Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Generazione di una policy basata sull'attività di accesso

PDF
RSS
Modalità Focus
Generazione di una policy basata sull'attività di accesso - AWS Identity and Access Management
Per generare una policy basata sull'attività di accesso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Puoi utilizzare l'attività di accesso registrata AWS CloudTrail per un utente o un ruolo IAM per fare in modo che IAM Access Analyzer generi una policy gestita dal cliente per consentire l'accesso solo ai servizi di cui hanno bisogno utenti e ruoli specifici.

Quando Sistema di analisi degli accessi IAM genera una policy IAM, vengono restituite informazioni che consentono di personalizzare ulteriormente la policy. Quando viene generata una policy, è possibile restituire due categorie di informazioni:

  • Policy con informazioni a livello di azione: per alcuni AWS servizi, come Amazon EC2, IAM Access Analyzer è in grado di identificare le azioni rilevate nei tuoi CloudTrail eventi ed elenca le azioni utilizzate nella policy che genera. Per un elenco dei servizi supportati, consulta Servizi di generazione di policy per Sistema di analisi degli accessi IAM. Per alcuni servizi, Sistema di analisi degli accessi IAM richiede l'aggiunta azioni per i servizi alla policy generata.

  • Policy con informazioni sui livelli di servizio – Sistema di analisi degli accessi IAM utilizza le informazioni relative all'ultimo accesso per creare un modello di policy con tutti i servizi utilizzati di recente. Quando utilizzi AWS Management Console, ti chiediamo di esaminare i servizi e aggiungere azioni per completare la policy.

Per generare una policy basata sull'attività di accesso

Nella procedura seguente ridurremo le autorizzazioni concesse a un ruolo in modo che corrispondano all'utilizzo di un utente. Quando scegli un utente, scegli un utente il cui utilizzo esemplifica il ruolo. Molti clienti configurano account utente di prova con PowerUserautorizzazioni e poi fanno eseguire loro una serie specifica di attività per un breve periodo di tempo per determinare quale accesso è necessario per eseguire tali attività,

classic IAM console

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console IAM, nel riquadro di navigazione a sinistra, inserisci la tua query nella casella di testo Search IAM.

  3. Nel riquadro di navigazione, seleziona Utenti, quindi seleziona l'utente per visualizzare i dettagli dell'utente.

  4. Nella scheda Autorizzazioni, in Genera policy based on CloudTrail events, seleziona Genera policy.

  5. Nella pagina Genera policy, configura i seguenti elementi:

    • Per Seleziona periodo di tempo, scegli Ultimi 7 giorni.

    • Per analizzare il CloudTrail percorso, seleziona la regione e il percorso in cui viene registrata l'attività di questo utente.

    • Scegli Crea e utilizza un nuovo ruolo di servizio.

  6. Scegli Genera policy, quindi attendi fino alla creazione del ruolo. Non aggiornare o uscire dalla pagina della console finché non viene visualizzato il messaggio di notifica Generazione della policy in corso.

  7. Dopo aver generato la politica, è necessario esaminarla e personalizzarla in base alle esigenze con l'account IDs e ARNs le risorse. Inoltre, la policy generata automaticamente potrebbe non includere le informazioni a livello di azione necessarie per completare la policy. Per ulteriori informazioni, consulta Generazione delle policy per Sistema di analisi degli accessi IAM.

    Ad esempio, puoi modificare la prima istruzione che include l'Alloweffetto e l'NotActionelemento per consentire solo le azioni di Amazon EC2 e Amazon S3. A tale scopo, sostituirla con l'istruzione con l'ID FullAccessToSomeServices. La nuova policy sarà simile alla seguente policy di esempio.

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Sid": "FullAccessToSomeServices",
          "Effect": "Allow",
          "Action": [
              "ec2:*",
              "s3:*"
          ],
          "Resource": "*"
      },
      {
          "Effect": "Allow",
          "Action": [
              "iam:CreateServiceLinkedRole",
              "iam:DeleteServiceLinkedRole",
              "iam:ListRoles",
              "organizations:DescribeOrganization"
          ],
          "Resource": "*"
      }
  ]
}

  8. Per supportare le best practice per assegnare privilegi minimi, rivedi e correggi eventuali errori, avvisi o suggerimenti restituiti durante la convalida delle policy.

  9. Per ridurre ulteriormente le autorizzazioni delle tue politiche per azioni e risorse specifiche, visualizza i tuoi eventi nella cronologia degli eventi. CloudTrail Qui è possibile visualizzare informazioni dettagliate sulle operazioni e risorse specifiche a cui l'utente ha effettuato l'accesso. Per ulteriori informazioni, consulta Visualizzazione CloudTrail degli eventi nella CloudTrail console nella Guida per l'AWS CloudTrail utente.

  10. Dopo aver esaminato e convalidato la policy, salvala con un nome descrittivo.

  11. Vai alla pagina Ruoli e scegli il ruolo che le persone assumeranno quando eseguiranno le attività consentite dalla nuova policy.

  12. Seleziona la scheda Autorizzazioni, scegli Aggiungi autorizzazioni, quindi seleziona Collega policy.

  13. Nella pagina Collega policy di autorizzazione, nell'elenco Altre policy di autorizzazione, seleziona la policy che hai creato, quindi scegli Collega policy.

  14. Si torna alla pagina dei dettagli del ruolo. Al ruolo sono associate due politiche, la politica AWS gestita precedente, ad esempio PowerUserAccess, e la nuova politica. Seleziona la casella di controllo per la politica AWS gestita, quindi scegli Rimuovi. Quando ti viene chiesto di confermare la rimozione, scegli Rimuovi.

Gli utenti IAM, gli utenti federati e i carichi di lavoro che assumono questo ruolo ora hanno un accesso ridotto in base alla nuova policy che hai creato.

AWS CLI

È possibile utilizzare i seguenti comandi per generare una policy utilizzando AWS CLI.

Per generare una policy
Per visualizzare una policy generata
Per annullare una richiesta di generazione di policy
Per visualizzare un elenco di richieste di generazione di policy
API

È possibile seguire le seguenti operazioni per generare una policy utilizzando l'API AWS .

Per generare una policy
Per visualizzare una policy generata
Per annullare una richiesta di generazione di policy
Per visualizzare un elenco di richieste di generazione di policy
anchoranchoranchor

  1. Segui la procedura di accesso appropriata al tuo tipo di utente, come descritto nell'argomento Come accedere ad AWS nella Guida per l'utente di AWS Sign-In.

  2. Nella home page della console IAM, nel riquadro di navigazione a sinistra, inserisci la tua query nella casella di testo Search IAM.

  3. Nel riquadro di navigazione, seleziona Utenti, quindi seleziona l'utente per visualizzare i dettagli dell'utente.

  4. Nella scheda Autorizzazioni, in Genera policy based on CloudTrail events, seleziona Genera policy.

  5. Nella pagina Genera policy, configura i seguenti elementi:

    • Per Seleziona periodo di tempo, scegli Ultimi 7 giorni.

    • Per analizzare il CloudTrail percorso, seleziona la regione e il percorso in cui viene registrata l'attività di questo utente.

    • Scegli Crea e utilizza un nuovo ruolo di servizio.

  6. Scegli Genera policy, quindi attendi fino alla creazione del ruolo. Non aggiornare o uscire dalla pagina della console finché non viene visualizzato il messaggio di notifica Generazione della policy in corso.

  7. Dopo aver generato la politica, è necessario esaminarla e personalizzarla in base alle esigenze con l'account IDs e ARNs le risorse. Inoltre, la policy generata automaticamente potrebbe non includere le informazioni a livello di azione necessarie per completare la policy. Per ulteriori informazioni, consulta Generazione delle policy per Sistema di analisi degli accessi IAM.

    Ad esempio, puoi modificare la prima istruzione che include l'Alloweffetto e l'NotActionelemento per consentire solo le azioni di Amazon EC2 e Amazon S3. A tale scopo, sostituirla con l'istruzione con l'ID FullAccessToSomeServices. La nuova policy sarà simile alla seguente policy di esempio.

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Sid": "FullAccessToSomeServices",
          "Effect": "Allow",
          "Action": [
              "ec2:*",
              "s3:*"
          ],
          "Resource": "*"
      },
      {
          "Effect": "Allow",
          "Action": [
              "iam:CreateServiceLinkedRole",
              "iam:DeleteServiceLinkedRole",
              "iam:ListRoles",
              "organizations:DescribeOrganization"
          ],
          "Resource": "*"
      }
  ]
}

  8. Per supportare le best practice per assegnare privilegi minimi, rivedi e correggi eventuali errori, avvisi o suggerimenti restituiti durante la convalida delle policy.

  9. Per ridurre ulteriormente le autorizzazioni delle tue politiche per azioni e risorse specifiche, visualizza i tuoi eventi nella cronologia degli eventi. CloudTrail Qui è possibile visualizzare informazioni dettagliate sulle operazioni e risorse specifiche a cui l'utente ha effettuato l'accesso. Per ulteriori informazioni, consulta Visualizzazione CloudTrail degli eventi nella CloudTrail console nella Guida per l'AWS CloudTrail utente.

  10. Dopo aver esaminato e convalidato la policy, salvala con un nome descrittivo.

  11. Vai alla pagina Ruoli e scegli il ruolo che le persone assumeranno quando eseguiranno le attività consentite dalla nuova policy.

  12. Seleziona la scheda Autorizzazioni, scegli Aggiungi autorizzazioni, quindi seleziona Collega policy.

  13. Nella pagina Collega policy di autorizzazione, nell'elenco Altre policy di autorizzazione, seleziona la policy che hai creato, quindi scegli Collega policy.

  14. Si torna alla pagina dei dettagli del ruolo. Al ruolo sono associate due politiche, la politica AWS gestita precedente, ad esempio PowerUserAccess, e la nuova politica. Seleziona la casella di controllo per la politica AWS gestita, quindi scegli Rimuovi. Quando ti viene chiesto di confermare la rimozione, scegli Rimuovi.

Gli utenti IAM, gli utenti federati e i carichi di lavoro che assumono questo ruolo ora hanno un accesso ridotto in base alla nuova policy che hai creato.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.