Aggiornamento di una policy di attendibilità del ruolo (console)Aggiornamento di una policy di attendibilità del ruolo (AWS CLI)Aggiornamento di una policy di attendibilità del ruolo (API AWS)

Aggiornamento di una policy di attendibilità del ruolo

Per cambiare l'utente che può assumere un ruolo, modifica la policy di affidabilità del ruolo. Non puoi modificare la policy di attendibilità per un ruolo collegato al servizio.

Note

Se un utente viene elencato come principale in una policy di attendibilità del ruolo ma non può assumere il ruolo, controlla il limite delle autorizzazioni dell'utente. Se è impostato un limite delle autorizzazioni per l'utente, questo deve consentire l'operazione sts:AssumeRole.
Per consentire agli utenti di assumere nuovamente il ruolo corrente all'interno di una sessione di ruolo, specifica l'ARN del ruolo oppure l'ARN dell'Account AWS come principale della policy di attendibilità del ruolo. I Servizi AWS che forniscono risorse di calcolo come Amazon EC2, Amazon ECS, Amazon EKS e Lambda forniscono credenziali temporanee e le aggiornano automaticamente. Ciò garantisce di disporre sempre di un set di credenziali valido. Per questi servizi, non è necessario riassumere il ruolo attuale per ottenere credenziali temporanee. Tuttavia, se intendi passare tag di sessione o una Policy di sessione, devi riassumere il ruolo attuale.

Aggiornamento di una policy di attendibilità del ruolo (console)

Per cambiare una policy di attendibilità del ruolo nella AWS Management Console

Accedi a AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel pannello di navigazione della console IAM seleziona Ruoli.
Nell'elenco di ruoli dell'account selezionare il nome del ruolo da modificare.
Scegli la scheda Relazioni di attendibilità e quindi Modifica policy di attendibilità.
Modificare la policy di affidabilità in base alle esigenze. Per aggiungere ulteriori entità principali che possono assumere il ruolo, specificarle nell'elemento Principal. Ad esempio, il frammento di policy seguente illustra come fare riferimento a due Account AWS nell'elemento Principal:
```
"Principal": {
  "AWS": [
    "arn:aws:iam::111122223333:root",
    "arn:aws:iam::444455556666:root"
  ]
},
```
Se specifichi un'entità principale in un altro account, l'aggiunta di un account alla policy di attendibilità di un ruolo è solo una parte della creazione della relazione di trust tra più account. Per impostazione predefinita, gli utenti negli account attendibili non possono assumere il ruolo. L'amministratore del nuovo account attendibile deve concedere agli utenti l'autorizzazione ad assumere il ruolo. A tale scopo, l'amministratore deve creare o modificare una policy collegata all'utente per consentire all'utente di accedere all'operazione sts:AssumeRole. Per ulteriori informazioni, consultare la procedura seguente o Concedere le autorizzazioni agli utenti per cambiare ruoli.

Il frammento di policy seguente illustra come fare riferimento a due servizi AWS nell'elemento Principal:
```
"Principal": {
  "Service": [
    "opsworks.amazonaws.com",
    "ec2.amazonaws.com"
  ]
},
```
Una volta completata la modifica della policy di attendibilità, scegli Update policy (Aggiorna policy) per salvare le modifiche.

Per ulteriori informazioni sulla sintassi e sulla struttura della policy, consultare Policy e autorizzazioni in AWS Identity and Access Management e Documentazione di riferimento degli elementi delle policy JSON IAM.

Per permettere agli utenti in un account esterno attendibile di usare il ruolo (console)

Per ulteriori informazioni e dettagli su questa procedura, consultare Concedere le autorizzazioni agli utenti per cambiare ruoli.

Accedere all'Account AWS esterno attendibile.
Stabilire se collegare le autorizzazioni a un utente o a un gruppo. Nel riquadro di navigazione della console IAM, scegli Users (Utenti) o User groups (Gruppi di utenti) in base alle esigenze.
Scegliere il nome dell'utente o del gruppo a cui si desidera concedere l'accesso e selezionare la scheda Permissions (Autorizzazioni).
Esegui una di queste operazioni:
- Per modificare una policy gestita dal cliente, selezionare il nome della policy, Edit policy (Modifica policy) e la scheda JSON. Non è possibile modificare una policy gestita da AWS. Le policy gestite da AWS vengono visualizzate con l'icona AWS ( ). Per ulteriori informazioni sulle differenze tra le policy gestite da AWS e quelle gestite dal cliente, consultare Policy gestite e policy inline.
- Per modificare una policy inline, selezionare la freccia accanto al nome della policy e scegliere Edit policy (Modifica policy).
Nell'editor di policy aggiungere un nuovo elemento Statement che specifica quanto segue:
```
{
  "Effect": "Allow",
  "Action": "sts:AssumeRole",
  "Resource": "arn:aws:iam::ACCOUNT-ID:role/ROLE-NAME"
}
```
Sostituire l'ARN nell'istruzione con l'ARN del ruolo che l'utente può assumere.
Seguire le indicazioni sullo schermo per completare la modifica della policy.

Aggiornamento di una policy di attendibilità del ruolo (AWS CLI)

Puoi usare la AWS CLI per cambiare l'utente che può assumere un ruolo.

Per modificare una policy di attendibilità del ruolo (AWS CLI)

(Facoltativo) Se non si conosce il nome del ruolo da modificare, eseguire il comando seguente per elencare i ruoli nell'account:
- aws iam list-roles
(Facoltativo) Per visualizzare la policy di affidabilità corrente per un ruolo, eseguire il comando seguente:
- aws iam get-role
Per modificare le entità principali attendibili che possono accedere al ruolo, creare un file di testo con la policy di affidabilità aggiornata. È possibile usare qualsiasi editor di testo per creare la policy.

Ad esempio, la policy di attendibilità seguente illustra come fare riferimento a due Account AWS nell'elemento Principal. In questo modo gli utenti all'interno di due diversi Account AWS possono assumere questo ruolo.
```
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {"AWS": [
            "arn:aws:iam::111122223333:root",
            "arn:aws:iam::444455556666:root"
        ]},
        "Action": "sts:AssumeRole"
    }
}
```
Se specifichi un'entità principale in un altro account, l'aggiunta di un account alla policy di attendibilità di un ruolo è solo una parte della creazione della relazione di trust tra più account. Per impostazione predefinita, gli utenti negli account attendibili non possono assumere il ruolo. L'amministratore del nuovo account attendibile deve concedere agli utenti l'autorizzazione ad assumere il ruolo. A tale scopo, l'amministratore deve creare o modificare una policy collegata all'utente per consentire all'utente di accedere all'operazione sts:AssumeRole. Per ulteriori informazioni, consultare la procedura seguente o Concedere le autorizzazioni agli utenti per cambiare ruoli.
Per utilizzare il file creato per aggiornare la policy di attendibilità, eseguire il comando seguente:
- aws iam update-assume-role-policy

Per permettere agli utenti in un account esterno attendibile di usare il ruolo (AWS CLI)

Per ulteriori informazioni e dettagli su questa procedura, consultare Concedere le autorizzazioni agli utenti per cambiare ruoli.

Creare un file JSON contenente una policy di autorizzazione che concede le autorizzazioni ad assumere il ruolo. La policy seguente contiene ad esempio le autorizzazioni minime necessarie:
```
{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME"
  }
}
```
Sostituire l'ARN nell'istruzione con l'ARN del ruolo che l'utente può assumere.
Esegui il comando seguente per caricare il file JSON contenente la policy di attendibilità in IAM:
- aws iam create-policy
L'output di questo comando include l'ARN della policy. Prendere nota di questo ARN, perché sarà necessario in una fase successiva.
Stabilire a quale utente o gruppo collegare la policy. Se non si conosce il nome dell'utente o del gruppo desiderato, usare uno dei comandi seguenti per elencare gli utenti o i gruppi nell'account:
- aws iam list-users
- aws iam list-groups
Usare uno dei comandi seguenti per collegare la policy creata nel passaggio precedente all'utente o al gruppo:
- aws iam attach-user-policy
- aws iam attach-group-policy

Aggiornamento di una policy di attendibilità del ruolo (API AWS)

Puoi usare l'API AWS per cambiare l'utente che può assumere un ruolo.

Per modificare una policy di attendibilità del ruolo (API AWS)

(Facoltativo) Se non si conosce il nome del ruolo che si desidera modificare, chiamare l'operazione seguente per elencare i ruoli nell'account:
- ListRoles
(Facoltativo) Per visualizzare la policy di affidabilità corrente per un ruolo, chiamare l'operazione seguente:
- GetRole
Per modificare le entità principali attendibili che possono accedere al ruolo, creare un file di testo con la policy di affidabilità aggiornata. È possibile usare qualsiasi editor di testo per creare la policy.

Ad esempio, la policy di attendibilità seguente illustra come fare riferimento a due Account AWS nell'elemento Principal. In questo modo gli utenti all'interno di due diversi Account AWS possono assumere questo ruolo.
```
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {"AWS": [
            "arn:aws:iam::111122223333:root",
            "arn:aws:iam::444455556666:root"
        ]},
        "Action": "sts:AssumeRole"
    }
}
```
Se specifichi un'entità principale in un altro account, l'aggiunta di un account alla policy di attendibilità di un ruolo è solo una parte della creazione della relazione di trust tra più account. Per impostazione predefinita, gli utenti negli account attendibili non possono assumere il ruolo. L'amministratore del nuovo account attendibile deve concedere agli utenti l'autorizzazione ad assumere il ruolo. A tale scopo, l'amministratore deve creare o modificare una policy collegata all'utente per consentire all'utente di accedere all'operazione sts:AssumeRole. Per ulteriori informazioni, consultare la procedura seguente o Concedere le autorizzazioni agli utenti per cambiare ruoli.
Per utilizzare il file creato per aggiornare la policy di attendibilità, chiamare l'operazione seguente:
- UpdateAssumeRolePolicy

Per permettere agli utenti in un account esterno attendibile di usare il ruolo (API AWS)

Per ulteriori informazioni e dettagli su questa procedura, consultare Concedere le autorizzazioni agli utenti per cambiare ruoli.

Creare un file JSON contenente una policy di autorizzazione che concede le autorizzazioni ad assumere il ruolo. La policy seguente contiene ad esempio le autorizzazioni minime necessarie:
```
{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME"
  }
}
```
Sostituire l'ARN nell'istruzione con l'ARN del ruolo che l'utente può assumere.
Chiama l'operazione seguente per caricare il file JSON contenente la policy di attendibilità in IAM:
- CreatePolicy
L'output di questa operazione include l'ARN della policy. Prendere nota di questo ARN, perché sarà necessario in una fase successiva.
Stabilire a quale utente o gruppo collegare la policy. Se non si conosce il nome dell'utente o del gruppo desiderato, chiamare una delle operazioni seguenti per elencare gli utenti o i gruppi nell'account:
- ListUsers
- ListGroups
Chiamare una delle operazioni seguenti per collegare la policy creata nel passaggio precedente all'utente o al gruppo:
- API: AttachUserPolicy
- AttachGroupPolicy

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Aggiornamento di un ruolo collegato ai servizi

Aggiornamento delle autorizzazioni del ruolo