Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Ruoli IAM

PDF
RSS
Modalità Focus
Ruoli IAM - AWS Identity and Access Management
Quando creare un utente IAM invece di un ruoloTermini e concetti dei ruoliRisorse aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Un ruolo IAM è un'identità IAM che puoi creare nel tuo account e che dispone di autorizzazioni specifiche. Un ruolo IAM è simile a un utente IAM, in quanto è un'identità AWS con policy di autorizzazioni che determinano ciò che l'identità può e non può fare in AWS. Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Inoltre, un ruolo non ha credenziali a lungo termine standard associate (password o chiavi di accesso). Tuttavia, quando assumi un ruolo, vengono fornite le credenziali di sicurezza provvisorie per la sessione del ruolo.

Puoi utilizzare i ruoli per delegare l'accesso a utenti, applicazioni o servizi che normalmente non hanno accesso alle tue AWS risorse. Ad esempio, potresti voler concedere agli utenti del tuo AWS account l'accesso a risorse che di solito non dispongono o concedere agli utenti di un account Account AWS l'accesso alle risorse di un altro account. Oppure potresti voler consentire a un'app mobile di utilizzare AWS le risorse, ma non incorporare AWS le chiavi all'interno dell'app (dove possono essere difficili da aggiornare e dove gli utenti possono potenzialmente estrarle). A volte si desidera AWS consentire l'accesso a utenti che hanno già identità definite all'esterno AWS, ad esempio nella directory aziendale. In alternativa, è possibile concedere l'accesso all'account a terze parti in modo che possano eseguire un controllo sulle proprie risorse.

Per questi scenari, puoi delegare l'accesso alle AWS risorse utilizzando un ruolo IAM. Questa sezione introduce i ruoli e i diversi modi in cui è possibile utilizzarli, quando e come selezionare gli approcci, come creare, gestire, cambiare (o assumere) ed eliminare i ruoli.

Nota

Quando crei il tuo per la prima volta Account AWS, per impostazione predefinita non viene creato alcun ruolo. Man mano che aggiungi servizi al tuo account, questi possono aggiungere ruoli collegati ai servizi per supportarne i casi d'uso.

Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un'azione per tuo conto. I ruoli collegati al servizio vengono visualizzati in Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non modificarle.

Prima di poter eliminare i ruoli collegati ai servizi, devi eliminare le risorse associate. Questa procedura protegge le risorse di perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.

Per informazioni su quali servizi supportano i ruoli collegati ai servizi, consulta la pagina AWS servizi che funzionano con IAM e cerca i servizi per cui è indicato nella colonna Ruolo collegato ai servizi. Scegli in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Argomenti

Quando creare un utente IAM invece di un ruolo

Ti consigliamo di utilizzare gli utenti IAM solo per casi d'uso non supportati dagli utenti federati. Alcuni dei casi d'uso sono i seguenti:

  • Carichi di lavoro che non possono utilizzare ruoli IAM: è possibile eseguire un carico di lavoro da una posizione che deve accedere a AWS. In alcune situazioni, non puoi utilizzare i ruoli IAM per fornire credenziali temporanee, ad esempio per i plugin. WordPress In queste situazioni, per autenticarti a AWS usa le chiavi di accesso a lungo termine dell'utente IAM per quel carico di lavoro.

  • AWS Client di terze parti: se utilizzi strumenti che non supportano l'accesso con IAM Identity Center, come AWS client o fornitori di terze parti che non sono ospitati su AWS, utilizza le chiavi di accesso a lungo termine degli utenti IAM.

  • AWS CodeCommit accesso: se utilizzi CodeCommit per archiviare il codice, puoi utilizzare un utente IAM con chiavi SSH o credenziali specifiche del servizio CodeCommit per l'autenticazione nei tuoi repository. Si consiglia di eseguire questa operazione oltre a utilizzare un utente di IAM Identity Center per l'autenticazione normale. Gli utenti di IAM Identity Center sono le persone della tua forza lavoro che hanno bisogno di accedere alle tue o alle tue applicazioni cloud. Account AWS Per consentire agli utenti di accedere ai tuoi CodeCommit repository senza configurare gli utenti IAM, puoi configurare l'utilità. git-remote-codecommit Per ulteriori informazioni su IAM e CodeCommit, consulta. Credenziali IAM per CodeCommit: credenziali Git, chiavi SSH e chiavi di accesso AWS Per ulteriori informazioni sulla configurazione dell'git-remote-codecommitutilità, consulta Connessione ai AWS CodeCommit repository con credenziali rotanti nella Guida per l'utente.AWS CodeCommit

  • Accesso ad Amazon Keyspaces (per Apache Cassandra): in una situazione in cui non è possibile utilizzare gli utenti in IAM Identity Center, ad esempio per scopi di test per la compatibilità con Cassandra, puoi utilizzare un utente IAM con credenziali specifiche del servizio per l'autenticazione con Amazon Keyspaces. Gli utenti di IAM Identity Center sono le persone della tua forza lavoro che hanno bisogno di accedere alle tue applicazioni Account AWS o alle tue applicazioni cloud. Puoi anche connetterti ad Amazon Keyspaces utilizzando credenziali temporanee. Per ulteriori informazioni, consulta Utilizzo di credenziali temporanee per connettersi ad Amazon Keyspaces utilizzando un ruolo IAM e il plugin SIGv4 nella Guida per gli sviluppatori di Amazon Keyspaces (per Apache Cassandra).

  • Accesso di emergenza: in una situazione in cui non puoi accedere al tuo provider di identità e devi intervenire nel tuo Account AWS. Stabilire l'accesso di emergenza per gli utenti IAM può far parte del tuo piano di resilienza. Si consiglia di controllare e proteggere le credenziali degli utenti di emergenza con l'autenticazione a più fattori (MFA).

Termini e concetti dei ruoli

Di seguito sono elencati alcuni termini di base per aiutarti a iniziare a utilizzare i ruoli.

Ruolo

UN'identità IAM che puoi creare nell'account che ha le autorizzazioni specifiche. Un ruolo IAM presenta alcune analogie con un utente IAM. Ruoli e utenti sono entrambi identità AWS con policy di autorizzazioni che determinano ciò che l'identità può o non può fare in AWS. Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Inoltre, un ruolo non ha credenziali a lungo termine standard associate (password o chiavi di accesso). Tuttavia, quando assumi un ruolo, vengono fornite le credenziali di sicurezza provvisorie per la sessione del ruolo.

I ruoli possono essere assunti da:

  • Un utente IAM nello stesso Account AWS o in un altro Account AWS

  • Ruoli IAM nello stesso account

  • Service Principal, da utilizzare con AWS servizi e funzionalità come:

    • Servizi che consentono di eseguire codice su servizi di elaborazione, come Amazon EC2 o AWS Lambda

    • Funzionalità che eseguono azioni sulle tue risorse per tuo conto, come la replica di oggetti Amazon S3

    • Servizi che forniscono credenziali di sicurezza temporanee alle applicazioni eseguite all'esterno AWS, come IAM Roles Anywhere o Amazon ECS Anywhere

  • Un utente esterno autenticato da un gestore dell'identità digitale (IdP) compatibile con SAML 2.0 o OpenID Connect

AWS ruolo del servizio

Un ruolo di servizio è un ruolo IAM che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall'interno di IAM. Per ulteriori informazioni, consulta la sezione Create a role to delegate permissions to an Servizio AWS nella Guida per l'utente IAM.

AWS ruolo collegato al servizio

Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un'azione per tuo conto. I ruoli collegati al servizio vengono visualizzati in Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non modificarle.

Nota

Se stai già utilizzando un servizio quando inizia a supportare i ruoli collegati al servizio, potresti ricevere un'e-mail che annuncia un nuovo ruolo nel tuo account. In questo caso, il servizio ha creato automaticamente il ruolo collegato al servizio nel tuo account. Non è necessario compiere alcuna operazione per supportare questo ruolo e non è necessario eliminarlo manualmente. Per ulteriori informazioni, consulta Un nuovo ruolo appare nell'account AWS.

Per informazioni su quali servizi supportano i ruoli collegati ai servizi, consulta la pagina AWS servizi che funzionano con IAM e cerca i servizi per cui è indicato nella colonna Ruolo collegato ai servizi. Scegli in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio. Per ulteriori informazioni, consulta Creare un ruolo collegato ai servizi.

Concatenazione del ruolo

Il concatenamento dei ruoli si verifica quando si utilizza un ruolo per assumere un secondo ruolo tramite l' AWS CLI API o. Ad esempio, RoleA dispone dell'autorizzazione per assumere il ruolo RoleB. È possibile consentire a User1 di assumere RoleA utilizzando le proprie credenziali utente a lungo termine nell' AssumeRole operazione API. Questa restituisce le credenziali a breve termine del ruolo RoleA. Con la concatenazione del ruolo, puoi utilizzare le credenziali a breve termine del ruolo RoleA per abilitare l'Utente1 ad assumere il ruolo RoleB.

Quando assumi un ruolo, puoi passare un tag di sessione e impostare il tag come transitivo. I tag di sessione transitivi vengono passati a tutte le sessioni successive in una concatenazione del ruolo. Per ulteriori informazioni sui tag di sessione, consulta Passare i tag di sessione in AWS STS.

Il concatenamento dei ruoli limita la sessione di ruolo AWS dell'utente AWS CLI o dell'API a un massimo di un'ora. Quando si utilizza l'operazione AssumeRoleAPI per assumere un ruolo, è possibile specificare la durata della sessione di ruolo con il DurationSeconds parametro. Puoi specificare un valore di parametro fino a 43200 secondi (12 ore), che dipende dall'impostazione della durata massima della sessione per il tuo ruolo. Tuttavia, se assumi un ruolo utilizzando la concatenazione dei ruoli e fornisci un valore del parametro DurationSeconds maggiore di un'ora, l'operazione ha esito negativo.

Delega

La concessione delle autorizzazioni a un altro utente per permettere l'accesso alle risorse di controllo. La delega comporta la configurazione di un trust tra due account. Il primo è l'account proprietario della risorsa (l'account che concede fiducia). Il secondo è l'account che contiene gli utenti che devono accedere alla risorsa (l'account attendibile). L'account a cui viene concessa fiducia e l'account che concede fiducia possono essere uno dei seguenti:

  • Lo stesso account.

  • Account diversi che sono comunque sotto il controllo della tua organizzazione.

  • Due account di proprietà di organizzazioni diverse.

Per delegare l'autorizzazione per accedere a una risorsa, crea un ruolo IAM nell'account che concede fiducia che ha due policy collegate. Le policy di autorizzazioni concedono all'utente del ruolo le autorizzazioni necessarie per eseguire le attività previste sulla risorsa. La policy di attendibilità specifica quali membri degli account a cui viene concessa fiducia sono autorizzati ad assumere il ruolo.

Quando si crea una politica di affidabilità, non è possibile specificare un carattere jolly (*) come parte di un ARN come elemento principale. La policy di affidabilità è associata al ruolo nell'account che concede fiducia e rappresenta una metà delle autorizzazioni. L'altra metà è una policy delle autorizzazioni collegata all'utente nell'account a cui viene concessa fiducia che consente a quell'utente di passare al ruolo o di assumerlo. Un utente che assume un ruolo temporaneamente cede le proprie autorizzazioni e ottiene le autorizzazioni del ruolo. Quando l'utente esce o termina l'utilizzo del ruolo, le autorizzazioni originali dell'utente vengono ripristinate. Un parametro aggiuntivo chiamato external ID contribuisce a garantire sicuro l'uso dei ruoli tra gli account che non vengono controllati dalla stessa organizzazione.

Policy di trust

Documento di policy JSON in cui si definiscono i principali considerati attendibili per assumere il ruolo. Una policy di attendibilità del ruolo è una policy basata sulle risorse collegata a un ruolo in IAM. I principali che è possibile specificare nella policy di attendibilità includono utenti, ruoli, account e servizi. Per ulteriori informazioni, consulta Come utilizzare le policy di fiducia nei ruoli IAM nel AWS Security Blog.

Ruolo per l'accesso tra account

Un ruolo che concede l'accesso alle risorse in un account a un principale affidabile in un diverso account. I ruoli sono lo strumento principale per concedere l'accesso multi-account. Tuttavia, alcuni AWS servizi consentono di allegare una policy direttamente a una risorsa (anziché utilizzare un ruolo come proxy). Queste sono chiamate politiche basate sulle risorse ed è possibile utilizzarle per concedere ai responsabili di un'altra persona l' Account AWS accesso alla risorsa. Alcune di queste risorse includono bucket Amazon Simple Storage Service (S3), vault S3 Glacier, argomenti Amazon Simple Notification Service (SNS) e code Amazon Simple Queue Service (SQS). Per informazioni su quali servizi supportano le policy basate su risorse, consulta AWS servizi che funzionano con IAM. Per ulteriori informazioni sulle policy basate sulle risorse, consulta Accesso alle risorse multi-account in IAM.

Risorse aggiuntive

Le seguenti risorse possono rivelarsi utili per saperne di più sulla terminologia di IAM relativa ai ruoli IAM.

  • I principali sono entità in grado di eseguire azioni e AWS accedere alle risorse. Un principale può essere un Utente root dell'account AWS utente IAM o un ruolo. Un principio che rappresenta l'identità di un AWS servizio è un principale di servizio. Utilizza l'elemento Principal nelle policy di attendibilità per il ruolo per definire i principali attendibili per assumere il ruolo.

    Per ulteriori informazioni ed esempi di principali a cui è possibile consentire l'assunzione di un ruolo, consulta AWS Elementi della policy JSON: Principal.

  • La federazione delle identità crea una relazione di fiducia tra un provider di identità esterno e AWS. Puoi utilizzare il tuo provider OpenID Connect (OIDC) o Security Assertion Markup Language (SAML) 2.0 esistente per gestire chi può accedere alle risorse AWS . Quando utilizzi OIDC e SAML 2.0 per configurare una relazione di fiducia tra questi provider di identità esterni e AWS , all'utente viene assegnato un ruolo IAM. e riceve credenziali provvisorie che gli consentono di accedere alle tue risorse AWS .

    Per ulteriori informazioni sugli utenti federati, consulta Provider di identità e federazione.

  • Gli utenti federati sono identità esistenti provenienti dall' AWS Directory Service elenco utenti aziendale o da un provider OIDC. Questi sono noti come utenti federati. AWS assegna un ruolo a un utente federato quando l'accesso viene richiesto tramite un provider di identità.

    Per ulteriori informazioni sugli utenti federati, consulta Utenti federati e ruoli.

  • Le policy di autorizzazione sono policy basate sull'identità che definiscono le azioni e le risorse che il ruolo può utilizzare. Il documento è scritto in base alle regole del linguaggio della policy IAM.

    Per ulteriori informazioni, consulta Riferimento alla policy JSON IAM.

  • Il limite delle autorizzazioni è una funzione avanzata in cui le policy vengono utilizzate per limitare il numero massimo di autorizzazioni che una policy basata su identità può concedere a un ruolo. Non è possibile applicare un limite delle autorizzazioni a un ruolo collegato al servizio.

    Per ulteriori informazioni, consulta Limiti delle autorizzazioni per le entità IAM.

In questa pagina

Related resources

AWS Identity and Access Management Riferimento alle API
AWS CLI comandi per AWS Identity and Access Management
SDKs & Strumenti 

Related resources

AWS Identity and Access Management Riferimento alle API
AWS CLI comandi per AWS Identity and Access Management
SDKs & Strumenti 
PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.