare. È possibile testare quali azioni sono consentite o negate dalle policy selezionate per le risorse specifiche.

  • Verifica e risolvi i problemi relativi all'effetto dei limiti delle autorizzazioni sulle entità IAM. È possibile simulare solo un limite delle autorizzazioni alla volta.

  • Esegui il test delle policy basate sulle risorse su utenti IAM collegati a AWS , ad esempio i bucket Amazon S3, le code Amazon SQS, gli argomenti di Amazon SNS o gli insiemi di credenziali di Amazon S3 Glacier. Per utilizzare una policy basata sulle risorse nel simulatore per gli utenti IAM, è necessario includere la risorsa nella simulazione. È inoltre necessario selezionare la casella di controllo per includere i criteri di tale risorsa nella simulazione.

    Nota

    La simulazione di policy basate sulle risorse non è supportata per i ruoli IAM.

  • Se fai Account AWS parte di un'organizzazione in AWS Organizations, puoi testare l'impatto delle policy di controllo dei servizi (SCP) sulle tue politiche basate sull'identità.

    Nota

    Il simulatore di policy non valuta le policy di controllo dei servizi con condizioni.

  • Esegui il test di nuove policy basate sull'identità che non sono ancora collegate a un utente, a un gruppo di utenti o a un ruolo digitandole o copiandole nel simulatore. Queste vengono utilizzate nella simulazione e non vengono salvate. Non è possibile digitare o copiare una policy basata su risorse nel simulatore.

  • Esegui il test delle policy basate sull'identità con i servizi, le operazioni e le risorse selezionati. Ad esempio, puoi eseguire il test per assicurarti che la policy consenta a un'entità di eseguire le operazioni ListAllMyBuckets, CreateBucket e DeleteBucket nel servizio Amazon S3 su un determinato bucket.

  • Simulare scenari reali fornendo chiavi di contesto, ad esempio un indirizzo IP o una data, inclusi in elementi Condition nella policy testate.

    Nota

    Il simulatore di policy non simula i tag forniti come input se la policy basata sull'identità nella simulazione non ha un elemento Condition che controlli esplicitamente i tag.

  • Identifica quali istruzioni specifiche in una policy risultano nel consenso o nella negazione dell'accesso a un'operazione o risorsa specifica.

Come funziona il simulatore di policy IAM

Il simulatore di policy valuta le dichiarazioni contenute nella policy basata sull'identità e gli input forniti durante la simulazione. I risultati del simulatore di policy possono differire dal tuo ambiente AWS reale. Ti consigliamo di verificare le tue politiche rispetto al tuo AWS ambiente reale dopo averle testate utilizzando il simulatore di policy per confermare di avere i risultati desiderati.

Il simulatore di policy si differenzia dall' AWS ambiente live nei seguenti modi:

  • Il simulatore di policy non effettua una richiesta di AWS servizio effettiva, quindi puoi testare in sicurezza le richieste che potrebbero apportare modifiche indesiderate al tuo ambiente live. AWS Il simulatore di policy non considera i valori chiave del contesto reale nella produzione.

  • Poiché il simulatore non simula l'esecuzione delle azioni selezionate, non può segnalare alcuna risposta alla richiesta simulata. L'unico risultato restituito è se l'operazione richiesta è consentita o negata.

  • Se si modifica una policy nel simulatore, queste modifiche riguarderanno solo il simulatore. La politica corrispondente nella vostra azienda Account AWS rimane invariata.

  • Non è possibile eseguire il test delle policy di controllo dei servizi con condizioni.

  • Il simulatore di policy non supporta la simulazione per i ruoli IAM e gli utenti per l'accesso multi-account.

Nota

Il simulatore di policy IAM non determina quali servizi supportano le chiavi di condizione globali per l'autorizzazione. Ad esempio, il simulatore di policy non identifica che un servizio non supporta aws:TagKeys.

Autorizzazioni necessarie per l'utilizzo del simulatore di policy IAM

È possibile utilizzare la console del simulatore di policy o l'API del simulatore di policy per testare le policy. Per impostazione predefinita, gli utenti della console possono testare le policy che non sono ancora collegate a un utente, a un gruppo di utenti o a un ruolo digitandole o copiandole nella console del simulatore di policy. Queste regole vengono utilizzate nella simulazione e non rivelano informazioni sensibili. Gli utenti API devono avere le autorizzazioni per testare le policy non associate. Puoi consentire agli utenti di console o API di testare le policy associate a utenti, gruppi di utenti o ruoli IAM nell' Account AWS. A tale scopo, è necessario fornire l'autorizzazione per recuperare tali criteri. Per testare policy basate su risorse, gli utenti devono avere l'autorizzazione di recuperare la policy della risorsa.

Per esempi di policy di console o API che consentono a un utente di simulare le policy, consultare Politiche di esempio: AWS Identity and Access Management (IAM).

Autorizzazioni necessarie per l'utilizzo della console del simulatore di policy

Puoi consentire agli utenti di testare le policy collegate a utenti, gruppi o ruoli IAM nel tuo Account AWS. A tale scopo, è necessario fornire agli utenti le autorizzazioni per recuperare tali criteri. Per testare policy basate su risorse, gli utenti devono avere l'autorizzazione di recuperare la policy della risorsa.

Per visualizzare un esempio di policy che consente di utilizzare la console del simulatore di policy per policy associate a un utente, a un gruppo di utenti o a un ruolo, consulta IAM: accesso alla console del simulatore di policy.

Per visualizzare una policy di esempio che consente l'utilizzo della console del simulatore della policy solo agli utenti con un percorso specifico, consultare IAM: accesso alla console del simulatore di policy in base al percorso utente.

Per creare una policy per consentire l'utilizzo della console del simulatore di policy per solo un tipo di entità, utilizzare le seguenti procedure.

Per consentire agli utenti della console di simulare le policy per gli utenti

Includere le seguenti operazioni nella policy:

  • iam:GetGroupPolicy

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetUser

  • iam:GetUserPolicy

  • iam:ListAttachedUserPolicies

  • iam:ListGroupsForUser

  • iam:ListGroupPolicies

  • iam:ListUserPolicies

  • iam:ListUsers

Come consentire agli utenti della console di simulare le policy per i gruppi di utenti

Includere le seguenti operazioni nella policy:

  • iam:GetGroup

  • iam:GetGroupPolicy

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:ListAttachedGroupPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

Per consentire agli utenti della console di simulare le policy per i ruoli

Includere le seguenti operazioni nella policy:

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRole

  • iam:GetRolePolicy

  • iam:ListAttachedRolePolicies

  • iam:ListRolePolicies

  • iam:ListRoles

Per testare policy basate su risorse, gli utenti devono avere l'autorizzazione di recuperare la policy della risorsa.

Come consentire agli utenti della console di testare le policy basate su risorse in un bucket Amazon S3

Includere la seguente operazione nella policy:

  • s3:GetBucketPolicy

Ad esempio, la policy seguente utilizza questa operazione per consentire agli utenti della console di simulare una policy basata sulle risorse in un bucket Amazon S3 specifico.

{
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": "s3:GetBucketPolicy",
            "Resource":"arn:aws:s3:::bucket-name/*"
          }
        ]
      }

Autorizzazioni necessarie per l'utilizzo dell'API del simulatore di policy

L'API Policy Simulator GetContextKeyForCustomPolicyfunziona e SimulateCustomPolicyconsente di testare policy che non sono ancora associate a un utente, gruppo di utenti o ruolo. Per testare tali criteri, è possibile passare i criteri come stringhe all'API. Queste regole vengono utilizzate nella simulazione e non rivelano informazioni sensibili. Puoi inoltre utilizzare l'API per verificare le policy associate a utenti, gruppi di utenti o ruoli IAM nell' Account AWS. A tale scopo, è necessario fornire agli utenti le autorizzazioni per chiamare GetContextKeyForPrincipalPolicye. SimulatePrincipalPolicy

Per visualizzare un esempio di policy che consente di utilizzare l'API Policy Simulator per le policy allegate e non collegate nella versione corrente Account AWS, consulta. IAM: accesso all'API del simulatore di policy

Per creare una policy che consente l'utilizzo dell'API del simulatore di policy per solo un tipo di policy, utilizzare le seguenti procedure.

Per consentire agli utenti di un'API di simulare le policy passate direttamente all'API come stringhe

Includere le seguenti operazioni nella policy:

  • iam:GetContextKeysForCustomPolicy

  • iam:SimulateCustomPolicy

Come consentire agli utenti di un'API di simulare le policy collegate a utenti, gruppi, ruoli o risorse IAM

Includere le seguenti operazioni nella policy:

  • iam:GetContextKeysForPrincipalPolicy

  • iam:SimulatePrincipalPolicy

Ad esempio, per offrire a un utente di nome Bob l'autorizzazione a simulare una policy che è assegnata a un utente di nome Alice, fornire accesso a Bob alla seguente risorsa: arn:aws:iam::777788889999:user/alice.

Per visualizzare una policy di esempio che consente l'utilizzo dell'API del simulatore della policy solo agli utenti con un percorso specifico, consultare IAM: accesso all'API simulatore di policy basata sul percorso degli utenti.

Utilizzo del simulatore di policy IAM (console)

Per impostazione predefinita, gli utenti possono testare le policy che non sono ancora collegate a un utente, a un gruppo di utenti o a un ruolo digitandole o copiandole nella console del simulatore di policy. Queste regole vengono utilizzate nella simulazione e non rivelano informazioni sensibili.

Come eseguire il test di una policy non collegata a un utente, un gruppo di utenti o un ruolo (console)

  1. Apri la console del simulatore di policy IAM all'indirizzo https://policysim.aws.amazon.com/.

  2. Nel menu Mode: (Modalità:) nella parte superiore della pagina, selezionare New Policy (Nuova policy).

  3. In Policy Sandbox (Sandbox policy), selezionare Create New Policy (Crea nuova policy).

  4. Digita o copia una policy nel simulatore e utilizza il simulatore come descritto di seguito.

Dopo avere ottenuto l'autorizzazione per utilizzare la console del simulatore di policy IAM, è possibile utilizzare il simulatore per testare un utente IAM, un gruppo di utenti, un ruolo o una policy di risorsa.

Come eseguire il test di una policy collegata a un utente, un gruppo di utenti o un ruolo (console)

  1. Apri la console del simulatore di policy IAM all'indirizzo https://policysim.aws.amazon.com/.

    Nota

    Per accedere al simulatore di policy come utente IAM, utilizza l'URL di accesso univoco per accedere alla AWS Management Console. Visita quindi https://policysim.aws.amazon.com/. Per ulteriori informazioni sull'accesso come utente IAM, consulta In che modo gli utenti IAM accedono a AWS.

    Il simulatore si apre nella modalità Existing Policies (Policy esistenti) ed elenca gli utenti IAM nell'account in Users, Groups, and Roles (Utenti, gruppi e ruoli).

  2. Selezionare l'opzione opportuna per la propria attività:

    Per testare questo: Esegui questa operazione:
    Una policy collegata a un utente Selezionare Users (Utenti) nell'elenco Users, Groups, and Roles (Utenti, gruppi e ruoli). Selezionare l'utente.
    Policy collegata a un gruppo di utenti Selezionare Groups (Gruppi) nell'elenco Users, Groups, and Roles (Utenti, gruppi e ruoli). Quindi, scegli il gruppo di utenti.
    Una policy collegata a un ruolo Selezionare Roles (Ruoli) nell'elenco Users, Groups, and Roles (Utenti, gruppi e ruoli). Selezionare il ruolo.
    Una policy collegata a una risorsa Per informazioni, consulta Passo 9.
    Una policy personalizzata per un utente, un gruppo di utenti o un ruolo Scegli Crea nuova policy. Nel riquadro nuovi criteri digitare o incollare un criterio e quindi scegliere Applica.
    Suggerimento

    Per testare una policy collegata al gruppo, puoi avviare il simulatore di policy IAM direttamente dalla console IAM: nel pannello di navigazione, scegli Gruppi. Selezionare il nome del gruppo sul quale si desidera testare una policy e selezionare la scheda Permissions (Autorizzazioni). Scegli Simula.

    Per testare una policy gestita dal cliente collegata a un utente: nel riquadro di navigazione, selezionare Users (Utenti). Selezionare il nome dell'utente sul quale si desidera testare la policy. Selezionare la scheda Permissions (Autorizzazioni) ed espandere la policy che si desidera testare. Più a destra, selezionare Simulate policy (Simula policy). Simulatore di policy IAM si apre in una nuova finestra e viene visualizzata la policy selezionata nel riquadro Policy.

  3. (Facoltativo) Se l'account è membro di un'organizzazione in AWS Organizations, seleziona la casella di controllo accanto a SCP AWS Organizations per includere SCP nella valutazione simulata. Le SCP sono policy JSON che specificano il numero massimo di autorizzazioni per un'organizzazione o un'unità organizzativa (UO). L'SCP limita le autorizzazioni per le entità negli account membri. Se una SCP blocca un servizio o un'operazione, nessuna entità in tale account può accedere a quel servizio né eseguire questa operazione. Ciò è valido anche se un amministratore esplicitamente concede le autorizzazioni a quell'operazione o servizio tramite una policy IAM o delle risorse.

    Se l'account non è un membro di un'organizzazione, la casella di controllo non viene visualizzata.

  4. (Facoltativo) Puoi eseguire il test di una policy impostata come limite delle autorizzazioni per un'entità IAM (utente o ruolo), ma non per i gruppi di utenti. Se un criterio limite delle autorizzazioni è attualmente impostato per l'entità, verrà visualizzato nel riquadro Criteri . È possibile impostare solo un limite delle autorizzazioni per un'entità. Per testare un limite di autorizzazioni diverso, è possibile creare un limite di autorizzazioni personalizzato. A tale scopo, scegliere Crea nuovo criterio. Viene aperto un nuovo riquadro Criteri . Nel menu, scegliere Criteri di limite autorizzazioni IAM personalizzate. Immettere un nome per il nuovo criterio e digitare o copiare un criterio nello spazio sottostante. Scegliere Applica per salvare il criterio. Quindi, scegliere Indietro per tornare al riquadro Criteri originale. Seleziona quindi la casella di controllo accanto al limite delle autorizzazioni che desideri utilizzare per la simulazione.

  5. (Facoltativo) Puoi eseguire il test solo di un sottoinsieme di policy collegate a un utente, un gruppo di utenti o un ruolo. A tale scopo, nel riquadro Criteri deselezionare la casella di controllo accanto a ciascun criterio che si desidera escludere.

  6. In Policy Simulator (Simulatore di policy), selezionare Select service (Seleziona servizio) e scegliere il servizio da testare. Selezionare Select actions (Seleziona operazioni) e scegliere una o più operazioni da testare. Sebbene i menu mostrino le opzioni disponibili per un solo servizio alla volta, tutti i servizi e le operazioni selezionati vengono visualizzati in Action Settings and Results (Impostazioni e risultati operazione).

  7. (Facoltativo) Se una delle policy che scegli in Passo 2 e Passo 5 include condizioni con le chiavi della condizione globale di AWS, devi fornire i valori per tali chiavi. È possibile eseguire questa operazione espandendo la sezione Global Settings (Impostazioni globali) e digitando i valori per i nomi chiave visualizzati.

    avvertimento

    Se si lascia il valore di una condizione chiave vuoto, tale chiave viene ignorata durante la simulazione. In alcuni casi, questo genera un errore e non è possibile eseguire la simulazione. In altri casi, la simulazione viene eseguita, ma i risultati possono non essere affidabili. In questi casi, la simulazione non corrisponde alle condizioni reali che includono un valore per la chiave o la variabile della condizione.

  8. (Facoltativo) Ogni operazione selezionata viene mostrata nell'elenco Action Settings and Results (Impostazioni e risultati operazione) con Not simulated (Non simulata) nella colonna Permission (Autorizzazione) finché effettivamente la simulazione non viene eseguita. Prima di eseguire la simulazione, è possibile configurare ciascuna operazione con una risorsa. Per configurare le operazioni individuali per un determinato scenario, selezionare la freccia per espandere la riga dell'operazione. Se l'operazione supporta le autorizzazioni a livello di risorsa, è possibile digitare l'Amazon Resource Name (ARN) della risorsa specifica di cui si desidera testare l'accesso. Come impostazione predefinita, ogni risorsa è impostata su un carattere jolly (*). È anche possibile specificare un valore per qualsiasi chiave di contesto della condizione. Come indicato in precedenza, le chiavi con valori vuoti vengono ignorate, ciò può provocare errori di simulazione o risultati inaffidabili.

    1. Selezionare la freccia accanto al nome dell'operazione per espandere ogni riga e configurare qualsiasi informazioni aggiuntive necessarie per simulare accuratamente l'operazione nel proprio scenario. Se l'operazione richiede autorizzazioni a livello di risorsa, è possibile digitare l'Amazon Resource Name (ARN) della risorsa specifica alla quale si desidera simulare l'accesso. Come impostazione predefinita, ogni risorsa è impostata su un carattere jolly (*).

    2. Se l'operazione supporta autorizzazioni a livello di risorsa, ma non le richiede, è possibile selezionare Add Resource (Aggiungi risorsa) per selezionare il tipo di risorsa che si desidera aggiungere alla simulazione.

    3. Se nessuna delle policy selezionate include un elementoCondition che fa riferimento a una chiave contestuale per il servizio di questa operazione, tale nome della chiave è visualizzato sotto l'operazione. È possibile specificare il valore da utilizzare durante la simulazione di quell'operazione per la risorsa specificata.

    Operazioni che richiedono diversi gruppi di tipi di risorse

    Alcune operazioni richiedono diversi tipi di risorse in circostanze diverse. Ogni gruppo di tipi di risorse è associato a uno scenario. Se uno di questi si applica alla propria simulazione, selezionarlo e il simulatore richiederà i tipi di risorse appropriate per tale scenario. L'elenco seguente mostra ciascuna delle opzioni di scenari supportate e le risorse che è necessario definire per eseguire la simulazione.

    Ognuno dei seguenti scenari di Amazon EC2 richiede che vengano specificate le risorse instance, image e security-group. Se il proprio scenario include un volume EBS, è necessario specificare quel volume come una risorsa. Se lo scenario di Amazon EC2 include un virtual private cloud (VPC), è necessario fornire la risorsa network-interface. Se include una sottorete IP, è necessario specificare la risorsa subnet. Per ulteriori informazioni sulle opzioni dello scenario di Amazon EC2, consulta Piattaforme supportatenella Guida per l'utente di Amazon EC2.

    • EC2-VPC- InstanceStore

      istanza, immagine, gruppo di sicurezza, interfaccia di rete

    • EC2-VPC- -Sottorete InstanceStore

      istanza, immagine, gruppo di sicurezza, interfaccia di rete, sottorete

    • EC2-VPC-EBS

      istanza, immagine, gruppo di sicurezza, interfaccia di rete, volume

    • EC2-VPC-EBS-Subnet

      istanza, immagine, gruppo di sicurezza, interfaccia di rete, sottorete, volume

  9. (Facoltativo) Se si desidera includere una policy basate su risorse nella simulazione, è necessario selezionare le operazioni che si desidera simulare su quella risorsa Passo 6. Espandere le righe per le operazioni selezionate e digitare il nome ARN della risorsa con una policy che si desidera simulare. Selezionare Include Resource Policy (Includi policy delle risorse) accanto alla casella di testo ARN. Il simulatore di policy IAM attualmente supporta le policy basate sulle risorse solo dai seguenti servizi: Amazon S3 (solo policy basate su risorse; le liste ACL non sono attualmente supportate), Amazon SQS, Amazon SNS e vault S3 Glacier sbloccati (i vault bloccati non sono attualmente supportati).

  10. Selezionare Run Simulation (Esegui simulazione) nell'angolo in alto a destra.

    La colonna Permission (Autorizzazione) in ogni riga di Action Settings e Results (Impostazioni e risultati operazione) visualizza il risultato di simulazione di tale operazione nella risorsa specificata.

  11. Per consultare quale istruzione in una policy ha esplicitamente permesso o negato un'operazione, selezionare il collegamento N matching statement(s) (Istruzioni corrispondenti) nella colonna Permissions (Autorizzazioni) per espandere la riga. Selezionare il collegamento Show statement (Mostra istruzione). Il riquadro Policies (Policy) mostra la policy rilevante con l'istruzione che ha interessato i risultati della simulazione evidenziata.

    Nota

    Se un'operazione è implicitamente rifiutata: ovvero, se l'operazione è rifiutata solo perché non è consentito in modo esplicito; le opzioni Elenco e Mostra istruzione non vengono visualizzate.

Risoluzione dei problemi dei messaggi della console del simulatore di policy IAM

La tabella seguente elenca i messaggi informativi e di avviso che possono essere restituiti quando si utilizza il simulatore delle policy IAM. La tabella fornisce inoltre una procedura per risolverli.

Messaggio Procedura per la risoluzione
Questa policy è stata modificata. Le modifiche non saranno salvate al tuo account.

Nessuna operazione necessaria.

Questo messaggio è informativo. Se modifichi una policy esistente nel simulatore di policy IAM, tale modifica non influisce sull' Account AWS. Il simulatore di policy consente di modificare le policy solo a scopo di test.
Impossibile ottenere le policy delle risorse. Motivo: messaggio di errore dettagliato Il simulatore di policy non è in grado di accedere a una policy basata sulle risorse necessaria. Verificare che il nome ARN specificato della risorsa sia corretto e che l'utente che esegue la simulazione abbia l'autorizzazione di leggere la policy della risorsa.
Una o più policy richiedono valori nelle impostazioni della simulazione. La simulazione potrebbe non riuscire senza questi valori.

Questo messaggio viene visualizzato se la policy che si sta testando contiene variabili o chiavi di condizione, ma non sono stati forniti valori per queste chiavi o variabili in Simulation Settings (Impostazioni simulazione).

Per chiudere questo messaggio, selezionare Impostazioni simulazione e digitare un valore per ogni variabile o chiave della condizione.
Sono state modificate delle policy. Questi risultati non sono più validi.

Questo messaggio viene visualizzato se si modifica la policy selezionata mentre i risultati sono visualizzati nel riquadro Results (Risultati). I risultati illustrati nel riquadro Results (Risultati) non sono aggiornati dinamicamente.

Per chiudere questo messaggio, selezionare nuovamente Run Simulation (Esegui simulazione) per visualizzare i nuovi risultati di simulazione in base alle modifiche apportate nel riquadro Policies (Policy).
La risorsa digitata per questa simulazione non corrisponde a questo servizio.

Questo messaggio viene visualizzato se è stato digitato un Amazon Resource Name (ARN) nel riquadro Simulation Settings (Impostazioni simulazione) che non corrisponde al servizio scelto per la simulazione corrente. Ad esempio, questo messaggio viene visualizzato se viene specificato un ARN per una risorsa Amazon DynamoDB, ma si seleziona Amazon Redshift come servizio da simulare.

Per chiudere questo messaggio, procedere in uno dei seguenti modi:

  • Rimuovere l'ARN dalla casella nel riquadro Simulation Settings (Impostazioni simulazione).

  • Selezionare il servizio che corrisponde all'ARN specificato in Simulation Settings (Impostazioni simulazione).
Questa operazione appartiene a un servizio che supporta speciali meccanismi di controllo degli accessi, oltre a policy basate su risorse, ad esempio ACL Amazon S3 o policy Vault Lock S3 Glacier. Il simulatore di policy non supporta questi meccanismi, perciò i risultati possono variare in base all'ambiente di produzione.

Nessuna operazione necessaria.

Questo messaggio è informativo. Nella versione corrente, il simulatore valuta le policy collegate a utenti e gruppi di utenti; è inoltre in grado di valutare le policy basate su risorse per Amazon S3, Amazon SQS, Amazon SNS e S3 Glacier. Il simulatore di policy non supporta tutti i meccanismi di controllo degli accessi supportati da altri servizi AWS .
DynamoDB FGAC attualmente non è supportata.

Nessuna operazione necessaria.

Questo messaggio informativo si riferisce a un controllo granulare degli accessi. Il controllo granulare degli accessi è la possibilità di utilizzare le condizioni delle policy IAM per determinare chi può accedere a singoli elementi di dati e attributi nelle tabelle e negli indici DynamoDB. Si riferisce anche alle azioni che possono essere eseguite su queste tabelle e indici. La versione corrente del simulatore di policy IAM non supporta questo tipo di condizione di policy. Per ulteriori informazioni sul controllo granulare degli accessi a DynamoDB, consulta Controllo granulare degli accessi per DynamoDB.
Si dispone di policy che non rispettano la sintassi della policy. È possibile utilizzare il validatore della policy per rivedere gli aggiornamenti consigliati per le policy.

Questo messaggio viene visualizzato nella parte superiore dell'elenco della policy se si dispone di policy che non sono conformi alla sintassi delle policy IAM. Per simulare queste policy, consultare le opzioni di convalida delle policy all'indirizzo Convalida delle policy IAM per identificare e correggere le policy.
Questa policy deve essere aggiornata per essere conforme alle regole più recenti della sintassi della policy.

Questo messaggio viene visualizzato se si dispone di policy che non sono conformi alla grammatica della policy IAM. Per simulare queste policy, consultare le opzioni di convalida delle policy all'indirizzo Convalida delle policy IAM per identificare e correggere le policy.

Utilizzo del simulatore di policy IAM (e dell'API)AWS CLIAWS

I comandi del simulatore di policy richiedono solitamente il richiamo delle operazioni API per eseguire due operazioni:

  1. Valutare le policy e restituire l'elenco delle chiavi di contesto alle quali fanno riferimento. È necessario sapere a quali chiavi contestuali viene fatto riferimento in modo da potervi fornire valori nella fase successiva.

  2. Simulare le policy, fornendo un elenco di operazioni, risorse e chiavi di contesto utilizzate durante la simulazione.

Per motivi di sicurezza, le operazioni API sono state suddivise in due gruppi:

In entrambi i casi, le operazioni API simulano l'effetto di una o più policy su un elenco di operazioni e risorse. Ogni operazione è associata a ciascuna risorsa e la simulazione determina se le policy permettono o negano l'operazione per quella risorsa. È anche possibile fornire i valori per chiavi di contesto alle quali fanno riferimento le policy. È possibile ottenere l'elenco delle chiavi di contesto alle quali fanno riferimento le policy chiamando prima GetContextKeysForCustomPolicy o GetContextKeysForPrincipalPolicy. Se non si fornisce un valore per una chiave di contesto, la simulazione viene ancora eseguita. Tuttavia, i risultati potrebbero non essere affidabili, perché il simulatore non può includere quella chiave di contesto nella valutazione.

Per ottenere l'elenco delle chiavi contestuali (AWS CLI, AWS API)

Utilizzare quanto segue per valutare un elenco di policy e restituire un elenco di chiavi di contesto utilizzate nella policy.

Per simulare le politiche IAM (AWS CLI, AWS API)

Utilizza quanto segue per simulare le policy IAM per determinare le autorizzazioni valide di un utente.