Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Riepilogo della policy (elenco di servizi)
Le policy sono riassunte in tre tabelle: riepilogo della policy, riepilogo del servizio e riepilogo dell'operazione. La tabella riepilogo della policy include un elenco di servizi e riepiloghi delle autorizzazioni definite dalla policy scelta.
La tabella di riepilogo della policy è raggruppata in una o più sezioni: Uncategorized services (Servizi non categorizzati), Explicit deny (Rifiuto esplicito) e Allow (Permetti). Se la policy include un servizio che IAM non riconosce, il servizio viene incluso nella sezione Servizi non categorizzati della tabella. Se IAM riconosce il servizio, viene incluso nelle sezioni Rifiuto esplicito o Permetti della tabella, a seconda dell'effetto della policy (Deny o Allow).
Comprendere gli elementi del riepilogo di una policy
Nel seguente esempio di pagina dei dettagli di una policy, la policy SummaryAllElements è una policy gestita (policy gestita dal cliente) collegata direttamente all'utente. Questa policy è espansa per visualizzare il riepilogo della policy.
Nell'immagine precedente, il riepilogo della policy è visibile all'interno della pagina Policy:
-
La scheda Autorizzazioni include le autorizzazioni definite nella policy.
-
Se la policy non concede le autorizzazioni a tutte le operazioni, risorse e condizioni definite per il servizio nella policy, viene visualizzato un banner di avviso o errore nella parte superiore della pagina. Il riepilogo della policy include i dettagli sul problema. Per ulteriori informazioni su come i riepiloghi della policy aiutano a capire e risolvere i problemi delle autorizzazioni che la policy concede, consultare La policy non concede le autorizzazioni previste.
-
Utilizza i pulsanti Riepilogo e JSON per passare tra il riepilogo della policy e il documento della policy JSON.
-
Utilizza la casella Cerca per ridurre l'elenco dei servizi e trovare un servizio specifico.
-
La visualizzazione espansa mostra ulteriori dettagli della policy SummaryAllElements.
La seguente immagine della tabella di riepilogo della policy mostra la policy SummaryAllElements espansa nella pagina dei dettagli della policy.
Nell'immagine precedente, il riepilogo della policy è visibile all'interno della pagina Policy:
-
Per i servizi riconosciuti, IAM li organizza in base al fatto che la policy permetta o rifiuti esplicitamente l'utilizzo del servizio. In questo esempio, la policy include una istruzione
Denyper il servizio Amazon S3 e le istruzioniAllowper i servizi di fatturazione, CodeDeploy e Amazon EC2. -
Servizio: questa colonna riporta i servizi definiti all'interno della policy e fornisce i dettagli per ciascun servizio. Ogni nome di servizio nella tabella di riepilogo della policy è un collegamento alla tabella di riepilogo del servizio illustrata in Riepilogo del servizio (elenco di operazioni). In questo esempio, le autorizzazioni sono definite per i servizi Amazon S3, fatturazione, CodeDeploy e Amazon EC2.
-
Livello di accesso: questa colonna indica se le operazioni di ciascun livello di accesso (
List,Read,Write,Permission ManagementeTagging) dispongono dell'autorizzazioneFulloLimiteddefinita nella policy. Per ulteriori informazioni ed esempi del riepilogo del livello di accesso, consultare Livelli di accesso nei riepiloghi delle policy.-
Accesso completo: questa voce indica che il servizio ha accesso a tutte le operazioni entro tutti e quattro i livelli di accesso disponibili per il servizio.
-
Se la voce non include Full access (Accesso completo), il servizio ha accesso ad alcune ma non tutte le operazioni per il servizio. L'accesso viene quindi definito dalle seguenti descrizioni per ciascuna delle classificazioni a livello di accesso (
List,Read,Write,Permission ManagementeTagging):Full (Completo): la policy consente l'accesso a tutte le operazioni all'interno di ciascuna classificazione del livello di accesso elencata. In questo esempio, la policy consente l'accesso a tutte le operazioni
Readdi fatturazione.Limited (Limitato): la policy consente l'accesso a una o più operazioni all'interno di ciascuna classificazione del livello di accesso elencata, ma non a tutte. In questo esempio, la policy consente l'accesso ad alcune operazioni
Writedi fatturazione.
-
-
Risorsa: questa colonna mostra le risorse che la policy specifica per ogni servizio.
-
Multiple: la policy include più di una ma non tutte le risorse all'interno del servizio. In questo esempio, l'accesso viene rifiutato esplicitamente a più di una risorsa Amazon S3.
-
Tutte le risorse: la policy è definita per tutte le risorse all'interno del servizio. In questo esempio, la policy permette di eseguire le operazioni elencate per tutte le risorse di fatturazione.
-
Testo della risorsa: la policy include una risorsa all'interno del servizio. In questo esempio, le operazioni elencate sono consentite solo nella risorsa CodeDeploy
DeploymentGroupName. A seconda delle informazioni che il servizio fornisce a IAM, è possibile che venga visualizzato un ARN o il tipo di risorsa definita.Nota
Questa colonna può includere una risorsa da un altro servizio. Se l'istruzione di policy che include la risorsa non include entrambe le operazioni e risorse dallo stesso servizio, la policy include le risorse non corrispondenti. IAM non visualizza avvisi per le risorse non corrispondenti al momento della creazione di una policy o della visualizzazione di una policy nel riepilogo della policy. Se questa colonna include una risorsa non corrispondente, è necessario verificare se ci sono errori nella policy. Per verificare meglio le policy, eseguire sempre un test tramite il simulatore di policy.
-
-
Condizioni richiesta: questa colonna indica se i servizi o le operazioni associati alla risorsa sono soggetti a condizioni.
-
Nessuna: la policy non include condizioni per il servizio. In questo esempio non vengono applicate condizioni alle operazioni rifiutate nel servizio Amazon S3.
-
Testo della condizione: la policy include una condizione per il servizio. In questo esempio, le operazioni di Fatturazione elencate sono consentite solo se l'indirizzo IP di origine corrisponde a
203.0.113.0/24. -
Multiple: la policy include più di una condizione per il servizio. Per visualizzare tutte le condizioni multiple per la policy, seleziona JSON per visualizzare il documento della policy.
-
-
Mostra servizi rimanenti: attiva/disattiva questo pulsante per espandere la tabella e includere i servizi che non sono definiti dalla policy. Questi servizi vengono rifiutati implicitamente (o rifiutati per impostazione predefinita) all'interno della policy. Tuttavia, un'istruzione in un'altra policy potrebbe permettere o rifiutare esplicitamente l'utilizzo del servizio. Il riepilogo della policy fornisce un elenco delle autorizzazioni di una singola policy. Per informazioni sul modo in cui il servizio AWS stabilisce se una determinata richiesta deve essere permessa o rifiutata, consultare Logica di valutazione delle policy.
Quando una policy o un elemento all'interno della policy non concede autorizzazioni, IAM vengono forniti ulteriori avvisi e informazioni nel riepilogo della policy. La seguente tabella di riepilogo della policy mostra l'opzione Mostra servizi rimanenti espansa nella pagina dei dettagli della policy SummaryAllElements con i possibili avvisi.
Nell'immagine precedente, è possibile visualizzare tutti i servizi che includono operazioni, risorse o condizioni definite senza autorizzazioni.
-
Avvisi risorse: per i servizi che non forniscono autorizzazioni per tutte le operazioni o risorse incluse, viene visualizzato uno dei seguenti avvisi nella colonna Risorsa della tabella:
-
No resources are defined (Nessuna risorsa definita) : indica che il servizio ha definito le operazioni, ma nessuna risorsa supportata è inclusa nella policy.
-
One or more actions do not have an applicable resource (Una o più operazioni non hanno una risorsa applicabile) : indica che il servizio ha definito le operazioni, ma che alcune di esse non hanno una risorsa supportata.
-
One or more resources do not have an applicable action (Una o più risorse non hanno un'operazione applicabile) : indica che il servizio ha definito le risorse, ma che alcune di esse non hanno un'operazione di supporto.
Se un servizio include sia operazioni senza una risorsa applicabile sia risorse con una risorsa applicabile, viene visualizzato solo l'avviso Una o più risorse non hanno un'operazione applicabile. Questo perché quando si visualizza il riepilogo del servizio per il servizio, le risorse che non si applicano a nessuna operazione non vengono visualizzate. Per l'operazione
ListAllMyBuckets, questa policy include l'ultimo avvertimento perché l'operazione non supporta le autorizzazioni a livello di risorsa e non supporta la chiave di condiziones3:x-amz-acl. Se si risolve il problema della risorsa o della condizione, il problema rimanente appare in un avviso dettagliato. -
-
Avvisi di condizione richiesta: per i servizi che non forniscono autorizzazioni per tutte le condizioni incluse, viene visualizzato uno dei seguenti avvisi nella colonna Condizione richiesta della tabella:
-
One or more actions do not have an applicable condition (Una o più operazioni non hanno una condizione applicabile) : indica che il servizio ha definito le operazioni, ma che alcune di esse non hanno una condizione supportata.
-
One or more conditions do not have an applicable action (Una o più condizioni non hanno un'operazione applicabile) : indica che il servizio ha definito le condizioni, ma che alcune di esse non hanno un'operazione di supporto.
-
-
Multiple |
One or more actions do not have an applicable resource (Multiple | Una o più operazioni non hanno una risorsa applicabile). : l'istruzione Denyper Amazon S3 include più di una risorsa. Include anche più di un'operazione e alcune operazioni supportano le risorse, altre no. Per visualizzare questa policy, consulta Documento di policy JSON SummaryAllElements. In questo caso, la policy include tutte le operazioni Amazon S3 e vengono rifiutate solo le operazioni che possono essere eseguite per un oggetto bucket o un bucket. -
Nessuna risorsa definita: il servizio ha definito le operazioni, ma nella policy non sono incluse risorse supportate e pertanto il servizio non fornisce autorizzazioni. In questo caso, la policy include operazioni CodeCommit, ma nessuna risorsa CodeCommit.
-
DeploymentGroupName | string like | All, region | string like | us-west-2 |
Una o più operazioni non hanno una risorsa applicabile. : il servizio dispone di una operazione definita e di almeno un'altra operazione senza una risorsa di supporto. -
Nessuna |
Una o più condizioni non hanno un'operazione applicabile. : il servizio dispone almeno di una chiave di condizione che non ha un'operazione di supporto.
Documento di policy JSON SummaryAllElements
La policy SummaryAllElements non è destinata a essere utilizzata per definire autorizzazioni nell'account. Al contrario, è inclusa per dimostrare gli errori e gli avvisi che possono verificarsi durante la visualizzazione di una policy di riepilogo.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"billing:Get*",
"payments:List*",
"payments:Update*",
"account:Get*",
"account:List*",
"cur:GetUsage*"
],
"Resource": [
"*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": "203.0.113.0/24"
}
}
},
{
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::customer",
"arn:aws:s3:::customer/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:GetConsoleScreenshots"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"codedploy:*",
"codecommit:*"
],
"Resource": [
"arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*",
"arn:aws:codebuild:us-east-1:123456789012:project/my-demo-project"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:DeletObject",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:autoscling:us-east-2:123456789012:autoscalgrp"
],
"Condition": {
"StringEquals": {
"s3:x-amz-acl": [
"public-read"
],
"s3:prefix": [
"custom",
"other"
]
}
}
}
]
}