Casi d'uso di business per IAM - AWS Identity and Access Management
Configurazione iniziale di Example CorpCaso d'uso per IAM con Amazon EC2Caso d'uso per IAM con Amazon S3

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Casi d'uso di business per IAM

Un caso d'uso di business semplice per IAM può aiutare a comprendere le modalità di base che è possibile utilizzare per implementare il servizio per controllare l'accesso AWS che hanno gli utenti. Il caso d'uso viene descritto in termini generali, senza i meccanismi del modo in cui si desidera utilizzare l'API IAM per ottenere i risultati desiderati.

Questo caso d'uso esamina due modi tipici in cui un'azienda fittizia chiamata Example Corp può utilizzare IAM. Il primo scenario considera Amazon Elastic Compute Cloud (Amazon EC2). Il secondo considera Amazon Simple Storage Service (Amazon S3).

Per ulteriori informazioni sull'utilizzo di IAM con altri servizi da AWS, consulta AWS servizi che funzionano con IAM.

Configurazione iniziale di Example Corp

Nikki Wolf e Mateo Jackson sono i fondatori di Example Corp. Dopo aver avviato l'azienda, creano un Account AWS e configurano AWS IAM Identity Center (Centro identità IAM) per creare account amministrativi da utilizzare con le loro risorse AWS. Quando si configura l'accesso all'account per l'utente amministrativo, il Centro identità IAM crea un ruolo IAM corrispondente. Questo ruolo, controllato dal Centro identità IAM, viene creato nell'Account AWS pertinente e le policy specificate nel set di autorizzazioni AdministratorAccess sono collegate al ruolo.

Poiché ora dispongono di account di amministratore, Nikki e Mateo non devono più utilizzare il proprio utente root per accedere all'Account AWS. Pianificano l'uso dell'utente root solo per completare le attività che possono essere eseguite soltanto dall'utente root. Dopo aver esaminato le best practice di sicurezza, configurano l'autenticazione a più fattori MFA per le credenziali dell'utente root e decidono come proteggere tali credenziali.

Man mano che l'azienda cresce, assume dipendenti che lavorano come sviluppatori, amministratori, tester, manager e amministratori di sistema. Nikki è responsabile delle operazioni, mentre Mateo gestisce i team di ingegneria. Hanno creato un server di dominio Active Directory per gestire gli account dei dipendenti e gestire l'accesso alle risorse interne dell'azienda.

Per consentire ai dipendenti di accedere alle risorse AWS, utilizzano il Centro identità IAM per connettere l'Active Directory dell'azienda al proprio Account AWS.

Poiché hanno collegato Active Directory al Centro identità IAM, gli utenti, il gruppo e l'appartenenza al gruppo vengono sincronizzati e definiti. Devono assegnare set di autorizzazioni e ruoli ai diversi gruppi per fornire agli utenti il livello corretto di accesso alle risorse AWS. Utilizzano AWS politiche gestite per le funzioni lavorative nella AWS Management Console per creare questi set di autorizzazioni:

  • Amministratore

  • Fatturazione

  • Sviluppatori

  • Amministratori di rete

  • Amministratori di database

  • Amministratori di sistema

  • Utenti del gruppo Supporto

Quindi assegnano i set di autorizzazioni ai ruoli assegnati ai rispettivi gruppi di Active Directory.

Per una guida dettagliata che descrive la configurazione iniziale del Centro identità IAM, consulta Nozioni di base nella Guida per l'utente di AWS IAM Identity Center. Per ulteriori informazioni sul provisioning dell'accesso utente del Centro identità IAM, consulta Accesso Single Sign-on agli account AWS nella Guida per l'utente di AWS IAM Identity Center.

Caso d'uso per IAM con Amazon EC2

Un'azienda come Example Corp normalmente utilizza IAM per interagire con servizi come Amazon EC2. Per capire questa parte del caso d'uso, è necessaria una conoscenza di base di Amazon EC2. Per ulteriori informazioni su Amazon EC2, consulta la Guida per l'utente di Amazon EC2.

Autorizzazioni Amazon EC2 per i gruppi di utenti

Per offrire controllo del "perimetro", Nikki collega una policy al gruppo di utenti AllUsers. Questa policy nega qualsiasi richiesta AWS da un utente se l'indirizzo IP di origine è fuori dalla rete aziendale di Example Corp.

Presso Example Corp, diversi gruppi IAM richiedono autorizzazioni diverse:

  • Amministratori di sistema: è necessaria l'autorizzazione per creare e gestire le AMI, le istanze, gli snapshot, i volumi, i gruppi di sicurezza e così via. Nikki collega la policy gestita da AWS AmazonEC2FullAccess al gruppo di utenti Amministratori di sistema che concede ai membri del gruppo l'autorizzazione per utilizzare tutte le operazioni Amazon EC2.

  • Sviluppatori: è necessaria la possibilità di collaborare solo con le istanze. Mateo quindi crea e collega una policy al gruppo di utenti Sviluppatori che consente agli sviluppatori di chiamare DescribeInstances, RunInstances, StopInstances, StartInstances e TerminateInstances.

    Nota

    Amazon EC2 utilizza chiavi SSH, password Windows e gruppi di sicurezza per controllare chi ha accesso al sistema operativo di istanze Amazon EC2 specifiche. Non esiste un metodo nel sistema IAM per consentire o rifiutare l'accesso al sistema operativo di una determinata istanza.

  • Utenti del gruppo Supporto: non devono essere in grado di eseguire operazioni Amazon EC2 eccetto elencare risorse Amazon EC2 correntemente disponibili. Pertanto, Nikki crea e collega una policy al gruppo di utenti Supporto che consente di chiamare solo le operazioni API "Describe" di Amazon EC2.

Per esempi della struttura probabile di queste policy, consulta Esempi di policy basate su identità IAM e Utilizzo di AWS Identity and Access Management nella Guida per l'utente di Amazon EC2.

Modifica della funzione lavorativa dell'utente

A un certo punto, uno degli sviluppatori, Paulo Santos, cambia le funzioni lavorative e diventa un responsabile. In qualità di responsabile, Paulo entra a far parte del gruppo di utenti Supporto in modo da poter aprire casi di supporto per i suoi sviluppatori. Mateo sposta Paulo dal gruppo di utenti Sviluppatori al gruppo di utenti Supporto. Come risultato di questa mossa, la sua possibilità di interagire con le istanze Amazon EC2 è limitata. Non può avviare istanze. Inoltre, non può arrestare o terminare le istanze esistenti, anche se era l'utente che ha avviato l'istanza. Può elencare solo le istanze che gli utenti di Example Corp hanno lanciato.

Caso d'uso per IAM con Amazon S3

Le aziende come Example Corp in genere utilizzano IAM anche con Amazon S3. John ha creato un bucket Amazon S3 per l'azienda chiamato amzn-s3-demo-bucket.

Creazione di altri utenti e gruppi di utenti

Come dipendenti, Zhang Wei e Mary Major devono essere in grado di creare i propri dati nel bucket dell'azienda. Devono anche leggere e scrivere dati condivisi sui quali lavorano tutti gli sviluppatori. Per farlo, Mateo dispone logicamente i dati in amzn-s3-demo-bucket utilizzando uno schema di prefisso della chiave Amazon S3 come illustrato nella seguente figura.

/amzn-s3-demo-bucket
    /home
        /zhang
        /major
    /share
        /developers
        /managers

Mateo divide il /amzn-s3-demo-bucket in un set di directory principali per ogni dipendente e un'area condivisa per gruppi di sviluppatori e responsabili.

A questo punto Mateo crea un set di policy per assegnare le autorizzazioni agli utenti e ai gruppi di utenti:

  • Accesso alla directory principale per Zhang: Mateo collega una policy a Wei che gli permette di leggere, scrivere ed elencare tutti gli oggetti con il prefisso della chiave Amazon S3 /amzn-s3-demo-bucket/home/zhang/

  • Accesso alla directory principale per Major: Mateo collega una policy a Mary che le permette di leggere, scrivere ed elencare tutti gli oggetti con il prefisso della chiave Amazon S3 /amzn-s3-demo-bucket/home/major/

  • Accesso alla directory condivisa per il gruppo di utenti Sviluppatori: Mateo collega una policy al gruppo di utenti che consente agli sviluppatori di leggere, scrivere ed elencare qualsiasi oggetto in /amzn-s3-demo-bucket/share/developers/

  • Accesso alla directory condivisa per il gruppo di utenti Responsabili: Mateo collega una policy al gruppo di utenti che consente ai responsabili di leggere, scrivere ed elencare qualsiasi oggetto in /amzn-s3-demo-bucket/share/managers/

Nota

Amazon S3 non fornisce automaticamente l'autorizzazione a un utente che crea un bucket o un oggetto di eseguire altre operazioni su quell'oggetto o bucket. Pertanto, nelle policy IAM è necessario fornire esplicitamente agli utenti l'autorizzazione per utilizzare le risorse Amazon S3 che creano.

Per esempi della probabile struttura di queste policy, consulta Controllo accessi nella Guida per l'utente di Amazon Simple Storage Service. Per informazioni su come le policy vengono valutate in fase di runtime, consulta Logica di valutazione delle policy.

Modifica della funzione lavorativa dell'utente

A un certo punto, uno degli sviluppatori, Zhang Wei, cambia le funzioni lavorative e diventa un responsabile. Si presuppone che non abbia più bisogno di accedere ai documenti nella directory share/developers. Mateo, come amministratore, sposta Wei nel gruppo di utenti Managers e lo rimuove dal gruppo Developers. Con quella semplice riassegnazione, Wei ottiene automaticamente tutte le autorizzazioni concesse al gruppo di utenti Managers, ma non è più in grado di accedere a dati nella directory share/developers.

Integrazione con un business di terze parti

Le organizzazioni spesso lavorano con aziende partner, consulenti e appaltatori. Example Corp ha un partner che si chiama Widget Company e un dipendente di Widget Company che si chiama Shirley Rodriguez deve inserire dati in un bucket perché siano utilizzati da Example Corp. Nikki crea un gruppo di utenti chiamato WidgetCo e un utente chiamato Shirley e aggiunge Shirley al gruppo WidgetCo. Nikki crea anche un bucket speciale per Shirley chiamato amzn-s3-demo-bucket1.

Nikki aggiorna le policy esistenti o ne aggiunge di nuove per aiutare l'azienda partner Widget Company. Ad esempio, Nikki può creare una nuova policy che rifiuta ai membri del gruppo di utenti WidgetCo la possibilità di usare qualsiasi operazione eccetto la scrittura. Questa policy è necessaria solo se è presente una policy ampia che offre a tutti gli utenti l'accesso a un'ampia gamma di operazioni Amazon S3.