Aggiornare una politica di attendibilità dei ruoli - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiornare una politica di attendibilità dei ruoli

Per cambiare l'utente che può assumere un ruolo, modifica la policy di affidabilità del ruolo. Non puoi modificare la policy di attendibilità per un ruolo collegato al servizio.

Note
  • Se un utente viene elencato come principale in una policy di attendibilità del ruolo ma non può assumere il ruolo, controlla il limite delle autorizzazioni dell'utente. Se è impostato un limite delle autorizzazioni per l'utente, questo deve consentire l'operazione sts:AssumeRole.

  • Per consentire agli utenti di assumere nuovamente il ruolo corrente all'interno di una sessione di ruolo, specifica il ruolo ARN o Account AWS ARN come principale nella politica di fiducia dei ruoli. Servizi AWS che forniscono risorse di elaborazione come AmazonEC2, Amazon ECSEKS, Amazon e Lambda forniscono credenziali temporanee e le aggiornano automaticamente. Ciò garantisce di disporre sempre di un set di credenziali valido. Per questi servizi, non è necessario riassumere il ruolo attuale per ottenere credenziali temporanee. Tuttavia, se intendi passare tag di sessione o una Policy di sessione, devi riassumere il ruolo attuale.

Aggiornamento di una policy di fiducia per i ruoli (console)

Per modificare una politica di fiducia nei ruoli in AWS Management Console
  1. Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione della IAM console, scegli Ruoli.

  3. Nell'elenco di ruoli dell'account selezionare il nome del ruolo da modificare.

  4. Scegli la scheda Relazioni di attendibilità e quindi Modifica policy di attendibilità.

  5. Modificare la policy di affidabilità in base alle esigenze. Per aggiungere ulteriori entità principali che possono assumere il ruolo, specificarle nell'elemento Principal. Ad esempio, il seguente frammento di policy mostra come fare riferimento a due Account AWS nell'Principalelemento:

    "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] },

    Se specifichi un'entità principale in un altro account, l'aggiunta di un account alla policy di attendibilità di un ruolo è solo una parte della creazione della relazione di trust tra più account. Per impostazione predefinita, gli utenti negli account attendibili non possono assumere il ruolo. L'amministratore del nuovo account attendibile deve concedere agli utenti l'autorizzazione ad assumere il ruolo. A tale scopo, l'amministratore deve creare o modificare una policy collegata all'utente per consentire all'utente di accedere all'operazione sts:AssumeRole. Per ulteriori informazioni, consultare la procedura seguente o Concedere a un utente le autorizzazioni per cambiare ruolo.

    Il seguente frammento di policy mostra come fare riferimento a due AWS servizi nell'elemento: Principal

    "Principal": { "Service": [ "opsworks.amazonaws.com", "ec2.amazonaws.com" ] },
  6. Una volta completata la modifica della policy di attendibilità, scegli Update policy (Aggiorna policy) per salvare le modifiche.

    Per ulteriori informazioni sulla sintassi e sulla struttura della policy, consultare Politiche e autorizzazioni in AWS Identity and Access Management e IAMJSONriferimento all'elemento della politica.

Per permettere agli utenti in un account esterno attendibile di usare il ruolo (console)

Per ulteriori informazioni e dettagli su questa procedura, consultare Concedere a un utente le autorizzazioni per cambiare ruolo.

  1. Accedi a un sito esterno affidabile. Account AWS

  2. Stabilire se collegare le autorizzazioni a un utente o a un gruppo. Nel riquadro di navigazione della IAM console, scegli Utenti o Gruppi di utenti di conseguenza.

  3. Scegliere il nome dell'utente o del gruppo a cui si desidera concedere l'accesso e selezionare la scheda Permissions (Autorizzazioni).

  4. Esegui una di queste operazioni:

    • Per modificare una politica gestita dal cliente, scegli il nome della politica, scegli Modifica politica, quindi scegli la JSONscheda. Non puoi modificare una politica AWS gestita. AWS le politiche gestite vengono visualizzate con l' AWS icona ( Orange cube icon indicating a policy is managed by AWS. ). Per ulteriori informazioni sulle differenze tra le policy gestite da AWS e quelle gestite dal cliente, consultare Policy gestite e policy inline.

    • Per modificare una policy inline, selezionare la freccia accanto al nome della policy e scegliere Edit policy (Modifica policy).

  5. Nell'editor di policy aggiungere un nuovo elemento Statement che specifica quanto segue:

    { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-ID:role/ROLE-NAME" }

    Sostituisci ARN nella dichiarazione ARN il ruolo che l'utente può assumere.

  6. Seguire le indicazioni sullo schermo per completare la modifica della policy.

Aggiornamento di una politica di attendibilità dei ruoli (AWS CLI)

È possibile utilizzare il AWS CLI per modificare chi può assumere un ruolo.

Per modificare una policy di attendibilità del ruolo (AWS CLI)
  1. (Facoltativo) Se non si conosce il nome del ruolo da modificare, eseguire il comando seguente per elencare i ruoli nell'account:

  2. (Facoltativo) Per visualizzare la policy di affidabilità corrente per un ruolo, eseguire il comando seguente:

  3. Per modificare le entità principali attendibili che possono accedere al ruolo, creare un file di testo con la policy di affidabilità aggiornata. È possibile usare qualsiasi editor di testo per creare la policy.

    Ad esempio, la policy di attendibilità seguente illustra come fare riferimento a due Account AWS nell'elemento Principal. Ciò consente agli utenti di due persone separate Account AWS di assumere questo ruolo.

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ]}, "Action": "sts:AssumeRole" } }

    Se specifichi un'entità principale in un altro account, l'aggiunta di un account alla policy di attendibilità di un ruolo è solo una parte della creazione della relazione di trust tra più account. Per impostazione predefinita, gli utenti negli account attendibili non possono assumere il ruolo. L'amministratore del nuovo account attendibile deve concedere agli utenti l'autorizzazione ad assumere il ruolo. A tale scopo, l'amministratore deve creare o modificare una policy collegata all'utente per consentire all'utente di accedere all'operazione sts:AssumeRole. Per ulteriori informazioni, consultare la procedura seguente o Concedere a un utente le autorizzazioni per cambiare ruolo.

  4. Per utilizzare il file creato per aggiornare la policy di attendibilità, eseguire il comando seguente:

Per permettere agli utenti in un account esterno attendibile di usare il ruolo (AWS CLI)

Per ulteriori informazioni e dettagli su questa procedura, consultare Concedere a un utente le autorizzazioni per cambiare ruolo.

  1. Crea un JSON file che contenga una politica di autorizzazioni che conceda le autorizzazioni per assumere il ruolo. La policy seguente contiene ad esempio le autorizzazioni minime necessarie:

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME" } }

    Sostituisci il ARN contenuto della dichiarazione con il ARN ruolo che l'utente può assumere.

  2. Esegui il comando seguente per caricare il JSON file che contiene la politica di fiducia suIAM:

    L'output di questo comando include ARN la politica. Prendi nota di ciò ARN perché ti servirà in un passaggio successivo.

  3. Stabilire a quale utente o gruppo collegare la policy. Se non si conosce il nome dell'utente o del gruppo desiderato, usare uno dei comandi seguenti per elencare gli utenti o i gruppi nell'account:

  4. Usare uno dei comandi seguenti per collegare la policy creata nel passaggio precedente all'utente o al gruppo:

Aggiornamento di una policy sulla fiducia dei ruoli (AWS API)

È possibile utilizzare il AWS API per modificare chi può assumere un ruolo.

Per modificare una politica di attendibilità del ruolo (AWS API)
  1. (Facoltativo) Se non si conosce il nome del ruolo che si desidera modificare, chiamare l'operazione seguente per elencare i ruoli nell'account:

  2. (Facoltativo) Per visualizzare la policy di affidabilità corrente per un ruolo, chiamare l'operazione seguente:

  3. Per modificare le entità principali attendibili che possono accedere al ruolo, creare un file di testo con la policy di affidabilità aggiornata. È possibile usare qualsiasi editor di testo per creare la policy.

    Ad esempio, la policy di attendibilità seguente illustra come fare riferimento a due Account AWS nell'elemento Principal. Ciò consente agli utenti all'interno di due Account AWS paesi diversi di assumere questo ruolo.

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ]}, "Action": "sts:AssumeRole" } }

    Se specifichi un'entità principale in un altro account, l'aggiunta di un account alla policy di attendibilità di un ruolo è solo una parte della creazione della relazione di trust tra più account. Per impostazione predefinita, gli utenti negli account attendibili non possono assumere il ruolo. L'amministratore del nuovo account attendibile deve concedere agli utenti l'autorizzazione ad assumere il ruolo. A tale scopo, l'amministratore deve creare o modificare una policy collegata all'utente per consentire all'utente di accedere all'operazione sts:AssumeRole. Per ulteriori informazioni, consultare la procedura seguente o Concedere a un utente le autorizzazioni per cambiare ruolo.

  4. Per utilizzare il file creato per aggiornare la policy di attendibilità, chiamare l'operazione seguente:

Per consentire agli utenti di un account esterno affidabile di utilizzare il ruolo (AWS API)

Per ulteriori informazioni e dettagli su questa procedura, consultare Concedere a un utente le autorizzazioni per cambiare ruolo.

  1. Crea un JSON file che contenga una politica di autorizzazioni che conceda le autorizzazioni per assumere il ruolo. La policy seguente contiene ad esempio le autorizzazioni minime necessarie:

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME" } }

    Sostituisci il ARN contenuto della dichiarazione con il ARN ruolo che l'utente può assumere.

  2. Effettua la seguente operazione per caricare il JSON file che contiene la politica di attendibilità suIAM:

    L'output di questa operazione include ARN la politica. Prendi nota di ciò ARN perché ti servirà in un passaggio successivo.

  3. Stabilire a quale utente o gruppo collegare la policy. Se non si conosce il nome dell'utente o del gruppo desiderato, chiamare una delle operazioni seguenti per elencare gli utenti o i gruppi nell'account:

  4. Chiamare una delle operazioni seguenti per collegare la policy creata nel passaggio precedente all'utente o al gruppo: