Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Riepilogo della policy (elenco di servizi)
Le policy sono riassunte in tre tabelle: riepilogo della policy, riepilogo del servizio e riepilogo dell'operazione. La tabella riepilogo della policy include un elenco di servizi e riepiloghi delle autorizzazioni definite dalla policy scelta.
La tabella di riepilogo della policy è raggruppata in una o più sezioni: Uncategorized services (Servizi non categorizzati), Explicit deny (Rifiuto esplicito) e Allow (Permetti). Se la politica include un servizio che IAM non riconosce, il servizio è incluso nella sezione Servizi non categorizzati della tabella. Se IAM riconosce il servizio, viene incluso nelle sezioni Explicit deny o Allow della tabella, a seconda dell'effetto della policy (o). Deny Allow
Comprendere gli elementi del riepilogo di una policy
Nell'esempio seguente di pagina dei dettagli di una policy, la SummaryAllElementspolicy è una policy gestita (policy gestita dal cliente) allegata direttamente all'utente. Questa policy è espansa per visualizzare il riepilogo della policy.
Nell'immagine precedente, il riepilogo della policy è visibile all'interno della pagina Policy:
-
La scheda Autorizzazioni include le autorizzazioni definite nella policy.
-
Se la policy non concede le autorizzazioni a tutte le operazioni, risorse e condizioni definite per il servizio nella policy, viene visualizzato un banner di avviso o errore nella parte superiore della pagina. Il riepilogo della policy include i dettagli sul problema. Per ulteriori informazioni su come i riepiloghi della policy aiutano a capire e risolvere i problemi delle autorizzazioni che la policy concede, consultare La policy non concede le autorizzazioni previste.
-
Utilizza il Riepilogo e JSONi pulsanti per passare dal riepilogo della politica al documento relativo alla JSON politica.
-
Utilizza la casella Cerca per ridurre l'elenco dei servizi e trovare un servizio specifico.
-
La visualizzazione estesa mostra ulteriori dettagli della SummaryAllElementspolitica.
La seguente immagine della tabella di riepilogo della politica mostra la SummaryAllElementspolitica estesa nella pagina dei dettagli della politica.
Nell'immagine precedente, il riepilogo della policy è visibile all'interno della pagina Policy:
-
Per i servizi che IAM riconoscono, organizza i servizi in base al fatto che la politica consenta o neghi esplicitamente l'uso del servizio. In questo esempio, la policy include una
Denydichiarazione per il servizio Amazon S3 eAllowdichiarazioni per la fatturazione CodeDeploy e i servizi Amazon. EC2 -
Servizio: questa colonna riporta i servizi definiti all'interno della policy e fornisce i dettagli per ciascun servizio. Ogni nome di servizio nella tabella di riepilogo della policy è un collegamento alla tabella di riepilogo del servizio illustrata in Riepilogo del servizio (elenco di operazioni). In questo esempio, vengono definite le autorizzazioni per i servizi Amazon S3, Billing CodeDeploy e Amazon. EC2
-
Livello di accesso: questa colonna indica se le operazioni di ciascun livello di accesso (
List,Read,Write,Permission ManagementeTagging) dispongono dell'autorizzazioneFulloLimiteddefinita nella policy. Per ulteriori informazioni ed esempi del riepilogo del livello di accesso, consultare Livelli di accesso nei riepiloghi delle policy.-
Accesso completo: questa voce indica che il servizio ha accesso a tutte le operazioni entro tutti e quattro i livelli di accesso disponibili per il servizio.
-
Se la voce non include Full access (Accesso completo), il servizio ha accesso ad alcune ma non tutte le operazioni per il servizio. L'accesso viene quindi definito dalle seguenti descrizioni per ciascuna delle classificazioni a livello di accesso (
List,Read,Write,Permission ManagementeTagging):Full (Completo): la policy consente l'accesso a tutte le operazioni all'interno di ciascuna classificazione del livello di accesso elencata. In questo esempio, la policy consente l'accesso a tutte le operazioni
Readdi fatturazione.Limited (Limitato): la policy consente l'accesso a una o più operazioni all'interno di ciascuna classificazione del livello di accesso elencata, ma non a tutte. In questo esempio, la policy consente l'accesso ad alcune operazioni
Writedi fatturazione.
-
-
Risorsa: questa colonna mostra le risorse che la policy specifica per ogni servizio.
-
Multiple: la policy include più di una ma non tutte le risorse all'interno del servizio. In questo esempio, l'accesso viene rifiutato esplicitamente a più di una risorsa Amazon S3.
-
Tutte le risorse: la policy è definita per tutte le risorse all'interno del servizio. In questo esempio, la policy permette di eseguire le operazioni elencate per tutte le risorse di fatturazione.
-
Testo della risorsa: la policy include una risorsa all'interno del servizio. In questo esempio, le azioni elencate sono consentite solo sulla risorsa.
DeploymentGroupNameCodeDeploy A seconda delle informazioni fornite dal servizioIAM, è possibile visualizzare un tipo di risorsa ARN o il tipo di risorsa definito.Nota
Questa colonna può includere una risorsa da un altro servizio. Se l'istruzione di policy che include la risorsa non include entrambe le operazioni e risorse dallo stesso servizio, la policy include le risorse non corrispondenti. IAMnon avvisa l'utente in caso di mancata corrispondenza delle risorse quando si crea una politica o quando si visualizza una politica nel riepilogo della politica. Se questa colonna include una risorsa non corrispondente, è necessario verificare se ci sono errori nella policy. Per verificare meglio le policy, eseguire sempre un test tramite il simulatore di policy.
-
-
Condizioni richiesta: questa colonna indica se i servizi o le operazioni associati alla risorsa sono soggetti a condizioni.
-
Nessuna: la policy non include condizioni per il servizio. In questo esempio non vengono applicate condizioni alle operazioni rifiutate nel servizio Amazon S3.
-
Testo della condizione: la policy include una condizione per il servizio. In questo esempio, le operazioni di Fatturazione elencate sono consentite solo se l'indirizzo IP di origine corrisponde a
203.0.113.0/24. -
Multiple: la policy include più di una condizione per il servizio. Per visualizzare ciascuna delle molteplici condizioni della politica, scegli di visualizzare il documento relativo JSONalla policy.
-
-
Mostra servizi rimanenti: attiva/disattiva questo pulsante per espandere la tabella e includere i servizi che non sono definiti dalla policy. Questi servizi vengono rifiutati implicitamente (o rifiutati per impostazione predefinita) all'interno della policy. Tuttavia, un'istruzione in un'altra policy potrebbe permettere o rifiutare esplicitamente l'utilizzo del servizio. Il riepilogo della policy fornisce un elenco delle autorizzazioni di una singola policy. Per saperne di più su come AWS il servizio decide se consentire o rifiutare una determinata richiesta, vediLogica di valutazione delle policy.
Quando una politica o un elemento all'interno della politica non concede le autorizzazioni, IAM fornisce avvisi e informazioni aggiuntivi nel riepilogo della politica. La seguente tabella di riepilogo delle politiche mostra la versione estesa Mostra i servizi rimanenti nella pagina dei dettagli della SummaryAllElementspolitica con i possibili avvisi.
Nell'immagine precedente, è possibile visualizzare tutti i servizi che includono operazioni, risorse o condizioni definite senza autorizzazioni.
-
Avvisi risorse: per i servizi che non forniscono autorizzazioni per tutte le operazioni o risorse incluse, viene visualizzato uno dei seguenti avvisi nella colonna Risorsa della tabella:
-
No resources are defined (Nessuna risorsa definita) : indica che il servizio ha definito le operazioni, ma nessuna risorsa supportata è inclusa nella policy.
-
One or more actions do not have an applicable resource (Una o più operazioni non hanno una risorsa applicabile) : indica che il servizio ha definito le operazioni, ma che alcune di esse non hanno una risorsa supportata.
-
One or more resources do not have an applicable action (Una o più risorse non hanno un'operazione applicabile) : indica che il servizio ha definito le risorse, ma che alcune di esse non hanno un'operazione di supporto.
Se un servizio include sia operazioni senza una risorsa applicabile sia risorse con una risorsa applicabile, viene visualizzato solo l'avviso Una o più risorse non hanno un'operazione applicabile. Questo perché quando si visualizza il riepilogo del servizio per il servizio, le risorse che non si applicano a nessuna operazione non vengono visualizzate. Per l'operazione
ListAllMyBuckets, questa policy include l'ultimo avvertimento perché l'operazione non supporta le autorizzazioni a livello di risorsa e non supporta la chiave di condiziones3:x-amz-acl. Se si risolve il problema della risorsa o della condizione, il problema rimanente appare in un avviso dettagliato. -
-
Avvisi di condizione richiesta: per i servizi che non forniscono autorizzazioni per tutte le condizioni incluse, viene visualizzato uno dei seguenti avvisi nella colonna Condizione richiesta della tabella:
-
One or more actions do not have an applicable condition (Una o più operazioni non hanno una condizione applicabile) : indica che il servizio ha definito le operazioni, ma che alcune di esse non hanno una condizione supportata.
-
One or more conditions do not have an applicable action (Una o più condizioni non hanno un'operazione applicabile) : indica che il servizio ha definito le condizioni, ma che alcune di esse non hanno un'operazione di supporto.
-
-
Multiple |
One or more actions do not have an applicable resource (Multiple | Una o più operazioni non hanno una risorsa applicabile). : l'istruzione Denyper Amazon S3 include più di una risorsa. Include anche più di un'operazione e alcune operazioni supportano le risorse, altre no. Per visualizzare questa policy, consulta SummaryAllElementsJSONdocumento politico. In questo caso, la policy include tutte le operazioni Amazon S3 e vengono rifiutate solo le operazioni che possono essere eseguite per un oggetto bucket o un bucket. -
Nessuna risorsa definita: il servizio ha definito le operazioni, ma nella policy non sono incluse risorse supportate e pertanto il servizio non fornisce autorizzazioni. In questo caso, la politica include CodeCommit azioni ma non CodeCommit risorse.
-
DeploymentGroupName | string like | All, region | string like | us-west-2
| Una o più azioni non hanno una risorsa applicabile. : il servizio dispone di una operazione definita e di almeno un'altra operazione senza una risorsa di supporto. -
Nessuna |
Una o più condizioni non hanno un'operazione applicabile. : il servizio dispone almeno di una chiave di condizione che non ha un'operazione di supporto.
SummaryAllElementsJSONdocumento politico
La SummaryAllElementspolitica non è pensata per essere utilizzata per definire le autorizzazioni nel proprio account. Al contrario, è inclusa per dimostrare gli errori e gli avvisi che possono verificarsi durante la visualizzazione di una policy di riepilogo.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"billing:Get*",
"payments:List*",
"payments:Update*",
"account:Get*",
"account:List*",
"cur:GetUsage*"
],
"Resource": [
"*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": "203.0.113.0/24"
}
}
},
{
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::customer",
"arn:aws:s3:::customer/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:GetConsoleScreenshots"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"codedploy:*",
"codecommit:*"
],
"Resource": [
"arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*",
"arn:aws:codebuild:us-east-1:123456789012:project/my-demo-project"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:DeletObject",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:autoscling:us-east-2:123456789012:autoscalgrp"
],
"Condition": {
"StringEquals": {
"s3:x-amz-acl": [
"public-read"
],
"s3:prefix": [
"custom",
"other"
]
}
}
}
]
}