IAMtest delle politiche con il simulatore IAM di politiche - AWS Identity and Access Management
Come funziona il simulatore IAM di politicheAutorizzazioni necessarie per l'utilizzo del simulatore di policy IAMUtilizzo del simulatore IAM di policy (console)Utilizzo del simulatore IAM di politiche (AWS CLI e) AWS API

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

IAMtest delle politiche con il simulatore IAM di politiche

Per ulteriori informazioni su come e perché utilizzare IAM le politiche, consulta. Politiche e autorizzazioni in AWS Identity and Access Management

È possibile accedere alla console di IAM Policy Simulator all'indirizzo:/https://policysim.aws.amazon.com

Importante

I risultati del simulatore di policy possono differire dal tuo ambiente reale AWS . Ti consigliamo di verificare le tue politiche rispetto AWS all'ambiente reale dopo averle testate utilizzando il simulatore di policy per confermare di avere i risultati desiderati. Per ulteriori informazioni, consulta Come funziona il simulatore IAM di politiche.

Con il simulatore di IAM policy, puoi testare e risolvere i problemi relativi alle policy e ai limiti delle autorizzazioni basati sull'identità. IAM Di seguito sono elencate alcune operazioni comuni che è possibile eseguire con il simulatore di criteri:

  • Testa le politiche basate sull'identità associate a utenti, gruppi o ruoli nel tuo. IAM IAM Account AWS Se più di una policy è collegata all'utente, al gruppo di utenti o al ruolo, è possibile testare tutte le policy oppure selezionare le policy individuali da testare. È possibile testare quali azioni sono consentite o negate dalle policy selezionate per le risorse specifiche.

  • Verifica e risolvi l'effetto dei limiti delle autorizzazioni sulle entità. IAM È possibile simulare solo un limite delle autorizzazioni alla volta.

  • Verifica gli effetti delle policy basate sulle risorse sugli IAM utenti collegati alle AWS risorse, come i bucket Amazon S3, le SQS code Amazon, gli argomenti Amazon o i vault Amazon S3 SNS Glacier. Per utilizzare una policy basata sulle risorse nel simulatore di policy per gli utenti, devi includere la risorsa nella simulazione. IAM È inoltre necessario selezionare la casella di controllo per includere i criteri di tale risorsa nella simulazione.

    Nota

    La simulazione di politiche basate sulle risorse non è supportata per i ruoli. IAM

  • Se fai Account AWS parte di un'organizzazione in AWS Organizations, puoi testare l'impatto delle politiche di controllo dei servizi (SCPs) sulle tue politiche basate sull'identità.

    Nota

    Il simulatore di policy non valuta SCPs che esistano condizioni.

  • Esegui il test di nuove policy basate sull'identità che non sono ancora collegate a un utente, a un gruppo di utenti o a un ruolo digitandole o copiandole nel simulatore. Queste vengono utilizzate nella simulazione e non vengono salvate. Non è possibile digitare o copiare una policy basata su risorse nel simulatore.

  • Esegui il test delle policy basate sull'identità con i servizi, le operazioni e le risorse selezionati. Ad esempio, puoi eseguire il test per assicurarti che la policy consenta a un'entità di eseguire le operazioni ListAllMyBuckets, CreateBucket e DeleteBucket nel servizio Amazon S3 su un determinato bucket.

  • Simulare scenari reali fornendo chiavi di contesto, ad esempio un indirizzo IP o una data, inclusi in elementi Condition nella policy testate.

    Nota

    Il simulatore di policy non simula i tag forniti come input se la policy basata sull'identità nella simulazione non ha un elemento Condition che controlli esplicitamente i tag.

  • Identifica quali istruzioni specifiche in una policy risultano nel consenso o nella negazione dell'accesso a un'operazione o risorsa specifica.

Come funziona il simulatore IAM di politiche

Il simulatore di policy valuta le dichiarazioni contenute nella policy basata sull'identità e gli input forniti durante la simulazione. I risultati del simulatore di policy possono differire dal tuo ambiente AWS reale. Ti consigliamo di verificare le tue politiche rispetto al tuo AWS ambiente reale dopo averle testate utilizzando il simulatore di policy per confermare di avere i risultati desiderati.

Il simulatore di policy si differenzia dall' AWS ambiente live nei seguenti modi:

  • Il simulatore di policy non effettua una richiesta di AWS servizio effettiva, quindi puoi testare in sicurezza le richieste che potrebbero apportare modifiche indesiderate al tuo ambiente live. AWS Il simulatore di policy non considera i valori chiave del contesto reale nella produzione.

  • Poiché il simulatore non simula l'esecuzione delle azioni selezionate, non può segnalare alcuna risposta alla richiesta simulata. L'unico risultato restituito è se l'operazione richiesta è consentita o negata.

  • Se si modifica una policy nel simulatore, queste modifiche riguarderanno solo il simulatore. La politica corrispondente nella vostra azienda Account AWS rimane invariata.

  • Non è possibile testare le politiche di controllo del servizio (SCPs) con nessuna condizione.

  • Il simulatore di policy non supporta la simulazione per le politiche di controllo delle risorse ()RCPs.

  • Il simulatore di policy non supporta la simulazione di IAM ruoli e utenti per l'accesso tra account diversi.

Nota

Il simulatore di IAM policy non determina quali servizi supportano le chiavi di condizione globali per l'autorizzazione. Ad esempio, il simulatore di policy non identifica che un servizio non supporta aws:TagKeys.

Autorizzazioni necessarie per l'utilizzo del simulatore di policy IAM

È possibile utilizzare la console del simulatore di politiche o il simulatore di politiche per testare le politiche. API Per impostazione predefinita, gli utenti della console possono testare le policy che non sono ancora collegate a un utente, a un gruppo di utenti o a un ruolo digitandole o copiandole nella console del simulatore di policy. Queste regole vengono utilizzate nella simulazione e non rivelano informazioni sensibili. APIgli utenti devono disporre delle autorizzazioni per testare le policy non collegate. Puoi consentire alla console o API agli utenti di testare le policy associate a IAM utenti, IAM gruppi o ruoli nel tuo. Account AWS A tale scopo, è necessario fornire l'autorizzazione per recuperare tali criteri. Per testare policy basate su risorse, gli utenti devono avere l'autorizzazione di recuperare la policy della risorsa.

Per esempi di console e API policy che consentono a un utente di simulare policy, consultaPolitiche di esempio: AWS Identity and Access Management (IAM).

Autorizzazioni necessarie per l'utilizzo della console del simulatore di policy

Puoi consentire agli utenti di testare le policy associate a IAM utenti, IAM gruppi o ruoli nel tuo Account AWS. A tale scopo, è necessario fornire agli utenti le autorizzazioni per recuperare tali criteri. Per testare policy basate su risorse, gli utenti devono avere l'autorizzazione di recuperare la policy della risorsa.

Per visualizzare un esempio di policy che consente di utilizzare la console del simulatore di policy per policy associate a un utente, a un gruppo di utenti o a un ruolo, consulta IAM: accesso alla console del simulatore di policy.

Per visualizzare una policy di esempio che consente l'utilizzo della console del simulatore della policy solo agli utenti con un percorso specifico, consultare IAM: accesso alla console del simulatore di policy in base al percorso utente.

Per creare una policy per consentire l'utilizzo della console del simulatore di policy per solo un tipo di entità, utilizzare le seguenti procedure.

Per consentire agli utenti della console di simulare le policy per gli utenti

Includere le seguenti operazioni nella policy:

  • iam:GetGroupPolicy

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetUser

  • iam:GetUserPolicy

  • iam:ListAttachedUserPolicies

  • iam:ListGroupsForUser

  • iam:ListGroupPolicies

  • iam:ListUserPolicies

  • iam:ListUsers

Per consentire agli utenti della console di simulare le politiche per i gruppi IAM

Includere le seguenti operazioni nella policy:

  • iam:GetGroup

  • iam:GetGroupPolicy

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:ListAttachedGroupPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

Per consentire agli utenti della console di simulare le policy per i ruoli

Includere le seguenti operazioni nella policy:

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRole

  • iam:GetRolePolicy

  • iam:ListAttachedRolePolicies

  • iam:ListRolePolicies

  • iam:ListRoles

Per testare policy basate su risorse, gli utenti devono avere l'autorizzazione di recuperare la policy della risorsa.

Come consentire agli utenti della console di testare le policy basate su risorse in un bucket Amazon S3

Includere la seguente operazione nella policy:

  • s3:GetBucketPolicy

Ad esempio, la policy seguente utilizza questa operazione per consentire agli utenti della console di simulare una policy basata sulle risorse in un bucket Amazon S3 specifico.

{
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": "s3:GetBucketPolicy",
            "Resource":"arn:aws:s3:::bucket-name/*"
          }
        ]
      }

Autorizzazioni necessarie per l'utilizzo del simulatore di policy API

Il simulatore di policy API funziona GetContextKeyForCustomPolicye SimulateCustomPolicyconsente di testare policy che non sono ancora associate a un utente, gruppo di utenti o ruolo. Per testare tali politiche, si passano le politiche come stringhe a. API Queste regole vengono utilizzate nella simulazione e non rivelano informazioni sensibili. Puoi anche utilizzarli API per testare le politiche associate a IAM utenti, IAM gruppi o ruoli nel tuo Account AWS. A tale scopo, è necessario fornire agli utenti le autorizzazioni per chiamare GetContextKeyForPrincipalPolicye SimulatePrincipalPolicy.

Per visualizzare un esempio di politica che consente di utilizzare il simulatore di politiche API per le politiche allegate e non collegate nella versione corrente Account AWS, vedere. IAM: accesso all'API del simulatore di policy

Per creare una politica che consenta l'utilizzo del simulatore di politiche API per un solo tipo di politica, utilizzare le seguenti procedure.

Per consentire API agli utenti di simulare le policy passate direttamente alle stringhe as API

Includere le seguenti operazioni nella policy:

  • iam:GetContextKeysForCustomPolicy

  • iam:SimulateCustomPolicy

Per consentire API agli utenti di simulare le politiche associate a IAM utenti, IAM gruppi, ruoli o risorse

Includere le seguenti operazioni nella policy:

  • iam:GetContextKeysForPrincipalPolicy

  • iam:SimulatePrincipalPolicy

Ad esempio, per offrire a un utente di nome Bob l'autorizzazione a simulare una policy che è assegnata a un utente di nome Alice, fornire accesso a Bob alla seguente risorsa: arn:aws:iam::777788889999:user/alice.

Per visualizzare un esempio di policy che consente di utilizzare il simulatore di policy API solo per gli utenti con un percorso specifico, consulta. IAM: accesso all'API simulatore di policy basata sul percorso degli utenti

Utilizzo del simulatore IAM di policy (console)

Per impostazione predefinita, gli utenti possono testare le policy che non sono ancora collegate a un utente, a un gruppo di utenti o a un ruolo digitandole o copiandole nella console del simulatore di policy. Queste regole vengono utilizzate nella simulazione e non rivelano informazioni sensibili.

Come eseguire il test di una policy non collegata a un utente, un gruppo di utenti o un ruolo (console)

  1. Apri la console del simulatore di IAM politiche all'indirizzo:https://policysim.aws.amazon.com/.

  2. Nel menu Mode: (Modalità:) nella parte superiore della pagina, selezionare New Policy (Nuova policy).

  3. In Policy Sandbox (Sandbox policy), selezionare Create New Policy (Crea nuova policy).

  4. Digita o copia una policy nel simulatore e utilizza il simulatore come descritto di seguito.

Dopo aver ottenuto l'autorizzazione a utilizzare la console IAM Policy Simulator, è possibile utilizzare il simulatore di politiche per testare un IAM utente, un gruppo di utenti, un ruolo o una politica delle risorse.

Come eseguire il test di una policy collegata a un utente, un gruppo di utenti o un ruolo (console)

  1. Apri la console del simulatore IAM di policy all'indirizzo/. https://policysim.aws.amazon.com

    Nota

    Per accedere al simulatore di politiche come IAM utente, utilizza il tuo accesso univoco URL per accedere a. AWS Management Console Visita quindi https://policysim.aws.amazon.com/. Per ulteriori informazioni sull'accesso come IAM utente, consulta. Come IAM gli utenti accedono a AWS

    Il simulatore di policy si apre in modalità Politiche esistenti ed elenca gli IAM utenti del tuo account in Utenti, gruppi e ruoli.

  2. Selezionare l'opzione opportuna per la propria attività:

    Per testare questo: Esegui questa operazione:
    Una policy collegata a un utente Selezionare Users (Utenti) nell'elenco Users, Groups, and Roles (Utenti, gruppi e ruoli). Selezionare l'utente.
    Policy collegata a un gruppo di utenti Selezionare Groups (Gruppi) nell'elenco Users, Groups, and Roles (Utenti, gruppi e ruoli). Quindi, scegli il gruppo di utenti.
    Una policy collegata a un ruolo Selezionare Roles (Ruoli) nell'elenco Users, Groups, and Roles (Utenti, gruppi e ruoli). Selezionare il ruolo.
    Una policy collegata a una risorsa Per informazioni, consulta Passo 9.
    Una policy personalizzata per un utente, un gruppo di utenti o un ruolo Scegli Crea nuova policy. Nel riquadro nuovi criteri digitare o incollare un criterio e quindi scegliere Applica.
    Suggerimento

    Per testare una policy associata a un gruppo di utenti, puoi avviare il simulatore di IAM policy direttamente dalla IAMconsole: nel pannello di navigazione, scegli Gruppi di utenti. Selezionare il nome del gruppo sul quale si desidera testare una policy e selezionare la scheda Permissions (Autorizzazioni). Scegli Simula.

    Per testare una policy gestita dal cliente collegata a un utente: nel riquadro di navigazione, selezionare Users (Utenti). Selezionare il nome dell'utente sul quale si desidera testare la policy. Selezionare la scheda Permissions (Autorizzazioni) ed espandere la policy che si desidera testare. Più a destra, selezionare Simulate policy (Simula policy). Il IAMPolicy Simulator si apre in una nuova finestra e visualizza la politica selezionata nel riquadro Politiche.

  3. (Facoltativo) Se il tuo account è membro di un'organizzazione in AWS Organizations, seleziona la casella di controllo accanto AWS Organizations SCPsa per includerlo SCPs nella valutazione simulata. SCPssono JSON politiche che specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa (OU). I SCP limiti delle autorizzazioni per le entità negli account dei membri. Se un SCP blocca un servizio o un'azione, nessuna entità in quell'account può accedere a quel servizio o eseguire quell'azione. Ciò è vero anche se un amministratore concede esplicitamente le autorizzazioni a quel servizio o azione tramite una politica di risorse IAM o.

    Se l'account non è un membro di un'organizzazione, la casella di controllo non viene visualizzata.

  4. (Facoltativo) È possibile testare una politica impostata come limite di autorizzazioni per un'IAMentità (utente o ruolo), ma non per i gruppi. IAM Se un criterio limite delle autorizzazioni è attualmente impostato per l'entità, verrà visualizzato nel riquadro Criteri . È possibile impostare solo un limite delle autorizzazioni per un'entità. Per testare un limite di autorizzazioni diverso, è possibile creare un limite di autorizzazioni personalizzato. A tale scopo, scegliere Crea nuovo criterio. Viene aperto un nuovo riquadro Criteri . Nel menu, scegli Custom IAM Permissions Boundary Policy. Immettere un nome per il nuovo criterio e digitare o copiare un criterio nello spazio sottostante. Scegliere Applica per salvare il criterio. Quindi, scegliere Indietro per tornare al riquadro Criteri originale. Seleziona quindi la casella di controllo accanto al limite delle autorizzazioni che desideri utilizzare per la simulazione.

  5. (Facoltativo) Puoi eseguire il test solo di un sottoinsieme di policy collegate a un utente, un gruppo di utenti o un ruolo. A tale scopo, nel riquadro Criteri deselezionare la casella di controllo accanto a ciascun criterio che si desidera escludere.

  6. In Policy Simulator (Simulatore di policy), selezionare Select service (Seleziona servizio) e scegliere il servizio da testare. Selezionare Select actions (Seleziona operazioni) e scegliere una o più operazioni da testare. Sebbene i menu mostrino le opzioni disponibili per un solo servizio alla volta, tutti i servizi e le operazioni selezionati vengono visualizzati in Action Settings and Results (Impostazioni e risultati operazione).

  7. (Facoltativo) Se una delle policy che scegli in Passo 2 e Passo 5 include condizioni con le chiavi della condizione globale di AWS, devi fornire i valori per tali chiavi. È possibile eseguire questa operazione espandendo la sezione Global Settings (Impostazioni globali) e digitando i valori per i nomi chiave visualizzati.

    avvertimento

    Se si lascia il valore di una condizione chiave vuoto, tale chiave viene ignorata durante la simulazione. In alcuni casi, questo genera un errore e non è possibile eseguire la simulazione. In altri casi, la simulazione viene eseguita, ma i risultati possono non essere affidabili. In questi casi, la simulazione non corrisponde alle condizioni reali che includono un valore per la chiave o la variabile della condizione.

  8. (Facoltativo) Ogni operazione selezionata viene mostrata nell'elenco Action Settings and Results (Impostazioni e risultati operazione) con Not simulated (Non simulata) nella colonna Permission (Autorizzazione) finché effettivamente la simulazione non viene eseguita. Prima di eseguire la simulazione, è possibile configurare ciascuna operazione con una risorsa. Per configurare le operazioni individuali per un determinato scenario, selezionare la freccia per espandere la riga dell'operazione. Se l'azione supporta le autorizzazioni a livello di risorsa, puoi digitare l'Amazon Resource Name (ARN) della risorsa specifica di cui desideri testare l'accesso. Come impostazione predefinita, ogni risorsa è impostata su un carattere jolly (*). È anche possibile specificare un valore per qualsiasi chiave di contesto della condizione. Come indicato in precedenza, le chiavi con valori vuoti vengono ignorate, ciò può provocare errori di simulazione o risultati inaffidabili.

    1. Selezionare la freccia accanto al nome dell'operazione per espandere ogni riga e configurare qualsiasi informazioni aggiuntive necessarie per simulare accuratamente l'operazione nel proprio scenario. Se l'azione richiede autorizzazioni a livello di risorsa, puoi digitare l'Amazon Resource Name (ARN) della risorsa specifica a cui desideri simulare l'accesso. Come impostazione predefinita, ogni risorsa è impostata su un carattere jolly (*).

    2. Se l'operazione supporta autorizzazioni a livello di risorsa, ma non le richiede, è possibile selezionare Add Resource (Aggiungi risorsa) per selezionare il tipo di risorsa che si desidera aggiungere alla simulazione.

    3. Se nessuna delle policy selezionate include un elementoCondition che fa riferimento a una chiave contestuale per il servizio di questa operazione, tale nome della chiave è visualizzato sotto l'operazione. È possibile specificare il valore da utilizzare durante la simulazione di quell'operazione per la risorsa specificata.

    Operazioni che richiedono diversi gruppi di tipi di risorse

    Alcune operazioni richiedono diversi tipi di risorse in circostanze diverse. Ogni gruppo di tipi di risorse è associato a uno scenario. Se uno di questi si applica alla propria simulazione, selezionarlo e il simulatore richiederà i tipi di risorse appropriate per tale scenario. L'elenco seguente mostra ciascuna delle opzioni di scenari supportate e le risorse che è necessario definire per eseguire la simulazione.

    Ciascuno dei seguenti EC2 scenari Amazon richiede instance specifiche image e security-group risorse. Se lo scenario include un EBS volume, devi specificarlo volume come risorsa. Se lo EC2 scenario Amazon include un cloud privato virtuale (VPC), devi fornire la network-interface risorsa. Se include una sottorete IP, è necessario specificare la risorsa subnet. Per ulteriori informazioni sulle opzioni EC2 dello scenario Amazon, consulta Supported Platforms nella Amazon EC2 User Guide.

    • EC2-VPC-InstanceStore

      istanza, immagine, gruppo di sicurezza, interfaccia di rete

    • EC2- VPC - InstanceStore -Sottorete

      istanza, immagine, gruppo di sicurezza, interfaccia di rete, sottorete

    • EC2-VPC-EBS

      istanza, immagine, gruppo di sicurezza, interfaccia di rete, volume

    • EC2- - -Sottorete VPC EBS

      istanza, immagine, gruppo di sicurezza, interfaccia di rete, sottorete, volume

  9. (Facoltativo) Se si desidera includere una policy basate su risorse nella simulazione, è necessario selezionare le operazioni che si desidera simulare su quella risorsa Passo 6. Espandi le righe per le azioni selezionate e digita ARN la risorsa con una politica che desideri simulare. Quindi seleziona Includi politica delle risorse accanto alla casella di ARNtesto. Il simulatore di IAM policy attualmente supporta policy basate su risorse solo per i seguenti servizi: Amazon S3 (solo policy basate sulle risorse; ACLs attualmente non sono supportate), Amazon, SQS Amazon SNS e vault S3 Glacier sbloccati (gli archivi bloccati non sono attualmente supportati).

  10. Selezionare Run Simulation (Esegui simulazione) nell'angolo in alto a destra.

    La colonna Permission (Autorizzazione) in ogni riga di Action Settings e Results (Impostazioni e risultati operazione) visualizza il risultato di simulazione di tale operazione nella risorsa specificata.

  11. Per vedere quale dichiarazione di una policy ha esplicitamente consentito o negato un'azione, scegli N link alle affermazioni corrispondenti nella colonna Autorizzazioni per espandere la riga. Selezionare il collegamento Show statement (Mostra istruzione). Il riquadro Policies (Policy) mostra la policy rilevante con l'istruzione che ha interessato i risultati della simulazione evidenziata.

    Nota

    Se un'operazione è implicitamente rifiutata: ovvero, se l'operazione è rifiutata solo perché non è consentito in modo esplicito; le opzioni Elenco e Mostra istruzione non vengono visualizzate.

Risoluzione dei problemi relativi ai IAM messaggi della console Policy Simulator

La tabella seguente elenca i messaggi informativi e di avviso che potrebbero verificarsi quando si utilizza il simulatore di IAM politiche. La tabella fornisce inoltre una procedura per risolverli.

Messaggio Procedura per la risoluzione
Questa policy è stata modificata. Le modifiche non saranno salvate al tuo account.

Nessuna operazione necessaria.

Questo messaggio è informativo. Se modifichi una politica esistente nel simulatore di IAM politiche, la modifica non influirà sulla tua. Account AWS Il simulatore di policy consente di modificare le policy solo a scopo di test.
Impossibile ottenere le policy delle risorse. Motivo: detailed error message Il simulatore di policy non è in grado di accedere a una policy basata sulle risorse necessaria. Assicurati che la risorsa specificata ARN sia corretta e che l'utente che esegue la simulazione sia autorizzato a leggere la politica della risorsa.
Una o più policy richiedono valori nelle impostazioni della simulazione. La simulazione potrebbe non riuscire senza questi valori.

Questo messaggio viene visualizzato se la policy che si sta testando contiene variabili o chiavi di condizione, ma non sono stati forniti valori per queste chiavi o variabili in Simulation Settings (Impostazioni simulazione).

Per chiudere questo messaggio, selezionare Impostazioni simulazione e digitare un valore per ogni variabile o chiave della condizione.
Sono state modificate delle policy. Questi risultati non sono più validi.

Questo messaggio viene visualizzato se si modifica la policy selezionata mentre i risultati sono visualizzati nel riquadro Results (Risultati). I risultati illustrati nel riquadro Results (Risultati) non sono aggiornati dinamicamente.

Per chiudere questo messaggio, selezionare nuovamente Run Simulation (Esegui simulazione) per visualizzare i nuovi risultati di simulazione in base alle modifiche apportate nel riquadro Policies (Policy).
La risorsa digitata per questa simulazione non corrisponde a questo servizio.

Questo messaggio viene visualizzato se hai digitato un Amazon Resource Name (ARN) nel riquadro Impostazioni di simulazione che non corrisponde al servizio che hai scelto per la simulazione corrente. Ad esempio, questo messaggio viene visualizzato se specifichi un ARN per una risorsa Amazon DynamoDB ma hai scelto Amazon Redshift come servizio da simulare.

Per chiudere questo messaggio, procedere in uno dei seguenti modi:

  • Rimuovi l'icona ARN dalla casella nel riquadro Impostazioni di simulazione.

  • Scegli il servizio che corrisponde a ARN quello specificato nelle Impostazioni di simulazione.
Questa azione appartiene a un servizio che supporta meccanismi speciali di controllo degli accessi oltre a politiche basate sulle risorse, come le politiche di blocco del vault di Amazon S3 ACLs o S3 Glacier. Il simulatore di policy non supporta questi meccanismi, perciò i risultati possono variare in base all'ambiente di produzione.

Nessuna operazione necessaria.

Questo messaggio è informativo. Nella versione attuale, il simulatore di policy valuta le policy associate a utenti e IAM gruppi e può valutare le policy basate sulle risorse per Amazon S3, Amazon, SQS SNS Amazon e S3 Glacier. Il simulatore di policy non supporta tutti i meccanismi di controllo degli accessi supportati da altri servizi AWS .
FGACDynamoDB al momento non è supportato.

Nessuna operazione necessaria.

Questo messaggio informativo si riferisce a un controllo granulare degli accessi. Il controllo granulare degli accessi è la capacità di utilizzare le condizioni delle IAM policy per determinare chi può accedere ai singoli elementi di dati e attributi nelle tabelle e negli indici DynamoDB. Si riferisce anche alle azioni che possono essere eseguite su queste tabelle e indici. La versione attuale del simulatore di IAM policy non supporta questo tipo di condizione politica. Per ulteriori informazioni sul controllo granulare degli accessi a DynamoDB, consulta Controllo granulare degli accessi per DynamoDB.
Si dispone di policy che non rispettano la sintassi della policy. È possibile utilizzare il validatore della policy per rivedere gli aggiornamenti consigliati per le policy.

Questo messaggio viene visualizzato in cima all'elenco delle politiche se sono presenti politiche che non sono conformi alla grammatica delle IAM politiche. Per simulare queste policy, consultare le opzioni di convalida delle policy all'indirizzo IAMconvalida delle politiche per identificare e correggere le policy.
Questa policy deve essere aggiornata per essere conforme alle regole più recenti della sintassi della policy.

Questo messaggio viene visualizzato se sono presenti politiche che non sono conformi alla grammatica delle IAM politiche. Per simulare queste policy, consultare le opzioni di convalida delle policy all'indirizzo IAMconvalida delle politiche per identificare e correggere le policy.

Utilizzo del simulatore IAM di politiche (AWS CLI e) AWS API

I comandi del simulatore di policy richiedono in genere che API le operazioni di chiamata eseguano due operazioni:

  1. Valutare le policy e restituire l'elenco delle chiavi di contesto alle quali fanno riferimento. È necessario sapere a quali chiavi contestuali viene fatto riferimento in modo da potervi fornire valori nella fase successiva.

  2. Simulare le policy, fornendo un elenco di operazioni, risorse e chiavi di contesto utilizzate durante la simulazione.

Per motivi di sicurezza, le API operazioni sono state suddivise in due gruppi:

In entrambi i casi, le API operazioni simulano l'effetto di una o più politiche su un elenco di azioni e risorse. Ogni operazione è associata a ciascuna risorsa e la simulazione determina se le policy permettono o negano l'operazione per quella risorsa. È anche possibile fornire i valori per chiavi di contesto alle quali fanno riferimento le policy. È possibile ottenere l'elenco delle chiavi di contesto alle quali fanno riferimento le policy chiamando prima GetContextKeysForCustomPolicy o GetContextKeysForPrincipalPolicy. Se non si fornisce un valore per una chiave di contesto, la simulazione viene ancora eseguita. Tuttavia, i risultati potrebbero non essere affidabili, perché il simulatore non può includere quella chiave di contesto nella valutazione.

Per ottenere l'elenco delle chiavi contestuali (AWS CLI, AWS API)

Utilizzare quanto segue per valutare un elenco di policy e restituire un elenco di chiavi di contesto utilizzate nella policy.

Per simulare IAM le politiche (AWS CLI, AWS API)

Utilizzate quanto segue per simulare IAM le politiche per determinare le autorizzazioni effettive di un utente.