Gestione del ruolo IAM

Prima che un utente, applicazione o servizio possa utilizzare un ruolo che si è creato, è necessario concedere le autorizzazioni per passare al ruolo. È possibile utilizzare qualsiasi policy collegata a gruppi o utenti per concedere le autorizzazioni necessarie. In questa sezione viene descritto come concedere agli utenti l'autorizzazione per l'utilizzo di un ruolo. Viene inoltre spiegato come l'utente può passare da un ruolo a un altro dalla AWS Management Console, con Tools for Windows PowerShell, AWS Command Line Interface (AWS CLI) e l'API AssumeRole.

Visualizzazione dell'accesso per il ruolo

Prima di modificare le autorizzazioni per un ruolo, è opportuno esaminare la sua attività recente a livello di servizio. È un'opzione importante per non rimuovere l'accesso da parte di un principale (persona o applicazione) che la sta utilizzando. Per ulteriori informazioni sulla visualizzazione delle ultime informazioni di accesso, vedere Perfezionamento delle autorizzazioni in AWS utilizzando le informazioni sull'ultimo accesso.

Generazione di una policy basata sulle informazioni di accesso

Talvolta, è possibile concedere autorizzazioni a un'entità IAM (utente o ruolo) oltre a quelle richieste. Per ottimizzare le autorizzazioni concesse, puoi generare una policy IAM basata sull'attività di accesso per un'entità. IAM Access Analyzer verifica i log AWS CloudTrail e genera un modello di policy che contiene le autorizzazioni utilizzate dall'entità nell'intervallo di date specificato. È possibile utilizzare il modello per creare una policy gestita con autorizzazioni granulari e quindi collegarla al ruolo IAM. In questo modo, si concedono solo le autorizzazioni necessarie all'utente o al ruolo per interagire con le risorse AWS per il caso d'uso specifico. Per ulteriori informazioni, consulta Generazione di policy per Sistema di analisi degli accessi IAM.